Criação e objetivo
O trabalho de mapeamento dos riscos de negócio evoluiu ao longo dos anos no Grupo 3corações. Até 2019, a atividade era executada pela área de Auditoria Interna, a partir de um processo de Avaliação de Gestão de Riscos (AGR), que tinha como objetivo identificar os principais riscos para direcionar os esforços da área de auditoria.
A partir de 2019, com a implantação da área de Gestão de Riscos, o Grupo passou a ter um processo contínuo de identificação, monitoramento e tratativa dos principais riscos que podem impactar os objetivos do negócio.
Desde então, a área de Gestão de Riscos vem monitorando os diversos riscos aos quais o Grupo está exposto, sejam de fontes internas, sejam de fontes externas, dando suporte às áreas de negócio na identificação e nas respostas apropriadas. Todos os riscos são reportados à Diretoria e ao Comitê de Auditoria de forma periódica.
Metodologia
A metodologia adotada é fundamentada no COSO (The Committee of Sponsoring Organizations), que institui diretrizes de avaliação de riscos e do ambiente de controles internos, na ISO 31.000:2009, que estabelece princípios e orientações genéricas sobre gestão de riscos, além do modelo das três linhas do IIA Brasil (Instituto de Auditores Internos do Brasil) que estabelece as linhas de defesa ao risco na organização.
Foi criado um dicionário de riscos com 48 categorias, que contempla todos os riscos existentes em todos os processos do Grupo. O dicionário tem o objetivo de classificar e descrever os riscos em uma linguagem comum, considerando as características e o ambiente de negócio da empresa.
O modelo de avaliação de riscos do Grupo é realizado em três etapas: identificação, avaliação e resposta ao risco. A identificação é estabelecida por rotina de estudos e entrevistas com todos os gestores, além do monitoramento do cenário externo de eventos que podem afetar a organização. A avaliação utiliza dos critérios de impacto e vulnerabilidade, que medem a exposição ao risco. O impacto é medido por meio do apetite a risco alinhado com a alta administração, enquanto a vulnerabilidade é medida por testes nos controles e/ou por meio do monitoramento dos KRIs (indicadores de riscos) escolhidos. Por fim, a depender do nível de exposição, são direcionados planos de resposta com o objetivo de mitigar e/ou minimizar a exposição aos riscos identificados. Tais planos de resposta são constantemente discutidos e apresentados à Diretoria.
