Sobre o ERM
Por Carolina de Moura1
O desenvolvimento sistemático para a gestão de risco na empresa envolve um processo evolutivo. Nos últimos anos tenho testemunhado um forte interesse entre organizações, e as suas partes interessadas, em ter uma abordagem holística para a gestão de risco empresarial (ERM).
Saindo do modo reativo, onde empresas se satisfazem com a compra de seguro para transferir o seu risco, administração de sinistros, ou em apenas cobrir os riscos de compliance, o ERM é um programa de gestão eficaz de riscos que auxilia organizações a não só gerenciar seus riscos, mas maximizar as oportunidades operacionais e estratégicas de uma companhia a fim de atingir suas metas de uma forma eficaz.
Cada vez mais, empresas começam a reestruturar seus negócios para acompanhar um mercado dinâmico e competitivo, e o ERM desempenha um papel fundamental nas decisões estratégicas mais amplas que vão desde a escolha de segmentos de mercados, geografia de operações, exposições de investimento e limites, atendendo aos requisitos das entidades reguladoras e agências de crédito, e, finalmente, proporcionando maior valor aos acionistas e investidores.
Infelizmente, ainda não são muitas as empresas que acreditam que o ERM tem o potencial de aumentar significativamente seu desempenho e produtividade, no entanto, com a sua implantação maiores vantagens competitivas serão reconhecidas. Organizações industriais, públicas e privadas, começarão a perceber como ERM pode influenciar vários aspectos do negócio e trazer benefícios tangíveis e quantificáveis.
A seguir estão os 10 principais aspectos necessários para criar um programa efetivo de ERM:
1. Organização e governança: No âmbito da diretoria executiva, estabelecer a definição clara de responsabilidade, valores éticos e transparência em relação ao risco e definir uma estratégia especifica para o gerenciamento de riscos. O conselho executivo deverá estabelecer e definir a função do Comitê de Risco, framework e a política de gestão de riscos na organização, estabelecendo os respectivos princípios, regras, limites e práticas para a companhia. Um elemento essencial na gestão de risco é manter uma estrutura organizacional que facilite a execução dos objetivos da organização, ao mesmo tempo em que promove um ambiente de controle eficaz e disciplinar.
2. Comunicação e Integração: Além de ser amplamente divulgada, a estratégia de gerenciamento de risco deve ser totalmente integrada ao planejamento empresarial. Isso inclui simplificar a comunicação de risco, definir processos para estabelecer eventos ou riscos que possam impactar o desempenho da organização, construir parcerias das funções de gerenciamento de risco com a gestão de planejamento, investimento, supply chain e operações. Integrar sistemas de tecnologia da informação, conhecimento do negócio e aspectos comerciais são também fundamentais. Gerenciamento de risco só é realmente possível quando as pessoas que são responsáveis por dirigir os resultados do negócio são também responsáveis pelos riscos inerentes ao processo. Então, certifique-se de que há uma comunicação aberta entre o conselho executivo e os gestores de risco.
3. Eficiência: Estabelecida a integração, é imperativo que os ciclos de negócios se tornem mais produtivos: foco na qualidade e consistência de dados e processos usados por diferentes funções de negócios; determinar métodos mais eficientes para relatar riscos e reforçar análises qualitativa e quantitativa; monitorar e comunicar riscos para que decisões sejam tomadas com mais informação e estratégia. Livre-se de complexidades desnecessárias, levando em conta as implicações comerciais e de negócios. Simplifique os KPIs para assegurar que seus indicadores de performance são quantificáveis e treine os principais interessados - incluindo o conselho executivo e todas as funções de risco - a fim de permitir que processos estabelecidos sejam usados de uma maneira produtiva e eficiente.
4. Resiliência: As empresas podem se revitalizar, quando elas têm a capacidade de atravessar dificuldades e se recuperar de interrupções. Esta capacidade é conhecida como “resiliência”. Neste caso, é altamente crucial aumentar a resiliência de negócios para se certificar de que, mesmo depois de passar por circunstâncias desafiadoras, a organização será capaz de se reerguer. Os gestores de risco devem ter uma estrutura capaz de ajudá-los a pensar em termos gerais e de forma proativa com foco em criar continuidade e resiliência para o longo prazo e desenvolver uma visão mais ampliada de risco.
5. Identificação dos riscos: Identificar quais os principais riscos internos e externos de uma empresa é a primeira e mais importante parte de o processo de gestão de riscos. Implementar uma análise prospectiva para identificar os riscos emergentes, incorporar uma visão holística dos riscos em toda a empresa e entender as interações entre esses riscos para facilitar uma estratégia de resolução e recuperação. Isso inclui documentar, registrar e priorizar os riscos com maior probabilidade de impacto, ocorrência e vulnerabilidade da organização.
6. Análise e medidas de riscos: Análise ajuda a compreender o risco de uma forma mais abrangente, tomar melhores decisões, negociar contratos, criar cenários de controle de riscos, determinar planos de contingência e de resposta e melhorar o trabalho em equipe. Além disso, devem ser estabelecidos padrões quantitativos e uma matriz de risco para avaliação do risco: informações que quando combinadas com a análise, formam a base de uma programação ajustada ao risco, alinhada aos objetivos dos departamentos e da empresa.
7. Controle e monitoramento do risco: Monitoramento é o processo de manter o controle dos riscos identificados, assegurando que a resposta seja implementada assim como avaliada a sua eficácia, rastreando riscos residuais e identificando novos riscos. Como resultado, é importante que o controle de risco seja bem documentado e testado periodicamente para assegurar que os processos implementados estejam funcionando conforme planejado. Planos de controle de risco devem seguir um modelo padrão e ser monitorado por uma função independente, tal como auditoria interna.
Recomendações obtidas pelo monitoramento e avaliação das atividades de controle ajudam a organização a determinar se a abordagem de gerenciamento de risco e processo está alcançando os resultados esperados e ajuda a identificar potenciais lacunas, ineficiências e oportunidades de melhoria.
8. Relatórios de risco e de gestão da informação: muitas vezes relatórios de risco são inadequados e isolados o que impossibilita às organizações integrar plenamente os riscos identificados em decisões estratégicas e operacionais. Relatórios de risco não são só um ótimo meio de demonstrar o valor que o gerenciamento de risco traz para uma organização mas também confere maior transparência às informações de gestão necessariamente enviadas ao conselho executivo e à alta administração.
9. Sistemas de informação, dados e modelos: O comitê de risco, junto com a diretoria executiva, deve determinar os dados analíticos fundamentais e necessários para abordar a gestão de risco a fim de supervisionar o desenvolvimento de uma estratégia de administração de dados. Sistemas de informação de gestão de risco geralmente são desenhados para superar o problema de coleta de dados entre as diversas unidades de uma empresa. O modelo de sistema de informação depende de diversos fatores, como por exemplo, a metodologia de controle e medida de risco adotada por uma empresa. Esse processo técnico deve fornecer uma visão holística e integrada do perfil de risco atual e emergente e deve ser integrado com dados financeiros e processos de TI para facilitar as decisões com base no risco. Automação e padronização das fontes de dados e controles tornam o processo de avaliação de risco mais preciso, eficiente e menos oneroso.
10. Cultura: Enquanto governança destina-se a assegurar que planos e projetos sejam executados corretamente em alinhamento com a legislação e regulamentos, considerações operacionais e estratégica de risco, a cultura incorpora os valores, princípios e crenças que orientam a organização. Implantar uma cultura empresarial onde todos os funcionários são gestores de risco é a chave do sucesso. Quando os funcionários de uma organização estabelecem os valores, atitudes e compreensão sobre o risco, com um propósito comum de atingir objetivos e metas, e desenvolvem um conjunto de padrões para garantir a responsabilidade perante os riscos, então, é através da gestão de risco que todos se beneficiam, tanto na execução das iniciativas estratégicas quanto na operação, permitindo que um programa de ERM seja bem-sucedido.
O Brasil vem enfrentando grandes mudanças dentro dos domínios econômicos, ambientais, geopolítico, sociais e tecnológicos, assim, ERM não é apenas uma vantagem, mas uma necessidade para um desempenho sustentado e rentável para qualquer empresa.
Vancouver, Julho 2015