ERM

ERM

Processos de ERM são complexos e a aparência obrigatória e mais marcante da última década foi apresentada aos Bancos, pela resolução 3380, de 2008, do Banco Central do Brasil que, a partir de cartas circulares, explica como deve ser tal processo, com cálculos de valores de referência, inclusive.


Também se espera que as empresas com ações negociadas na Bolsa de Valores de Nova Iorque (NYSE) devem seguir a lei americana Sarbanes-Oxley (SOX), que tenham processos bem definidos e estabelecidos para o cumprimento dos domínios da mesma mas, diferentemente da lei brasileira, a SOX não determina padrões fechados para este mister, apenas define que é necessário ter “gestão de riscos” e daí a interpretação é livre, desde que evidenciada.


Diversos padrões foram estabelecidos para este cumprimento em decorrência das exigências da SOX. A Bovespa lançou um padrão similar à SOX, resumida, com força de resolução. Então, empresas brasileiras com ações negociadas na nossa Bolsa também devem seguir algum modelo de gestão de riscos). Temos alguns padrões de risco mais orientados ao mercado de capitais, bastante conhecidos, mas fora do nosso foco de Segurança, onde a ISO 31000 (Gestão de Riscos) figura como principal norma e a ISO Guia 73 (Guia para execução de Gerenciamento de Riscos) como complemento, apresentando as seguintes definições que devem ser adotadas em projetos de ERM:


– Risco é o efeito da incerteza nos objetivos (ISO 31000)

– Risco é igual à multiplicação da probabilidade da ocorrência de um evento pelo impacto (ou dano) causado a um ativo: R = P x I (ISO Guia 73).


Assim, temos a ideia advinda da “31000”, que não é mensurável, pois seus termos são genéricos, e a formulação da “Guia 73”, que nos dá elementos para mensurar. Apesar disso, a discussão é infinita, pois muitos entendem que os fatores presentes nessas normas não abrangem toda a gama de elementos para se desenvolver um modelo de ERM eficaz. Entretanto, entendemos que é necessário partir-se de um ponto e sofisticá-lo à medida em que o processo evolui e adquire maturidade.


Esta, inclusive, é a métrica adotada pelo Banco Central do Brasil, quando propõe três modelos para os Bancos brasileiros: Simplificado, Conservador e Avançado. Pela metodologia proposta pelo próprio órgão regulador, são necessários de três a cinco anos de guarda e tratamento de informações de perda para a criação de um “indicador-chave de risco” para o próprio Banco, e dele para o sistema financeiro, a fim de se atingir o objetivo da resolução que é a “poupança” de certa quantia que será utilizada quando o Risco Operacional se transformar em Ocorrência, custeando sua solução. Esta “poupança” se denomina “Capital Alocado”.


Qual a importância para a empresa?

Definir os preceitos, do ponto de vista dos riscos operacionais e sistêmicos que possam atingir a empresa, gerando problemas recorrentes que, em cascata, podem afetar a gestão da organização e até a cadeia produtiva da qual faz parte.


Uma vez definido o objetivo para esta situação, deve-se encontrar uma metodologia que se aplique ao processo de modo contínuo, com gerenciamento mensurável no tempo e considerando as mudanças organizacionais e mercadológicas, agregando informações de perda que afetem a operação (gastos com tais problemas – prejuízos, por exemplo, mas não somente). Também fazem parte dos elementos de perda os gastos para correção de sistemas, manutenção predial, contratação emergencial de serviços ou pessoas, indenizações e ações judiciais oriundas do problema – estes últimos, diretamente relacionados com “prejuízo”).


Escolhida e aplicada a metodologia e monitorada a recorrência do trabalho que envolve – análise, avaliação, tratamento e monitoramento –, “ciclos de maturidade”, serão determinados, com os quais aprender-se-á e modificar-se-á a realização de atividades normais na corporação, conhecendo-se cada vez mais seus riscos e tomando-se medidas para contorná-los, criando-se e aplicando-se eficazes Planos de Continuidade que renovarão eles mesmos e toda a sistemática de operação da empresa.


A guarda dos valores e elementos de perda também propiciarão ao processo uma “antevisão” do futuro, permitindo a assunção de riscos com o efetivo controle da situação, uma vez que, a cada ciclo de maturidade, mais se saberá quais se podem prever, contornar e, caso não seja possível, não expor a empresa ao grande público, já que ela detém recursos para viabilizar a solução dos problemas.


Este processo cíclico e contínuo define a Gestão de Riscos. Note-se que não é algo que se resolve em um projeto de três a seis meses, onde se consegue, no máximo, definir o modelo, instruir as pessoas e aplicá-lo uma primeira vez. Gestão é administrar o gerenciamento de modo perene.


Quando a empresa precisa disso?

Quando a empresa segue a SOX ou é regulado por Agências que lhe cobram esse processo de Gestão do Risco Operacional ou ainda se ela participa de um negócio muito volátil quanto aos humores do mercado financeiro (Bancos, Corretoras, Financeiras, Administradoras de Consórcio, Seguradoras, etc.) e também de operações com alto risco na mão de terceiros (Operadoras de Saúde, de Cartões de Crédito ou Débito, de telecomunicações, de comunicações, de e-commerce, etc.).


Todas as empresas, por excelência, teriam suas operações muito mais organizadas se realizassem projetos de ERM, mas sabe-se que o investimento para tal implantação, de modo correto, é grande e talvez não traga os resultados esperados. Manufatura, Serviços e Comércio em geral talvez prefiram assumir esses riscos tratando-os de modo empírico do que implantando este modelo por sua complexidade e compromisso longevo. Essas empresas também não geram grande perda sistêmica quando da ocorrência de problemas de grande monta, trazendo, no mais das vezes, prejuízos a si mesmas.


Desafios e tempo de execução

Mesmo com todo o conhecimento já disseminado no mercado e especialistas excelentes para garantir sua implementação, os desafios são enormes e o tempo para um projeto adequado não é curto e tem mais assertividade quando medido por ciclos de maturidade, ao invés de meses.


Para começar, deve-se definir o modelo e as responsabilidades, escolher-se a metodologia e instruírem-se as pessoas quanto ao que será feito. Esse processo dura até seis meses, conforme o tamanho e a decisão política da empresa. Cada ciclo consome de oito a doze meses, pois o envolvimento das áreas de meio e de ponta é grande e todos tem seus afazeres rotineiros. Metade do ciclo será consumido com levantamentos e o restante com avaliações e tratamento. Conforme se avança na maturidade, menos se gasta com levantamentos e mais com tratamento, configurando-se ações de melhoria sistêmica da empresa, sem jamais descuidar-se da capacitação, pois pessoas vêm e vão e os processos devem permanecer fortes e traduzir a cultura da organização.


O maior erro das empresas é confundir o ERM com um projeto. Ele definitivamente nasce de um projeto, mas transforma-se em processo a partir do primeiro ciclo de maturidade. A partir do terceiro ciclo atinge-se o ponto de obtenção de uma certificação que apoie a prática na cooperação, tal qual a ISO 27001 ou a aderência à ISO 31000, por laudo técnico de instituições reconhecidas. Certificar a empresa lhe dá notoriedade, trazendo com ela clientes, investidores e simpatia do mercado.