12 erros frequentes que tornam
a Gestão de Riscos Míope
Marcos Alves Junior
Assistente de Comunicação e Marketing da Brasiliano INTERISK
Abril | 2022
No âmbito de tudo que abrange uma Gestão de Riscos estruturada, existem fatores que ganham destaques por serem cruciais. Um deles é o conceito das Três Linhas de Defesa, no qual a 1ª Linha, responsável pela gestão operacional, precisa avaliar e reportar perfeitamente os riscos do negócio. A 2ª Linha de Defesa inclui as funções de Gerenciamento de Riscos, orientando e supervisionando as áreas de negócios para auxiliar os profissionais da 1ª Linha. Desse modo, a área de Gestão de Riscos Corporativos se torna essencial para que a organização assuma uma posição de antecipação diante dos riscos.
Outro fator de suma importância no processo de Gestão de Riscos é representado pelos principais padrões de mercado e metodologias nacionais e internacionais, tais como: ISO 31000:2018 - Gestão de riscos - Diretrizes, COSO ICIF:2013 - Committee of Sponsoring Organizations of the Treadway Commission - Internal Control - Integrate Framework e o COSO ERM:2017 - Committee of Sponsoring Organizations of the Treadway Commission - Enterprise Risk Management – Integrating with Strategy and Performance (Integrado com Estratégia e Performance). É importante ressaltar que esses padrões são apenas orientadores, ou seja, cabe a cada organização assimilar as diretrizes e implementá-las, levando sempre em consideração a cultura organizacional e as suas necessidades.
Tendo em vista os fatores acima expostos, cabe aos gestores entenderem a responsabilidade e a importância de ter uma processo estruturado. Evitando uma análise de riscos míope e mediante a estruturação dos processos, um erro pode ser identificado e corrigido com maior agilidade. Tendo esses conceitos claros, vejamos quais são os 12 erros acometidos com maior frequência em uma análise de riscos míope:
1. O não envolvimento das partes interessadas, por exemplo, a área de Gestão de Riscos (segunda linha) não envolve o Dono do Processo (primeira linha), presumindo que a primeira linha não tem tempo e condição técnica para identificar e analisar os riscos. Detalhe que deveria ser alinhado em um treinamento especializado;
2. A falta de integração da área de Controle Interno com a área de Gestão de Riscos, o que não se justifica, pois só existe controle devido à condição do risco;
3. A falta de independência das áreas de Gestão de Riscos e Auditoria Interna, pois em algumas empresas essas áreas respondem para o mesmo Diretor, ou seja, algumas empresas que possuem uma Auditoria com a função adicional da Gestão de Riscos e em alguns casos a área de Gestão de Riscos está ligada ao Diretor Financeiro, podendo também gerar conflito de interesse;
4. A Mensuração da probabilidade do risco, somente pelo critério de Frequência, ou seja, o histórico pode deixar uma visão errônea de probabilidade;
5. A Mensuração do impacto (consequência) do risco, somente pelo critério Financeiro, sendo necessário minimamente considerar os critérios Financeiro, Imagem, Legal e Operacional;
6. A falta de estruturação na matriz de riscos;
7. Deixar de identificar os fatores de riscos (causas dos riscos);
8. Não possuir uma Política de Gestão de Riscos Corporativos, deixando claros as responsabilidades e o apetite ao risco;
9. Não monitorar os riscos e indicadores de desempenho;
10. Dispensar o uso de tecnologias que tornam a Gestão de Riscos e Auditoria Interna baseada em riscos mais eficientes e integradas;
11. Áreas que atuam com o tema de Gestão de Riscos trabalhando como ilhas, por exemplo: Cibernético, Segurança do Trabalho, Segurança Empresarial, Meio Ambiente, entre outras;
12. A Alta Gestão não dar a devida importância para o tema de Gestão de Riscos (top-down). O assunto precisa fazer parte da rotina, estabelecendo uma cultura efetiva de gestão de riscos.
Tendo em vista todos esses erros cometidos pelos gestores, é importante citar que o processo de gestão de riscos não é uma ferramenta para que os gestores tenham aversão aos riscos. A gestão de riscos tem como objetivo prover a confiança para que os gestores possam aceitar riscos, em níveis pré-definidos, e alavancar oportunidades para a organização.
Quando a empresa tem uma cultura de aversão aos riscos, cria-se uma gestão inflexível, com a construção de bloqueios que podem prejudicar o desempenho da organização no cumprimento dos seus objetivos. Por outro lado, quando a empresa tem uma aceitação de riscos desproporcionais a sua capacidade de geri-los, isso pode ocasionar impactos significativos.
A Brasiliano INTERISK conta com o Software INTERISK, uma ferramenta que atende às melhores práticas, aliando tecnologia e conceito, garantindo que as disciplinas de riscos trabalhem em sincronia, em um único framework. Atualmente o INTERISK conta com 13 módulos, abrangendo as diferentes áreas da organização. Dessa forma ele auxilia o desenvolvimento de todas as áreas de forma holística, assegurando a otimização dos processos como um todo.