Para que a GRC seja implantada de modo cíclico, metódico e sistemático, faz-se necessário uma estrutura e, dentro desta estrutura, um processo. O caráter cíclico remete a recursividade, a periodicidade do processo; o metódico à necessidade de uma prática formal, uma liturgia, um rito; enquanto o sistemático alude à abrangência, a amplitude, o holismo deste processo.
O movimento para padronizar a estrutura e o processo da GRC é antigo, e seu divisor de águas foi a ISO 31.000/09. A International Organization for Standardization – ISO tentou reunir nesta norma técnica as melhores práticas de gestão de riscos adotadas internacionalmente. Por esse motivo este estudo valer-se-á desta norma técnica ao abordar os princípios, a estrutura e o processo de gestão de riscos.
De acordo com o projeto ABNT CEE/63 - PROJETO 63:000.01-001, supracitado, a GRC tem, entre outros princípios: criar e proteger valor, ser parte integrante dos processos organizacionais, ser parte da tomada de decisões, ser sistemática, estruturada e oportuna, estar baseada nas melhores informações disponíveis, feita sob medida, ser dinâmica, interativa e capaz de reagir a mudanças e facilitar a melhoria contínua da organização.
Intrinsecamente aos princípios ora relacionados observa-se a visão futurista apregoada pela gestão de riscos ao fomentar uma gestão pró-ativa e preventiva. Isso é facilmente constatado nos princípios “cria e protege valor” e “facilita a melhoria contínua da organização”. A criação e a proteção de valor e a melhoria contínua são sinônimos de diferenciais competitivos e estes, por sua vez, levam a sustentabilidade.
O mesmo projeto demonstra a estrutura aconselhável para gerenciar riscos, representada pela figura a seguir:
O movimento para padronizar a estrutura e o processo da GRC é antigo, e seu divisor de águas foi a ISO 31.000/09. A International Organization for Standardization – ISO tentou reunir nesta norma técnica as melhores práticas de gestão de riscos adotadas internacionalmente. Por esse motivo este estudo valer-se-á desta norma técnica ao abordar os princípios, a estrutura e o processo de gestão de riscos.
De acordo com o projeto ABNT CEE/63 - PROJETO 63:000.01-001, supracitado, a GRC tem, entre outros princípios: criar e proteger valor, ser parte integrante dos processos organizacionais, ser parte da tomada de decisões, ser sistemática, estruturada e oportuna, estar baseada nas melhores informações disponíveis, feita sob medida, ser dinâmica, interativa e capaz de reagir a mudanças e facilitar a melhoria contínua da organização.
Intrinsecamente aos princípios ora relacionados observa-se a visão futurista apregoada pela gestão de riscos ao fomentar uma gestão pró-ativa e preventiva. Isso é facilmente constatado nos princípios “cria e protege valor” e “facilita a melhoria contínua da organização”. A criação e a proteção de valor e a melhoria contínua são sinônimos de diferenciais competitivos e estes, por sua vez, levam a sustentabilidade.
O mesmo projeto demonstra a estrutura aconselhável para gerenciar riscos, representada pela figura a seguir:
A estrutura se apresenta em cinco etapas e se revela cíclica, ou seja, ao encerrar a etapa nº 4.6 a organização deve retomar a etapa nº 4.3. Nota-se que a estrutura é baseada no famoso ciclo da Administração de Empresas representado pela sigla PDCA – Planejar, Dirigir, Controlar e Agir. Chama-se a atenção para a etapa nº 4.4, onde será instaurado o processo de gestão de riscos corporativos, que será abordado em seguida.
O processo recomendável para gerenciar riscos, de acordo com o mesmo projeto citado anteriormente, está representado pela figura a seguir:
O processo recomendável para gerenciar riscos, de acordo com o mesmo projeto citado anteriormente, está representado pela figura a seguir:
O processo é composto por 07 etapas distintas, sendo que a etapa 5.2 que trata da comunicação e da consulta e a etapa 5.6 que trata do monitoramento e análise crítica permeiam todas as demais. Assim como a estrutura para gerenciar riscos, vista anteriormente, o processo também é feito de modo cíclico, cujo período é adequado à realidade de cada organização.
