Gestão de riscos: a implementação envolve mudança de comportamento e atitude em uma organização. É necessário “mexer” na cultura da organização (BrianAJackson/Thinkstock)
Redação Exame
Publicado em 27 de fevereiro de 2024 às 10h02.
Última atualização em 27 de fevereiro de 2024 às 10h04.
“Não se gerencia o que não se mede, não se mede o que não se define, não se define o que não se entende e não há sucesso no que não se gerencia”. Essa conhecida frase de William Edwards Deming resume dois importantes pontos da gestão de riscos: é preciso conhecer os riscos de uma empresa e é preciso ter gestão sobre esses riscos para alcançar o sucesso.
Quando perguntamos aos executivos de uma empresa o que são riscos, a resposta é rápida e conhecida. “É o que pode dar errado”. “É um potencial de perda ou prejuízo”. “É algo incerto”. “’É uma ameaça ao negócio”. Mas quando perguntamos se um risco pode ser eliminado, as respostas são divergentes. Alguns dizem que sim, outros que não, alguns dizem talvez. Ao ouvirem a resposta correta, ainda existe discordância e muito debate: a resposta é não, um risco não pode ser eliminado. Ele pode ser gerenciado.
A gestão de riscos tem sido o principal pilar de diversos temas que estão na pauta das empresas atualmente, como, por exemplo: programas de compliance, programas de prevenção à lavagem de dinheiro e planos de auditoria interna.
Segundo as diretrizes da Controladoria Geral da União (CGU) para empresas privadas, “a empresa deve conhecer seus processos e sua estrutura organizacional, identificar sua área de atuação e principais parceiros de negócio, seu nível de interação com o setor público – nacional ou estrangeiro – e consequentemente avaliar os riscos para o cometimento dos atos lesivos da Lei nº 12.846/2013”. Ou seja, o entendimento dos riscos do negócio é que direciona o código de conduta, as políticas e os procedimentos, as comunicações, o plano de treinamento e o monitoramento de todo o programa.
Recentemente, os principais órgãos reguladores do Brasil (CVM – Resolução n. 50/2021, BACEN – Circular n. 3978/2020, SUSEP – Circular n. 612/2020, PREVIC – Instrução n. 34/2020) lançaram novas versões de suas regulamentações referentes aos programas de prevenção à lavagem de dinheiro, onde a grande evolução frente às versões anteriores foi a determinação de que as empresas devem realizar uma análise dos riscos do seu negócio para estruturar as políticas e os alertas de prevenção à lavagem de dinheiro, a chamada abordagem baseada em risco.
A ISO 19011:2018 – “Diretrizes para auditoria de sistemas de gestão” incluiu o princípio da Mentalidade de Risco, abrangendo a orientação de que a auditoria deve considerar os riscos e oportunidades, que derivam do contexto da organização, para planejar sua abordagem e para verificar o gerenciamento da organização.
Porém, a implementação da gestão de riscos envolve mudança de comportamento e atitude em uma organização. É necessário “mexer” na cultura da organização.
David Hillson, um especialista em gestão de riscos conhecido internacionalmente, escreveu os “Top 10 Mitos de Risco”, que devem ser bem esclarecidos antes de se iniciar a implementação da gestão de riscos em uma empresa. São eles:
Existem duas importantes referências para estruturar um processo de gestão de riscos nas empresas: COSO ERM 2017 e ISO 31000:2018.
Ambos possuem princípios e etapas que servem como um passo a passo de implementação nas empresas:
É recomendado que esse ciclo seja repetido periodicamente, de forma a manter os controles e processos alinhados à atualidade da empresa.
Concluindo, é importante ter em mente que não existe “receita de bolo” ou mapa de riscos “de prateleira”. Cada empresa é única, possui particularidades que devem ser conhecidas e tratadas para que seus processos sejam robustos, com controles bem implementados, evitando que a materialização de riscos impeça a continuidade do negócio e a empresa possa ter uma vida duradoura e de sucesso.