Como este tema funciona no porte da sua empresa
Para empresas nesse porte, o modelo adequado é o método mínimo viável — lista de riscos críticos, avaliação simples e revisão mensal. Ver artigo "Gestão de riscos na pequena empresa".
Para estruturação sem área de risco dedicada — inventário formal, ciclo de revisão com gestores de área e reporting para a diretoria: ver "Estruturando a gestão de riscos na média empresa".
Este artigo é sobre este porte. ERM formal, área de risco dedicada, comitê de riscos, reporting para o conselho — o gestor administrativo/financeiro opera como parte do sistema de governança, não como seu criador. Seu papel é garantir que a área está alinhada ao processo corporativo.
ERM (Enterprise Risk Management) é o framework que integra a gestão de riscos ao planejamento estratégico e à governança da organização — tratando risco não como lista de problemas a evitar, mas como variável de decisão em todas as instâncias da empresa. Os dois padrões mais adotados globalmente são a ISO 31000:2018 (princípios e processo) e o COSO ERM 2017 (integração com estratégia e desempenho). Na grande empresa, o gestor administrativo/financeiro opera dentro do ERM — alimentando KRIs, reportando ao comitê e mantendo os controles da sua área.
A estrutura de governança de riscos na grande empresa
A governança de riscos na grande empresa distribui responsabilidades em múltiplos níveis — e o gestor administrativo/financeiro ocupa um deles, não o topo. Entender como o sistema funciona é o que permite ao gestor atuar de forma integrada sem duplicar esforço ou criar lacunas.
| Nível | Responsabilidade na governança de riscos | Principais entregas |
|---|---|---|
| Conselho de Administração | Define o apetite a risco e aprova a política de gestão de riscos da organização | Política de riscos, declaração de apetite a risco, aprovação do ERM |
| Comitê de Riscos | Monitora os riscos relevantes, decide sobre riscos que ultrapassam o apetite definido e reporta ao conselho | Relatório trimestral de riscos, decisões sobre riscos em elevação, aprovação de planos de mitigação relevantes |
| Área de Risco (CRO / Gerência de Riscos) | Desenvolve e mantém a metodologia, consolida o inventário corporativo e produz os dashboards de KRIs | Inventário corporativo atualizado, dashboard de KRIs, orientação metodológica às áreas |
| Auditoria Interna | Valida se os controles declarados pelas áreas estão efetivamente operando | Relatórios de auditoria de controles, identificação de gaps e recomendações |
| Gestores de Área (incluindo adm/financeiro) | Responsáveis pelos riscos da sua área — identificam, avaliam, mantêm controles atualizados e reportam eventos | Atualização dos riscos da área, alimentação dos KRIs, relatório de eventos ocorridos, acionamento do plano de resposta |
O papel do gestor administrativo/financeiro no ERM
O gestor administrativo/financeiro não projeta o ERM — opera dentro dele. Seu papel no sistema tem quatro dimensões práticas:
- Responsável pelos riscos da área: os riscos de liquidez, inadimplência, compliance fiscal, fraude interna, perda de dados financeiros e continuidade dos processos do back-office são de responsabilidade do gestor administrativo/financeiro — não da área de risco corporativa. O gestor os identifica, avalia e mantém os controles operando.
- Alimentador dos KRIs: a área de risco define quais indicadores monitorar; o gestor administrativo fornece os dados. PMR (prazo médio de recebimento), concentração de receita por cliente, variação de custo de fornecedores críticos, volume de autuações — são dados que o gestor coleta e reporta ao consolidador corporativo.
- Acionador do plano de resposta: quando um risco da área se materializa, o gestor aciona o plano de resposta definido e comunica ao comitê. Gerenciar o incidente internamente sem comunicação é um dos erros mais comuns — e uma das principais razões pelas quais o comitê recebe informações distorcidas sobre o estado real dos riscos.
- Preparador para a auditoria interna: quando a auditoria interna valida os controles da área administrativa, o gestor precisa demonstrar que os controles declarados no inventário estão efetivamente operando — com evidências de execução, não apenas com declaração de existência.
KRIs na grande empresa: o que o gestor administrativo alimenta
KRIs na grande empresa são padronizados pela área de risco — o gestor administrativo não define os indicadores, mas é responsável por garantir que os dados da sua área chegam ao consolidador com qualidade e no prazo. Os principais KRIs da área administrativa/financeira incluem:
- Liquidez: saldo de caixa projetado versus mínimo operacional; índice de cobertura de serviço da dívida (DSCR) se a empresa tem financiamentos relevantes.
- Crédito e inadimplência: prazo médio de recebimento versus histórico e meta; percentual de recebíveis vencidos há mais de 60 e 90 dias; concentração de receita no top 3 e top 5 clientes.
- Compliance fiscal e trabalhista: número de autuações e notificações recebidas no período; status de certidões negativas necessárias para operação.
- Fraude e controles internos: número de transações fora do fluxo normal detectadas; incidentes de acesso indevido a sistemas financeiros reportados.
- Continuidade operacional: resultado dos testes de backup dos sistemas críticos da área; tempo de indisponibilidade de sistemas essenciais ao back-office.
Integração com a auditoria interna: o que esperar e como se preparar
A auditoria interna na grande empresa valida se os controles declarados no inventário de riscos estão efetivamente operando — e a área administrativa/financeira é uma das mais auditadas, dado o volume de transações e o acesso a recursos financeiros.
A preparação do gestor para uma auditoria de controles internos envolve três frentes:
- Documentação dos controles: cada controle declarado no inventário de riscos deve ter evidência de operação — não basta dizer que existe uma política de confirmação de pagamentos; é preciso ter o registro de que ela é seguida (logs de aprovação, e-mails de confirmação, registros de dupla alçada).
- Atualização do inventário: o inventário de riscos da área deve estar atualizado com os riscos reais atuais — não a versão feita há dois anos. Auditores identificam facilmente quando o inventário descreve uma operação que não corresponde à realidade atual.
- Resposta a gaps identificados: quando a auditoria identifica um gap de controle, o gestor tem a oportunidade de responder com um plano de ação antes do relatório final. Gaps reconhecidos com plano de mitigação têm tratamento diferente de gaps ignorados.
O que o comitê de riscos espera do gestor administrativo
O comitê de riscos não precisa de relatórios longos — precisa de informação precisa sobre o que está acontecendo na área e quais decisões requerem sua atenção. O que o gestor administrativo deve entregar ao comitê é:
- Status atualizado dos KRIs: quais indicadores estão dentro dos parâmetros, quais cruzaram os limites de alerta e qual é a tendência.
- Eventos de risco ocorridos no período: qualquer evento de risco que se materializou na área, mesmo que tenha sido gerenciado — o comitê precisa saber para avaliar se o controle funcionou e se há impacto sistêmico.
- Riscos em elevação: riscos cujos indicadores estão em trajetória de piora, com a análise de causa e a ação em curso ou proposta.
- Decisões que requerem o comitê: quando um risco ultrapassou o apetite definido ou quando a resposta necessária requer recursos ou autorização acima da alçada do gestor, isso precisa chegar ao comitê — não ficar na área.
Escalar riscos para o comitê não é sinal de fraqueza de gestão — é o funcionamento correto do sistema. O comitê só pode decidir sobre o que recebe; riscos gerenciados internamente além do apetite são o principal ponto cego do ERM.
Sinais de que a integração do gestor ao ERM precisa ser revisada
Se você se reconhece em três ou mais cenários abaixo, a integração da área administrativa/financeira ao ERM corporativo provavelmente tem gaps relevantes.
- O ERM existe como documento formal, mas o gestor administrativo não sabe exatamente qual é seu papel no processo.
- Os KRIs da área administrativa não estão definidos ou não são alimentados regularmente ao consolidador corporativo.
- O gestor nunca participou de uma reunião do comitê de riscos e não sabe o que reportar nem em qual formato.
- Eventos de risco na área administrativa são gerenciados internamente sem comunicação ao comitê ou à área de risco.
- A auditoria interna identificou gaps nos controles da área que o gestor não reconhecia como risco.
- A integração entre a gestão de riscos da área e o ERM corporativo existe formalmente, mas não funciona na prática.
Caminhos para integrar a gestão de riscos da área ao ERM corporativo
Há dois caminhos para alinhar o papel do gestor administrativo ao ERM, e a escolha depende de se o problema é de conhecimento do processo ou de estrutura do próprio ERM.
O gestor mapeia os riscos da área, define KRIs com base nas diretrizes da área de risco corporativa e alinha o processo de reporting ao ciclo do ERM.
- Perfil necessário: gestor administrativo/financeiro com acesso às diretrizes do ERM corporativo e à área de risco para alinhamento metodológico.
- Tempo estimado: alinhamento e mapeamento da área em 30 a 60 dias; integração ao ciclo corporativo no ciclo seguinte.
- Faz sentido quando: o ERM corporativo já está funcionando e o problema é a área administrativa não estar integrada ao processo.
- Risco principal: definir KRIs e inventário sem alinhamento com a área de risco, gerando duplicidade ou incompatibilidade com o framework corporativo.
Consultoria de gestão de riscos ou auditoria externa implanta ou revisa o ERM, identifica gaps de integração e capacita os gestores de área para operar dentro do sistema.
- Tipo de fornecedor: Consultoria de Gestão de Riscos, Auditoria, Compliance.
- Vantagem: diagnóstico independente do ERM, identificação de gaps sistêmicos e capacitação dos gestores de área para operar dentro do framework.
- Faz sentido quando: o ERM precisa ser implantado do zero ou reformulado, quando há gap identificado pela auditoria interna ou quando a empresa precisa de certificação ou atendimento a exigência regulatória.
- Resultado típico: ERM revisado e gestores integrados ao processo em 90 a 180 dias, dependendo da complexidade da empresa.
Precisa de apoio para estruturar ou revisar a gestão de riscos corporativa da sua empresa?
Se alinhar o ERM ou integrar a área administrativa ao processo de gestão de riscos é uma prioridade, o oHub conecta a sua empresa, gratuitamente, a consultores de gestão de riscos, auditoria e compliance. Em menos de 3 minutos você descreve a necessidade e recebe propostas, sem compromisso.
Encontrar fornecedores de Gestão no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
O que é ERM (Enterprise Risk Management) e como funciona?
ERM é o framework que integra a gestão de riscos ao planejamento estratégico e à governança da organização. Funciona com uma estrutura de governança em múltiplos níveis — conselho define o apetite a risco, comitê de riscos monitora os riscos relevantes, área de risco consolida o inventário, auditoria interna valida os controles e gestores de área são responsáveis pelos riscos do seu domínio. Os padrões mais adotados são a ISO 31000:2018 e o COSO ERM 2017.
Qual o papel do comitê de riscos na grande empresa?
O comitê de riscos monitora os riscos que ultrapassam o apetite definido pelo conselho, decide sobre a resposta a riscos relevantes e reporta ao conselho com regularidade. Na prática, recebe o relatório consolidado de riscos, analisa os KRIs em elevação e os eventos ocorridos, e decide quando o risco requer escalonamento ou alocação de recursos além da alçada dos gestores de área.
Como integrar gestão de riscos com auditoria interna?
A auditoria interna valida se os controles declarados no inventário de riscos estão efetivamente operando. O gestor administrativo se prepara documentando as evidências de execução de cada controle, mantendo o inventário de riscos atualizado e respondendo proativamente a gaps identificados com planos de ação antes do relatório final.
O que são KRIs na gestão de riscos corporativa?
KRIs (Key Risk Indicators) são indicadores que sinalizam mudança no nível de exposição a riscos antes que o evento se materialize. Na grande empresa, são padronizados pela área de risco corporativa e alimentados pelos gestores de cada área. O gestor administrativo/financeiro reporta indicadores de liquidez, inadimplência, compliance e controles internos ao dashboard corporativo.
Como a ISO 31000 e o COSO se aplicam na grande empresa?
A ISO 31000:2018 define os princípios e o processo de gestão de riscos — identificação, análise, avaliação, tratamento, monitoramento e comunicação — aplicáveis a qualquer porte e setor. O COSO ERM 2017 complementa ao integrar a gestão de riscos com a estratégia e o desempenho organizacional. Na prática, as grandes empresas adotam elementos dos dois frameworks, adaptados ao seu setor e contexto regulatório.
Fontes e referências
- ABNT. ISO 31000:2018 — Gestão de Riscos: Princípios e Diretrizes. Associação Brasileira de Normas Técnicas, 2018.
- COSO. Enterprise Risk Management: Integrating with Strategy and Performance. Committee of Sponsoring Organizations of the Treadway Commission, 2017.
- IBGC — Instituto Brasileiro de Governança Corporativa. Gerenciamento de Riscos Corporativos: Evolução em Governança e Estratégia. São Paulo: IBGC, 2017.