Gestão de RiscosCorporativos

Governança Corporativa e Compliance – Professor: Vinícius Bastos

O ambiente de negócios tem se tornado cada vez mais volátil, incerto, complexo e ambíguo (VUCA – volatile, uncertain, complex, ambiguous). Oscilações financeiras, problemas econômicos, questões geopolíticas, enfim, fatores (internos e externos) que podem afetar diretamente o bom funcionamento das empresas.*O fato é que muitas destas questões fogem do controle das organizações, ou seja, são imprevisíveis, o que significa que nem sempre é possível encontrar soluções imediatas diante de cenários indesejados.*Mas isso não significa que gestores, administradores e empreendedores devem ficar de braços cruzados esperando o problema bater à porta. Companhias que estabelecem uma Gestão de Riscos Corporativos e Compliance saem na frente e acabam conquistando uma vantagem competitiva.*

• Por que a Gestão de Riscos Corporativos é importante para a Estratégia de Negócios?

A Gestão de Riscos Corporativos consiste em uma atividade estratégica que tem por objetivo minimizar os riscos, falhas, perdas e incertezas do negócio por meio de um processo contínuo de Planejamento, Organização e Controle dos Recursos Humanos e Materiais de uma organização.*

Segundo a agência de classificação de riscos Standard & Poor’s:“Uma empresa que demonstra a excelência na gestão de riscosconsistentemente identifica, mede e gerencia suas exposições a riscos e perdas, dentro de limites predeterminados de tolerância.*Seus processos são executados sistematicamente e de forma efetiva, bem como são continuamente refinados. Dessa forma, a empresa otimiza seus retornos ajustados a risco, apresenta robustez financeira superior e a Gestão de Risco Corporativos influencia o processo decisório”.*

Assim, fica claro que uma efetiva Gestão de Riscos aumenta o valor da empresa. Isso porque ao gerenciar com eficácia as incertezas, é possível aproveitar os riscos e as oportunidades a elas associadas, a fim de melhorar a capacidade de gerar valor.*

• Como fazer a Gestão de Riscos Corporativos?Se você faz (ou já fez) parte de um projeto que teve alguma etapa malsucedida já ouviu alguém dizer “você sabia dos riscos inerentes ao projeto”. O que muitas pessoas desconhecem é que nem sempre um risco leva a um cenário negativo. O que leva um evento a se tornar negativo ou positivo é a forma com que ele é gerenciado.

• Mas como fazer uma Gestão de Riscos Corporativos efetiva? *Vejamos alguns passos que devem ser implementados à rotina dos negócios:• Passo 1: Mapeamento e Identificação dos RiscosEmpresas têm formas de funcionamento diferentes, como valores, diretrizes de conduta, processos, sistemas e modelo de gestão específicos. Por isso, cada ambiente organizacional deve ser entendido e mapeado, de forma a ter suas vulnerabilidades, fragilidades e controles analisados.*É importante destacar que cada organização deve definir o modelo de análise de riscos de acordo com o contexto do seu tipo de negócio. Por exemplo, se está na fase inicial ou madura, se é líder de mercado ou se está em busca de uma melhor colocação.

Uma maneira de conduzir de forma eficiente o mapeamento consiste em definir os processos críticos, como processos de comercialização e venda (geração de receita), controles financeiros, entre outros. Ou então áreas sensíveis, como logística, suprimentos, comercial etc.Uma vez identificadas as fragilidades e vulnerabilidades do negócio, parte-se para a identificação dos riscos potenciais, que podem afetar o negócio e, consequentemente, seu bom funcionamento.*Por exemplo, geração de receita, elevação de custos, descontrole de caixa, problemas na gestão, não cumprimento de leis e regulamentos, perda de ativos e de estoque.

• Passo 2: Avaliação e Priorização de Riscos*A premissa básica de uma Gestão de Riscos eficiente é gerar valor ao negócio. Assim, nem todo risco vale a pena ser mitigado, é preciso analisar a relação custo-benefício. Mas como saber quais riscos devem ser priorizados?Para priorizar um risco deve-se levar em consideração a análise de probabilidade e de impacto. Como assim? Para a Análise da Probabilidade é preciso que sejam verificados a chance de ocorrência dos eventos ou conjunto de eventos, uma vez que eles são riscos materializados.*

Também devem ser analisadas as chances de fragilidades e vulnerabilidades a serem exploradas. Para cada item analisado é preciso atribuir uma pontuação de acordo com uma escala pré-determinada.*Já em relação ao Impacto devem ser considerados a dimensão das consequências no caso da ocorrência de um ou um conjunto de eventos, ou no caso de vulnerabilidades e fragilidades a serem exploradas. Para cada tópico atributa uma pontuação de acordo com uma escala pré-determinada.*Com as Análises de Probabilidade e do Impacto é possível identificar a criticidade dos riscos identificados e definir uma ordem de priorização, partindo daqueles de alta criticidade para os de baixa criticidade.*

• Passo 3: Definição de Soluções para Tratamento dos Riscos*Após a avaliação de classificação dos riscos é preciso estabelecer estratégias de mitigação, planos preventivos e planos de contingência. Ou seja, é preciso definir ações que reduzam a exposição aos riscos. *

Mas como definir Estratégias De gestão de Riscos?

A solução para reduzir os riscos potenciais pode contemplar desde ações de revisão de processos, criação de relatórios de desempenho e mecanismos de monitoramento e controle, até o estabelecimento de uma Área de Gestão de Riscos e instrumentos de governança.*

• Compliance e Gestão de Riscos: uma união estratégicaGestão de Riscos Corporativos e Compliance são dois pilares (do total de 6 pilares) que fazem parte de uma boa governança. As práticas de Governança Corporativa buscam alinhar interesses com a finalidade de preservar e otimizar o valor econômico da organização, contribuindo para sua longevidade, o bem comum e a qualidade da gestão.*

• Como o Gerenciamento de Riscos ajuda a Tomar Decisões Estratégicas?Sem riscos não há retorno, no entanto, escolher os riscos certos exige maturidade na gestão de riscos. De forma geral, nos estágios iniciais da Gestão de Risco a organização deve tratar das conformidades(Compliance).

Em estágios de maturidade, ou seja, numa gestão mais avançada, passa-se a alcançar a Inteligência de Risco, Ferramenta Estratégica que vai então permitir que a organização se diferencie de seus competidores por sua capacidade de escolher os riscos certos para tomar para si, cujo resultado lhe seja promissor.*Se antes previsibilidade e controle eram a base de bons negócios, atualmente tais conceitos têm ficado para trás, dando lugar a imprevisibilidade, experimentação e incerteza. E no Planejamento Estratégico não é diferente.*Muito além do que investir em um planejamento de longo prazo, é preciso definir claramente quais são os propósitos, quais mudanças precisam ser iniciadas e como serão feitas. Apenas com um acompanhamento e monitoramento efetivo é possível estabelecer ações que possam corrigir com agilidade as fragilidades e deficiências levantadas e acertar o caminho para o sucesso.*

Os passos iniciais são:• Realizar um bom mapeamento do perfil da empresa e;• Realizar um diagnóstico preciso da sua gestão.

Assim, é possível identificar os principais desafios e oportunidadesconsiderando o ambiente competitivo em que a empresa opera e o grau de maturidade de sua gestão.

• Tipos de RiscosO Risco é um efeito da Incerteza, um desvio em relação ao curso e objetivos esperados pelos gestores. Ele pode ser um evento, uma circunstância ou uma condição futura.Para entender melhor, veja alguns exemplos:

• Acidente de trabalho;• Acidente ambiental;• Fraude financeira cometida por um parceiro;• Perda de funcionário-chave na organização;• Evento que virou notícia e fez cair a reputação da

marca;• Problema na logística de distribuição;

• Perda de estoque;• Dificuldade para obter crédito;• Falta de fornecedor;• Elevação nos custos de produção;• Processos judiciais.Esses são apenas alguns exemplos de riscos que podem prejudicar uma empresa.

A origem do Risco pode ser de ordem financeira (externa ou interna), operacional, relacionada a falhas humanas, incompetência gerencial ou puro azar.*Reconhecer essa origem é importante, mas a função da Gestão de Risconão é buscar justificativas, e sim agir para que esses riscos não se convertam em consequências negativas para a organização.*

Caso já tenham se convertido, o trabalho deve se dar no sentido de amenizar essas consequências, administrar a possível crise e gerar açõespara evitar que o mesmo se repita no futuro.*

• Componentes do Risco*Um Risco costuma ter três componentes: • Um evento; • Uma consequência; e • Uma causa.

• Etapas do Processo da Gestão de Riscos *Cuidado, meu querido aluno, aqui dou início a tal assunto com umaobservação! Nessa parte da matéria você encontrará vários tipos de Etapas do Processo de Gestão de Riscos, mas não precisa se desesperar, é um assunto importante? Sim, muito! Mas iniciarei com um ciclo mais genérico, mais simples e ao final trarei dois Ciclos mais específicos com base em dois instrumentos ‘‘oficiais’’ e importantes na área da Administração: a ISO 31000, que versa justamente sobre a Gestão de Riscos e o Guia PMBOK 6ª Edição, que fala da Gestão de Projetos. *

Aconselho que depois que você entender o assunto e se acostumar com as Etapas leve para as suas provas as Fases do Processo da Gestão de Riscos da ISO 31000 ou do PMBOK pois são elas que tratam do referido assunto de maneira técnica e ‘‘oficial’’, principalmente a ISO 31000 (ISO da Gestão de Riscos), já o PMBOK trata da Gestão de Riscos como uma das Áreas do Conhecimento dos Projetos.*Entendido, meu jovem Padawan? Então vamos ao referido tema!

Para estabelecer uma política eficiente de Gestão de Risco na sua empresa, você precisa se preocupar com as seguintes etapas:*1) Organização do AmbienteDefinir o funcionário ou setor responsável pela Gestão de Risco, garantir a sua capacitação na área e definir processos permanentes.2) Identificação dos RiscosO primeiro passo é, a partir do conhecimento quanto aos objetivos da empresa, saber reconhecer quais são os riscos que devem ser considerados e gerenciados.3) Mensuração dos RiscosNem todos os riscos têm a mesma importância. Nesta etapa, deve ser calculadaa sua probabilidade e possível impacto na organização, em análises qualitativase quantitativas.

4) Resposta aos RiscosDefina quais são as ações que devem ser tomadas para evitar, reduzir ou dividir os riscos. Ou, então, para que eles se transformem em oportunidades em vez de ameaças.

5) Monitoramento de RiscosAveriguar se houve riscos residuais, novos riscos ou se as ações planejadas tiveram o resultado esperado para, se necessário, promover modificaçõesna estratégia.

• A ISO 31000 traz as Etapas do Processos da Gestão de Riscos da seguinte maneira:*

1) Estabelecimento do Contexto:*A primeira coisa a ser feita no Estabelecimento do Contexto é a listageme um breve resumo dos objetivos organizacionais, pois são os riscos desses objetivos não serem atingidos que serão gerenciados. Feito isso é necessária a montagem da matriz SWOT que serve para mostrar o ambiente no qual os objetivos institucionais serão perseguidos.

A matriz SWOT nada mais é do que a sigla em inglês para S-Strengths(Forças), W-Weaknesses (Fraquezas), O-Opportunities (Oportunidades), T-Threats (Ameaças). Nesta matriz devem estar listadas as forças, as fraquezas, as oportunidades e as ameaças que possam influenciar no atingimento dos objetivos da instituição.

Por fim, é necessário estabelecer os parâmetros por meio dos quais os riscos serão gerenciados, como as escalas de Probabilidade e Impacto e a definição do apetite a risco, que é o nível de risco considerado como aceitável.

2) Identificação dos Riscos*Feita a definição dos objetivos que a instituição pretende atingir, é hora de mapear quais os eventos de risco que podem impedir que estes objetivos sejam atingidos. Passamos para a etapa de Identificação de Riscos.O Tribunal de Contas da União- TCU recomenda a abordagem top-down (de cima para baixo). Inicia-se por meio da listagem dos eventos de risco ligados aos objetivos institucionais e caminha-se para um maior nível de detalhamento, como o mapeamento dos eventos de riscos ligados aos processos críticos e depois dos eventos de riscos atrelados aos subprocessos dos processos críticos. A listagem caminha do macro para o micro.Uma vez feito o mapeamento e listagem dos eventos de risco é necessário listar as possíveis causas e possíveis consequências de cada um desses eventos, para fecharmos a etapa de identificação de riscos.

3) Análise de Risco*Tendo em vista que foram definidos e listados os eventos de riscos com suas possíveis causas e consequências, é hora de mensurarmos estes eventos de risco, por meio do cálculo do nível de risco.O primeiro passo é o Cálculo do Nível de Risco Bruto, que é a probabilidade e o impacto de um evento de risco antes de implementada qualquer medida de controle. Depois é necessário mensurar a qualidade das medidas de controle existentes em barrar o risco bruto, fornecendo o risco residual, que é o que sobra do risco bruto após ser mitigado pela atividade de controle existente.Uma vez calculado o risco residual, monta-se uma tabela em ordem decrescente do nível de risco residual de forma a deixar claro quais são os eventos de risco que prioritariamente devem ser tratados.

4) Avaliação de Risco*

Uma vez que os eventos de risco já foram mensurados, torna-se necessária a definição das medidas de tratamento que serão implementadas para cada um deles, sendo que os tratamentos possíveis são: Evitar, Mitigar, Aceitar, Transferir.*

• Evitando Riscos: Adotar uma opção diferente que evite completamente o risco.

• Mitigação de Riscos: Implementação de controles que reduzam/mitiguem os riscos, como por exemplo, implementação de um firewall de segurança;

• Aceitação de Riscos: Confirmação e monitoração de riscos, e ter um plano de resposta ao risco pronto;

• Transferência de Riscos: Compartilhar ricos com parceiros ou contratar seguroapropriado.

Ao lado de cada evento de risco deverá ser informado a forma de tratamento que será adotada, tendo por base o nível de risco residual e o apetite a risco definido na primeira etapa de definição do contexto.

5) Tratamento de Risco*Tendo em vista que já houve a definição de qual tratamento será dado, é hora de definir como cada opção de tratamento será implementada. Agora é a hora de detalhar com exatidão a forma, o prazo e os responsáveis pelas medidas de tratamento definidas.

Por exemplo, se foi definido que o evento de risco será mitigado, deve ser respondido qual será a medida de controle que fará a mitigação, em que prazo a medida será implementada, quem será o responsável pela implementação, etc. Toda medida de tratamento deve vir com indicação do responsável por sua implementação, são os Gestores do Risco. Nenhum evento de risco pode ficar sem um responsável respectivo.

6) Monitoramento e Análise Crítica*

Chegamos a etapa final do Processo de Gestão de Risco. Agora é hora de avaliar se tudo o que foi feito está saindo de acordo com planejado e de averiguar se não há necessidade de atualizações.Os objetivos foram corretamente listados? A matriz SWOT está completa ou é necessário atualização nas forças/fraquezas/oportunidades/ameaças? Os níveis de risco foram corretamente calculados? As atividades de controle barram o risco como esperado?A revisão do trâmite do processo de Gestão de Riscos tem que ser periodicamente feita.

Segundo o Guia PMBOK 6ª edição, os Processos de Gerenciamento de Riscos do Projeto incluem os seguintes pontos:1) Planejar o Gerenciamento dos Riscos: Processo de definição de como

conduzir as atividades de gerenciamento dos riscos de um projeto;2) Identificar os Riscos: Processo de determinação dos riscos que podem

afetar o projeto e de documentação de suas características;3) Realizar a Análise Qualitativa dos Riscos: Processo de priorização dos

riscos para análise ou adicional através da avaliação e combinação de sua probabilidade de ocorrência e impacto;

4) Realizar a Análise Quantitativa dos Riscos: Processo de analisar numericamente o efeito dos riscos identificados, nos objetivos gerais do projeto;

5) Planejar as Respostas aos Riscos: Processo de desenvolvimento de opções e ações para aumentar as oportunidades e reduzir as ameaçasao projeto;

6) Implementar Respostas aos Riscos: Processo de implementar planosacordados de resposta aos riscos. O principal benefício deste processo é a garantia de que as respostas acordadas aos riscos sejam executadas conforme planejado a fim de abordar a exposição ao risco geral do projeto, minimizar ameaças individuais e maximizar as oportunidadesindividuais do projeto.

7) Monitorar e Controlar os Riscos: Processo de implementação dos planos de respostas aos riscos, acompanhamento dos riscosidentificados, monitoramento dos riscos residuais, identificação de novos riscos e avaliação da eficácia dos processos de tratamento dos riscos durante todo o projeto.

• Regulamento da Gestão de Riscos: a ISO 31000A International Organization for Standardization (ISO) é a principal instituição do mundo quando o assunto é normas e padrões.

Sua norma mais conhecida é a ISO 9001, que serve para certificar empresas quanto à eficácia de seu sistema de Gestão de Qualidade.

Como estamos falando em Gestão de Risco, a norma que nos interessa é a ISO 31000.*

A norma traz diretrizes para o desenvolvimento, implementação e manutenção de processos de Gestão de Riscos em organizações.*

Entre as orientações para lidar com o risco, segundo a ISO 31000, estão:

• Não iniciar ou continuar com uma atividade que tenha o potencial de aumentar o risco;• Aceitar ou aumentar o risco para perseguir uma oportunidade;• Remover a fonte do risco;• Mudar a probabilidade;• Mudar as consequências;• Compartilhar o risco com outras partes;• Reter o risco por decisão informada.