“Não se gerencia o que não se mede, não se mede o que não se define, não se define o que não se entende e não há sucesso no que não se gerencia”. Essa conhecida frase de William Edwards Deming resume dois importantes pontos da gestão de riscos: é preciso conhecer os riscos de uma empresa e é preciso ter gestão sobre esses riscos para alcançar o sucesso.
Quando perguntamos aos executivos de uma empresa o que são riscos, a resposta é rápida e conhecida. “É o que pode dar errado”. “É um potencial de perda ou prejuízo”. “É algo incerto”. “’É uma ameaça ao negócio”. Mas quando perguntamos se um riscoQuantificação e qualificação da incerteza, tanto no que diz respeito a perdas quanto aos ganhos, com relação aos acontecimentos planejados. É um desvio em relação ao esperado. É uma incerteza... pode ser eliminado, as respostas são divergentes. Alguns dizem que sim, outros que não, alguns dizem talvez. Ao ouvirem a resposta correta, ainda existe discordância e muito debate: a resposta é não, um risco não pode ser eliminado. Ele pode ser gerenciado.
A gestão de riscos tem sido o principal pilar de diversos temas que estão na pauta das empresas atualmente, como, por exemplo: programas de complianceSubstantivo advindo do verbo to comply (agir de acordo, cumprir, obedecer). Estado de estar de acordo com as diretrizes ou especificações estabelecidas pela lei ou regras, políticas e procedimentos de..., programas de prevenção à lavagem de dinheiro(PLD): normas estabelecidas para prevenir comportamentos ilícitos dentro de uma organização, é uma forma que o governo e as principais instituições financeiras do país têm para tentar impedir o crime... e planos de auditoriaÉ um processo de verificação e análise de atividades desenvolvidas por uma determinada empresa. O seu objetivo principal é examinar se elas estão de acordo com o que foi planejado... interna.
Segundo as diretrizes da Controladoria Geral da UniãoControladoria Geral da União (CGU): é um órgão federativo de controle interno que atua na defesa do patrimônio e na transparência das receitas, despesas e atividades da gestão pública. Nos... (CGU) para empresas privadas, “a empresa deve conhecer seus processos e sua estrutura organizacional, identificar sua área de atuação e principais parceiros de negócio, seu nível de interação com o setor público – nacional ou estrangeiro – e consequentemente avaliar os riscos para o cometimento dos atos lesivos da Lei nº 12.846/2013”. Ou seja, o entendimento dos riscos do negócio é que direciona o código de condutaConjunto de normas para direcionar e disciplinar todos os colaboradores, estabelecendo os princípios culturais da empresa., as políticas e os procedimentos, as comunicações, o plano de treinamento e o monitoramento de todo o programa.
Recentemente, os principais órgãos reguladores do Brasil (CVMComissão de Valores Mobiliários (CVM): órgão responsável por fiscalizar o mercado de valores mobiliários no Brasil. – Resolução n. 50/2021, BACENBanco Central do Brasil (BACEN): órgão federal ligado ao Ministério da Fazenda, responsável pela condução das políticas monetária, cambial, de crédito. Relação financeiras com o exterior, regulamentação e supervisão do... – Circular n. 3978/2020, SUSEP – Circular n. 612/2020, PREVIC – Instrução n. 34/2020) lançaram novas versões de suas regulamentações referentes aos programas de prevenção à lavagem de dinheiroÉ uma expressão utilizada popularmente para fazer referência às pessoas (ou empresas) que usam meios falsos para justificar o ganho de recursos ilícitos., onde a grande evolução frente às versões anteriores foi a determinação de que as empresas devem realizar uma análise dos riscos do seu negócio para estruturar as políticas e os alertas de prevenção à lavagem de dinheiro, a chamada abordagem baseada em risco.
A ISOA Organização Internacional de Normalização ou Organização Internacional para Padronização, popularmente conhecida como ISO é uma entidade que congrega os grémios de padronização/normalização de 162 países.... 19011:2018 – “Diretrizes para auditoria de sistemas de gestão” incluiu o princípio da Mentalidade de Risco, abrangendo a orientação de que a auditoria deve considerar os riscos e oportunidades, que derivam do contexto da organização, para planejar sua abordagem e para verificar o gerenciamento da organização.
Como mexer na cultura da organização
Porém, a implementação da gestão de riscos envolve mudança de comportamento e atitude em uma organização. É necessário “mexer” na cultura da organização.
David Hillson, um especialista em gestão de riscos conhecido internacionalmente, escreveu os “Top 10 Mitos de Risco”, que devem ser bem esclarecidos antes de se iniciar a implementação da gestão de riscos em uma empresa. São eles:
- Todo risco é ruim – Nem todo risco é ruim. Alguns riscos são oportunidades de negócio.
- Perda de tempo – A gestão de riscos pode ajudar a prever incertezas do futuro e ajudar as empresas a estarem preparadas para enfrentá-las.
- O que não conhecemos não irá nos afetar – Achar que a ignorância é uma benção não é a melhor forma de lidar com incertezas, pois elas existem e podem afetar, e muito, o negócio.
- Gestor de riscos gerencia os seus riscos – O papel da gestão de riscos é de todos dentro da empresa. Os riscos devem ser gerenciados pelos donos dos riscos.
- Todos os riscos podem ser evitados – Nem sempre conseguimos evitar todos os riscos. Seja porque é custoso ou porque o controle pode levar muito tempo para ser implementado. Sendo assim, outras opções como transferência do risco, diminuição do risco ou até mesmo aceitação do risco são estratégias a serem consideradas.
- Nosso negócio não é arriscado – Não existe empresa sem risco. É preciso assumir riscos para gerar valor.
- Gestão de riscos requer números – Muitos riscos não são quantificáveis e requerem uma avaliação qualitativa.
- Os riscos são cobertos pelos processos existentes – Nem todos os riscos são cobertos pelos processos existentes na empresa. Alguns riscos são específicos e precisam de uma avaliação profunda para desenvolver planos de mitigação.
- Contingência é para os fracos – Nem o melhor gestor de projetos pode prever o futuro. Ter um plano de contingênciaÉ o planejamento preventivo e alternativo da organização para atuação em evento inesperado, indesejável ou situação de crise. São soluções imediatas para atuar durante uma situação de crise, que afeta... para imprevistos é um sinal de sabedoria e não de fraqueza.
- A gestão de riscos não funciona – Dizer que os riscos identificados não acontecem e que as situações não refletem o que o estava no mapa de riscos, não é a melhor explicação para abandonar a gestão de riscos. Quando identificamos os riscos reais e implementamos respostas efetivas, as chances de sucesso são maximizadas.
Existem duas importantes referências para estruturar um processo de gestão de riscos nas empresas: COSOCommittee of Sponsoring Organizations (COSO): é uma organização privada criada nos EUA em 1985 para prevenir e evitar fraudes nos procedimentos e processos internos das empresas. ERM 2017 e ISO 31000:2018.
O passo a passo das mudanças
Ambos possuem princípios e etapas que servem como um passo a passo de implementação nas empresas:
- Identificação dos riscos: A empresa deve analisar o ambiente de negócio tanto interno quanto externo, fatores organizacionais e objetivos estratégicos. Análise SWOTAnálise Swot ou Analysis Swot ou Análise FOFA: Avaliar a competitividade de uma empresa. É uma técnica de planejamento estratégico utilizada para auxiliar pessoas ou organizações a identificar forças, fraquezas,... (forças, fraquezas, oportunidades e ameaças) ou análise PESTEL (político, econômico, social, tecnológico, ambiental e legal) podem ser realizadas nessa etapa, assim como análise de políticas, relatórios e entrevistas com executivos da empresa.
- Avaliação dos riscos: Identificar as causas e as consequências dos riscos, categorizar os riscos (risco operacional, risco estratégicoConjunto de elementos (internos ou externos), que podem impactar (positivo ou negativo) objetivos estratégicos da organização, inclusive os relacionados aos ativos intangíveis reputação e imagem da marca...., risco financeiro, risco cibernético, risco regulatório) e avaliar os controles existentes são essenciais para avaliar os riscos identificados na etapa anterior.
- Priorização dos riscos: As atividades dessa etapa passam tanto pela classificação dos riscos em uma escala de probabilidade e impacto, quanto pela definição dos níveis de risco (baixo, médio, alto) e pela definição das respostas aos riscos (aceitar, reduzir, mitigar, compartilhar, evitar). Nessa etapa, a Alta Administração também deve definir o apetite aos riscos da empresa, ou seja, qual o nível de risco a empresa está disposta a correr para atingir seus objetivos.
- Monitoramento dos riscos: Essa etapa final compreende a indicação de eventuais melhorias a serem feitas nos processos para responder aos riscos priorizados na etapa anterior.
É recomendado que esse ciclo seja repetido periodicamente, de forma a manter os controles e processos alinhados à atualidade da empresa.
Concluindo, é importante ter em mente que não existe “receita de bolo” ou mapa de riscos “de prateleira”. Cada empresa é única, possui particularidades que devem ser conhecidas e tratadas para que seus processos sejam robustos, com controles bem implementados, evitando que a materialização de riscos impeça a continuidade do negócio e a empresa possa ter uma vida duradoura e de sucesso.
Publicada originalmente no site da Exame