Por Michael J. Cawley | Fonte: Revista Risk Management 

Dicas para desenvolver um programa ERM

Desenvolver um programa de gestão de riscos empresariais (ERM) pode ser uma tarefa difícil, mesmo para profissionais de risco experientes. Embora não exista uma abordagem única para todos, as dicas a seguir — compiladas de décadas de desafios enfrentados e lições aprendidas na gestão de riscos — podem ajudar as organizações a alcançarem seu próprio sucesso em ERM.

1. Crie uma declaração de missão sucinta do ERM

Como um primeiro passo vital para o estabelecimento de um programa de ERM robusto e significativo, todas as empresas devem considerar o desenvolvimento e a memorização de uma declaração de missão que explique o objectivo principal do ERM. A declaração deve combinar estratégia com execução tática, concentrando-se na capacidade de ação em vez de palavras-chave ou jargões vazios, e ser sucinta para incentivar a compreensão, o consenso e a transparência.

Essencialmente, a declaração de missão deve unir o “quê” e o “porquê” do ERM. Por exemplo: “A gestão de riscos empresariais é o processo de identificação, avaliação, mitigação e monitorização de todos os riscos empresariais que possam prejudicar a capacidade da empresa de atingir os seus objectivos estratégicos de negócio.”

2. Estabeleça uma Estrutura de Gestão de Risco

Expandindo a declaração de missão do ERM, os profissionais de risco devem formular outra pedra angular do programa: a estrutura de gestão de risco (RMF). Este é o manual oficial que “vende” e orienta o seu programa ERM.

Existem três componentes principais distintos para cada RMF bem-sucedido. Na seção inicial, defina o contexto para ERM. Para chegar lá, faça um balanço da identidade da sua empresa e explique por que o ERM pode fazer uma diferença tangível, fazendo as seguintes perguntas: O que a sua empresa faz e quais são as suas características comerciais únicas e os impulsionadores do sucesso? Qual é a conexão e a confiança no gerenciamento de riscos? Como é que a disciplina de ERM tem potencial impacto nos objectivos empresariais de alto nível da empresa, tais como desempenho de lucros, preservação de capital, manutenção de liquidez e protecção da reputação?

A segunda seção do RMF estabelece os elementos fundamentais do ERM, detalhando o modelo cultural geral da empresa e explicando a identidade da empresa, o que ela reconhece e recompensa, e os comportamentos éticos que espera. Aqui, a empresa também deve estabelecer a estrutura de governança de risco com funções e responsabilidades delineadas por linha de defesa. A um nível muito elevado, esta segunda secção do RMF também deve abordar os conceitos de apetite e tolerância ao risco, refletindo este último limiar específico pré-definido onde o apetite é excedido, desencadeando notificação, avaliação e/ou ação corretiva. 

A terceira secção do RMF aborda a execução táctica do ERM. Esse processo compreende os seguintes elementos: 1) identificação do risco de forma iterativa, sendo o resultado líquido o seu universo de exposições; 2) avaliar o risco de forma consistente e transparente, focando particularmente na gravidade e probabilidade; 3) mitigação da severidade e probabilidade do risco inerente a um nível residual aceitável através de controles bem definidos; e 4) monitorar o risco de forma contínua, identificando métricas proeminentes, como indicadores-chave de risco (KRIs), e divulgando relatórios para uso interno e externo. 

3. Conecte sua cultura corporativa geral ao gerenciamento de riscos

A cultura de risco representa a compreensão compartilhada e as atitudes comportamentais dos funcionários da empresa em relação à assunção de riscos e compreende pilares fundamentais como governança, treinamento, desempenho alinhado ao risco e conduta empresarial. Como a sua cultura de risco se conecta com a cultura geral de uma empresa que determina a condução dos negócios com integridade e ética em todos os momentos?

Simplificando, uma empresa deve se esforçar para cultivar um ambiente de alto desempenho que seja inclusivo e equitativo ao mesmo tempo. Todos os funcionários devem se sentir capacitados para dar o melhor de si e contribuir com todo o seu potencial para avançar e prosperar em suas carreiras. A cultura geral deve orientar as decisões do dia a dia e vincular a identidade da marca a comportamentos esperados e recompensados.

4. Identifique seu universo de risco

Ao definir um universo de risco, o ponto chave é simples: não perder nenhum risco. É também importante permitir flexibilidade para que os riscos emergentes possam ser prontamente incorporados e subcategorizar ou desagregar o universo global de uma forma que faça sentido e o torne digerível.

Por exemplo, você pode querer considerar o estabelecimento de três categorias principais desde o início – financeira, operacional e estratégica – já que elas aparecem de forma consistente em todos os registros de risco, independentemente do setor que a empresa representa. Depois, você pode construir uma categoria de risco central personalizada que reflita a fonte de seus fluxos de receita (por exemplo, varejo, manufatura, construção, seguros).

5. Institucionalize um registro de risco formal e automatizado

A implementação completa e o uso consistente de uma ferramenta automatizada de registro de riscos são vitais para o sucesso do ERM. Meras planilhas não resolverão isso. O registo de riscos ideal deve centrar-se num pequeno número de atributos-chave de risco (causas, consequências, controlos e indicadores-chave de risco) e selecionar métricas (gravidade e probabilidade, bem como direção e velocidade) que permitirão a avaliação e priorização de riscos. É importante nomear um proprietário de risco por risco para estabelecer a responsabilização desde o início.

6. Aprimore continuamente suas escalas de classificação de risco

O estabelecimento de escalas de classificação de gravidade e probabilidade compreensíveis e transparentes é crucial para promover a governação e a cultura de risco. Tenha em mente que identificadores descritivos simples (por exemplo, alto, raro) podem expô-lo a possíveis interpretações erradas. Em vez disso, seja específico ao definir a gravidade e a probabilidade e modifique as definições conforme necessário.

Por exemplo, a determinação da gravidade pode basear-se numa série de indicadores diferentes, tais como impacto financeiro, marca/reputação, regulamentares ou estratégicos. Use qualquer indicador adequado ao risco em questão e que melhor ressoe com o proprietário do risco.

Em termos de probabilidade, as escalas de classificação não devem medir a probabilidade de incorrer em qualquer evento de risco. Em vez disso, deve abordar a possibilidade de um evento significativo, conforme definido na tabela de gravidade que você formula. Uma classificação “quase certa” pode antecipar um evento significativo uma vez por ano, enquanto uma classificação “raro” pode projetar um evento significativo apenas uma vez a cada 50 anos. 

7. Estabeleça Políticas de Risco Material

As políticas de risco devem articular a abordagem geral de uma empresa para a identificação e gestão de riscos materiais. As políticas são abordagens de alto nível à tomada de decisões, incluem um poder discricionário significativo e são frequentemente delineadas em termos qualitativos em vez de medidas qualitativas.

A título aproximado, deveria haver políticas para cerca de uma dúzia de riscos materiais no seu universo. Cada política de risco deve geralmente abordar: 1) a definição da política de risco em questão; 2) o objetivo da política de risco; 3) controles que mitigam o risco, discriminados por linha de defesa; 4) funções e responsabilidades para gerenciar o risco; 5) apetite pelo risco em questão; e 6) tolerâncias de risco específicas e disposições de escalonamento em caso de excedência.

8. Promover ativamente a estrutura integrada de governança de risco

O ERM nunca deve ser considerado uma função de serviço separada. Em vez disso, deve ser encarada como uma disciplina conscientemente incorporada nos processos críticos de tomada de decisão em toda a organização. A propriedade principal da execução diária da gestão de riscos cabe à unidade de negócios, com o apoio de funções relacionadas a riscos, como ERM, conformidade ou auditoria interna, bem como de conselhos e comitês relacionados a riscos.

A estrutura de governança de risco é melhor retratada no modelo de três linhas de defesa, onde a gestão diária, o controle, a supervisão e a garantia independente do risco são atribuídas aos seguintes grupos:

Primeira linha : unidades de negócios e funções de apoio

Segunda linha : todos os grupos responsáveis ​​pelo monitoramento contínuo e desafio do projeto e operação dos controles na primeira linha

Terceira linha : entidades responsáveis ​​pela garantia independente sobre a gestão de riscos, incluindo contestação tanto da primeira como da segunda linhas

9. Defina apetite e tolerâncias para todos os riscos principais

O apetite ao risco representa a disposição geral de assumir riscos e, por sua vez, de expor a empresa e seu capital ao risco de perda. O estabelecimento e a aplicação de comportamentos consistentes, transparentes e esperados em torno do apetite ao risco, transmitidos através de declarações e diretrizes de apetite, são cruciais para a estrutura de gestão de risco.

Aprofundando mais profundamente, a tolerância ao risco reflete os limites específicos predefinidos que excedem o apetite por um risco específico, desencadeando notificação, avaliação e/ou possíveis ações corretivas por parte da administração. Os principais indicadores de risco (KRIs) são métricas que fornecem uma forma de quantificar e monitorar cada risco. Pense nelas como métricas relacionadas com a mudança que funcionam como um sistema de alerta precoce para ajudar as empresas a monitorizar, gerir e mitigar riscos de forma eficaz.

10. Conecte o ERM com outras disciplinas relacionadas ao risco

Depois de construir e aderir a uma estrutura robusta de gestão de riscos, não há problema relacionado ao risco que não possa ser enfrentado de frente. Considere as seguintes áreas relacionadas ao risco:

Governança, risco e conformidade (GRC):  Esta é uma subcategoria do seu universo de risco que simplesmente divide um conjunto menor de riscos de uma maneira ligeiramente diferente.

Ambiental, social e de governança (ESG):  Esta é uma mistura de exposições operacionais (por exemplo, governança corporativa) e estratégicas (por exemplo, risco climático)  , bem como os preceitos do seu modelo cultural geral descritos na seção fundamental do seu RMF.

Diversidade, equidade e inclusão (DEI):  as iniciativas de DEI são inegavelmente relacionadas ao risco por natureza e, como ESG, podem ser vistas através do prisma do registro de riscos (por exemplo, riscos operacionais como recursos humanos, gestão/retenção de talentos e conformidade ) e, ainda mais importante, os elementos fundamentais contidos na sua RMF, como a ética, a cultura e a governação.

Quer os desafios relacionados com o risco sejam riscos reais dentro do seu universo de risco ou princípios abordados na sua estrutura de gestão de risco, a aplicação da disciplina de ERM ainda funcionará para abordar a vasta gama de riscos que a sua organização enfrenta.

Michael J. Cawley é um executivo de gestão de riscos com mais de 35 anos de experiência em elementos estratégicos e táticos de gestão de riscos corporativos. Atualmente, ele atua como especialista no assunto, atuando como consultor sobre as melhores práticas de ERM para o fornecedor de software GRC DoubleCheck.

https://www.rmmagazine.com/articles/article/2024/05/02/10-tips-for-developing-an-effective-erm-program

----------------------------------------------------------------

A ABGR apoia o ANSP Café - Tema: Objetivos de Desenvolvimento Sustentável (ODS). A Contribuição do Mercado de Seguros. Dia 07 de maio de 2024 às 12 horas. Transmissão pelo canal da ANSP no Youtube: https://youtube.com/watch?v=53Ig3IN7t7o