Comitê de Riscos: Como Estruturar e Tornar Melhor o seu Negócio

comitê de riscos - comite de gestão de riscos

Nesse artigo você irá ver:

  • O que é e quais são os objetivos gerais de um comitê de riscos
  • Funções e responsabilidades da gestão de riscos corporativos
  • Composição dos comitês de riscos empresariais
  • Matriz de boas práticas para um comitê de riscos
  • Modelo de reuniões e procedimentos
  • Interfaces com outras áreas e comitês de governança

O Comitê de Riscos é um órgão de governança corporativa com caráter consultivo ou deliberativo (irá depender do grau de maturidade e estrutura organizacional da empresa) que responde ao Conselho de Administração ou a alta administração (dependendo da estrutura empresarial).

Ele tem como função específica, ser responsável pela gestão e supervisão das políticas e práticas de gestão de riscos das operações da empresa. Em linhas gerais, ele terá uma estrutura que deverá comportar os diferentes aspectos relacionados ao negócio, tais como perfil de risco da empresa, nível de complexidade, perfil das atividades e obviamente o tamanho da empresa.

Entre suas principais atribuições, se incluem:

  • Elaboração, acompanhamento e revisão de políticas e procedimentos que estabeleçam uma governança de gerenciamento de riscos que envolvem às operações e processos da empresa;
  • Processos e sistemas empresariais, que devam ser implementados para monitoramento políticas e procedimentos;
  • Estabelecer uma matriz de riscos, com identificação e reporte dos riscos, grau de severidade e importância de cada uma, bem como, estabelecimento de planos de mitigação e/ou eliminação de riscos;
  • Determinar a responsabilidade dos gestores e colaboradores para uma correta gestão dos riscos envolvidos na operação;
  • Assegurar a independência das funções e atividades relacionadas ao gerenciamento de riscos;
  • Implementar e integrar a gestão de riscos, bem como, os controles pertinentes associados, aos objetivos corporativos e empresariais do negócio.

O Comitê de Riscos, deverá auxiliar à Alta Administração na execução de suas responsabilidades de supervisão em relação ao apetite ao risco da empresa, gestão da continuidade dos negócios, estrutura de gestão e conformidade de riscos, e apoio à outras áreas e órgãos de governança, como por exemplo GRC e Comitê de Compliance.

Apetite a Riscos

O apetite a riscos refere-se ao nível de risco que sua empresa está disposta a aceitar ou tolerar para alcançar seus objetivos estratégicos, sem comprometer sua sustentabilidade, conformidade ou reputação. É a quantidade e o tipo de risco que ela considera aceitável em suas operações, decisões e estratégias, sempre alinhados à sua missão, visão e valores.

Metologias consagradas, definem da seguinte forma:

  • ISO 31000: define apetite ao risco como “a quantidade e tipo de risco que uma organização está preparada para perseguir, reter ou aceitar”;
  • COSO ERM: considera como “o nível de exposição ao risco que a organização considera aceitável para alcançar suas metas”.

Objetivos Específicos de um Comitê de Riscos Corporativos

  • Supervisão Estratégica: assegurar que a gestão de riscos esteja alinhada com a estratégia corporativa, promovendo uma abordagem integrada para identificar, avaliar e mitigar riscos;
  • Fortalecimento da Governança: apoiar o conselho de administração na supervisão de riscos, promovendo transparência e responsabilidade;
  • Proteção de Valor: proteger os ativos, a reputação e a continuidade dos negócios, minimizando perdas potenciais decorrentes de riscos;
  • Conformidade Regulatória: garantir o cumprimento de leis, regulamentos e normas aplicáveis, reduzindo o risco de sanções ou danos reputacionais;
  • Cultura de Riscos: promover uma cultura organizacional de conscientização e gerenciamento proativo de riscos em todos os níveis;
  • Resiliência Operacional: preparar a organização para enfrentar cenários adversos, como crises econômicas, tecnológicas ou regulatórias.

Principais Tipos de Riscos Supervisionados por um Comitê de Gestão de Riscos

  • Riscos Estratégicos: relacionados à estratégia corporativa, como mudanças no mercado ou decisões de investimento;
  • Riscos Operacionais: falhas em processos, sistemas ou pessoas;
  • Riscos Financeiros: exposição a volatilidade de mercado, crédito ou liquidez;
  • Riscos Regulatórios e de Conformidade: não conformidade com leis e regulamentos;
  • Riscos Tecnológicos e Cibernéticos: ameaças à segurança da informação e continuidade tecnológica;
  • Riscos Reputacionais: impactos na imagem da empresa;
  • Riscos ESG (Ambientais, Sociais e de Governança): relacionados à sustentabilidade e responsabilidade social.

Principais Benefícios do Comitê de Riscos no Ambientes da sua Empresa

Os ambientes de negócios atuais são caracterizados por volatilidade, incerteza, complexidade e ambiguidade (VUCA). Um comitê de riscos irá ajudar sua empresa a navegar nesses cenários de várias, formas, sendo principalmente:

  • Fornecer Visão Holística: integra informações de diferentes áreas para uma visão consolidada dos riscos;
  • Antecipar Riscos Emergentes: identifica tendências, como avanços tecnológicos (ex.: IA, cibersegurança) ou mudanças regulatórias, antes que se tornem crises;
  • Melhorar a Tomada de Decisão: fornece dados e análises que permitem decisões estratégicas melhor embasadas;
  • Aumentar a Resiliência: prepara a organização para cenários adversos, como crises econômicas ou interrupções na cadeia de suprimentos;
  • Proteger a Reputação: mitiga riscos que possam prejudicar a confiança de stakeholders, como escândalos ou falhas de conformidade;
  • Apoiar a Sustentabilidade: supervisiona riscos ESG, alinhando a organização às expectativas de investidores e reguladores.

Obviamente, as responsabilidades do comitê de riscos irão variar conforme o porte, setor e estrutura da sua empresa, porém, em linhas gerais deverão abranger:

Supervisão do Sistema de Gestão de Riscos

  • Aprovar e revisar a política de gestão de riscos;
  • Monitorar a implementação do framework de ERM, como COSO ou ISO 31000;
  • Avaliar a eficácia das metodologias de identificação, avaliação e mitigação de riscos;
  • Garantir que os riscos sejam priorizados com base em sua probabilidade e impacto.

Apoio ao Conselho de Administração e/ou Alta Direção

  • Fornecer relatórios regulares ao conselho sobre o perfil de riscos do negócio;
  • Recomendar ações para mitigar riscos críticos;
  • Assegurar que o conselho esteja informado sobre riscos emergentes, como mudanças regulatórias ou tecnológicas.

Monitoramento e Conformidade

  • Supervisionar a conformidade com regulamentos aplicáveis, como LGPD, GDPR, SOX ou legislações e/ou normas setoriais;
  • Garantir que os controles internos sejam robustos e eficazes;
  • Avaliar relatórios de auditoria interna e externa relacionados a riscos.

Promoção da Cultura de Riscos

  • Incentivar a integração da gestão de riscos nas operações diárias;
  • Promover treinamentos e conscientização sobre riscos em todos os níveis da organização;
  • Fomentar a comunicação aberta sobre riscos, evitando silos dentro das áreas.

Gestão de Crises

  • Avaliar a prontidão da organização para lidar com eventos disruptivos.
  • Supervisionar planos de continuidade de negócios e resposta a crises;

A composição do comitê deve ser diversificada, qualificada e alinhada aos objetivos estratégicos da sua empresa.  A composição irá variar conforme porte, perfil, nível de governança e áreas de atuação, de forma geral deve ter a seguinte composição:

Membros

  • Membros do Conselho de Administração e/ou Alta Gestão: ter pelo menos 1 conselheiro, preferencialmente independentes, para garantir imparcialidade;
  • Executivos Seniores: Chief Risk Officer (CRO), Diretor Financeiro / Chief Financial Officer Officer (CFO), Presidente / Diretor Executivo / Chief Executive Officer (CEO) ou outros líderes com visão estratégica, dependendo do porte da empresa;
  • Especialistas Externos: sempre que necessário, é interessante contar como profissionais com expertise em áreas como cibersegurança, conformidade ou finanças, por exemplo;
  • Representantes de Áreas-Chave: dependendo do setor, podem incluir líderes de TI, operações ou jurídico, entre outros

Perfil dos Membros

  • Conhecimento Técnico: experiência em gestão de riscos, finanças, conformidade ou tecnologia;
  • Independência: membros e/ou conselheiros independentes para evitar conflitos de interesses e trazer uma visão isenta, não contaminada pelo dia a dia do negócio;
  • Diversidade: inclusão de diferentes perspectivas (gênero, formação, experiência) para enriquecer as discussões;
  • Habilidades Analíticas: é fundamental que tenham capacidade de interpretar dados complexos e antecipar cenários.

Tamanho

  • Idealmente, 5 a 9 membros, dependendo do tamanho da organização, para equilibrar diversidade e eficiência.

Presidente do Comitê de Gestão de Riscos

  • Responsável por liderar reuniões, garantir a execução do plano de trabalho e mediar conflitos;
  • Um conselheiro independente ou um executivo sênior com forte experiência em GRC;

Existem vários erros incorreções na implementação de um comitê de riscos.

Na matriz abaixo, consolidamos as principais boas práticas a serem consideradas, bem como, os erros a serem evitados na estruturação, operacionalização e funcionamento de um comitê de riscos, com base em padrões de governança, riscos e conformidade (GRC) e frameworks como COSO-ERM e ISO 31000.

A matriz é organizada em quatro áreas principais: Estruturação, Composição, Operacionalização e Interface com Outros Comitês.

ESTRUTURAÇÃO

AtividadeBoas Práticas a ConsiderarCoisas a Evitar
Definição do Propósito– Estabelecer um mandato claro, aprovado pelo conselho de administração, alinhado à estratégia corporativa e ao apetite a riscos. – Definir escopo que abranja riscos estratégicos, operacionais, financeiros, regulatórios e ESG. – Incorporar frameworks reconhecidos (ex.: COSO, ISO 31000) para estruturar o gerenciamento de riscos.– Criar um comitê sem um propósito bem definido ou com objetivos vagos. – Ignorar a integração com a estratégia organizacional. – Adotar uma abordagem reativa, focada apenas em crises, em vez de proativa.
Integração com Governança– Vincular o comitê diretamente ao conselho de administração para garantir autoridade e independência. – Alinhar o comitê às políticas de GRC da organização. – Revisar o regimento interno anualmente para refletir mudanças no ambiente de negócios.– Posicionar o comitê em um nível hierárquico baixo, sem acesso ao conselho. – Criar redundâncias com outros comitês (ex.: auditoria) sem clara divisão de responsabilidades. – Manter um regimento desatualizado ou genérico.
Alocação de Recursos– Garantir orçamento adequado para ferramentas de GRC, treinamentos e consultorias especializadas. – Disponibilizar tecnologia para monitoramento (ex.: softwares de ERM, dashboards de riscos). – Contratar especialistas externos quando necessário (ex.: cibersegurança).– Subfinanciar o comitê, limitando sua capacidade de análise ou monitoramento. – Depender exclusivamente de recursos internos sem expertise específica. – Ignorar investimentos em tecnologia para gestão de riscos.

COMPOSIÇÃO

AtividadeBoas Práticas a ConsiderarCoisas a Evitar
Seleção de Membros– Incluir membros independentes do conselho para garantir imparcialidade. – Selecionar profissionais com expertise diversificada (ex.: finanças, TI, conformidade, ESG). – Garantir diversidade de gênero, formação e perspectivas para enriquecer as discussões.– Formar um comitê homogêneo, com membros de mesma formação ou visão limitada. – Incluir apenas executivos internos, comprometendo a independência. – Escolher membros sem experiência em gestão de riscos ou GRC.
Tamanho do Comitê– Manter um tamanho equilibrado (5 a 9 membros) para eficiência e diversidade de ideias. – Ajustar o tamanho conforme o porte e a complexidade da organização. – Definir papéis claros, como presidente e secretária, para condução eficaz.– Formar comitês muito grandes (acima de 10 membros), dificultando a tomada de decisão. – Criar comitês muito pequenos (menos de 4 membros), limitando a diversidade de perspectivas. – Não definir papéis ou lideranças claras.
Capacitação– Promover treinamentos regulares sobre riscos emergentes (ex.: cibersegurança, ESG). – Garantir que os membros estejam atualizados sobre regulamentações e tendências do setor. – Incluir simulações de crise para testar a prontidão do comitê.– Negligenciar a capacitação contínua dos membros. – Assumir que experiência prévia é suficiente sem atualizações. – Ignorar a importância de treinamentos práticos, como simulações.

OPERACIONALIZAÇÃO

AtividadeBoas Práticas a ConsiderarCoisas a Evitar
Reuniões– Realizar reuniões trimestrais regulares, com encontros extraordinários para eventos críticos. – Estruturar uma agenda padrão com revisão do mapa de riscos, relatórios do CRO e discussão de riscos emergentes. – Produzir atas detalhadas e arquivá-las para rastreabilidade.– Realizar reuniões esporádicas ou sem frequência definida. – Conduzir reuniões sem uma agenda clara ou com discussões desestruturadas. – Não documentar decisões ou ações, comprometendo a transparência.
Monitoramento de Riscos– Utilizar ferramentas visuais, como mapas de calor e dashboards, para monitoramento contínuo. – Revisar o apetite a riscos e a tolerância regularmente. – Priorizar riscos com base em probabilidade e impacto, usando metodologias quantitativas e qualitativas.– Depender de relatórios manuais ou desatualizados. – Ignorar riscos emergentes (ex.: tecnológicos, climáticos) por falta de monitoramento proativo. – Focar apenas em riscos financeiros, negligenciando outras categorias.
Gestão de Crises– Desenvolver e testar planos de continuidade de negócios e resposta a crises. – Estabelecer protocolos claros para comunicação durante emergências. – Simular cenários de crise para avaliar a prontidão da organização.– Não ter planos de contingência ou resposta a crises. – Subestimar a importância de testes regulares de planos de crise. – Deixar a comunicação de crises centralizada em uma única área sem coordenação.
Cultura de Riscos– Promover uma cultura de conscientização sobre riscos em todos os níveis da organização. – Incentivar a comunicação aberta sobre riscos, evitando silos. – Integrar a gestão de riscos nas operações diárias e nos processos de decisão.– Restringir discussões de risco ao comitê, sem envolver outras áreas. – Criar uma cultura de medo que desencoraje a identificação de riscos. – Tratar a gestão de riscos como uma função isolada, sem integração organizacional.

INTERFACE COM OUTROS COMITÊS

AtividadeBoas Práticas a ConsiderarCoisas a Evitar
Colaboração– Estabelecer reuniões conjuntas com comitês de auditoria, estratégia e ESG para alinhamento. – Compartilhar relatórios integrados para evitar redundâncias. – Designar membros que participem de múltiplos comitês para facilitar a comunicação.– Operar de forma isolada, sem interação com outros comitês. – Duplicar esforços, como revisar os mesmos riscos em comitês diferentes. – Não compartilhar informações relevantes com outros comitês.
Alinhamento Estratégico– Garantir que os riscos discutidos estejam alinhados com as prioridades estratégicas. – Fornecer análises de risco para embasar decisões de outros comitês (ex.: estratégia, tecnologia). – Usar plataformas de GRC integradas para dados compartilhados.– Ignorar as prioridades estratégicas ao discutir riscos. – Não fornecer dados de risco para decisões de outros comitês. – Usar sistemas desconexos que dificultem o compartilhamento de informações.
Gestão de Conflitos– Definir papéis claros para evitar sobreposições com outros comitês (ex.: auditoria vs. riscos). – Mediar conflitos por meio do conselho de administração quando necessário. – Estabelecer fluxos de comunicação formais entre comitês.– Permitir conflitos de responsabilidade entre comitês. – Ignorar a necessidade de mediação em disputas. – Não formalizar canais de comunicação entre comitês.

Cada empresa, deve determinar e/ou adaptar um formato para que as reuniões, procedimentos e atividades de um comitê de gestão de riscos funcione. A seguir estabelecemos um modelo geral, que pode ser adaptado pela maior parte das empresas:

Frequência e Formato

  • Frequência: reuniões trimestrais, com encontros extraordinários para eventos críticos;
  • Duração: 2 a 4 horas, dependendo da complexidade dos temas;
  • Formato: presencial ou híbrido, com atas detalhadas para registro.

Agenda Padrão

  • Abertura e Aprovação da Ata Anterior: revisão e aprovação da ata da reunião anterior;
  • Atualização do Perfil de Riscos: revisão do mapa de riscos, com foco em riscos críticos e emergentes (análise da vulnerabilidade e gestão de riscos);
  • Relatórios de Gestão: apresentação do CRO (chief risk officer), ou equipe de riscos sobre indicadores, incidentes e ações de mitigação;
  • Temas Específicos: discussão de tópicos como riscos ESG, cibersegurança ou mudanças regulatórias;
  • Recomendações ao Conselho: deliberação sobre ações a serem propostas;
  • Planejamento: definição de prioridades para a próxima reunião.

Procedimentos Operacionais

  • Confidencialidade: garantir que as discussões sejam protegidas, especialmente em temas sensíveis.
  • Plano de Trabalho Anual: definir metas e prioridades anuais, alinhadas à estratégia corporativa;
  • Relatórios Padronizados: utilizar dashboards e mapas de calor para visualização de riscos;
  • Documentação: manter atas, relatórios e planos de ação arquivados e acessíveis;

O comitê de riscos deve interagir de forma integrada com outros comitês para evitar sobreposições e garantir alinhamento estratégico. As principais interfaces incluem:

Comitê de Auditoria

  • Relação: o comitê de riscos identifica e prioriza riscos, enquanto o comitê de auditoria avalia a eficácia dos controles internos;
  • Integração: reuniões conjuntas ou relatórios compartilhados para discutir riscos financeiros e de conformidade;
  • Exemplo de Colaboração: revisão conjunta de relatórios de auditoria interna sobre fraudes ou falhas de controle.

Comitê de Estratégia

  • Relação: o comitê de riscos avalia os riscos associados a decisões estratégicas, como fusões, aquisições ou entrada em novos mercados;
  • Integração: fornece análises de risco para embasar o planejamento estratégico;
  • Exemplo de Colaboração: avaliação de riscos em projetos de expansão para novos territórios e/ou mercados.

Comitê de Sustentabilidade ou ESG

  • Relação: supervisiona riscos relacionados a questões ambientais, sociais e de governança;
  • Integração: alinhamento na definição de metas ESG e monitoramento de riscos climáticos ou sociais;
  • Exemplo de Colaboração: desenvolvimento de políticas para mitigar riscos de mudanças climáticas.

Comitê de Tecnologia ou TI

  • Relação: foco em riscos cibernéticos, tecnológicos e de inovação;
  • Integração: compartilhamento de informações sobre ameaças cibernéticas e planos de continuidade;
  • Exemplo de Colaboração: revisão de planos de resposta a incidentes de segurança da informação.

Comitê de Compliance

  • Relação: o comitê de riscos identifica riscos regulatórios e de conformidade, enquanto o comitê de compliance supervisiona a implementação de políticas e programas para assegurar o cumprimento de leis e regulamentos;
  • Integração: colaboração na revisão de relatórios de conformidade, como aderência a normas como LGPD, GDPR ou leis anticorrupção, e no desenvolvimento de controles para mitigar riscos regulatórios;
  • Exemplo de Colaboração: análise conjunta de incidentes de não conformidade, como violações de dados, para definir ações corretivas e preventivas.

Comitê de Administração

  • Relação: o comitê de administração (ou conselho de administração, quando não há um comitê específico) define a estratégia organizacional e o apetite a riscos, enquanto o comitê de riscos fornece insights para garantir que as decisões administrativas considerem os riscos associados;
  • Integração: relatórios regulares do comitê de riscos ao comitê de administração, com recomendações sobre mitigação de riscos que impactem decisões de alto nível, como alocação de recursos ou mudanças organizacionais;
  • Exemplo de Colaboração: avaliação de riscos associados a decisões de reestruturação organizacional ou nomeação de executivos-chave.

Procedimentos de Interface

  • Ferramentas de GRC: utilizar plataformas integradas para compartilhamento de dados e rastreamento de riscos.
  • Reuniões Conjuntas: realizar reuniões periódicas com outros comitês para alinhamento;
  • Relatórios Integrados: produzir relatórios que consolidem informações relevantes para múltiplos comitês;
  • Liderança Compartilhada: designar membros que participem de mais de um comitê para facilitar a comunicação;

Estabelecer uma cultura corporativa assertiva e voltada ao compliance, envolve os colaboradores para que cumpram os objetivos tanto de riscos, quanto regulatórios.

Caso sua empresa estabeleça ações e implemente um comitê de gestão de riscos, poderá auferir vários benefícios, como melhorar a gestão do negócio, do conselho de administração e das operações de forma geral.

Um comitê de riscos fornece a dinâmica e capacidade de antecipar e reagir a diferentes eventos e tendências que, de outra forma, não seriam detectáveis de forma prévia.

À medida que os regulamentos e normativas de governança corporativa evoluem no Brasil e no mundo, e o cenário de risco permanece turbulento, a relevância dos comités de risco para seu negócio, aumenta a resiliência a curto e longo prazo.

Outros artigos que podem lhe interessar:

Thinkerest Consultoria Empresarial

Fale conosco para implementar ou aperfeiçoar a gestão de riscos da sua empresa. Com nossos serviços de consultoria de complianceconsultoria em gestão de riscos, nós ajudamos nossos clientes a tomar decisões mais inteligentes para alcançar um crescimento rápido dos negócios.

Nossa força reside na competência de nossa equipe, utilizando metodologias de gestão empresarial, estratégia e negócios eficazes, aliadas a pontos de vista exclusivos que se fundem perfeitamente para oferecer soluções personalizadas para todas as necessidades da sua empresa.

Nossa empresa e consultores, tem experiência acumulada em mais de 450 projetos, atuando nas áreas: Consultoria em Gestão EmpresarialConsultoria ComercialConsultoria de VendasConsultoria de Marketing e Consultoria de Estratégia.