1.Noção e Princípios
A gestão do risco admite que qualquer organização, independentemente do seu tamanho, fim lucrativo, origem de capitais, ou atividade económica, existe para gerar valor para os stakeholders. Todas as entidades enfrentam incertezas, o desafio da gestão é determinar o nível de incerteza que a sua organização consegue enfrentar, aumentando, desta forma, o seu valor para os stakeholders e para ela própria.
Esta incerteza provém da incapacidade de se poder calcular com exatidão a probabilidade de ocorrência de determinados acontecimentos e impactos a eles inerentes, bem como das escolhas estratégicas da entidade.
O valor da entidade é maximizado quando a gestão de topo estabelece a estratégia e os objetivos para alcançar um ponto de equilíbrio ideal entre as metas de crescimento e de retorno e os riscos relacionados, para além de explorar os recursos com eficiência e eficácia, para atingir os objetivos da organização.
Ao pretender atingir os seus objetivos, a entidade depara-se com “eventos” (incidentes ou situações criadas através de fontes internas ou externas) que podem ter impacto negativo, positivo ou ambos nas ações da empresa.
Os eventos que produzem impacto negativo acarretam riscos. O risco é a “possibilidade de um evento ocorrer e afetar negativamente a realização dos objetivos”. Este tipo de “eventos” são barreiras à criação de valor ou destruírem o valor já existente na organização.
Por sua vez, os “eventos” que têm impacto positivo podem equilibrar os que têm impactos negativos ou podem revelar oportunidades quando exceder o risco. Define-se oportunidade como a “possibilidade de um evento ocorrer e influenciar favoravelmente a realização dos objetivos”. Desta forma, as oportunidades apoiam a conceção ou a salvaguarda de valor da entidade. Por este motivo, a gestão de uma empresa quando determina as suas estratégias e objetivos direciona-as para as oportunidades.
O risco pode ter várias origens internas:
O aparecimento de tais riscos pode acarretar diversas consequências como más decisões da gestão, aumento dos custos operacionais, diminuição dos valores dos ativos e informações irrealistas a stakeholders relevantes.
Com a finalidade de evitar os problemas antes que ocorram e minimizar o seu impacto quando as organizações não são capazes de precaver surgiu a gestão do risco empresarial.
A gestão do risco empresarial “é um processo conduzido numa organização pelo conselho de administração, gestão e demais pessoal, aplicado no estabelecimento de estratégias, formuladas para identificar em toda a organização eventos que podem afetar a entidade, e gerir os riscos para os manter compatíveis com a apetência ao risco da organização e possibilitar uma garantia razoável quanto ao cumprimento dos seus objetivos.”
Este nome provém do inglês Enterprise Risk Management (ERM).
Desta forma, pode concluir-se que o ERM pretende identificar, avaliar e gerir riscos chave que ameaçam os objetivos estratégicos, operacionais, de cumprimento e de informação da entidade em todos os seus níveis. Uma gestão do risco eficaz reconhece que os riscos afetam as empresas de múltiplas maneiras, como a alcançar estratégias, elaborar com eficácia, informar verdadeiramente e cumprir com todas as regulamentações.
Os riscos estão interrelacionados, ou seja, um acontecimento que pode criar um risco pode desenvolver outros riscos. Os riscos só podem ser geridos sobre a intervenção da gestão ou de stakeholders.
Quanto mais grave for o risco, mais ativa necessitará de ser a intervenção para adquirir os resultados desejados. Contudo, essa interferência no caso de um risco pode criar consequências não intencionais, frequentemente na forma de novos riscos ou ampliações em outras áreas.
A partir da definição de ERM consegue-se extrair os seus conceitos fundamentais:
A Gestão do Risco Empresarial é um meio que serve para atingir um fim, mas não é um fim para si própria. As grandes finalidades do ERM pretendem alinhar a apetência ao risco e a estratégia, otimizar as decisões de resposta ao risco, reduzir as surpresas e prejuízos operacionais, identificar e gerir os riscos inerentes às transações, fornecer respostas integradas aos diversos riscos, aproveitar as oportunidades e melhorar a afetação de capital.
A “Gestão do Risco Empresarial – Estrutura Integrada” do COSO define as componentes essenciais, sugere uma linguagem comum e fornece uma direção clara e orienta a empresa para a gestão do risco. Estes elementos são comprovados na matriz tridimensional em forma de cubo apresentado na estrutura referida anteriormente e como se apresenta seguidamente.
Neste cubo estão representadas em cima as quatro categorias de objetivos de uma entidade (estratégicos, operacionais, de comunicação e de conformidade), na frente as oito componentes (ambiente interno, fixação de objetivos, identificação de eventos, avaliação dos riscos, resposta aos riscos, atividades de controlo, informações e comunicação e acompanhamento/monitoramento) e de lado a organização e as suas unidades.
De seguida descreve-se cada um dos elementos do cubo, mas como se irá demonstrar todos eles estão inter relacionados.
2. Componentes
2.1. Ambiente Interno
O Ambiente Interno abrange a cultura de uma organização, a influência sobre a consciência de risco do seu pessoal, sendo a base para todos as outras componentes da gestão do risco empresarial, possibilita disciplina e a estrutura. Os fatores do ambiente interno compreendem a filosofia administrativa de uma organização no que diz respeito aos riscos; a sua apetência ao risco; a supervisão da gestão; a integridade; os valores éticos e à competência do pessoal da organização; e a forma pela qual a gestão atribui autoridades e responsabilidades, bem como organiza e desenvolve o seu pessoal”.
Esta componente é a base para todas as outras, influenciando a fixação das estratégias e dos objetivos, a estrutura dos negócios, a identificação, avaliação e criação dos acontecimentos, o plano e o funcionamento das atividades de controlo, dos sistemas de informação e de comunicação e das atividades de acompanhamento. Reflete, deste modo, a atitude, aproximação e competência da gestão para o ERM.
A filosofia de gestão dos riscos influencia tudo aquilo que a gestão faz para gerir a entidade. Reflete os seus valores, cultura e a forma como esta olha para o risco nas suas ações quotidianas, conjugando-as com a sua estratégia. Uma filosofia de gestão de risco bem implementada, percebida e recebida por todos os membros da empresa, em todas ou algumas das suas unidades, demonstra que a entidade está preparada para identificar e gerir os riscos com eficácia e eficiência. Quando existem unidades com diferenças culturais que trabalham juntas, poderão não afetar negativamente a organização, mas o mesmo não acontece se trabalharem separadas.
A apetência ao risco é o nível de risco que uma empresa está disposta a aceitar na sua procura pela criação de valor.
Ela é estratégica e está relacionada com a prossecução dos objetivos organizacionais; faz parte integrante do processo de corporate governance; orienta a alocação dos recursos; direciona a infraestrutura de uma empresa, apoia as suas atividades relacionadas com o reconhecimento, avaliação, resposta e acompanhamento dos riscos na procura dos objetivos empresariais; influencia as atitudes da entidade face ao risco; é multidimensional, inclusive quando aplicado à procura de valor a curto e a longo prazo do ciclo de planeamento estratégico; e requer um acompanhamento eficaz do risco em si e da apetência ao risco da instituição continuar a efetuar o seu funcionamento.
O impacto de uma apetência ao risco proporciona uma comunicação eficaz em toda a entidade, a fim de conduzir a implementação do ERM; altera as discussões sobre o risco, de modo a que elas envolvam questões sobre se os riscos são devidamente identificados e geridos no âmbito da apetência ao risco; e fornece uma base para uma discussão mais aprofundada da apetência ao risco e a sua relação com as mudanças das estratégias e dos objetivos.
Os elementos seguintes devem ser tomados em consideração aquando da determinação da apetência ao risco:
A apetência ao risco é considerada na definição da estratégia, retrata a filosofia de gestão do risco e tem em atenção os objetivos da entidade, como se pode observar na imagem seguinte.
Se uma organização está a definir objetivos muito agressivos, então deve ter uma apetência ao risco proporcional, mas, se por outro lado, ela é avessa ao risco, ou seja, tem uma baixa apetência a risco, seria de esperar que a instituição estabelecesse metas mais conservadoras.
Possuir uma apetência ao risco bem articulado é uma das ferramentas que permite obter um bom posicionamento nas agências de rating.
Para enquadrar o nível da apetência ao risco, uma empresa deve dar três passos fundamentais: desenvolver, comunicar e acompanhar e atualizar o respetivo risco.
A empresa deve ter em consideração que desenvolver uma apetência ao risco não é um fim em si mesmo e não necessita de uma quantidade excessiva de tempo. A entidade deve identificar os critérios da sua apetência ao risco ao longo da realização dos objetivos estratégicos, operacionais, de comunicação e de conformidade. Nesta fase, a gestão pode recorrer a três abordagens: discussões facilitadas, discussões relacionadas com os objetivos e as estratégias e desenvolvimento de modelos de desempenho.
As discussões facilitadas ou reuniões de discussão com colaboradores da entidade incentivam a gestão a claramente priorizar os seus objetivos e a sua apetência ao risco. Vários cenários podem ser discutidos para ver como a apetência ao risco influencia a tomada de decisão. As pessoas envolvidas nestas reuniões devem manter o plano estratégico da entidade, incluindo as suas metas e missão.
As discussões relacionadas com os objetivos e com as estratégias admitem discussões para além das estratégias importantes, porque a gestão de topo através destes debates possibilita que os riscos sejam percebidos na prossecução dos objetivos. De seguida, o analisa, identifica e comunica a apetência ao risco da empresa.
As empresas podem comunicar a apetência ao risco em vários níveis de detalhe ou precisão, cada uma deve determinar a melhor forma de o fazer. Existem três abordagens para comunicar a apetência ao risco: expressar a apetência ao risco global usando instruções gerais, expressar a apetência ao risco para cada classe dos objetivos empresariais e expressar a apetência ao risco para as diferentes categorias do risco.
A apetência ao risco deve ser definida uma vez e periodicamente revista por forma a incorporar a filosofia de funcionamento da entidade. A gestão deve acompanhar as atividades de avaliação da apetência ao risco por meio de uma combinação de um acompanhamento contínuo e avaliações separadas. A auditoria interna pode fornecer uma visão independente sobre a eficácia deste processo.
A empresa deve-se concentrar na criação de uma cultura que é consciente do risco e que tem metas organizacionais compatíveis com a gestão. Numa cultura eficaz, cada membro da entidade tem uma ideia clara do que é aceitável, quer em relação ao comportamento ético, prossecução dos objetivos errados.
A gestão tem um papel importante na componente de ambiente interno, uma vez que ele detém o poder de manipular os seus meios. Existem várias questões a ter em conta, como a sua experiência, a importância no processo de decisão e nos atos de gestão da empresa, o impacto que as suas decisões poderão causar na organização e a sua relação com o órgão de fiscalização interno e externo. Deve ser composto por uma maioria de membros externos independentes.
Um ponto também a ter em conta nesta componente é a integridade e os valores éticos. Todo o pessoal dentro da empresa deve estar informado sobre as práticas que são consideradas perigosas, proibidas, desejadas e motivadas, as quais se deverão encontrar no código de conduta escrito. Devem estar estipuladas sanções para quem o viola e deve existir um canal de comunicação aberto para que qualquer colaborador possa comunicar uma situação desfavorável sem se sentir sujeito a potenciais represálias.
O exemplo tem de partir da gestão, ele tem de ser íntegro, cumprir os valores éticos estabelecidos e ser penalizado quando forem encontradas situações que o exigem, nomeadamente quando, elaborar relatórios fraudulentos que distorcem a realidade financeira e económica da empresa comunicadas aos seus stakeholders, para que todo o pessoal cumpra as suas obrigações e deveres e perceba os seus direitos.
Os colaboradores da empresa têm de ser competentes para realizarem as suas funções, ou seja, devem possuir os níveis e qualidades necessárias para as funções que lhe são exigidas. Esta competência tem o seu custo, e como tal é preciso conjugar este dilema financeiro.
A estrutura organizacional envolve os processos de planeamento, execução, controlo e acompanhamento das atividades de uma entidade, que deve ser conciliável com as suas necessidades. Cada organização tem a sua estrutura, consoante a sua atividade, necessidades e tamanho, permitindo uma gestão do risco empresarial competente que alcança os seus objetivos.
É necessária uma clara atribuição de funções e definição de responsabilidades para que todos dentro da empresa se sintam parte do processo produtivo. Deve-se passar o controlo central de determinadas decisões para as camadas inferiores. Quanto maior o grau de delegação de funções, maior o nível de competência dos empregados e maior a sua responsabilidade. A gestão continua a ter a decisão final. Esta transferência da responsabilidade permite a motivação do pessoal e o aumento da competitividade económica da empresa, uma vez que a camada superior da empresa fica com mais disponibilidade para refletir sobre novas ideias competitivas e preocupar-se como evitar certos acontecimentos que poderiam reduzir os riscos para a empresa e por isso gerir o risco empresarial de uma formação eficaz, evitando-o.
Uma formação contínua é essencial para que os empregados estejam preparados e atualizados para enfrentarem novos desafios devido à constante mudança imposta pelo exterior, como o processo tecnológico, que a organização enfrenta.
2.2. Fixação de Objetivos
Os objetivos são fixados no âmbito estratégico, estabelecendo uma base para os objetivos operacionais, de comunicação e os cumprimentos de normas. Toda a organização enfrenta uma variedade de riscos oriundos de fontes externas e internas, sendo a fixação de objetivos um pré-requisito à identificação eficaz de acontecimentos, à avaliação de riscos e à resposta aos riscos. Os objetivos são alinhados com a apetência ao risco, o qual direciona os níveis de tolerância aos riscos para a organização.
Tendo em conta a missão e a visão da organização, a gestão estabelece os objetivos estratégicos, exprime estratégias e determina os objetivos relativos às operações, à conformidade e à comunicação. Quando a missão e a visão se alteraram, as estratégias e os objetivos operacionais são reorganizados em relação aos objetivos estratégicos. Esta é a forma como se pode alcançar os objetivos estratégicos corretos que origina os riscos, e é dever da gestão averiguar todas as possibilidades deste alcance e as consequências acarretadas.
A entidade deve primeiro determinar os seus objetivos estratégicos e táticos e, só depois, está em condições de definir os objetivos relacionados. Cuja realização criará e sustentará valor. Estes, por sua vez, procedem a todas as partes da organização para os sub-objetivos estabelecidos para as várias atividades.
Os objetivos operacionais referem-se à eficácia e à eficiência das operações da organização. Variam de acordo com a decisão da gestão em relação à estrutura e ao desempenho. Devem refletir as condições específicas do negócio, da indústria e da economia. Se os objetivos operacionais de uma empresa não forem claros ou adequadamente formulados, os seus recursos poderão ser mal aproveitados.
Os objetivos de comunicação ligam-se com a fiabilidade dos relatórios, o que fornece à gestão de topo informações exatas e completas, ajudando-o no seu processo decisório e no acompanhamento das atividades e do desempenho da empresa.
Os objetivos de comunicação dividem-se em comunicação interna, como por exemplo resultados de programas de marketing, relatórios diários sucintos de estimativas de resultados de vendas, a qualidade da produção e resultados da satisfação dos empregados e dos clientes; e em comunicação externa, como, demonstrações financeiras e divulgação em notas explicativas, discussão e análise da gestão, e relatórios entregues a entidades reguladoras.
Os objetivos de conformidade reportam-se com o cumprimento de leis e regulamentos que a empresa tem de satisfazer, adaptando as suas atividades para esta finalidade. Entre os quais regulamentos dos mercados, preço, impostos, meio-ambiente, bem-estar social de empregados e comércio internacional. A conduta relativa a estes objetivos poderá afetar a reputação da organização na comunidade e no mercado e influenciar o seu valor.
Estas categorias de objetivos se inter-relacionam, uma vez que um certo objetivo poderá estar presente em mais do que uma categoria.
Algumas entidades utilizam outra categoria de objetivos denominada “salvaguarda de ativos”, com a finalidade de evitar a perda dos ativos, bens ou recursos, através de furto, desperdício, ineficiência ou más decisões comerciais. Estes objetivos são na sua maioria de natureza operacional. Mas, quando são imposições legais e regulamentares integram os objetivos de conformidade, e de comunicação, como quando se trata de perdas de ativos que estão refletidos nas demonstrações financeiras.
Depois de estipuladas as categorias dos objetivos da empresa, esta terá controlo e competência para efetuar o necessário para os alcançar, apesar de poder não conseguir os realizar a todos. Porém, o cumprimento de certos objetivos estratégicos e operacionais não está sob a verificação da entidade.
Para uma gestão do risco empresarial eficaz todo o pessoal deve estar familiarizado com os objetivos da entidade, de forma a que este exerça as suas funções para os alcançar. E também para que cada trabalhador saiba quais os critérios da avaliação do seu desempenho.
Um ERM eficaz não impõe os objetivos que a gestão deve escolher, mas assegura que ele dispõe de um processo que alinha os objetivos estratégicos com a sua missão e que esses objetivos selecionados estão de acordo com a apetência ao risco. É nesta fase que é determinada a tolerância ao risco da empresa.
A tolerância ao risco é o “nível de variação aceitável quanto à realização de um determinado objetivo”. Deve ser mensurada na mesma unidade que os objetivos selecionados.
Uma intervenção dentro dos parâmetros de tolerância ao risco proporciona à gestão maior garantia de que a empresa continuará dentro da sua apetência ao risco, o que viabiliza um maior nível de confiança para que os seus objetivos sejam alcançados. Todo o pessoal operacional deve ter conhecimento do nível de apetência adotado pela organização. A figura seguinte demonstra a relação entre os objetivos, a apetência ao risco e a tolerância ao risco.
Os objetivos e a apetência aos riscos de diversos stakeholders podem entrar em conflito. A combinação de riscos de negócio e objetivos discordantes pode levar a colapsos que causam resultados inaceitáveis, informação irrealista, atividade potencialmente ilegal e/ou outras condições adversas.
2.3. Identificação de Eventos
“A gestão identifica os eventos potenciais que, se ocorreram, afetarão a organização e determina se estes representam oportunidades ou se podem ter algum efeito adverso na sua capacidade de implementar adequadamente a estratégia e alcançar os objetivos. Os eventos com impacto negativo representam riscos que exigem avaliação e resposta da administração. Os eventos de impacto positivo representam oportunidades que são canalizadas de volta aos processos de fixação das estratégias e dos objetivos. Ao identificar eventos, a gestão considera uma variedade de fatores internos e externos que podem dar origem a riscos e a oportunidades no contexto de toda a organização” Os acontecimentos que afetam a empresa são influenciados por vários fatores externos e internos que afetam a implementação da estratégia e o cumprimento dos objetivos.
Os fatores externos podem ser:
empresarial, privacidade, terrorismo) e
Depois de estudados os fatores externos e estabelecidos os trâmites de procedimento interno, a gestão de topo poderá direcionar a sua atenção nos acontecimentos benéficos na prossecução dos objetivos, bem como, na proteção da empresa dos acontecimentos negativos.
Para a identificação dos eventos, a gestão contará com uma variedade de técnicas, que analisam tanto o passado com o futuro, são elas o inventário de acontecimentos, análise interna, autoridades e limites, workshops e entrevistas com formadores, análise de fluxo de processo, indicadores preventivos de acontecimentos e metodologias de dados sobre acontecimentos de perda.
Os acontecimentos com probabilidade de incidente baixo não devem ser ignorados se o impacto na concretização de um objetivo importante for elevado.
Uma técnica utilizada para a identificação rápida do risco é o debate, isto é, juntar equipas de vários níveis ou unidades da instituição com o desafio de nomear potenciais riscos numa situação particular e que surjam aleatoriamente. Esta discussão é acompanhada por um moderador. Esta seleção dá origem a uma lista de riscos centrais que serão analisados pela equipa de ERM. Após rever todos os riscos identificados pelo grupo de debate irá designar quais são os riscos núcleo. São estes os riscos que a empresa vai avaliar e comunicar a todos os seus colaboradores.
Esta componente do ERM pode variar de empresa para empresa, isto porque cada gestão escolhe as técnicas conciliáveis consoante a sua filosofia de gestão dos riscos, sendo esta a base para as componentes de avaliação dos riscos e da resposta a estes.
Os acontecimentos não são individuais, um desencadeia outro e por aí adiante. Ao agrupar os acontecimentos idênticos, a gestão está mais preparada para identificar as oportunidades e os riscos que poderá enfrentar.
2.4. Avaliação de Riscos
A avaliação de riscos “permite que uma organização considere até que ponto eventos potenciais podem ter impacto na realização dos objetivos. A gestão avalia os eventos com base em duas perspetivas – probabilidade e impacto – e, geralmente, utiliza uma combinação de métodos qualitativos e quantitativos. Os impactos positivos e negativos dos eventos potenciais devem ser analisados isoladamente ou por categoria em toda a organização. Os riscos são avaliados com base nas suas características inerentes e residuais”.
Nesta fase a gestão deve ter em conta os acontecimentos potenciais futuros, previstos ou imprevistos, relativos à entidade e às suas atividades nos temas que dão origem aos riscos, como o tamanho da organização, a complexidade das operações e o grau de regulamentação das suas atividades.
São descobertos os riscos inerentes, ou seja, os riscos “que uma organização terá que enfrentar na falta de medidas que a gestão possa adotar para alterar a probabilidade ou o impacto dos eventos” estes existem independentemente da intervenção de quaisquer controlos. Ao invés, existem riscos que a entidade está disposta a aceitar depois de minimizar o risco de controlo interno, são os riscos residuais, aqueles que ainda permanecem depois da componente de resposta aos riscos.
Para avaliar a incerteza dos acontecimentos potenciais, a gestão depara-se com duas ferramentas: a probabilidade e o impacto. A probabilidade representa a possibilidade de que um determinado acontecimento ocorrer, enquanto o impacto representa o seu efeito. Quanto maior a probabilidade e o impacto de um acontecimento potencial, maior a atenção da gestão sobre eles, uma vez que mais grave é o risco. Em baixo segue-se um exemplo de um mapa de risco que a grande parte das empresas utilizam para averiguar os riscos que merecem mais atenção.
As zonas vermelhas são as críticas, onde os riscos encaixados são os com maior importância do impacto e probabilidade de ocorrência.
A gestão deverá, na avaliação do impacto potencial de um risco, usar a mesma unidade de medição ou uma compatível com a utilizada na decisão do desempenho dos objetivos selecionados na componente de fixação dos mesmos.
Existem tanto técnicas qualitativas como quantitativas para avaliar o risco. Normalmente são utilizadas as qualitativas, contudo, devido a uma maior precisão e à complexidade e sofisticação das atividades, são aplicadas as quantitativas. Estas últimas requerem mais esforço e rigor, dependem da qualidade dos dados e permitem uma precisão fiel. São exemplos a comparação com referências de mercado, modelos probabilísticos e não probabilísticos.
Para que a avaliação qualitativa seja confiável a gestão deve usar a mesma abordagem que utilizou na identificação dos eventos.
Os riscos podem ser avaliados utilizando a seguinte tabela:
Na coluna dos riscos identificados colocam-se os riscos selecionados na componente de identificação dos eventos. O significado tem a ver com o que o risco expressa para a empresa em termos dos seus custos. Através do resultado do risco a empresa consegue listar os riscos numa classificação de significado/probabilidade destes.
Outros métodos que poderão ser utilizados são o método de Delphi, a simulação de Monte Carlo ou a análise de árvores de decisão.
Outro assunto a ter em conta nesta componente é os KRI’s (indicadores chave do risco), ou seja, métricas utilizadas por algumas entidades para obter um sinal precoce de exposição ao risco crescente em várias das suas áreas. Eles são derivados de acontecimentos específicos ou causas, identificados internamente ou externamente, que podem obstruir a concretização de metas do desempenho.
Os KRI são mais importantes que os KPI’s (indicadores chave de desempenho), uma vez que estes últimos revelam normalmente ideias sobre acontecimentos de risco que já afetaram a empresa, enquanto os KRI’s ajudam a acompanhar melhor as potenciais mudanças futuras de risco ou novos riscos emergentes.
Os KRI’s podem amparar a gestão na sua responsabilidade de supervisão do processo de ERM, uma vez que fornece informações relevantes e adequadas. Também auxiliam a gestão a identificar de forma mais proactiva potenciais impactos sobre a carteira de riscos da instituição.
Idealmente, estes indicadores são eficazes quando são desenvolvidos por equipas que incluem um membro profissional de gestão do risco e gestores de unidades de negócio com um extremo entendimento dos processos operacionais sujeitos a potenciais riscos. Deverão ser fortalecidos com os planos estratégicos para cada unidade de negócio e podem integrar desvios aceitáveis do plano quando se inserem na apetência ao risco global da empresa. Os KRI’s eficazes informam o impacto que certos riscos poderão ter na realização dos objetivos da organização.
Um método eficaz para o desenvolvimento destes indicadores é analisar um acontecimento de risco que ocorreu no passado ou que está a suceder no momento e trabalhar para trás para identificar os eventos intermédios e o evento primário.
O evento primário será o principal indicador do evento, como se poderá observar na figura seguinte:
A partir deste método a empresa consegue retirar KRI’s para medir potenciais riscos que poderão ocorrer posteriormente, uma vez que estudou as causas dos acontecimentos do risco e “tirou a sua lição”.
Este processo de identificação deve recorrer a especialistas do assunto dentro da entidade porque estes têm melhor capacidade para saber quais são os eventos primários e os intermédios. É também necessário ter a garantia de que todas as partes envolvidas na recolha e incorporação de dados estão claramente informadas sobre as definições dos itens de dados individuais para recolha e sobre qualquer metodologia de conversação ou de normalização a ser utilizada. Os dados recolhidos devem ser confiáveis e demonstrarem a real imagem da empesa.
Os dados recolhidos externamente são de relevante importância, eles permitem obter objetividade e melhorar os laços com os stakeholders externos da empresa.
Um só KRI pode ser insuficiente para determinar com a melhor precisão possível os acontecimentos de risco potenciais que afetarão a empresa. É melhor utilizar uma conjugação de vários indicadores.
Os elementos a ter em consideração quando os indicadores chave do risco estão bem concebidos, sucedem quando são baseados em práticas ou parâmetros estabelecidas, desenvolvidos de forma consistente em toda a organização, fornece uma visão ambígua e intuitiva do destaque do risco, permite comparações mensuráveis ao longo do tempo e nas unidades de negócio, proporciona oportunidades para avaliar o desempenho dos proprietários do risco em tempo oportuno e consome recursos de forma eficiente.
Os maiores usufruidores dos KRI’s serão os investidores, uma vez que terão um conjunto de ferramentas de antevisão que poderá permitir-lhes gerir melhor as suas unidades de negócio para considerar as metas e os objetivos estabelecidos para essa unidade.
Como qualquer medida implementada, também os KRI’s devem ser continuamente reavaliados para se analisar a sua consistência com a filosofia da empresa e a verificação das suas causas.
São várias as vantagens dos indicadores chave do risco. No que diz respeito à apetência ao risco, os KRI’s requerem a determinação de limites apropriados para a ação em diferentes níveis dentro da organização, o que permite que estes indicadores sejam uma ferramenta útil para a melhor articulação da apetência ao risco que melhor representa a mentalidade da instituição.
Já em relação ao risco e à identificação das oportunidades, os KRI’s podem ser planeados para avisar a gestão sobre as tendências que podem afetar adversamente a realização dos objetivos empresariais ou podem indicar a presença de novas oportunidades No tratamento dos riscos, os KRI’s podem tomar medidas para mitigar os riscos de desenvolvimento, servindo como aparecimento dos mecanismos das unidades responsáveis pelo acompanhamento de KRI’s particulares; os KRI’s também podem assistir como controlo, definindo os limites para determinadas ações.
No relatório dos riscos, os KRI’s podem fornecer dados mensuráveis propícios à agregação.
E quanto aos esforços de cumprimento, os KRI’s podem ser úteis para demonstrar a conformidade com os requisitos estabelecidos nas áreas como a adequação de capital ou níveis de reserva.
Na realização das suas tarefas, a empresa ao utilizar os indicadores chave de risco pode aprimorar o seu desempenho, processos e o seu ambiente de trabalho, dado que a utilização destes leva a reduzir as perdas, identificar as oportunidades para a exploração estratégica, reduzir custos de capital, reduzir as interrupções de serviço, a gestão da cadeia de fornecimento e a experiência com os clientes, e levar a menos episódios de gestão de crises empresariais.
Em resumo, um conjunto robusto de KRI’s deve ajudar a reduzir a probabilidade de surpresas e a posição da gestão passa para uma postura mais reativa. Contudo deve-se ter em atenção que um KRI não gera ou cuida do risco e pode levar a uma falsa sensação de segurança se mal projetado.
2.5. Respostas a Riscos
“Após ter conduzido uma avaliação dos riscos pertinentes, a gestão determina como responderá aos riscos. As respostas incluem evitar, reduzir, partilhar ou aceitar os riscos. Ao considerar a própria resposta, a administração avalia o efeito sobre a probabilidade de ocorrência e o impacto do risco, assim como os custos e benefícios, selecionando, dessa forma, uma resposta que mantenha os riscos residuais dentro das tolerâncias ao risco desejadas. A gestão identifica as oportunidades que possam existir e obtém, assim, uma visão dos riscos em toda a organização ou de portfólio, determinando se os riscos residuais gerais são compatíveis com a apetência aos riscos da organização”.
As categorias de respostas aos riscos classificam-se em evitar, reduzir, partilhar ou aceitar.
Evitar significa que nenhuma opção de resposta foi encontrada para minimizar o impacto e a probabilidade a um nível aceitável. Reduzir e partilhar diminuem o risco residual a um nível compatível com as tolerâncias desejadas de risco, por sua vez, aceitar aponta para que o risco inerente já esteja dentro das tolerâncias ao risco.
Depois dos riscos inerentes serem analisados, as respostas a estes são classificadas com o intuito de se alcançar um risco residual conciliável com as tolerâncias aos riscos da organização.
Cada resposta ao risco influência de maneira diferente a probabilidade e o impacto do risco. É necessário efetuar uma análise custo-benefício para averiguar se é uma mais-valia para a empresa certa resposta ao risco, tendo em consideração que o custo é fácil de avaliar, o mesmo não se pode dizer do benefício, é um dado incerto. Pode ser também vantajosa para a entidade determinar novas oportunidades para realizar os seus objetivos, tendo uma visão superior à de redução dos riscos reconhecidos.
Este processo é interativo, uma vez que quando o risco residual é maior do que a sua tolerância e o risco inerente superior aos riscos adicionais que a organização pode aceitar, a gestão ou tem de apurar novas respostas ao risco, ou determinar novos limites.
A apreciação dos riscos com base numa visão de portfólio ou carteira, permite à gestão ter circunstâncias para investigar se a entidade permanece nos limites de apetência ao risco e verificar se continua a assumir os riscos que selecionou.
Este tipo de visão informa a gestão de topo sobre as concentrações de riscos que afetam estratégias específicas ou sobreposição de exposições de risco para a empresa e ajuda na importância das exposições de riscos chave com base em avaliações de probabilidade de risco e impacto para a organização.
Se a visão de portfólio apresentar riscos menores do que a apetência ao risco, a gestão pode incentivar os seus gestores a tomar mais riscos, controlados, selecionados e em permanente avaliação, a fim de obterem maior crescimento e lucro.
A coluna do impacto do risco representa o valor que certo risco identificado causará para a empresa se ocorrer. O custo do valor esperado é o produto do impacto do custo com o resultado do risco. A última coluna pergunta se já existe algum plano de resposta a esse risco.
Existem riscos que têm um resultado de risco considerável e um alto custo de implementação, esse é o tipo de risco onde a gestão decide aceitar o risco ou desenvolver outra forma para remediar a situação. Também há riscos onde o resultado do risco é baixo mas o custo de implementação alto, este é o tipo de números que a gestão irá normalmente decidir “esperar o melhor” e viver com o risco. Para este último exemplo, ficará caro se a gestão incorrer o risco mas também é dispendioso instalar ações corretivas.
Moeller (2011) menciona que as maiores quatro áreas de risco são o crédito, o mercado, a liquidez e o cumprimento com os riscos legais. Contudo, existem outros quatro riscos que não são assim tão fáceis de encabeçar no processo de gestão do risco: o risco estratégico associado com o preço do produto e preocupações de avaliação; o risco associado com serviços subscritos, normas e documentação de suporte; o risco de reputação; e o risco de falência do negócio, fraude e o que é chamado por risco de contraparte ou risco que os parceiros de negócio não viverão até o termo dos seus acordos ou obrigações. Para melhor entender, segue-se um esquema:
Existem outros tipos de riscos que também merecem atenção. São eles o risco de negócio, e de tecnologia de informação e o relacionado com transferência. O risco de negócio refere-se especialmente aos riscos potenciais decorrentes do ambiente externo e atividades internas de uma entidade que podem ter um impacto negativo nas suas operações e no desempenho global. Inclui o financeiro, o relacionado com a concorrência, etc; e têm em consideração o foco da gestão do risco, o âmbito do negócio e os objetivos do risco e a ênfase de gestão do risco.
O risco de tecnologia de informação sugere a utilização de passwords ou sistemas que garantem a segurança da informação que a empresa possui no seu sistema informático.
E por fim, o risco relacionado com transferência inclui seguros e hedging, onde através de certos mecanismos o risco de certas transferências diminui.
Uma maneira eficaz de administrar todos estes riscos é dividi-los em diferentes portfólios e geri-los através de uma abordagem de gestão de portfólio. Para o exercer com eficácia a gestão deverá:
em agrupamentos ou portfólios de riscos;
esses riscos empresariais numa base de portfólio.
2.6. Atividades de Controlo
As atividades de controlo são “as políticas e os procedimentos que contribuem para assegurar que as respostas aos riscos sejam executadas. Essas atividades ocorrem em toda a organização, em todos os níveis e em todas as funções, pois compreendem uma série de atividades – tão diversas, como aprovação, autorização, verificação, reconciliação e revisão do desempenho operacional, da segurança dos ativos e da segregação das responsabilidades”.
As atividades de controlo são políticas e procedimentos que encaminham as ações individuais na aplicação das políticas de gestão dos riscos, diretamente ou com o auxílio de tecnologia, para contribuírem que as respostas aos riscos selecionadas pela gestão sejam executadas com eficácia em relação a determinados objetivos.
Uma política institui aquilo que deve ser constituído, devendo ser executada com cautela, de forma sólida e escrupulosa. Um procedimento serve para garantir que uma política é cumprida, tendo que ser nítido e ininterrupto.
Quando a gestão escolhe as atividades de controlo tem de prestar atenção à forma como elas se relacionam entre si. Por exemplo, uma única atividade de controlo pode abordar diversas respostas aos riscos, ou podem ser necessárias várias atividades para controlar uma resposta ao risco, ou até mesmo, as já existentes conseguirem lidar com eficácia com as novas respostas aos riscos.
Nesta fase a gestão também deve considerar o risco residual.
O objetivo das atividades de controlo é reforçar a execução dos planos de ação estabelecidos e manter as empresas direcionadas ao cumprimento dos seus objetivos, para tal recorre a determinadas atividades de controlo, podendo ser essencial utilizar mais do que uma na mesma resposta ao risco, como a revisão da gestão, gestão funcional direta ou de atividade, processamento de informação, controlos físicos, indicadores de desempenho ou segregação de funções.
Dado a grande dependência na tecnologia, as empresas devem ter controlo dos sistemas de informação para colaborar na operação destas, observar os objetivos de comunicação e cumprir as políticas.
Não existem atividades de controlo tipificadas a todas as empresas, elas variam consoante os interesses da gestão, o seu ambiente, indústria, tamanho, complexidade, natureza, história, cultura, localização e métodos de processamento das informações.
Diferentes atividades de controlo possuem divergentes graus de eficácia e custos para executar duas qualidades chaves que influenciam a eficácia de um mecanismo de controlo: o diagnóstico e a objetividade.
O diagnóstico é a capacidade de uma atividade de controlo facultar uma recomendação fiável e oportuna de problemas potenciais, como por exemplo, sinalização quando uma má decisão é tomada ou existir erros dentro de um processo de negócio.
Por sua vez, a objetividade refere-se à potencial tendência inerente na execução de um controlo, de maneira que as atividades de controlo sejam manipuladas pelos indivíduos que detêm um interesse no resultado de um processo, debilitando potencialmente a sua qualidade.
A interligação destes dois atributos permite determinar a área de controlo aceitáveis, como se pode observar na figura abaixo:
2.7. Informações e Comunicações
As informações pertinentes são identificadas, recolhidas e comunicadas de forma coerente e no prazo, a fim de permitir que as pessoas cumpram as suas responsabilidades. Os sistemas de informática geralmente empregam dados gerados internamente e informações de fontes externas, possibilitando dessa forma, esclarecimentos para a gestão dos riscos e a tomada de decisão baseadas em dados relacionados aos objetivos. A comunicação eficaz também ocorre ao fluir em todos os níveis da organização. Todo o pessoal recebe uma mensagem clara da gestão de topo, alertando que as responsabilidades de gestão dos riscos empresariais devem ser levadas a sério. Cada um entende a sua própria função na gestão dos riscos empresariais, assim como as atividades individuais que se relacionam com o trabalho dos demais. As pessoas deverão ter uma forma de comunicar informações significativas dos escalões inferiores aos superiores. Deve haver, também, uma comunicação eficaz com externos, como clientes, fornecedores, órgãos reguladores e acionistas.”
As informações são precisas a todos os níveis da empresa, para identificar, avaliar e responder aos riscos, geri-la, atingir os seus objetivos e controlar as suas atividades. Têm origem em várias fontes internas ou externas, de forma quantitativa ou qualitativa e de natureza financeira ou não financeira, sendo um dos duelos da gestão o processamento e a purificação de grandes volumes de dados recebidos e recolhidos em informações úteis à execução das funções da empresa.
O sistema de informação deve ser suficientemente maleável e veloz para se relacionar eficazmente com os stakeholders na recolha e partilha de informação, principalmente no que diz respeito à instrução mais importante e vital para a entidade. Ele deve estar implementado e empregado para fornecer apoio à estratégia comercial de forma atualizada, uma vez que as exigências de negócio alteram-se e a tecnologia cria novas ocasiões de observar proveitos estratégicos.
A internet é um grande meio de transmissão, contribuindo para que todos os colaboradores transfiram informações.
Para que a gestão tenha mais certezas quanto aos riscos que a empresa enfrenta, ele recorre aos dados históricos e aos correntes. Os primeiros possibilitam o acompanhamento do desempenho real das metas, planos e expetativas, sendo um aviso antecipado dos acontecimentos potenciais que valem a ponderação da gestão. Os últimos, por sua vez, permitem determinar se a organização se encontra dentro das tolerâncias aos riscos estabelecidas.
A submissão aos sistemas de informação origina novos riscos que a empresa tem de considerar aquando da componente de identificação de riscos, são eles a violação de segurança de informações e os crimes cibernéticos.
Deve-se impedir uma sobrecarga de informações desnecessárias, garantindo-se um fluxo para as informações corretas, na forma correta, no nível correto de pormenores, para as pessoas certas, na ocasião adequada. O conteúdo da informação tem de ser apropriado, oportuno, atual, exato e de fácil acesso, a fim de evitar riscos não identificados ou avaliações imprecisas e decisões impróprias por parte da gestão.
Os sistemas de informação devem ser controlados uma vez que são vários os pontos que poderão pôr a empresa em perigo, como necessidades funcionais conflituantes, limitações de sistemas e processos não integrados, para tentar combater esta desvantagem pode-se fundar programas de gestão de dados.
A comunicação trata vários assuntos importantes, como as expetativas, as responsabilidades dos indivíduos e dos grupos. Deverá ser tanto interna como externa.
A gestão efetua comunicações particulares e orientadas que assistem as expetativas de comportamento e as responsabilidades do pessoal. Estas devem transmitir com eficácia a relevância e a congruência da gestão dos riscos empresariais eficaz, os objetivos da entidade, a apetência aos riscos e a respetiva tolerância, uma linguagem comum dos riscos e as funções e as responsabilidades dos colaboradores afetos a esta ao conduzir e apoiar as componentes de gestão dos riscos empresariais.
O pessoal deve estar informado sobre as suas funções, responsabilidades, deve existir um canal de comunicação aberto, sem que haja represálias quando são comunicadas situações que podem representar riscos, têm de se sentir motivados e que é de todo o interesse assumirem uma atitude de gestão de risco empresarial, tendo como exemplo os seus superiores.
Um canal de comunicação aberto para com os clientes e fornecedores é um meio para que estes sintam a sua importância para a empresa e que as suas necessidades e desejos são ouvidos e tidos em conta nas suas relações comerciais. Já a comunicação com os agentes reguladores, analistas financeiros e outras partes externas permite que estes estejam a par das situações e dos riscos que a empresa enfrenta.
A comunicação pode despontar sob o formato de manuais de políticas, memorandos, mensagens de correio eletrónico, notificações em quadros de aviso, mensagens pela internet e mensagens gravadas em vídeo.
2.8. Acompanhamento/Monitorização
A gestão dos riscos empresariais é acompanhada, avaliando-se a presença e o funcionamento das suas componentes ao longo do tempo. Essa tarefa é realizada mediante atividades contínuas de acompanhamento, avaliações independentes ou uma combinação de ambas. O acompanhamento contínuo ocorre no decurso normal das atividades de gestão. O alcance e a frequência das avaliações independentes dependerão basicamente de uma avaliação dos riscos e da eficácia dos procedimentos contínuos de acompanhamento. As deficiências na gestão dos riscos empresariais são relatadas aos superiores, sendo as questões mais graves relatadas à gestão de topo.
O ERM altera-se ao longo do tempo, por exemplo, as respostas aos riscos úteis em tempo podem-se tornar irrelevantes, as atividades de controlo dissipar a eficácia ou deixar de ser efetuadas, ou os objetivos podem modificar. É por este motivo que surge esta componente, para que a gestão acompanhe o processo de gestão do risco empresarial e se assegure que este mantenha-se eficaz.
Pode ser dirigido através de atividades contínuas ou avaliações independentes. Quanto maior o encalço e a eficácia do acompanhamento contínuo, menor a necessidade de avaliações independentes. É decisão da gestão a quantidade de aplicação das avaliações independentes sempre com a finalidade de salvaguardar que o processo de ERM permaneça eficaz. Normalmente, o mais aplicado é uma combinação destas duas ferramentas O acompanhamento contínuo é incluído nas atividades quotidianas e repetitivas de uma entidade, em tempo real, respondendo a alterações nos contextos e está enraizado nela. Normalmente é aplicado pelos diretores de produção ou operacionais que delimitam a necessidade de aplicação de medidas corretivas através do relacionamento, inconsistências ou outras avaliações importantes, questões e acompanhamento do pessoal.
As avaliações independentes variam da importância dos riscos e do interesse das respostas aos riscos e dos respetivos controlos para a gestão dos riscos, tendo por base a definição da estratégia, as atividades consideráveis e as categorias de objetivos. Sob a forma, habitualmente, de autoavaliações efetuadas, onde os responsáveis entregam a sua aptidão sobre o ERM.
O avaliador deverá ser uma pessoa dentro da organização que conheça muito bem e tenha acesso a cada atividade, geralmente o auditor interno, que efetua uma comparação dos resultados da avaliação com os modelos instituídos pela gestão para cada uma das componentes a fim de determinar que os objetivos selecionados são alcançados. Esta avaliação deverá ser documentada.
As deficiências encontradas de gestão dos riscos empresariais que possam influenciar a habilidade da entidade de aumentar e realizar a sua estratégia e de estabelecer e obter os seus objetivos, devem ser comunicadas para que seja possível praticar medidas que as regularizem, bem como as oportunidades reconhecidas para ampliar a probabilidade dos seus objetivos.
Pretende-se com este e-book desconstruir o Plano de Ação do Negócio, através dum Processo e Ferramentas que vão permitir construir e implementar um verdadeiro Plano de Ação Base para que definitivamente deixe de ser levado pelo seu negócio, agindo de forma reativa e instintiva, e passe a comandar de forma proativa e decidindo o rumo, de acordo com o que quer e como quer!
Quando se fala de indicadores financeiros, habitualmente evita-se o assunto e remete-se para especialistas de contabilidade e finanças. De facto, estes profissionais são amplamente entendidos na matéria. Isso não implica que não acompanhe e saiba o que lhe dizem os seus números. Para que possa aproximar-se sem medo ou hesitações, de documentos que habitualmente evita, o objetivo deste ebook é simplificar alguma informação, para que fique no controlo da situação e tome decisões sem receios e com algum conhecimento.
O próximo Webinário:
A Revolução industrial 5.0 – Os novos desafios das Vendas, da Gestão e Liderança
decorre nos dias 13 e 14 de abril.
As inscrições estão abertas. Deixe os seus dados e receba informação exclusiva!
