20/01/2021
RESUMO
Empresas de todos os tipos e tamanhos estão sujeitas a ocorrências externas ou internas que ameaçam o seu negócio. Apesar de não ser possível fugir dessas ocorrências, as organizações podem se valer de um sistema de gerenciamento de riscos afim de se preparar para eventuais e potenciais impactos causados por eles, com ações predefinidas, visando a mitigação de riscos negativos e o aproveitamento das oportunidades.
Portanto, esse artigo tem como objetivo fazer um debate sobre o tema, demonstrando a importância da implementação de um sistema de gerenciamento de riscos nas organizações.
Palavras-Chave: Empresas, corporações, Riscos, Gestão de riscos, Probabilidade, Impacto.
ABSTRACT
Companies of all types and sizes are subject to the occurrence of external and internal incidents that threaten their business. Although it is not possible to escape such incidents, the corporations may resort to a risk management system in order to be prepared to potential impacts caused by such incidents, with predetermined actions, aiming for the mitigation of negative risks, and the benefit of opportunities.
Therefore, this article aims to discuss the matter, demonstrating the importance of the companies implementing a risk management system within their businesses.
Key words: Companies, Corporations, Risks, Risk Management, Probability, Impact.
Todas as organizações estão expostas a riscos das mais diferentes origens, desde a variação no câmbio de moedas à ocorrência de acidentes, o que pode atrapalhar consideravelmente as operações de qualquer empresa.
A verdade é que todas as empresas serão afetadas, em algum momento, por ocorrências indesejadas. No entanto, aquelas que realizam gerenciamento de riscos adequado conseguem seguir suas atividades sem impactos muito comprometedores, pois se prepararam para tais eventos.
De acordo com a Política de Gestão de Riscos da Controladoria-Geral da União, instituída por meio da Portaria CGU nº 915, de 12 de abril de 2017[1], a Gestão de Riscos é “Arquitetura (princípios, objetivos, estrutura, competências e processo) necessária para se gerenciar riscos eficazmente”.
A gestão de risco nada mais é do que a metodologia empregada para se lidar com as incertezas de um negócio, se baseando no planejamento, organização, gestão e controle dos recursos financeiros, materiais e humanos de uma corporação para reduzir, ao máximo, os impactos dos riscos, e se aproveitar, de maneira mais efetiva, as oportunidades, sendo, portanto, um dos pilares do compliance.
Ou seja, o gerenciamento de riscos visa à identificação da possibilidade de perdas e prejuízos decorrentes da atividade e a proporção de seus impactos, caso o risco se concretize. Gerir os riscos significa, também, determinar planos de ações que possibilitem um equilíbrio entre os objetivos a serem alcançados pelas empresas e os diversos perigos que as rodeiam.
A gestão de riscos pode ser aplicada a toda estrutura da empresa, incluindo todas as áreas e níveis, a qualquer momento, bem como a funções, atividades e projetos específicos. Esse gerenciamento dos riscos deve ser dividido em cinco etapas, quais sejam: a identificação e análise dos aspectos do negócio, a identificação e categorização dos riscos, a avaliação de riscos inerentes, a avaliação de controles mitigatórios, a avaliação de riscos residuais e a remediação dos riscos.
Um bom mapeamento de riscos deve levar em conta o potencial impacto da ocorrência, sua frequência e probabilidade, sendo certo que os riscos identificados servem de insumo para a definição de planos estratégicos de monitoramento e controle que podem ajudar significativamente no cumprimento de objetivos, na segurança, na imagem e no valor econômico da empresa.
A fonte dos riscos pode ser externa, como por exemplo o surgimento de concorrentes, mudança regulatória, variação cambial, ou interna, ou seja, aquelas que surgem dentro da estrutura da empresa.
Os riscos também podem se classificar como positivos e negativos. O risco negativo é aquele que ameaça o atingimento de um objetivo, como por exemplo a escassez de uma matéria prima ou de um equipamento essencial à atividade desenvolvida pela empresa.
Por outro lado, os riscos positivos seriam as oportunidades que podem surgir em razão de práticas adotadas pela empresa, como a obtenção de créditos bancários ou investimentos externos em razão da sólida reputação que determinada empresa.
Dessa forma, a gestão de riscos se concentra em reduzir impactos ruins das ameaças (riscos negativos) além de buscar aumentar o impacto das oportunidades (riscos positivos).
Os riscos inerentes são aqueles que fazem parte do negócio e que são causados pela atividade desenvolvida em si, ou seja, são conhecidos a partir do momento em que se faz o mapeamento e análise dos aspectos do negócio.
Na atividade mineral, por exemplo, é possível citar o risco de degradação ambiental, acidentes de trabalho, além de conflitos com superficiários e comunidades vizinhas aos projetos minerários.
Esses são riscos que são associados à própria atividade minerária, mas que podem ser atenuados, e até extintos, a depender de ações a serem tomadas pelas empresas mineradoras. É aí que entram os controles mitigatórios.
Os controles mitigatórios são as medidas adotadas pelas organizações cujo objetivo principal é combater os riscos inerentes e incluem políticas, procedimentos, práticas ou estruturas organizacionais.
Os riscos residuais, por sua vez, são aqueles que ainda permanecem após o controle mitigatório ter sido adotado.
A gestão de riscos usualmente é feita através de uma matriz de riscos, a qual se orienta por duas dimensões: probabilidade e impacto, sendo possível calcular e visualizar a classificação do risco, que consiste na avaliação do impacto versus a probabilidade.
A probabilidade consiste na medição de o quão provável é a ocorrência do risco, enquanto que o impacto se refere às consequências do risco caso ele venha a ocorrer, ou seja, quais serão os prejuízos ou danos causados caso o risco incida de fato.
Ambas as dimensões (probabilidade e impacto) podem ser classificadas como: muito baixo, baixo, moderado, alto e muito alto.
Uma vez identificados e classificados os riscos do seu negócio, cabe à empresa definir as respostas a cada um desses riscos, ou seja, a forma como a organização irá lidar com potenciais ocorrências.
Deve-se optar por tratar, de forma imediata, aqueles riscos que apresentarem probabilidade e impacto muito alto, sendo certo que riscos com muito baixa probabilidade e impacto podem ser respondidos posteriormente.
Algumas opções de tratamento de riscos incluem mitigar, compartilhar, evitar, e até aceitar o risco, a depender de sua classificação.
Um risco normalmente é mitigado quando é classificado como “Alto” ou “Extremo”. A implementação de controles, neste caso, apresenta um custo/benefício adequado. Por outro lado, um risco normalmente é aceito quando classificado como “baixo” ou “irrelevante”. Nessa situação, nenhum novo controle precisa ser implementado para mitigar o risco.
Após a implementação dos tratamentos estabelecidos, a empresa deverá acompanhar o comportamento dos riscos em determinado período e sua adequação diante de cada nível de exposição. Com esse processo será possível avaliar o desempenho das ações corretivas diante de cada risco identificado, sendo a etapa mais importante, pois garante que os controles sejam eficazes e eficientes.
No âmbito governamental, há obrigação legal de implementação de sistema de gerenciamento de riscos, conforme artigo 17 do Decreto nº 9.203, de 22 de novembro de 2017, que dispõe sobre a política de governança da administração pública federal direta, autárquica e fundacional:
“Art. 17 A alta administração das organizações da administração pública federal direta, autárquica e fundacional deverá estabelecer, manter, monitorar e aprimorar sistema de gestão de riscos e controles internos com vistas à identificação, à avaliação, ao tratamento, ao monitoramento e à análise crítica de riscos que possam impactar a implementação da estratégia e a consecução dos objetivos da organização no cumprimento da sua missão institucional, observados os seguintes princípios:
I – implementação e aplicação de forma sistemática, estruturada, oportuna e documentada, subordinada ao interesse público;
II – integração da gestão de riscos ao processo de planejamento estratégico e aos seus desdobramentos, às atividades, aos processos de trabalho e aos projetos em todos os níveis da organização, relevantes para a execução da estratégia e o alcance dos objetivos institucionais;
III – estabelecimento de controles internos proporcionais aos riscos, de maneira a considerar suas causas, fontes, consequências e impactos, observada a relação custo-benefício; e
IV – utilização dos resultados da gestão de riscos para apoio à melhoria contínua do desempenho e dos processos de gerenciamento de risco, controle e governança.”
Apesar de não haver determinação legal para empresas privadas implementarem um sistema de gestão de riscos, o mesmo deve fazer parte da vida de qualquer empresa que queira estar inserida no mercado, de maneira competitiva.
De acordo com a norma ABNT NBR ISO 31000:2009, quando implementada e mantida de acordo com os padrões estabelecidos no documento, o gerenciamento dos riscos possibilita à empresa aumentar a probabilidade de atingir os objetivos, melhorar a identificação de oportunidades e ameaças, melhorar o reporte das informações financeiras, melhorar a confiança das partes interessadas, estabelecer uma base confiável para a tomada de decisão e o planejamento, minimizar perdas, entre outros.
Ainda de acordo com a norma supra citada, a gestão de riscos contribui “para a realização demonstrável dos objetivos e para a melhoria do desempenho referente, por exemplo, à segurança e saúde das pessoas, à segurança, à conformidade legal e regulatória, à aceitação pública, à proteção do meio ambiente, à qualidade do produto, ao gerenciamento de projetos, à eficiência nas operações, à governança e à reputação”.
Dessa maneira, um sistema de gestão de riscos bem implementado auxilia na garantia do futuro da empresa, uma vez que ajuda a prevenir falhas e problemas que poderiam ter um impacto negativo no negócio, além de aumentar, consideravelmente o seu índice de confiabilidade.
Este artigo é de autoria de: Samantha Bittencourt, advogada sênior da FFA LEGAL, escritório especializado no atendimento jurídico, contábil-fiscal e administrativo a empresas do ramo de mineração, e direcionado a seus clientes e parceiros.
[1]https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/20163452/do1-2017-04-13-portaria-n-915-de-12-de-abril-de-2017-20163381
Comments