A Gestão de Riscos deve fazer parte da rotina corporativa, estar alinhada às práticas e aos princípios de controles internos e servir como suporte às áreas de negócio e aos administradores da companhia na tomada de decisões.
Em linhas gerais, Gestão de Riscos se refere aos princípios, à estrutura e ao processo para mitigar riscos que eventuais fraquezas internas e ameaças externas trazem ao negócio, seja pela probabilidade de sua ocorrência, seja pelos impactos negativos que podem vir a gerar caso se materializem.
Considerando definições presentes em documentos de melhores práticas e regulamentos associados ao tema, uma boa Gestão de Riscos precisa:
• Ser compatível com a natureza, escala e complexidade das operações da organização;
• Prever processos, metodologias e ferramentas para identificar, avaliar, mensurar, tratar e monitorar a exposição a riscos;
• Adotar tratamentos e controles adequados, compatíveis com cada risco, com o objetivo de evitá-lo, mitigá-lo, compartilhá-lo ou mesmo aceitá-lo de forma consciente e controlada;
• Descrever o conjunto de riscos a que a companhia está exposta, de acordo com a metodologia empregada para a identificação de riscos, definindo um “apetite ao risco” (veja adendo abaixo) e a forma de alcançar objetivos estratégicos para criar valor aos acionistas;
• Considerar a elaboração de um plano de continuidade de negócios, contendo as informações e os procedimentos necessários para a manutenção das atividades críticas da organização diante de situações que afetem seu funcionamento normal.
A identificação e a avaliação dos riscos precisam considerar, entre outros, os seguintes tipos de riscos:
Estratégicos – Riscos associados a decisões estratégicas da organização para atingir os seus objetivos de negócios;
Financeiros – Riscos associados à exposição das operações financeiras da companhia e suas subsidiárias, que podem ser classificados em riscos de mercado, de crédito e de liquidez;
Operacionais – Riscos decorrentes da falta de consistência e adequação dos sistemas de informação, processamento e controle de operações, assim como de falhas no gerenciamento de recursos e controles internos;
Compliance – Riscos relacionados a sanções legais/regulatórias, de perda financeira ou dano à reputação que a empresa pode sofrer como resultado da falha no cumprimento da aplicação de normas, leis, acordos, regulamentos, código de ética ou conduta ou demais políticas e normas internas;
Segurança da informação – Riscos relacionados a controles ineficazes ou inexistentes e ações indevidas que possam comprometer a confidencialidade, integridade e disponibilidade dos dados/informações coletados e tratados pela companhia.
Muitas companhias possuem seu próprio “dicionário de riscos”, não necessariamente seguindo a tipologia que descrevemos acima. Mas é indispensável que estas categorizações próprias contemplem todos os possíveis riscos a que a companhia está exposta e que sejam adotadas como linguagem única dentro da organização.
Um adendo
Pode parecer contra-intuitivo – uma vez que o termo “risco” parece estar sempre associado a algo negativo – mas devido às inúmeras particularidades dos vários segmentos possíveis de atuação corporativa, existe um conceito que pode ser chamado de apetite ao risco, que se refere a quanto de risco uma organização está disposta a correr para atingir seus objetivos.
O apetite ao risco pode ser parametrizado tanto qualitativa como quantitativamente e gerenciado em relação a uma iniciativa individual ou agregada da companhia, devendo sempre estar alinhado com suas respectivas estratégias, plano de negócios e limites de riscos aceitáveis. O apetite ao risco (assim como a tolerância a eles) deve ser sempre estabelecido pelo conselho de administração da companhia, nunca de forma autocrática por um de seus executivos.
Você quer contar com a parceria de quem domina todos esses conceitos, e muitos outros, para oferecer à sua empresa uma Gestão de Riscos consistente, que não só proteja sua companhia como também contribua para seus objetivos de negócio? Fale com a SICCS.
Fontes:
www.cnseg.org.br
www.susep.gov.br