Compreender o estágio de maturidade em relação à gestão de riscos de sua empresa é fundamental para o sucesso a longo prazo, afinal identificar as lacunas organizacionais possibilita a implementação de ações estratégicas específicas que impulsionam o crescimento. Precisa conhecer os pontos fortes, a empresa pode capitalizar essas vantagens para obtenção de uma posição competitiva sustentável, e entender os fracos para que possa atuar e melhorá-los.
Neste sentido, é importante fazer sempre um diagnóstico preciso do nível de maturidade da gestão de seus riscos, pois isto deveria influenciar todas as escolhas estratégicas.
Queria usar como base disto e referência um trabalho da KPMG Brasil que faz este diagnóstico usando 26 perguntas que ajudam a avaliar a maturidade dos processos de Governança, Riscos e Compliance (GRC) dentro de uma empresa. A metodologia também permite classificar as empresas em cinco níveis de maturidade: Inexistente, Fraco, Sustentável, Maduro e Avançado.
Queria então comentar sobre os principais pontos que deveriam ser observados em cada uma destas verticais da gestão de riscos:
A) Governança Corporativa:
- Autoavaliação inicial: Avaliar sua própria percepção sobre a maturidade em GRC. Esta percepção será contrastada com os resultados reais após a conclusão do questionário.
- Estrutura de Governança: Analisar se a estrutura de Governança Corporativa da empresa (Conselho e Comitês) segue boas práticas de mercado. Uma governança sólida garante que os interesses de todas as partes envolvidas estejam alinhados e que a organização seja administrada de forma eficaz.
Um desafio comum é garantir que os membros do conselho e comitês tenham a experiência e conhecimento necessário para tomar decisões informadas. Além disso, erros comuns incluem falta de diversidade no conselho e falta de avaliações regulares de desempenho para os membros.
- Divulgação das Atribuições: Verificar se a empresa divulga as atribuições do Conselho de Administração e comitês de assessoramento, o que promove transparência e confiabilidade.
Um dos desafios é manter a transparência sobre as atribuições do conselho e comitês sem divulgar informações sensíveis. Muitas vezes, as empresas não atualizam regularmente estas informações, o que pode levar à desconfiança dos acionistas e stakeholders.
- Registros de Reuniões: Assegurar que as reuniões e deliberações dos Conselhos e Comitês sejam registradas, o que contribui para a responsabilização e a melhoria da tomada de decisões.
A manutenção de registros precisos é desafiadora, especialmente quando as discussões são complexas. Um erro comum é não manter registros detalhados, o que pode criar ambiguidade em relação às decisões tomadas e potencialmente resultar em problemas legais.
- Cumprimento do Calendário de Reuniões: Verificar se as reuniões ocorrem conforme programado, o que demonstra comprometimento e profissionalismo.
É comum que as reuniões sejam adiadas ou canceladas devido a conflitos de agenda. Este tipo de inconsistência pode resultar em atrasos na tomada de decisões críticas.
- Diretrizes para Aprimoramento Contínuo: Analisar se a estrutura de Governança fornece diretrizes que auxiliam o aprimoramento contínuo da empresa e supervisão das funções GRC, o que é essencial para adaptar-se às mudanças no ambiente de negócios.
É comum que as reuniões sejam adiadas ou canceladas devido a conflitos de agenda. Este tipo de inconsistência pode resultar em atrasos na tomada de decisões críticas.
B) Gestão de Riscos:
- Discussão de Riscos: Certificar que a Gestão de Riscos é discutida regularmente nos escalões mais altos da empresa, garantindo que os riscos sejam considerados em todas as decisões estratégicas.
É comum que as reuniões sejam adiadas ou canceladas devido a conflitos de agenda. Este tipo de inconsistência pode resultar em atrasos na tomada de decisões críticas.
- Reporte pelos Donos dos Riscos: É crucial que aqueles responsáveis pelos riscos informem regularmente sobre os riscos sob sua responsabilidade.
Assegurar que os donos dos riscos reportem adequadamente é desafiador devido à falta de responsabilização e falta de compreensão dos riscos. Um erro comum é a falta de padronização nos relatórios.
- Identificação e Tratamento de Riscos: Avaliar se os riscos são identificados, classificados e tratados conforme boas práticas de mercado.
Um desafio significativo é manter-se atualizado com as melhores práticas e regulamentos. Além disso, as empresas às vezes focam demais em riscos de curto prazo e negligenciam aqueles de longo prazo.
- Riscos na Tomada de Decisões: Averiguar se os riscos são considerados ao tomar decisões-chave.
Incorporar a avaliação de riscos na tomada de decisões é desafiador devido à falta de uma cultura de gestão de riscos. Erros comuns incluem tomar decisões com base em informações incompletas ou desatualizadas.
- Riscos e Planejamento Estratégico: Analisar se os riscos são identificados e considerados na elaboração e execução do planejamento estratégico.
Frequentemente, as empresas se concentram em metas financeiras no planejamento estratégico e negligenciam a importância de considerar riscos. Este erro pode levar a planos não sustentáveis.
C) Controles Internos:
- Assistência em Controles Internos: Verificar se há apoio aos gestores na implementação de controles de monitoramento.
Um desafio é proporcionar apoio adequado sem criar dependência. Os erros comuns incluem falta de treinamento contínuo e falta de clareza sobre os papéis e responsabilidades dos gestores em relação aos controles internos.
- Revisão e Melhoria dos Controles Internos: Certificar que os gestores estão comprometidos com a revisão e a implementação de melhorias nos controles internos.
A resistência à mudança é um desafio significativo. Muitas vezes, os gestores podem ser relutantes em mudar processos estabelecidos, mesmo que ineficientes.
- Monitoramento Contínuo: Verificar se há monitoramento contínuo de processos com indicadores frequentes.
O desafio é estabelecer métricas de desempenho significativas e manter o monitoramento eficaz. Um erro comum é depender excessivamente de indicadores quantitativos, ignorando aspectos qualitativos.
- Riscos e Controles Internos: Avaliar se os riscos são identificados e tratados através de controles internos alinhados às melhores práticas.
A falta de entendimento das melhores práticas e de como aplicá-las é um desafio. Muitas empresas implementam controles sem entender completamente sua finalidade ou eficácia.
- Mapeamento de Processos: Certificar que os processos internos são mapeados e documentados em políticas e procedimentos.
Um desafio é manter a documentação atualizada e relevante. Muitas empresas não revisam ou atualizam suas políticas e procedimentos regularmente, tornando-os obsoletos.
D) Compliance:
- Documentação e Monitoramento Regulatório: Verificar se a empresa possui documentação adequada e realiza monitoramento regulatório.
Manter-se atualizado com mudanças regulatórias é um desafio. Além disso, muitas empresas têm dificuldade em manter uma documentação adequada que esteja em conformidade com os regulamentos.
Discussão do Programa de Compliance
Certificar que o programa de Compliance é regularmente discutido nos escalões mais altos da empresa.
As empresas enfrentam desafios em estabelecer um diálogo aberto e transparente sobre compliance. Um erro comum é tratar compliance como uma verificação de caixa, em vez de uma parte integrada da cultura corporativa.
Canal de Denúncias
Verificar a existência de um canal de denúncias confiável.
Estabelecer um canal de denúncias confiável é desafiador devido a preocupações com anonimato e represálias. Muitas empresas falham em comunicar adequadamente a importância e a confidencialidade do canal de denúncias.
Conformidade com Código de Conduta
Avaliar se os colaboradores seguem as diretrizes do código de conduta.
Fomentar uma cultura de conformidade é desafiador e requer educação e comunicação contínua. Erros comuns incluem falta de treinamento e orientação para os funcionários sobre a importância do código de conduta.
Divulgação de Compliance
Certificar que a empresa divulga o código de conduta e programa de Compliance.
Um desafio é equilibrar a transparência com a proteção de informações sensíveis. Muitas empresas hesitam em divulgar programas de compliance por medo de expor vulnerabilidades.
E) Auditoria Interna:
Monitoramento de Pontos de Auditoria:
Certificar que os pontos de auditoria e planos de ação são monitorados e reportados aos escalões superiores.
Manter um monitoramento eficaz de pontos de auditoria é desafiador devido à falta de recursos e expertise. Erros comuns incluem a falta de acompanhamento em questões identificadas em auditorias.
Indicadores após Auditoria Interna:
Verificar se são criados indicadores de monitoramento após os trabalhos de Auditoria Interna.
O desafio é desenvolver indicadores relevantes que forneçam insights acionáveis. Muitas empresas criam muitos indicadores que acabam não sendo usados efetivamente.
Discussão dos Resultados de Auditoria Interna:
Certificar que os resultados são discutidos e geram planos de ação.
Um desafio é garantir que os resultados sejam discutidos de forma construtiva e que conduzam a ações corretivas eficazes. Erros comuns incluem defensividade e resistência à mudança.
Independência da Auditoria Interna:
Verificar se a Auditoria Interna é realizada de forma independente.
Garantir a independência da auditoria interna é desafiador, especialmente em empresas menores. Muitas vezes, a auditoria interna pode ser vista como um adversário em vez de um parceiro para melhorar os processos.
Riscos Corporativos na Auditoria Interna:
Avaliar se os riscos corporativos são utilizados como base para elaboração do plano de Auditoria Interna.
Integrar os riscos corporativos no planejamento de auditoria interna é desafiador devido à natureza dinâmica dos riscos. Um erro comum é não revisar ou atualizar o plano de auditoria para refletir mudanças no ambiente de risco.
Como podemos ver pelos pontos acima, realizar este diagnóstico de maturidade em Governança, Gestão de Riscos e Compliance é fundamental para assegurar que a empresa está alinhada com as melhores práticas e preparada para enfrentar os desafios do mercado. Ao entender os pontos acima e identificar áreas de melhoria, a empresa pode elaborar um plano estratégico eficaz para alcançar níveis mais elevados de maturidade.
Por fim para ter acesso a um teste de diagnóstico de maturidade de GRC basta acessar o link abaixo:
E para terminar queria comentar sobre um livro sobre o tema editado pelo TCU que pode ser baixado em: