Endeavor >> Três etapas para uma gestão de riscos mais efetiva
Diagnóstico, Priorização e Mitigação. Esses são os três pilares que formam uma boa gestão de riscos
Marcelo Forma *
Publicada em 31 de julho de 2013 às 08h14
Gerir riscos é parte do cotidiano de todas as empresas e pessoas. Seja nas decisões de investimento do seu capital, contratação de profissionais, obtenção de empréstimos, aquisição de um ativo, é natural pensar e calcular o retorno desejado. Por outro lado, existem riscos que podem diminuir e, até mesmo, inviabilizar o resultado almejado para o crescimento da organização.
Os riscos a que as empresas estão sujeitas podem originar-se tanto do ambiente externo em que ela está inserida quanto do ambiente interno. O “olhar para fora” deve monitorar os movimentos dos concorrentes, consumidores, oscilações do mercado financeiro, mudanças regulatórias e de leis, novas tecnologias bem como as expectativas das demais partes interessadas, ou stakeholders, como sociedade, governo, comunidade local e meio ambiente. As empresas devem considerar essas ameaças externas e mecanismos de mitigá-las em seus planejamentos estratégicos, por meio da análise de riscos estratégicos, financeiros, operacionais e de compliance (legal e regulatório) que podem oferecer impactos potenciais ao modelo de negócio e sua respectiva operação. Eles são conhecidos como riscos corporativos.
Porém, os riscos que se originam no ambiente interno muitas vezes são negligenciados e deixados em segundo plano. Estes riscos estão presentes nas diversas camadas de um negócio: processos, sistemas, governança e gestão, infraestrutura e profissionais. É fundamental que sejam conhecidas as fragilidades e vulnerabilidades que permeiam estas camadas, a fim de identificar os riscos potenciais, os quais podem provocar perdas financeiras, de receita, de ativos ou estoque bem como de reputação. Podem ser originados por falhas, erros ou desvios de conduta e má fé.
O risco mais preocupante é aquele que a empresa não tem conhecimento. Por isso, é primordial que toda empresa possua um processo estabelecido para gestão de riscos com enfoque pragmático e que gere valor ao negócio, contemplando os seguintes passos: (1) diagnóstico dos riscos potenciais, (2) priorização dos riscos, (3) mitigação dos riscos.
Passo (1): Diagnóstico de riscos
Toda e qualquer organização é única, pois possui cultura, valores, diretrizes de conduta, profissionais, processos, sistemas e modelo de gestão específicos. Portanto, é necessário que este ambiente seja entendido e mapeado, vulnerabilidades, fragilidades e controles analisados. As principais técnicas utilizadas para estes fins são entrevistas com gestores e executores, observações dos processos e atividades em campo, análise de dados operacionais, indicadores e incidentes.
Existem modelos de riscos pré-definidos para os diversos setores de atuação do negócio, porém, é importante definir o modelo aplicado para cada empresa. Além disso, é fundamental identificar os riscos potenciais em função do contexto vigente da respectiva organização. Por exemplo, se ela está em uma fase embrionária ou madura, se é líder de mercado ou se esta em busca de aumentar sua participação de mercado, se esta passando por uma onda de aquisições ou buscando crescimento orgânico.
Uma maneira de conduzir a etapa de mapeamento de maneira eficiente consiste em definir os processos críticos, como a cadeia de suprimentos, os processos financeiros (tesouraria), os processos de comercialização e venda (geração da receita). Ou então as áreas sensíveis, como suprimentos, comercial, vendas, marketing, logística, tesouraria, recursos humanos, central de serviços compartilhados.
Uma vez identificadas as fragilidades e vulnerabilidades do ambiente, parte-se para a identificação dos riscos potenciais, que podem abranger perdas de estoque, perdas de receita, perda de ativos, elevação de custos, perda de capital intelectual e conhecimento, perda de informação, fraudes de colaboradores e terceiros, descontrole da gestão e do caixa. Ou até mesmo riscos que podem comprometer a continuidade do negócio, como desabastecimento de ponto de venda, interrupção da operação logística, indisponibilidade de caixa e crédito, multas e sanções legais, vazamento de informações estratégicas e confidenciais, perda de reputação por atos ilegais e antiéticos, entre outros.
Passo (2): Priorização dos riscos
Diante de um cenário com diversos riscos potenciais identificados, como priorizá-los? Afinal a gestão de riscos tem que gerar valor ao negócio e não necessariamente todo risco identificado vale a pena ser mitigado, em específico quando não existe uma relação satisfatória de custo-benefício.
A priorização dos riscos identificados deve considerar a análise de probabilidade e de impacto.
Para analisar a probabilidade, para cada risco, analise a chance de ocorrência de eventos ou conjunto de eventos, uma vez que eventos são riscos materializados. Analise também a chance das fragilidades e vulnerabilidades serem exploradas. Atribua uma pontuação de acordo com uma escala pré-determinada.
Para analisar o impacto, analise a dimensão das consequências caso um evento ou conjunto de eventos ocorra, ou mesmo de a vulnerabilidade e fragilidade serem exploradas. A análise do impacto pode ser tangível (mensurável de maneira financeira) ou intangível (reputação, liderança, gestão, conduta etc.). Também atribua uma pontuação de acordo com uma escala pré-determinada.
A combinação da probabilidade e do impacto analisados apontará a criticidade dos riscos identificados e permitirá sua priorização, partindo dos riscos de alta criticidade para os de baixa criticidade.
Passo (3): Mitigação dos riscos
Uma vez conhecidos e priorizados os riscos da organização, a etapa seguinte consiste em definir e desenvolver as soluções pragmáticas para mitigá-los, ou seja, reduzir a exposição dos resultados e a sustentação e perenização do negócio.
As soluções para mitigação dos riscos devem ser específicas e factíveis, e podem contemplar desde revisão de processos e inclusão de controles em sistemas, criação de relatórios e indicadores de desempenho, confecção de políticas e procedimentos, implantação de mecanismos de monitoramento e controle, até o estabelecimento de uma área de gestão de riscos e instrumentos de governança.
Um plano de implantação das soluções deve ser elaborado a fim de iniciar-se pelas ações de ganho rápido (baixo esforço e alto benefício). Para tanto, antes da elaboração do plano de implantação, as soluções devem ser classificadas em função da combinação do esforço necessário para sua implantação e benefício potencial, e distribuídas em ondas de ganho rápido, curto, médio e longo prazos.
A gestão de riscos é um processo dinâmico e contínuo e crucial para a boa governança de qualquer empresa. Portanto, todas elas devem ter a capacidade e competência para diagnosticar, priorizar, monitorar e gerir os seus riscos, sempre atentas às mudanças do ambiente interno e externo para não serem surpreendidas por riscos desconhecidos ou não controlados.
(*) Marcelo Forma é sócio-diretor da ICTS Global.
Este artigo foi desenvolvido em conjunto com Heloisa Macari, executiva sênior da ICTS Global, responsável pela unidade de negócio GRN (Gestão de Riscos de Negócios)