Business Awareness: Entendimento do Negócio

O início de qualquer análise de risco séria e consistente passa pelo correto entendimento do negócio em questão. Esta fase consiste em se obter um correto entendimento da missão da organização, de sua proposta de valor, de sua visão de futuro, de seus objetivos estratégicos e de seus fatores críticos de sucesso.

O perfeito entendimento do planejamento estratégico da empresa também torna mais efetivos os esforços relacionados à Gestão de Riscos. Isso porque a principal responsabilidade do gestor de riscos é prover soluções que permitam que a empresa cumpra sua missão, seus objetivos estratégicos e sua proposta de valor assumindo riscos aceitáveis.

Esses riscos também devem estar equilibrados com o apetite de risco de seus investidores e o nível de resiliência (tolerância) da organização.

 

 

Identificação dos Riscos Críticos

 

A fase inicial de identificação de riscos é a triagem que separa os riscos secundários dos riscos críticos de uma organização – aqueles que podem comprometer significativamente desde seus objetivos estratégicos até o futuro dos negócios.

Ela é de importância fundamental para qualquer empresa porque todo gestor tem uma capacidade limitada de recursos para monitorar, controlar e mitigar riscos.

A identificação começa com um levantamento de uma lista geral de riscos a partir de discussões ou entrevistas envolvendo o time de gestão de riscos e representantes de diversas áreas, nos mais variados níveis hierárquicos.

Nesse processo, será de grande valia a análise do “core business” da empresa, de seus processos macro de forma genérica, de estatísticas de sinistralidade, de relatórios de riscos de consultorias especializadas e da “anamnese” junto à alta gestão.

Essa lista inicial, elaborada empiricamente, é baseada na percepção das pessoas sobre os riscos que afetam suas atividades e impactam os fatores cruciais de sucesso de determinada organização.

A metodologia permite através de análises críticas, mesmo sem bases de dados históricas chegar a uma robusta avaliação de riscos. Mesmo não sendo tão assertiva quanto um modelo puramente quantitativo, permite ao gestor de risco coletar as percepções dos representantes, desenvolver uma “Cultura de Gestão de Riscos”, e iniciar um processo de engajamento das áreas envolvidas na implantação do plano de gerenciamento de riscos. Além disso, permite que sejam utilizadas informações de natureza tanto qualitativa quanto quantitativa e que sejam tratadas em um único modelo de gestão de riscos, permitindo analisar bases de dados que contenham históricos de riscos ocorridos na empresa, em companhias do mesmo segmento ou na indústria em geral.

Como base nessas informações, é avaliado se algum risco da lista inicial tem potencial para causar impacto em algum fator crítico de sucesso, em algum objetivo estratégico, na missão da empresa ou na consecução da sua proposta de valor. Se isso acontecer, este risco é adicionado à Lista de Risco Críticos.
 
Risco, ameaça e vulnerabilidade
 
É importante definir as diferenças entre risco, ameaça e vulnerabilidade para evitar erros conceituais na fase de confecção do Plano Diretor de Gestão de Risco Corporativos.

Vulnerabilidade é uma deficiência no processo, nos sistemas ou nos recursos humanos empregados, que permite a concretização dos riscos aos quais a organização está exposta.

Já risco e ameaça são fatores intimamente ligados e, às vezes, sua distinção não é tão clara. Enquanto a ameaça está ligada ao vetor que a conduz, o risco está ligado à sua concretização. Por exemplo, na frase, “hackers ameaçam invadir os sistemas”, temos:

– Ameaça: Hackers
– Riscos: Invasão do Sistema, “System Disruption”, “Phishing”, “Sniff” etc…
 

Origem e fatores de risco
 

Quando definimos os Riscos Críticos para a confecção do Plano Diretor de Gestão de Riscos Corporativo, é importante saber a origem deles e os fatores de riscos.

Os fatores de riscos, normalmente são deficiências em nossos sistemas de proteção que permitem a consecução de determinado risco. Ou seja, está ligado à vulnerabilidade e a causas externas.

Para o exemplo da ameaça hacker citado acima, é possível dizer que um dos fatores de risco seria a falta de uma política de segurança da informação.

Com a visualização da origem do risco e dos fatores de risco, podemos identificar os principais pontos onde o processo de gestão de risco e de segurança deverão ser focados. A partir disse será possível adequar os diversos meios de proteção, sejam eles humanos, técnicos ou organizacionais.

Porém, a discussão filosófico-acadêmica sobre a natureza dos riscos (humanos, técnicos ou organizacionais) mostra-se inócua e não costuma a agregar muito valor de forma prática.

O que importa é, após definir a origem e os fatores de risco, estabelecer ações exequíveis para evitar a sua concretização.

Os riscos críticos serão então monitorados e controlados de perto pelo gestor de riscos, enquanto os secundários serão endereçados a outras áreas para serem tratados.
 

Levantamento de Riscos e Cenários

 

Para cada Risco Crítico deve ser confeccionada uma Tabela de Levantamento de Riscos e de Cenários.

Essa tabela consiste na descrição do pior cenário da concretização daqueles riscos e dos impactos para a mídia, para a comunidade, para os negócios, para o público interno, entre outros.

A Tabela de Levantamento de Riscos e Cenários é uma ferramenta que visa proporcionar uma visão geral dos riscos e de seus impactos em caso de sua concretização.

Ela também fornece um panorama dos eventuais impactos sobre os vários componentes da empresa.

A tabela é uma ferramenta que também facilita a visualização da necessidade da confecção de Planos de Contingências e Planos de Crise para algumas situações específicas e ajuda a endereçar as responsabilidades dentro da empresa.

Ela serve ainda de base para a definição da magnitude do impacto do risco sobre as diversas variáveis que serão avaliadas, entre elas a financeira e a da imagem da empresa.

A ferramenta ajuda a criar a base necessária para a etapa seguinte do processo: a mensuração do risco. Isso porque a definição clara de um possível cenário de risco permite que a mensuração do risco seja obtida de forma muito mais assertiva.

A definição precisa das consequências do risco vai permitir ainda que o enquadramento do risco nas tabelas qualitativas para cada variável seja feito de forma muito mais fácil e precisa. Um cenário claro ajuda a dirimir dúvidas na fase de mensuração do risco.

Recomenda-se que para cada cenário crítico seja confeccionado um Plano de Contingência além do Plano de Ação para mitigação e controle do risco. O ideal é que o “Chief Risk Officer” (CRO) ou o Gestor de Risco Corporativo seja o coordenador desta ação.
O plano deve ser desenvolvido por equipes interdisciplinares constituídas por representantes dos diversos segmentos da empresa, tais como: TI, Segurança, Marketing, Financeira, Responsabilidade Social etc. Contudo, tal integração entre áreas parece ser algo ainda distante da realidade brasileira.

Caso tal procedimento não seja possível, sugere-se que o Chief Risk Officer ou o Gestor de Risco Corporativo coordene um “brainstorming” ou “brainwriting” com a participação dos representantes das áreas supracitadas para a confecção da Tabela de Levantamento de Riscos e Cenários.

Com essas informações, o gestor poderá iniciar a confecção dos Planos de Ação e Planos de Contingências, os quais deverão ser apresentados e validados pelas diversas áreas da empresa.

A Tabela de Levantamento de Riscos e Cenários facilita com que os acionistas, os conselheiros e a alta gestão possam ter uma ideia clara dos desdobramentos diretos e indiretos da concretização dos principais riscos críticos.

 

Business Awareness 1