SIGA NOSSAS REDES

Entenda a relevância do Risk Reporting para sua empresa!
As pressões regulatórias para aprimorar os relatórios de avaliação de riscos e controles internos aumentaram em todo o mundo após diversas falhas na contabilidade, fraudes, violações de controle interno e falhas de governança que foram vistas em empresas e países que pensavam estar imunes a esses eventos.
A Lei Sarbanes-Oxley de 2002 nos EUA e novos regulamentos semelhantes em outros países estão entre as diversas forças que impulsionam a melhoria na governança corporativa e transparência. Atualmente os riscos que as organizações enfrentam são maiores, mais variados e tem um efeito mais global. E não se referem apenas a relatórios e conformidade, também incluem riscos operacionais.
A comunicação de riscos ou “Risk Reporting” não se resume a preparar um relatório com a relação de riscos da empresa. Na verdade, esta é uma das funções mais importantes quando falamos de gerenciamento de riscos corporativos. É algo que todo profissional de gestão de riscos precisa entender e fazer bem.
O objetivo da comunicação de riscos ou “Risk Reporting” é transmitir aos stakeholders, internos e externos, informações sobre os riscos mais urgentes da empresa, abordando riscos críticos, onde as consequências para a empresa podem ser terríveis, bem como riscos emergentes que podem causar problemas maiores no futuro se não forem monitorados cuidadosamente.
O relatório deve discutir também o quão bem a empresa está ou não gerenciando seus riscos, se as políticas são suficientes, quais controles não estão funcionando tão bem quanto o esperado ou quais etapas adicionais podem ser necessárias para manter o risco dentro dos níveis de tolerância da empresa.
O conteúdo do “Risk Reporting” deve estar alinhado com as expectativas dos principais stakeholders, para que eles possam tomar decisões eficazes, baseadas nas ferramentas certas, considerando cenários diversos.
Quando os riscos não são relatados ou não são relatados de forma adequada, a administração poderá tomar decisões arbitrárias, com base na “intuição”, podendo ter efeitos devastadores sobre a estratégia, operação, finanças, marketing, jurídico, compliance, regulatório, recursos humanos, entre outros.
Elaboramos 5 passos para você não errar na hora H:
- Defina o perfil do público que precisa da informação,
- Defina a frequência e forma de emissão e distribuição da comunicação,
- Determine o conteúdo,
- Desenhe o formato do relatório ou apresentação,
- Seja objetivo e se comunique de forma positiva e proativa e não alarmista.
Os relatórios de riscos devem ser apresentados regularmente, na frequência definida e combinada com a alta administração e de acordo com o que consta em políticas, bem como no atendimento aos órgãos reguladores. Por exemplo:
- Relatório diário de acompanhamento de risco de crédito
- Relatório mensal de Risco
- Relatórios trimestrais do comitê de risco do Conselho
- Relatório anual de risco
Devem ser preparados pelas equipes que atuam com o Gerenciamento de Riscos e com o apoio dos times de gestão e operacionais. Esse apoio deve ser na forma de responder ou abordar os riscos identificados e não atenuar as descobertas de risco. Isso é importante para manter a independência sólida da função de risco e da equipe de gestão. É importante garantir que as duas equipes trabalhem juntas e não em silos ou em competição e desavenças. Quando os dois times colaboram, a empresa terá muito a ganhar e se beneficiar com os insights sobre os principais riscos. Esses insights podem ser usados pela administração para aumentar o valor já gerado pelo negócio, mas também criar mais valor assumindo riscos calculados na busca de oportunidades no mercado.
O “Risk Reporting” deve abordar os riscos mais críticos, bem como os riscos emergentes.
Para não deixar você navegar no escuro, listamos algumas dicas de tópicos que podem fazer parte do seu “Risk Reporting”:
- Riscos de governança corporativa
- Riscos de fraude e corrupção
- Riscos Estratégicos
- Riscos de ganhos e lucratividade
- Riscos de financiamento e liquidez
- Riscos de mercado (de acordo com a área de atuação da organização)
- Riscos de crédito
- Riscos Financeiros (Contabilidade Financeira e de Gestão)
- Riscos operacionais
- Riscos legais e contratuais
- Riscos de conformidade regulatória
- Riscos de tecnologia
- Riscos de segurança da informação e privacidade de dados
- Riscos de continuidade de negócios
Para cada risco, é importante descrever:
- título do risco
- parâmetro do risco
- limite ou orçamento de apetite por esse tipo de risco
- status
- um gráfico para mostrar a tendência ou que represente o risco em termos gráficos
- classificação de risco: alto, moderado ou baixo, com as respectivas cores vermelho, amarelo e verde
- impacto do risco
- probabilidade do risco
- mitigação vigente
- risco residual
- medida de mitigação recomendada
- uma área para comentários da gestão, pessoa responsável e prazo para implementação das medidas acordadas (plano de ação)
É importante também atentar-se para que o número de dados e indicadores seja limitado aos necessários para a tomada de decisão dos executivos, de modo a não prejudicar o seu monitoramento.
O trabalho do conselho de administração inclui monitorar a eficácia dos sistemas de gestão de risco – e o conselho (especificamente o comitê de auditoria) não pode fazer isso bem sem entender quais são os riscos da empresa. Os comitês de auditoria que adotam uma abordagem indiferente à supervisão da gestão de riscos violam seus deveres fiduciários de acordo com a lei e podem enfrentar processos judiciais. Portanto, não é surpresa que os comitês de auditoria gostem de ver relatórios de risco competentes e eficazes.
“Risk Reporting” também são importantes porque ajudam o conselho a oferecer conselhos estratégicos. Por exemplo, seu relatório de risco pode alertar sobre um alto risco de corrupção caso a empresa se expanda para mercados emergentes. Esse relatório pode levar o conselho a reconsiderar se a expansão é sensata, ou estratégias alternativas de preços, ou alguma outra mudança. Independentemente disso, o relatório de risco é a matéria-prima que o conselho usa para refletir sobre essas escolhas.
Enquanto isso, a equipe de gerenciamento contará com relatórios de risco para entender como pode ser necessário alterar as operações para fazer negócios de uma maneira mais consciente dos riscos. Digamos que o conselho decida que a expansão para os mercados emergentes é necessária. Em seguida, cabe à administração decidir como atingir esse objetivo. Um relatório de risco completo ajudará os executivos seniores a entender como eles podem precisar atualizar as políticas sobre gastos com presentes e entretenimento, ou compensação de incentivos para atingir cotas de vendas, ou sistemas de devida diligência para pesquisar clientes no exterior.
Por exemplo, um risco emergente e crítico pode ser a mudança que a pandemia trouxe para a maioria das organizações que não tinham a política de home office e foram obrigadas a colocar o trabalho remoto em prática. Esta mudança de rotina pode mudar seus riscos de fraude, segurança cibernética e assédio radicalmente, sem qualquer mudança nas leis e regulamentos reais que regem essas questões. Às vezes, uma mudança nas operações deixará as políticas e controles existentes insuficientes para os riscos em questão, e isso é algo para incluir em um relatório de risco.
O “Risk Reporting” é uma excelente maneira de comunicar o valor que a função de gerenciamento de riscos traz para uma organização. Ele permite o gerenciamento proativo de riscos à medida que as organizações identificam e escalam os problemas, à medida que surgem ou antes que eles sejam percebidos para adotar uma abordagem proativa para gerenciar riscos.
Esperamos que este material te ajude a melhorar a qualidade dos relatórios de risco, tornando-os mais perspicazes, significativos e que reflitam a realidade do ambiente interno e externo, permitindo que a administração, os comitês e os conselhos tomem decisões embasadas, promovendo o crescimento sustentável dos negócios.
⇒ ENTRE EM CONTATO PARA SABER MAIS SOBRE SOLUÇÕES COMO ESSA PARA SUA EMPRESA!
COMENTE E COMPARTILHE COM ALGUÉM QUE PRECISA SABER SOBRE ESSE TEMA!
Referências:
- The essentials of Risk Reporting in an Enterprise Risk Management Programme – Bernard Oketch
https://www.linkedin.com/pulse/step4-risk-reporting-bernard-oketch/
- What Is Risk Reporting? How to Create an Effective Report
https://www.ganintegrity.com/blog/what-is-risk-reporting/
- IBGC – Caderno 19 – Gerenciamento de riscos corporativos: evolução em governança e estratégia
https://conhecimento.ibgc.org.br/Paginas/Publicacao.aspx?PubId=21794
- The Reporting of Organizational Risks for Internal and External Decision-Making
Deixe um comentário