Gestão de riscos transcende a ideia de ser uma função isolada, para se tornar uma responsabilidade coletiva que permeia todos os níveis da organização, desde a Alta Direção até o pessoal da base. Essa abordagem se justifica já que os riscos podem surgir em qualquer setor ou nível da organização, afetando sua capacidade de alcançar os objetivos.

Este artigo explora como a gestão de riscos, semelhante à qualidade e à segurança da informação, é um compromisso compartilhado, destacando ainda o papel da Alta Direção na criação de uma cultura que valoriza e integra a gestão de riscos em suas operações cotidianas.

Como na área de Qualidade, que adota o princípio de que a responsabilidade pela qualidade é compartilhada por todos, a gestão de riscos segue esta mesma lógica!

O IIA (International Institute of Auditors), por exemplo, propõe uma estrutura de três linhas para a gestão de riscos e governança, onde:

1. Primeira Linha: funções da operação onde gestores atuam na frente de combate, sendo responsáveis pelos riscos e controles em suas áreas.

1. Segunda Linha: funções que supervisionam ou especializam-se em gestão de riscos e conformidade, como a área de Segurança da Informação e Qualidade, que fornecem suporte, orientação e estruturação das políticas.

1. Terceira Linha: funções de auditoria interna, que fornecem avaliação independente sobre a eficácia da gestão de riscos e controles.

Esse modelo do IIA destaca a importância de uma abordagem colaborativa, onde cada linha tem um papel distinto, mas complementar, na promoção da gestão de riscos.

Enquanto a primeira linha lida diretamente com os riscos no dia-a-dia, a segunda linha apoia, monitora e oferece metodologias para a gestão de riscos, garantindo que as práticas estejam alinhadas com as políticas e legislação.

Para navegar neste complexo ambiente de riscos, as organizações dispõem de várias ferramentas e estratégias.

Análises qualitativas e quantitativas, planos de tratamento e sistemas de monitoramento são apenas alguns exemplos. Além disso, a adoção de frameworks como a ISO 31000 pode guiar as empresas na implementação de uma estrutura e processos de gestão de riscos eficazes e alinhados às melhores práticas internacionais.

No caso da ISO 31000,essa visão é reforçada pelo princípio que a gestão de riscos deve ser parte integrante de todos os processos organizacionais. A norma enfatiza ainda uma abordagem customizada que considera o contexto específico de cada organização, incluindo sua cultura, objetivos e estratégia.

A gestão de riscos, segundo a ISO 31000, visa principalmente"apoiar a tomada de decisão",que implica mais do que apenas a prevenção de perdas ou tratamento de eventos adversos, mas também a criação de valor e busca de oportunidades.

Outro papel importante na Gestão de Riscos é o da Alta Direção, que deve estabelecer a visão e a direção para que a gestão de riscos seja integrada em todos os níveis da organização e alinhada com os objetivos estratégicos.

Para tal, as responsabilidades da Alta Direção incluem:

• Estabelecimento da Política de Gestão de Riscos: Definir e comunicar uma política que reflita os objetivos e compromissos da organização com a gestão de riscos, incluindo a definição de apetite e tolerância ao risco.
• Integração com a Estratégia: Assegurar que a gestão de riscos esteja integrada com o planejamento estratégico e os processos de tomada de decisão, considerando os riscos na definição de metas e objetivos.
• Alocação de Recursos: Prover recursos adequados para a gestão de riscos, incluindo tecnologia, treinamento e capital humano, para gerenciar riscos e implementar controles de forma eficaz.
• Cultura de Gestão de Riscos: Promover uma cultura organizacional que valorize a gestão de riscos, incentivando uma comunicação aberta sobre riscos e reconhecendo sua importância em todos os níveis da organização.
• Monitoramento e Análise Crítica: Supervisionar o desempenho da gestão de riscos e sua eficácia, garantindo revisões periódicas e ajustes conforme necessário para alinhá-la com os objetivos da organização.
• Comunicação e Relacionamento com Partes Interessadas: Assegurar uma comunicação eficaz sobre a gestão de riscos com as partes interessadas, incluindo investidores, clientes, reguladores e funcionários, para promover a transparência e o entendimento das práticas de gestão de riscos.
• Conformidade Legal e Regulatória: Garantir que a organização esteja em conformidade com as leis, regulamentos e normas aplicáveis, endereçando riscos legais e regulatórios.

Assim, gestão de riscos não deve ser confinada a um único departamento ou grupo de especialistas, mas enraizada em toda a cultura organizacional, e com todas as pessoas envolvidas e comprometidas. Desde a Alta Direção, que define a visão e as políticas, até os funcionários de base, que enfrentam riscos em suas atividades diárias, cada nível e função tem um papel a desempenhar.

E você? Como tem contribuído para a gestão de riscos na organização?

Abraços e até a próxima!

Alberto Bastos