Pergunte a gestores seniores de qualquer empresa se eles têm os riscos não financeiros sob controle. A resposta provável será “sim”. Porém, como executivos dos setores automobilístico, bancário, petrolífero, farmacêutico e outros podem atestar, a realidade costuma ser bem diferente. [No Brasil, grandes companhias que viveram isso recentemente foram Samarco, Lactalis (dona da marca Parmalat), BRF e Friboi.]
O fato é que não só esses riscos não estão controlados, como os profissionais das organizações são cada vez mais vulneráveis por conta deles – tanto os membros do conselho de administração quanto os da diretoria executiva têm se encontrado em situação bastante delicada, seja por estarem diretamente envolvidos no assunto em questão, seja por sua responsabilidade mais ampla pela gestão da empresa.
O risco não financeiro é tratado de dois modos:
**• Com iniciativas isoladas baseadas em regulamentação ou requisitos específicos, a cargo de especialistas de cada área.** Nesse caso, mais comum, o foco habitualmente recai sobre oferecer evidências de que os controles apropriados existem, mas eles não estão, em geral, incorporados ao negócio. Os controles são delegados a departamentos de risco e compliance que têm compreensão limitada de como gerir riscos de negócios.
**• Com a empresa como um todo assumindo a responsabilidade por gerenciar esses riscos, mas sem conectá-los à estrutura formal de compliance, risco e controle.** Nessa situação, o controle de qualidade, por exemplo, é incorporado à gestão diária de fábricas, mas os responsáveis pelas fábricas não estão envolvidos em determinar o risco de negócio ali representado, o que é um descompasso relevante.
Quando aparecem os problemas, ambos os modos deixam organizações de todos os setores de atividade de guarda baixa. O resultado são acontecimentos catastróficos e a destruição do valor para o acionista. Os litígios e acordos gerados custam centenas de bilhões de dólares a organizações financeiras e outras – isso sem contar os danos à reputação das marcas.
O impacto dos riscos não financeiros sobre gestores tem sido igualmente significativo e inclui processos jurídicos e prejuízos à reputação pessoal, não importando se a questão era de erro por ação direta do gestor ou pelo fato de ele não ter estabelecido uma abordagem de risco mais robusta. Mas não precisa ser assim. Neste estudo, apresentamos uma estrutura para a gestão de riscos e controles (GRC), a ser seguida antes que um problema grande ecloda.
**OBJETIVOS CLAROS**
Uma estrutura forte de gestão de riscos e controles deve refletir o contexto de negócios e vai além da implantação de mais um checklist. Requer um diálogo explícito entre os gestores sobre riscos não financeiros e abrange questionar onde o custo do controle pode ser alto demais, dado o valor que está em risco. Para muitas empresas, isso implica uma completa transformação cultural.
Três objetivos da GRC têm de estar claros:
1. Ela deve facilitar a tomada de decisão, ajudando os gestores a conhecer o perfil de risco. Isso facilita priorizar os controles, com base na probabilidade de os riscos ocorrerem e seu impacto.
2. Fornecer evidências, aos grupos de interesse, da adequação dos controles e deixar claro quem são os responsáveis pelos riscos e pela execução do controle. Isso proporciona aos gestores um modo de avaliar a efetividade da organização, delegar responsabilidades e tratar as implicações legais.
3. Reforçar e adequar a cultura de riscos e compliance, que deve estar profundamente incorporada à abordagem de gestão da companhia, tanto quanto à gestão de receitas e custos.
**BENEFÍCIOS DA GRC**
Os gestores costumam gostar da GRC por propiciar uma série de vantagens:
• Reduzir perdas. As empresas comumente têm três tipos de perdas em riscos não financeiros: as pouco severas recorrentes (como fraudes de cartão de crédito), as muito graves de única ocorrência (como má conduta dos líderes) e os danos à reputação. Uma estrutura sólida de GRC ajuda a reduzir essas perdas ao assegurar que os controles corretos estejam em operação. Além disso, prevenir ou minorar o impacto dos riscos diminui os custos de remediar os problemas, como o de estabelecer call centers para lidar com reclamações de clientes. Também as multas previstas em lei são reduzidas.
• Gastar menos com mitigação de riscos. Priorizar riscos e controles é direcionar recursos para onde terão maior impacto e onde a probabilidade de o risco se tornar realidade for maior. A GRC torna a função de controle mais eficiente, o que é essencial, considerando que até 5% da força de trabalho é empregada em atividades de controle. Saber quais são os principais riscos também ajuda na decisão sobre as políticas de seguros, que poderão ser mais baratas, já que a identificação de riscos é mais precisa e se torna claro como controles específicos podem ajudar a mitigá-los.
• Manter custos de implantação baixos. Estruturar a GRC requer esforços de vários anos, mas o foco firme da gestão assegurará a máxima eficiência, e os controles adequados podem gerar sinergia pelo alinhamento de processos de gestão, pela consolidação de sistemas e pela integração de relatórios. Mais do que isso, estabelecer uma estrutura de GRC propicia um foco agudo na identificação e mitigação de riscos, com base em fatos objetivos e padrões de políticas mais claros.
• Obter benefícios regulatórios. Diversos organismos reguladores internacionais pressionam por definições mais claras e conexões melhores entre a primeira linha de defesa (a empresa), a segunda (as funções de risco e compliance) e a terceira (auditoria interna). A GRC traz essa clareza.
**COMO IMPLANTAR**
Os principais componentes de uma GRC eficaz giram em torno de linguagem unificada, ferramentas de avaliação, ferramentas de dados e relatórios.
• Faça com que todos falem a mesma língua. Definições claras de risco têm de ser comuns a toda a empresa, de modo que se identifiquem os riscos que devem ser ativamente geridos e monitorados. O desafio é assegurar que a taxonomia esteja no nível correto de detalhe para que ajude a identificar os riscos, mas nem tão detalhada que se torne impossível de gerir.
• Mapeie os riscos. Um mapa de processos que represente o modelo de negócio da companhia é um bom ponto de partida. As empresas costumam ter dificuldades para encontrar o nível adequado de detalhamento nesses mapas. Mapear no nível da cadeia de valor é, em geral, um modo interessante de começar, e, então, ao longo do tempo, o exercício pode ficar mais detalhado.
• Compreenda os controles. Empresas líderes contam com uma avaliação de controles baseada em fatos. Levantam quais controles são usados para mitigar quais riscos, determinam quão eficazes e eficientes eles são e os conectam às políticas e procedimentos operacionais que tornam mais claros os padrões, as responsabilidades, o treinamento e a comunicação. A avaliação deve basear-se em variadas fontes de dados, como os de perdas internas e externas, resultados de auditorias e indicadores dos principais riscos e controles.
• Reporte e aja. Para que as avaliações de riscos e controles façam sentido, os gestores devem contar com uma visão consistente de riscos não financeiros e controles e atualizar o conselho de administração regularmente. Isso requer um sistema de informações integrado. Relatórios concisos e voltados à ação recomendam onde, como e quando o risco pode ser mitigado. As ações podem variar de redefinir o ambiente de controle a reforçar a responsabilidade pela supervisão.
• Implante e mantenha o processo por toda a organização. Isso evitará que unidades de negócios, funções ou pessoas criem, inadvertidamente, grandes riscos. O processo também terá de estar alinhado tanto com os gestores da empresa como com a estrutura de responsabilização e entre os processos e a cadeia de valor. Assim, os riscos poderão ser identificados por áreas, e as necessidades de controle, segundo a cadeia de valor. As unidades de negócios acabam recebendo solicitações repetidas para avaliarem o risco de determinado processo ou ativo de diferentes grupos de gestão de riscos, como os de riscos operacionais ou digitais. Quando se coordena e compartilha a informação, o impacto operacional da participação em processos de GRC é reduzido, o que resulta na elevação da qualidade da informação obtida.
• Faça monitoramento constante. Uma rodada anual de avaliação de riscos não basta; são necessários exames ocasionais motivados por um incidente-gatilho, uma alteração de indicadores ou uma mudança de processo.
Em suma, levar a cabo uma GRC efetiva pode gerar, em nossa experiência, um retorno de mais de dez vezes o valor investido em sua instalação e em manutenção, pela redução de perdas e demais benefícios.
