Gerenciamento de riscos em “Ilhas”, cômodo,
porém, Tóxico!
Mario Alves W. de Souza, MBA, MBS, CIEIE
Mestre em Planejamento em Gestão de projetos (Linha de pesquisa em Riscos) pelo Instituto de Pesquisas Tecnológicas – IPT,
especialista em Gestão de Riscos pela Faculdade de Engenharia de São Paulo. Gerente de Consultoria da Brasiliano INTERISK
Não precisamos mais convencer ninguém que todas as organizações possuem uma enormidade de riscos em todas as suas áreas, projetos, processos e atividades. Esse tema está superado, pois, de alguma forma, os gestores entendem a sua responsabilidade. Assim, o gerenciamento de riscos, como segunda linha de defesa, existe para auxiliá-los a identificar, analisar e avaliar os seus riscos.
O desafio atual, no meu entendimento, é demonstrar que o Gestor de Riscos deve atuar como um grande maestro, organizando os riscos de todas as categorias e em toda a organização. Quando digo organizar, quero novamente ressaltar que a função da segunda linha de defesa não é identificar os riscos, não somos especialistas, podemos ter vivência em algumas áreas e opinar de forma mais incisiva em alguns pontos, porém, a nossa principal missão é integrar todas as áreas e disciplinas de forma que seja possível filtrar o que é, de fato, mais crítico, mais estratégico para o negócio da empresa. Isto independe a categoria de seus riscos.
Nesse contexto, vejo que as diversas organizações tratam riscos de forma modular, ou seja, como ilhas. Normalmente a Segurança do Trabalho identifica os seus riscos e os trata de forma muito peculiar, a Segurança da Informação desenvolve metodologias e condutas própria e a gestão de riscos corporativos fica limitada a gerenciar os riscos dos processos e os estratégicos. Isso não faz sentido! É uma tremenda miopia por parte da alta gestão da empresa, sem falar no Conselho de Administração que deve cobrar do Presidente quais risco impactam diretamente e indiretamente a estratégia e os objetivos da empresa. Portanto há a necessidade de a empresa possuir a visão da interconectividade entre riscos, ou seja, quais riscos possuem maior motricidade, quais riscos são mais influentes. Caso a alta gestão da empresa não tenha esta visão, que, inclusive já era pedida no COSO ERM 2004 e ressaltada no COSO 2017, a gestão ficará com uma visão míope, segregada de seus riscos.
A mudança do framework do CUBO do COSO 2004 para as duas Figuras transversais, uma para a área estratégia, e a outra específica para a gestão de riscos, sendo que as duas são transversais. O framework do COSO ERM 2017, sendo totalmente transversal e falando a linguagem estratégica, coloca a gestão de riscos em um patamar estratégico, ao lado do planejamento estratégico. A estratégia da empresa e seus objetivos estratégicos devem estar alinhados com o apetite de riscos da instituição, o que significa maior acuracidade das variáveis internas e externas.
Fig. 1: Mudança de Conceito do Framework do COSO ERM de 2004 para o de 2017.
O Fórum Econômico Mundial, através de seu Relatório Global Risk Report, desde 2014 orienta a necessidade de existir um único gestor de risco, para ser o maestro da organização. Em 2017 o Banco Central, seguindo premissas de Basiléia publicou a Resolução 4557, onde, por determinação regulatória as instituições financeiras passam a ter um único CRO – Chief Risk Officer, para todas as categorias de riscos. Antigamente existia um para risco operacional, risco de mercado, crédito, financeiro. Agora tem que haver a integração, a visão de interconectividade entre os riscos. Qual seria a Missão deste CRO, o todo poderoso das organizações?
Simples, ele deve seguir as premissas do Modelo de Governança das Três Linhas de Defesa, onde este Modelo, também denominado de Efeito Cebola (figura 2), pois há uma cobertura em camadas entre riscos, compliance, controles internos e auditoria interna.
Fig. 2: Modelo de Governança Corporativa: Três Linhas de Defesa - Efeito Cebola.
A principal atribuição do Gestor de Riscos Corporativos é desenvolver uma única Política de Riscos que abarque todas as áreas da organização e as diversas disciplinas e, através de alinhamento metodológico, auxiliar as áreas (segurança do trabalho, qualidade, meio ambiente, segurança da informação e todas as demais) a desenvolver processos de gestão de riscos cuja resultado final possa ser comparado, possa haver convergência de forma que todos os riscos da instituição irão para uma única Matriz de Riscos. Com isso o apetite de riscos da empresa, independente da categoria de riscos, terá o mesmo critério, a mesma régua na Matriz de Riscos (figura 3).
Fig. 3: As disciplinas de Riscos devem, independente da metodologia, irem para uma única Matriz de Riscos da empresa.
Realizar riscos em ilhas, como a maioria das empresas fazem, é mais cômodo, demanda menos alinhamento, não precisa convencer ninguém acerca da importância da integração, mas, infelizmente, é tóxico. Uso esse termo, pois, no meio do caminho você pode se iludir e, repentinamente, um risco “fora do radar” se concretiza e anos de trabalho se perde e, para piorar, a área de gestão de risco é corretamente questionada e colocada em exposição sobre suas competências.
Sendo assim, entendo que é totalmente inviável gerenciar riscos em planilhas, a adoção de um sistema metodologicamente bem estruturado é essencial para consolidar e filtrar uma enormidade de dados, possibilitando identificar os riscos de maior criticidade de forma integrada. Alerto a todos que, apesar dos riscos estratégicos e financeiros serem os mais visados, os riscos operacionais podem surpreender nos detalhes, como acidentes que levam a fatalidade, descumprimento de legislações, corrupção e outros que tem o potencial de abalar as estruturas da organização.
Confesso que não é fácil, demanda alto poder de articulação e, principalmente, comprometimento (“fé na missão”), mas com a base bem estruturada (Política e Processos) e um “plano de ataque” bem definido, estabelecendo por onde começar, é possível.
Após anos de trabalho na área e muitos autoquestionamentos vejo claramente essa necessidade, mas sinceramente, vejo claramente que dependemos de sistemas de TI, afinal estamos no século XXI, Quarta Revolução Industrial, não podemos admitir mais a utilização de planilhas. Somente através de sistemas de TI, estruturados metodologicamente, com todo o conceito refletido em prática, é que facilitará a vida de todos os gestores da primeira linha de defesa e, mais que isso, confortando a alta gestão acerca do gerenciamento de riscos.
Portanto nosso grande desafio neste ano de 2020, 20 anos de século XXI, é nós como gestores conseguirmos virar a chave, e implantar sistemas de TI no Gerenciamento de Riscos, quebrando desta forma mais uma barreira, para tornar menos tóxica os nossos resultados.