Endeavor >> Três etapas para uma gestão de riscos mais efetiva
<p>Diagnóstico, Priorização e Mitigação. Esses são os três pilares que formam uma boa gestão de riscos</p>
Gerir riscos é parte do cotidiano de
todas as empresas e pessoas. Seja nas decisões de investimento do seu
capital, contratação de profissionais, obtenção de empréstimos,
aquisição de um ativo, é natural pensar e calcular o retorno desejado.
Por outro lado, existem riscos que podem diminuir e, até mesmo,
inviabilizar o resultado almejado para o crescimento da organização.
Os riscos a que as empresas estão sujeitas podem originar-se tanto do
ambiente externo em que ela está inserida quanto do ambiente interno. O
“olhar para fora” deve monitorar os movimentos dos concorrentes,
consumidores, oscilações do mercado financeiro, mudanças regulatórias e
de leis, novas tecnologias bem como as expectativas das demais partes
interessadas, ou stakeholders, como sociedade, governo,
comunidade local e meio ambiente. As empresas devem considerar essas
ameaças externas e mecanismos de mitigá-las em seus planejamentos
estratégicos, por meio da análise de riscos estratégicos, financeiros,
operacionais e de compliance (legal e regulatório) que podem
oferecer impactos potenciais ao modelo de negócio e sua respectiva
operação. Eles são conhecidos como riscos corporativos.
Porém, os riscos que se originam no ambiente interno muitas vezes são
negligenciados e deixados em segundo plano. Estes riscos estão presentes
nas diversas camadas de um negócio: processos, sistemas, governança e
gestão, infraestrutura e profissionais. É fundamental que sejam
conhecidas as fragilidades e vulnerabilidades que permeiam estas
camadas, a fim de identificar os riscos potenciais, os quais podem
provocar perdas financeiras, de receita, de ativos ou estoque bem como
de reputação. Podem ser originados por falhas, erros ou desvios de
conduta e má fé.
O risco mais preocupante é aquele que a empresa não tem conhecimento.
Por isso, é primordial que toda empresa possua um processo estabelecido
para gestão de riscos com enfoque pragmático e que gere valor ao
negócio, contemplando os seguintes passos: (1) diagnóstico dos riscos potenciais, (2) priorização dos riscos, (3) mitigação dos riscos.
Passo (1): Diagnóstico de riscos
Toda e qualquer organização é única, pois possui cultura, valores,
diretrizes de conduta, profissionais, processos, sistemas e modelo de
gestão específicos. Portanto, é necessário que este ambiente seja
entendido e mapeado, vulnerabilidades, fragilidades e controles
analisados. As principais técnicas utilizadas para estes fins são
entrevistas com gestores e executores, observações dos processos e
atividades em campo, análise de dados operacionais, indicadores e
incidentes.
Existem modelos de riscos pré-definidos
para os diversos setores de atuação do negócio, porém, é importante
definir o modelo aplicado para cada empresa. Além disso, é fundamental
identificar os riscos potenciais em função do contexto vigente da
respectiva organização. Por exemplo, se ela está em uma fase embrionária
ou madura, se é líder de mercado ou se esta em busca de aumentar sua
participação de mercado, se esta passando por uma onda de aquisições ou
buscando crescimento orgânico.
Uma maneira de conduzir a etapa de mapeamento de maneira eficiente
consiste em definir os processos críticos, como a cadeia de suprimentos,
os processos financeiros (tesouraria), os processos de comercialização e
venda (geração da receita). Ou então as áreas sensíveis, como
suprimentos, comercial, vendas, marketing, logística, tesouraria,
recursos humanos, central de serviços compartilhados.
Uma vez identificadas as fragilidades e vulnerabilidades do ambiente,
parte-se para a identificação dos riscos potenciais, que podem abranger
perdas de estoque, perdas de receita, perda de ativos, elevação de
custos, perda de capital intelectual e conhecimento, perda de
informação, fraudes de colaboradores e terceiros, descontrole da gestão e
do caixa. Ou até mesmo riscos que podem comprometer a continuidade do
negócio, como desabastecimento de ponto de venda, interrupção da
operação logística, indisponibilidade de caixa e crédito, multas e
sanções legais, vazamento de informações estratégicas e confidenciais,
perda de reputação por atos ilegais e antiéticos, entre outros.
Passo (2): Priorização dos riscos
Diante de um cenário com diversos riscos potenciais identificados, como
priorizá-los? Afinal a gestão de riscos tem que gerar valor ao negócio e
não necessariamente todo risco identificado vale a pena ser mitigado,
em específico quando não existe uma relação satisfatória de
custo-benefício.
A priorização dos riscos identificados deve considerar a análise de probabilidade e de impacto.
Para analisar a probabilidade, para cada risco, analise a chance de
ocorrência de eventos ou conjunto de eventos, uma vez que eventos são
riscos materializados. Analise também a chance das fragilidades e
vulnerabilidades serem exploradas. Atribua uma pontuação de acordo com
uma escala pré-determinada.
Para analisar o impacto, analise a dimensão das consequências caso um
evento ou conjunto de eventos ocorra, ou mesmo de a vulnerabilidade e
fragilidade serem exploradas. A análise do impacto pode ser tangível
(mensurável de maneira financeira) ou intangível (reputação, liderança,
gestão, conduta etc.). Também atribua uma pontuação de acordo com uma
escala pré-determinada.
A combinação da probabilidade e do impacto analisados apontará a
criticidade dos riscos identificados e permitirá sua priorização,
partindo dos riscos de alta criticidade para os de baixa criticidade.
Passo (3): Mitigação dos riscos
Uma vez conhecidos e priorizados os riscos da organização, a etapa
seguinte consiste em definir e desenvolver as soluções pragmáticas para
mitigá-los, ou seja, reduzir a exposição dos resultados e a sustentação e
perenização do negócio.
As soluções para mitigação dos riscos devem ser específicas e
factíveis, e podem contemplar desde revisão de processos e inclusão de
controles em sistemas, criação de relatórios e indicadores de
desempenho, confecção de políticas e procedimentos, implantação de
mecanismos de monitoramento e controle, até o estabelecimento de uma
área de gestão de riscos e instrumentos de governança.
Um plano de implantação das soluções deve ser elaborado a fim de
iniciar-se pelas ações de ganho rápido (baixo esforço e alto benefício).
Para tanto, antes da elaboração do plano de implantação, as soluções
devem ser classificadas em função da combinação do esforço necessário
para sua implantação e benefício potencial, e distribuídas em ondas de
ganho rápido, curto, médio e longo prazos.
A gestão de riscos é um processo dinâmico e contínuo e crucial para a
boa governança de qualquer empresa. Portanto, todas elas devem ter a
capacidade e competência para diagnosticar, priorizar, monitorar e gerir
os seus riscos, sempre atentas às mudanças do ambiente interno e
externo para não serem surpreendidas por riscos desconhecidos ou não
controlados.
(*) Marcelo Forma é sócio-diretor da ICTS Global.
Este artigo foi desenvolvido em conjunto com Heloisa Macari,
executiva sênior da ICTS Global, responsável pela unidade de negócio GRN
(Gestão de Riscos de Negócios)
