O que é e qual a sua utilidade?
Enterprise Risk Management é um conjunto de estratégias de identificação e tratamento de riscos que podem afetar as finanças, operações e objetivos de uma empresa. Segundo o COSO II, pode ser definido como um processo que permeia toda a organização, colocado em prática pela alta administração da entidade, pelos gestores e demais colaboradores, aplicado no estabelecimento da estratégia e projetado para identificar possíveis eventos que possam afetar a instituição e para gerenciar riscos de modo a mantê-los dentro do seu apetite de risco, com vistas a fornecer segurança razoável quanto ao alcance dos objetivos da entidade
O ERM busca, portanto, identificar e tratar riscos dos mais variados setores de toda a empresa, o que inclui riscos financeiros, operacionais, estratégicos, de conformidade, ambientais e assim por diante. Logo, sua utilidade é tornar todo o processo de gestão de riscos alinhado ao processo de planejamento estratégico e em uma ferramenta de planejamento e execução de estratégia em cenários de riscos, através de uma estrutura definida e conhecida por toda a organização, o que facilita o processo de tomada de decisão com maiores probabilidades de sucesso.
Como aplicar?
Para aplicar o ERM em sua empresa são necessárias algumas etapas que devem ser seguidas sequencialmente para obter o melhor resultado. São elas:
- Definir estratégias e objetivos da empresa: os objetivos estratégicos estabelecem a base para os objetivos operacionais, de comunicação e de cumprimento das normas, e são essenciais para que uma organização identifique e avalie eficazmente os riscos provenientes de fontes internas e externas. Estabelecer objetivos é um requisito fundamental para a identificação de eventos, a avaliação de riscos e a resposta a eles. Esses objetivos, devem ainda, serem alinhados com o apetite a risco, que determina os níveis de tolerância a riscos da organização.
- Identificar riscos: deve-se identificar os possíveis eventos que, caso ocorram, terão impacto na organização, e avaliar se eles representam oportunidades ou se podem prejudicar a capacidade de implementar a estratégia e atingir os objetivos de forma adequada. Dessa forma, eventos negativos são riscos que exigem avaliação e resposta da gestão, enquanto eventos positivos representam oportunidades que são incorporadas aos processos de definição de estratégias e objetivos. Para identificar os riscos, a gestão deve levar em consideração diversos fatores internos e externos que podem gerar riscos e oportunidades em toda a organização. Dentre as principais ferramentas existentes para identificação de riscos, podemos destacar a realização de workshops, realizar entrevistas com os gestores, e desenvolver análises de dados históricos da empresa.
- Avaliar riscos identificados: a análise de riscos possibilita que uma organização avalie em que medida eventos potenciais podem afetar o alcance dos objetivos. A gestão avalia esses eventos considerando duas perspectivas – probabilidade e impacto – e normalmente utiliza uma combinação de métodos qualitativos e quantitativos. Os efeitos positivos e negativos dos eventos potenciais devem ser analisados individualmente ou agrupados em categorias em toda a organização. Os riscos devem ser avaliados com base em suas características inerentes e residuais, ou seja, não apenas em sua exposição pré-tratamento, mas também considerando sua exposição pós-tratamento.
- Propor tratamentos: o momento de desenvolver estratégias para tratar o impacto e a probabilidade dos riscos identificados. Nesse ponto, deve-se levar em conta, a implementação de controles internos, transferência de riscos para terceiros, além da implementação de outras estratégias de tratamento a riscos. É importante que exista um estudo para cada plano de ação de forma a entender o seu custo, a contingência necessária e de que forma este vai reduzir a exposição da organização ao risco, garantindo que sua execução seja benéfica para os objetivos da empresa.
- Monitorar riscos e ações: responsável por acompanhar e avaliar continuamente os riscos identificados e as ações implementadas para mitigá-los. Nessa etapa, são utilizados indicadores e métricas para monitorar o desempenho dos controles, identificar tendências e desvios, e tomar medidas corretivas quando necessário. O monitoramento também envolve a revisão regular dos planos de ação, a atualização das informações sobre riscos e a comunicação efetiva com todas as partes interessadas. Ao realizar uma monitorização eficaz, as organizações podem identificar de forma antecipada, mudanças nos riscos, garantir a eficácia das ações de controle e tomar decisões informadas para melhorar a gestão de riscos em toda a empresa.
- Informar e comunicar: ao longo prazo, é necessário que os membros do comitê de gestão de riscos apliquem ações de comunicação e treinamento para todos os colaboradores da organização, de forma a criar um ambiente positivo e ciente da importância e funcionamento da gestão de riscos. Em outras palavras, a cultura do ERM é fator primordial para o funcionamento da gestão de riscos no longo prazo. A criação de políticas e procedimentos voltados para a gestão de riscos podem contribuir diretamente para a disseminação da cultura. Aliado a isso, é importante que todos os funcionários recebam treinamento adequado e saibam seu papel dentro da gestão. É fundamental, que a estrutura do ERM seja revisitada periodicamente, a fim de encontrar melhorias e novos passos para seu funcionamento.
Para garantir a aplicação dessas etapas, segundo o COSO II, é interessante instituir um comitê de gestão de riscos. Isso é, um grupo de liderança responsável pela implantação da metodologia e criação da cultura de gestão de riscos em todas as áreas da organização que possam ser afetadas pelos riscos organizacionais já citados. Usualmente, é importante que os membros desse comitê sejam formados por membros da alta liderança da empresa, uma vez que estes conhecem profundamente o funcionamento da mesma e são capazes de identificar maiores riscos para a organização.
Colocando em prática
Agora que entendemos as etapas para implementação do Entreprise Risk Management, vamos imaginar um cenário fictício para empresa qualquer. Suponhamos que um CEO de uma empresa de tecnologia, responsável por desenvolver softwares personalizados para diversos clientes, enxerga que nos últimos anos, a organização demonstrou alto crescimento e agora possui um elevado nível de clientes e funcionários. Proporcionalmente ao crescimento da empresa, o gestor passou a se preocupar com o aumento dos riscos que a organização poderia gerir.
Nesse cenário, o CEO decide implantar o ERM em sua organização. Inicialmente, o gestor identifica 3 riscos principais que podem afetar diretamente o objetivo da empresa. São eles:
- Dependência de clientes-chave: clientes que representam grande parte da receita da empresa
- Risco regulatório: não cumprimento de regulamentos e regras que podem causar danos a empresa
- Segurança de dados: vazamento de dados confidenciais de clientes, gerando quebras de contratos e danos a reputação da empresa.
Com base nisso, o gestor decide por criar um comitê de gestão de riscos responsável por liderar a implementação do ERM na empresa. Gestores das áreas de finança, tecnologia e recursos humanos estão entre os líderes do comitê.
Por mais que as principais preocupações da empresa já tenham sido identificados pelo CEO, é necessário identificar outros riscos que possam expor a empresa de alguma forma. Para isso, são realizadas entrevistas com os líderes de cada departamento, a fim de entender a fundo o que a empresa enfrenta. Além disso, o comitê realiza também, uma análise de dados históricos e de tendências, de forma a criar cenários para riscos futuros.
O próximo passo para o comitê seria desenvolver estratégias para gerir os riscos identificados. Por exemplo, para lidar com a dependência de clientes chaves, o comitê decide por criar um plano de diversificação da base de clientes e estabelecimento de parcerias estratégicas para ampliar a oferta de produtos.
Para lidar com o risco regulatório, o comitê decide pela contratação de um consultor de conformidade pública, em busca de suporte para ajudar a organização a entender melhor todas as obrigações legais, além do estabelecimento de políticas e procedimentos que ajudam a garantir o cumprimento das leis. Da mesma forma, estratégias foram realizadas para todos os outros riscos identificados por toda empresa.
A partir disso, o comitê se responsabiliza pelo monitoramento dos riscos e dos planos de tratamento desenvolvidos, para garantir a efetividade destes durante o processo. Além disso, é fundamental que toda a empresa esteja ciente da política de gestão de riscos em vigor, e cada colaborador saiba do seu papel no ERM.
Vale destacar ainda, o papel fundamental do comitê e CEO da empresa, em regularmente, revisitar o funcionamento do ERM, para que a estrutura criada, se mantenha em funcionamento e produzindo resultados para a organização. Com esse exemplo, podemos ver na prática, as etapas para implementação de uma estrutura de ERM em uma empresa qualquer. Com o mecanismo em funcionamento, espera-se que a organização seja capaz de obter resultados ao curto, médio e longo prazo, garantindo uma eficiente gestão de riscos, e minimizando os impactos à organização.