Entenda isso, RISCO é parte inerente da vida empresarial!
A questão é, quais devem ser assumidos? E tendo clareza de quais queremos assumir, é possível gerenciar para criar lucro e valor aos acionistas, investidores ou proprietários, fazendo escolhas entre os riscos que estamos dispostos a tomar.
Desta forma nota-se significativo aumento da eficiência operacional, incremento do valor do acionista, otimização do custo, melhoria da transparência e governança da organização. A gestão de riscos precisa ser enraizada na cultura das organizações, em seus processos gerenciais e estratégicos, de modo que oportunidades possam ser identificadas e bem aproveitadas.
As pessoas, nas empresas precisam ter bem claro e compreendido o porquê riscos devem ser gerenciados. Os programas de Gestão de Riscos Corporativos falham por diversas razões que vamos abordar mais adiante. Mas todas estão sustentadas na falta de um propósito claro para o programa.
Deve estar claro para todos que a gestão de riscos cria valor para a organização, sociedade, acionistas e como esse valor é criado e medido no programa.
Para ilustrar, trago o gráfico abaixo que demonstra que quanto maior a maturidade em gestão de riscos das empresas, maior a performance das ações. Essa análise foi feita usando o índice de maturidade preparado pela AON e, aplicado a performance das ações de empresas de capital aberto nos EUA em 2015 e. 2016.
Fonte: Pesquisa Aon: Relatório 2016 Maturity Index Insight
Se você quiser saber mais sobre maturidade de gestão de riscos e suas escalas, de uma olhada nesse artigo aqui!
Antes de seguir dissecando as razões sobre os porquês da falha dos programas de ERM, vamos falar das definições.
ERM
A sigla ERM (Enterprise Risk Management), em português Gestão de Risco Corporativo, segundo o IBGC (Instituto Brasileiro de Governança Corporativa) é um sistema integrado para conduzir o apetite à tomada de riscos no ambiente de negócios, a fim de alcançar os objetivos definidos para a organização.
COSO
O COSO (Committee of Sponsoring Organizations of the Treadway Commission) em sua publicação COSO ERM – Gerenciamento de Riscos Corporativos – Estrutura Integrada (ERM – Enterprise Risk Management – Integrated Framework) tem a seguinte definição: “A cultura, as competências e as práticas, integradas com a definição da estratégia e com a performance, com que as organizações contam para gerenciar o risco na criação, preservação e realização de valor.”
Como esperado, estas e outras definições ressaltam o quanto a gestão de riscos deve estar alinhada e fazer parte do posicionamento estratégico de toda organização. Agora que vencemos a burocrática parte das definições, falemos daqueles que acreditamos serem os 10 pilares fundamentais para um programa funcionar!
1. Planejamento e Comunicação
Definir e comunicar à organização e stakeholders os objetivos gerais do programa de ERM, as razões pelas quais a avaliação de riscos é necessária, alinhar as expectativas, responsabilidades e prazos para toda a equipe envolvida no programa. O resultado da avaliação de riscos deve ser periodicamente comunicado aos participantes e Alta Administração.
2. Inventário de riscos
Estruturar um inventário de riscos considerando as tendências do negócio, desafios, prioridades e estratégias, alinhados à cultura e linguagem da organização.
3. Relevância para à estratégia
Considerar a estratégia da organização de forma integrada ao processo de avaliação de riscos, incluindo o inventário de riscos e o desenvolvimento de critérios de priorização e análise.
4. Complexidade e categorização de riscos
Riscos complexos merecem profunda avaliação, a fim de entender problemas subjacentes e potenciais consequências. É importante considerar riscos individuais, grupos funcionais, geografias e unidades de negócio da organização.
5. Métodos e critérios de priorização
A combinação de critérios quantitativos e qualitativos devem cobrir não só os impactos financeiros, mas também a área operacional, a marca, reputação e outros fatores relacionados ao negócio e área de atuação.
6. Capacidade de gerenciamento
Em geral o processo de avaliação de riscos termina após o mapeamento de severidade e probabilidade do risco. Porém, a organização também deve priorizar os riscos baseados nas deficiências (“gaps”) de capacidade da gestão em gerenciar efetivamente os riscos. Esta priorização pode dar o suporte adequado para assumir riscos e atingir os objetivos estratégicos.
7. Conteúdo e design do relatório
As informações de avaliação de risco devem ser completas, de fácil entendimento e destacar os problemas que requerem ação, respondendo perguntas como “Quais são os grandes riscos”, “Quem é o responsável” e “O que está sendo feito?”.
8. Análise profunda
A utilização de um método de análise qualitativa do risco (causas e consequências, interdependências, capacidades de gestão, análise de cenário) aumentam o nível de entendimento da complexidade do risco, impacto na organização e na estratégia.
9. Integração
As informações de avaliação de riscos devem ser integradas em muitos processos de negócios, incluindo planejamento estratégico e de negócios, planos de expansão, investimentos de capital, fusões ou aquisições, gestão de pessoal, recuperação de desastres e gestão de crises.
10. Tempestividade
O tempo é inimigo das avaliações de risco. A avaliação de risco é uma fotografia de uma organização tirada em um ponto no tempo e as informações podem rapidamente ficarem desatualizadas, se não forem revisadas e aprovadas em um período curto de tempo.
Administrar uma organização bem sucedida envolve minimizar os riscos ruins e tirar proveito dos riscos bons. Não é possível eliminar por completo as ameaças às organizações, e na maioria das vezes não tem sentido econômico. Portanto, mesmo o negócio mais bem gerenciado ainda pode sofrer perdas devido a ameaças não mapeadas.
Um caso ilustrativo pode ser o do JPMorgan (instituição líder mundial em serviços financeiros) fez uma aposta em índices de derivativos de crédito corporativos ilíquidos para ajudar a administrar a exposição geral aos mercados. As negociações acabaram custando ao JPMorgan quase USD 6 bilhões e resultaram em um golpe severo para sua reputação.
É fácil de notar que um dos grandes desafios para os projetos de ERM é a comunicação. A discussão sobre gestão de riscos não precisa ser algo negativo. Pois, como já mencionamos, os riscos fazem parte da atividade empresarial, são apenas incertezas que podem trazer resultados negativos quanto positivos. Um plano de comunicação deve ser desenvolvido para cuidadosamente criar, antes, durante e depois, as mensagens principais que incluem identificação e priorização de riscos. É importante que a linguagem utilizada seja relevante para o nível operacional e aplicável às estratégias e negócios. Por outro lado, se o programa de ERM for descrito por analistas que não têm acesso ou não entendem a estratégia do negócio desenhada pela Alta Administração, podem criar um programa extremamente operacional, burocrático e que com o tempo acaba perdendo credibilidade.
É recomendável uma coordenação estreita entre o líder do programa de ERM, a Gerência Sênior e os grupos de planejamento para facilitar o compartilhamento das informações críticas de negócios e gerenciamento de riscos em toda a organização. ERM é, por definição, focado em questões estratégicas, portanto, a comunicação contínua entre estes grupos e níveis pode apoiar o alinhamento entre as estratégias, riscos, planejamento e calendário de governança.
CASE CONGÁS
A Comgás, maior distribuidora de gás natural canalizado do Brasil, adotou (2005) uma estrutura de gestão de risco baseada totalmente no modelo do COSO e implantou o software SGIR – Software de Gestão Integrada de Riscos, para aperfeiçoar e agilizar a identificação, registro, análise, unificação e integração dos riscos. Além disto, neste case podemos destacar também:
- Criação de uma CGR (Comissão de Gerenciamento de Riscos) vinculada ao Comitê de Diretores. Quando um risco é identificado, primeiramente deve ser avaliado pela CGR afim de determinar se é ou não relevante para o negócio, bem como sua categoria. Se relevante, ele é incluído na Matriz de riscos da Companhia e avaliado.
- A avaliação do impacto efetuada pelo gestor deve considerar todas as variáveis (financeira, imagem, reputação, etc.
- Aplicação do conceito de risco residual e inerente.
- O critério de avaliação de risco fundamenta-se na graduação em maior ou menor grau das variáveis impacto e probabilidade de ocorrência, classificadas como alta, média ou baixa.
- Mensalmente, os membros da CGR se reúnem para apresentar os riscos e suas categorias de maior relevância de cada diretoria, que são os riscos residuais e suas devidas ações mitigatórias.
- Cada gestor é responsável por prospectar, avaliar, mensurar e propor as medidas de mitigação, sejam controles já existentes ou planos de ação, nesse caso deve haver um responsável e prazo definido para implementação.
- De acordo com a periodicidade e critérios de revisão, as principais alterações sobre riscos são avaliadas mensalmente pela CGR e posteriormente aprovadas em Reunião de Diretoria.
Fazer um programa de gestão de riscos corporativos (ERM) funcionar não é ciência de foguete, mas exige intenção e comprometimento da alta administração. A gestão de riscos é uma iniciativa da administração e alinhada com a estratégia e por isso precisa ser Top-Down.
Você concorda? Deixe seus comentários aqui embaixo no blog.
⇢ Visite nossos outros artigos aqui
⇢ Assine nossa Newsletter e receba nossos conteúdos em seu e-mail
SIGA A GENTE TAMBÉM NAS REDES SOCIAIS:
—
Referências:
COSO Enterprise Risk Management 2017
IBGC – Caderno 19 – Gerenciamento de riscos corporativos: evolução em governança e estratégia
https://conhecimento.ibgc.org.br/Paginas/Publicacao.aspx?PubId=21794
How to achieve excellent enterprise risk management
https://www.pwc.ch/de/publications/2016/pwc_excellent_enterprise_risk_management_e.pdf
Ching, H.Y. Contribuição das boas práticas do mercado para a eficiência na gestão de risco corporativo. (2011)
Deixe um comentário