O gerenciamento de risco nas empresas supervisionadas pela SUSEP

Conforme Circular SUSEP 521 de 24 de novembro de 2015, a qual altera Circular SUSEP 517 de 30 de julho de 2015, as empresas supervisionadas deverão, a partir do dia 01 de janeiro de 2016, implantar um processo estruturado para o gerenciamento de riscos, sejam eles estratégicos ou operacionais.

Entre as diversas definições e determinações descritas nesta circular, sobre a gestão de riscos, listamos algumas que devem ser observadas com maior cuidado:

• A estrutura do gerenciamento de riscos deverá estar alinhada com o sistema de controle interno da organização,
• Como um dos resultados do gerenciamento de riscos, a empresa deverá contar com um plano de continuidade dos negócios,
• É de responsabilidade da diretoria e conselho de administração implantar, zelar, avaliar e monitorar a adequação da gestão de riscos,
• A empresa deverá nomear um gestor de risco o qual será responsável pelo monitoramento continuo do processo de gerenciamento de riscos.

A implantação de um processo estruturado para o gerenciamento de riscos corporativos deve ser muito bem planejada, incluindo a definição dos fatores críticos para o sucesso do processo.

É importante lembrar que o gerenciamento de risco, dependendo da maturidade da gestão, terá forte impacto no ambiente e na cultura da organização. Gerenciar riscos requer, em um primeiro momento, que os gestores passem a determinar e executar suas atividades baseado nos riscos inerentes dos processos de que são responsáveis. Sabemos que toda mudança de cultura gera resistência, a qual se não for muito bem administrada pode colocar todo o projeto em perigo.

Por isso, um dos primeiros passos, neste processo, é o de sensibilização de toda a organização quanto da importância do gerenciamento de riscos para o sucesso da empresa.

De forma simples, o gerenciamento de riscos é composto pelas seguintes atividades:

1. Identificar os riscos inerentes, riscos de TI e risco de fraude,

2. Avaliar a magnitude do risco, fazendo a leitura matricial de probabilidade e impacto,

3. Tratar o risco, conforme sua magnitude: aceitar, evitar, compartilhar ou mitigar o risco,

4. Criar um plano de contingência, quando for o caso,

5. Monitorar o risco de forma continua e também de forma periódica através da auditoria interna.

Para um melhor desempenho neste processo de implantação é primordial que a empresa adote uma estrutura considerada como sendo a melhor prática. Existem muitas, mas nossa sugestão é a Estrutura de ERM – Enterprise Risk Management do COSO, pois é amplamente e mundialmente aceita, tendo sido testado por inúmeras organizações.

Agora vejamos alguns pontos que devem ser considerados no processo de gestão de riscos:

• Os principais responsáveis pelo gerenciamento dos riscos corporativos é a alta gestão, contudo, todos dentro da organização são responsáveis pela gestão de riscos em suas atividades,
• Para pensar em riscos, devemos primeiro identificar os objetivos, sejam eles estratégicos ou operacionais,
• Os riscos são todos os eventos que podem afetar a capacidade da organização em alcançar seus objetivos,
• Para a avaliação dos riscos, deve haver, para toda a organização, uma só forma para a leitura do risco, definindo uma legenda para probabilidade e impacto, aceito e compreendido por todos os gestores,
• Uma das formas de tratar o risco é a mitigação, e neste caso, quando estiver relacionado ao processo operacional, podemos dizer que mitigar é o mesmo que definir um controle interno para minimizar a probabilidade ou então minimizar o impacto,
• Desta forma, um controle interno somente tem razão de existir se houver um ou mais riscos associado a ele.

Nas próximas semanas, com o objetivo de auxiliar os clientes da Editora Roncarati, iremos tratar sobre outros aspectos do processo de gerenciamento de riscos, em conformidade com a mencionada circular.

(06.01.2016)