Pautado nesse cenário, destaco alguns pontos que devem ser considerados para que a gestão de riscos deslanche e torne-se uma atividade corriqueira e contínua nas organizações.

​

1. Premissa básica: a área de gestão de riscos não deve trabalhar com desconfiança perante as áreas, ao contrário, deve envolver todos os gestores para construir uma relação de confiança e parceria, e que eles tenham plena ciência que os riscos e suas criticidades são responsabilidade deles, e você só está lá para ajudá-lo.  

 

2. Conheça a empresa e sua estrutura: utilize ferramentas para que conheça todas as “engrenagens” que criam e sustentam valor. A análise da Cadeia de Valor, Planejamento Estratégico, Canvas e outros é essencial, além disso, aplique o Business Impact Analysis (BIA) para que entenda quais processos possuem maior criticidade para o negócio. Essa análise te auxiliará a sugerir ao CEO e Conselho de Administração onde as ações devem se iniciar e qual deve ser o foco.

 

3. Tenha uma Política de Riscos, Processos e o Apetite ao Risco definido: é impossível realizar análise de risco sem que haja a “regra do jogo” estabelecida. A área de Gestão de Risco não é a responsável por indicar se um risco é crítico e/ou está dentro ou fora do apetite, isso é responsabilidade da Alta Gestão (especificadamente quanto ao apetite é o Conselho de Administração que aprova). A definição de toda documentação, estabelecendo metodologia e critérios é essencial.

 

4. Não foque nos mínimos detalhes, pelo menos no início: se estiver em fase de implementação, faça um processo bem estruturado e com bases sólidas, assim, trabalhe em rodadas. O mais importante, no início, é você identificar os principais riscos, suas causas (fatores de riscos) e controles.

 

5. Teste de controles é responsabilidade da auditoria: sim, a gestão de riscos não deve focar em testar controles, caso contrário, a gestão de riscos se envolverá numa atividade e responsabilidade que não é dela. Faça valer o conceito das Três Linhas de Defesa, foque o esforço em analisar dados identificados e validados pelas áreas (primeira linha), agregando valor a alta gestão na tomada de decisão. A terceira linha (auditoria) se encarrega de testar.  

 

6. Saiba monitorar: estabeleça meios para monitorar os riscos da sua organização. Para isso é muito importante você saber quais são os seus principais riscos e suas causas, assim, estabeleça indicadores e fonte de dados para monitorar o ambiente interno e externo, e como eles influenciam os riscos.

 

7. Comitê de Riscos: estabeleça um comitê multidisciplinar, que envolva todos os gestores (operacionais, segurança da informação, segurança do trabalho, meio ambiente, planejamento, financeiro etc.). Coloque em debate temas relevantes onde todos sejam participativos, apresentem conteúdos e, sempre que necessário, convide especialistas para explanações extras.

 

8. Suporte de sistema: vivemos na era digital, onde as relações sofrem e sofrerão ainda mais mudanças. A quantidade e velocidade de alterações de dados, informações e condições é muito dinâmica. Não possuímos mais o tempo que tínhamos há 10 anos atrás para análises, precisamos de agilidade e assertividade. O suporte de um sistema de gestão de riscos é mandatório, conferindo a agilidade, registros e, o mais importante, consolidação e cruzamento de dados.

 

Com medidas estruturantes, a gestão de risco pode agregar muito valor e se afastar de estereótipos que dominam a área. O objetivo não é trazer mais uma tarefa para as áreas, muito menos, atuar como fiscalizador com eterna desconfiança. Deve-se estimular o entendimento que a gestão de risco sempre existiu, que fazemos isso ao longo do nosso dia centenas de vezes, que a área está para auxiliar com ferramentas que apoiam a tomada de decisão e que muitas vezes, essa ação pode evitar a concretização de riscos.