A governança de riscos tem evoluído de um conceito meramente operacional para uma abordagem estratégica essencial dentro das empresas, aonde o conselho de administração e seu comitê de assessoramento de riscos (CoRis) desempenham um papel fundamental na proteção dos ativos da empresa e na criação de valor sustentável, em que a gestão de riscos não deve ser vista apenas como um processo de mitigação de ameaças, mas como um diferencial competitivo que permite que a empresa tome decisões mais informadas, maximize oportunidades e evite impactos negativos inesperados.
Uma boa governança de riscos que vai além da mera conformidade regulatória, mas é sim um modelo que integra a tomada de decisão estratégica, alinhando a gestão de riscos aos objetivos corporativos e promovendo uma cultura organizacional onde os riscos são gerenciados de forma proativa e sistemática.
Dado esta visão acima, queria dizer de que para dar certo, o conselho deve garantir que a empresa esteja preparada para esta jornada de lidar com os novos riscos emergentes como: riscos cibernéticos (que pessoalmente é o que mais me preocupa), e com as mudanças regulatórias, as cada vez mais comuns crises geopolíticas, e também impactos ambientais e sociais (ESG). Assim como podem ver a governança de riscos não deve ser tratada como um mecanismo de defesa isolado, mas sim como parte integrante da estratégia da empresa, sendo essencial para impulsionar o crescimento sustentável e a resiliência organizacional.
Definir o Papel de Supervisão do Conselho sobre Riscos
Começo então dizendo de que um dos principais pilares da governança de riscos é a definição clara do papel do conselho e seus comitês (CoRis e/ou CoAud) na supervisão desse processo, aonde o primeiro passo para garantir que a gestão de riscos seja eficiente é estabelecer uma divisão de responsabilidades bem definida entre o conselho, os comitês especializados e a alta administração.
Em que o conselho e seus comitês devem assumir um papel de supervisão e orientação estratégica, garantindo que a administração implemente mecanismos adequados de controle e gerenciamento de riscos. Enquanto isso a liderança executiva deve ser responsável pela execução das políticas e estratégias definidas.
O papel do conselho e seus comitês na supervisão de riscos deve ser estruturado de forma que ele atue como guardião da cultura de riscos e assegure que a empresa possua um modelo estruturado de identificação, avaliação, mitigação e monitoramento dos riscos. Suas principais responsabilidades incluem definir expectativas claras sobre a governança de riscos, garantindo que a administração compreenda a importância de gerenciar riscos de forma estruturada. Além disso ainda deve integrar a supervisão de riscos à estratégia corporativa, assegurando que as decisões estratégicas da empresa sejam tomadas considerando o equilíbrio entre risco e retorno. Para isso o conselho e seus comitês devem estabelecer diretrizes e princípios para a gestão de riscos, promovendo uma cultura organizacional que incentive uma abordagem proativa na identificação e mitigação de ameaças.
Outro aspecto essencial é assegurar que as responsabilidades relacionadas à gestão de riscos sejam formalmente estabelecidas, assim o conselho deve definir e documentar os papéis de cada comitê, eliminando sobreposições de funções e garantindo que a supervisão dos riscos ocorra de maneira eficiente. Dessa forma é possível evitar falhas na governança e garantir que todos os stakeholders envolvidos compreendam suas atribuições dentro do modelo de gestão de riscos da empresa. Além disso o monitoramento contínuo da exposição aos riscos deve ser uma prioridade para o conselho. É fundamental que a empresa opere dentro dos limites estabelecidos no apetite por risco e que existam mecanismos eficazes para detectar riscos emergentes. Para isso o conselho deve promover discussões regulares sobre o perfil de risco da empresa e avaliar a adequação das medidas adotadas pela administração para mitigar os principais riscos identificados.
Para garantir que a supervisão dos riscos seja eficiente, a estrutura do conselho pode ser complementada com a criação de comitês especializados, como o Comitê de Riscos (CoRis) e o Comitê de Auditoria (CoAud).
O Comitê de Riscos deve ser composto por membros independentes com experiência em gestão de riscos, finanças e estratégia, garantindo uma supervisão eficaz e alinhada às melhores práticas do mercado. Esse comitê deve atuar em estreita colaboração com o Comitê de Auditoria, assegurando que os riscos identificados sejam monitorados de forma adequada e que as auditorias realizadas forneçam insights valiosos sobre a eficácia das políticas de gestão de riscos adotadas pela empresa.
A colaboração entre os comitês especializados e a alta administração é essencial para garantir que a governança de riscos seja robusta e eficiente. Para isso é fundamental que o Comitê de Riscos mantenha interações frequentes com os executivos responsáveis pela gestão de riscos, promovendo reuniões periódicas para revisar os relatórios e indicadores de risco da empresa. Além disso o conselho deve promover a capacitação contínua dos membros do comitê, garantindo que eles estejam atualizados sobre as melhores práticas de governança de riscos e as tendências emergentes no ambiente corporativo.
Outro aspecto importante para a supervisão eficaz dos riscos é a composição do conselho, pois para desempenhar um papel estratégico na governança de riscos, o conselho deve ser composto por membros que possuam conhecimento adequado sobre os principais riscos enfrentados pela empresa. Dessa forma é recomendável que o conselho realize avaliações periódicas de sua composição, verificando se há diversidade de conhecimentos e experiências que possam agregar valor à supervisão dos riscos. Além disso a capacitação contínua dos conselheiros deve ser incentivada, promovendo treinamentos regulares sobre novas tendências em gestão de riscos, mudanças regulatórias e desafios emergentes que possam impactar a empresa.
Para que a supervisão de riscos seja estruturada de maneira eficaz, o conselho deve assegurar que a empresa adote um framework robusto de gestão de riscos. Existem diversos modelos reconhecidos internacionalmente que podem ser utilizados como referência para a estruturação da governança de riscos, como o COSO ERM e a norma ISO 31000. Esses frameworks fornecem diretrizes para a implementação de um sistema integrado de gestão de riscos, garantindo que a empresa possua processos bem definidos para identificar, avaliar e mitigar riscos.
Outro ponto essencial é a adoção de tecnologias e ferramentas analíticas que aumentem a visibilidade e a precisão na identificação e mitigação de riscos. O uso de inteligência artificial, análise preditiva e sistemas de monitoramento de riscos pode permitir que a empresa identifique padrões e tendências que possam indicar potenciais ameaças ao negócio. Dessa forma a implementação de tecnologias avançadas na governança de riscos pode aumentar a capacidade de resposta da empresa e melhorar a tomada de decisão.
Além disto a governança eficaz de riscos exige um sistema estruturado de monitoramento e avaliação contínuam por isto que o conselho deve garantir que a empresa estabeleça métricas e indicadores bem definidos para medir a eficácia da gestão de riscos. Além disso é fundamental que a administração forneça relatórios periódicos sobre a exposição aos riscos, detalhando as ações adotadas para mitigar as ameaças identificadas. Testes de estresse e simulações de cenários devem ser utilizados para avaliar a resiliência da empresa em diferentes contextos adversos, garantindo que a organização esteja preparada para lidar com eventos inesperados.
Para garantir a melhoria contínua da governança de riscos, o conselho deve adotar um modelo de maturidade, permitindo que a governança evolua ao longo do tempo. Esse modelo pode incluir diferentes estágios de desenvolvimento, desde um estágio inicial, onde os processos de gestão de riscos ainda são básicos, até um estágio avançado, no qual a gestão de riscos está totalmente integrada à estratégia da empresa e conta com monitoramento contínuo e análises avançadas.
Portanto a definição clara do papel do conselho na supervisão dos riscos é o primeiro passo para garantir uma governança eficiente. O conselho deve atuar como um facilitador estratégico, assegurando que os riscos sejam gerenciados de forma estruturada e alinhados à criação de valor. Ao estabelecer diretrizes claras, promover a capacitação contínua e adotar um framework estruturado, o conselho pode garantir que a empresa esteja preparada para enfrentar desafios e capturar oportunidades de forma sustentável, consolidando-se como uma empresa resiliente e competitiva no mercado.
Fomentar uma Cultura de Gestão de Riscos
No centro dessa abordagem está o conselho de administração e seu comitê de assessoramento de riscos, que possuem a responsabilidade de garantir que a empresa esteja preparada para antecipar, mitigar e responder a riscos de maneira eficaz e alinhada com seus objetivos estratégicos. Mas no entanto para que a governança de riscos seja eficiente, não basta apenas estabelecer controles e políticas formais, mas também é necessário construir uma cultura organizacional onde os riscos sejam compreendidos, discutidos e gerenciados de forma proativa por todos os níveis hierárquicos da empresa.
Uma cultura de riscos robusta permite que a empresa maximize oportunidades, tome decisões estratégicas mais fundamentadas e reaja rapidamente a crises emergentes. No entanto muitas empresas ainda enfrentam desafios na incorporação da gestão de riscos em sua cultura corporativa. Muitas vezes a gestão de riscos ainda é vista erroneamente como uma responsabilidade exclusiva da alta administração ou do setor de riscos e compliance, resultando em falhas na detecção precoce de riscos e na adoção de medidas preventivas. Para mudar essa mentalidade e tornar a gestão de riscos um elemento intrínseco ao funcionamento da empresa, é essencial que o conselho e o comitê de assessoramento de riscos atuem ativamente na construção de um ambiente organizacional onde os riscos sejam abordados de maneira estruturada e transparente.
O primeiro aspecto essencial para fomentar uma cultura de gestão de riscos eficaz é garantir que a comunicação sobre riscos seja transparente e acessível, até para que os riscos sejam gerenciados de maneira eficiente, é fundamental que os colaboradores, independentemente de seu nível hierárquico, se sintame encorajados a relatar problemas e preocupações sem receio de represálias. Infelizmente em muitas empresas ainda temos o medo de punição ou a falta de canais adequados de comunicação, o que faz com que riscos potenciais sejam ignorados ou subestimados, tornando-se crises de grande impacto. Para evitar esse cenário o conselho e seu comitê de riscos devem promover um ambiente em que a comunicação seja incentivada e que os riscos possam ser discutidos de maneira estruturada e contínua.
Uma das formas de garantir essa comunicação aberta é a implementação de canais formais de reporte de riscos, como plataformas de denúncia anônima e sistemas de monitoramento contínuo. Além disso as reuniões periódicas devem ser realizadas para discutir riscos emergentes e reforçar a importância da gestão de riscos dentro da organização. A tecnologia também pode desempenhar um papel importante nesse processo. Ferramentas digitais de gestão de riscos, que permitem a coleta e análise de dados de maneira estruturada, podem ajudar na identificação e no tratamento precoce de ameaças. Essas ferramentas facilitam a criação de painéis de controle que fornecem ao conselho informações em tempo real sobre a exposição a riscos e permitem a tomada de decisões mais assertivas.
Outro pilar essencial para consolidar uma cultura de gestão de riscos é a responsabilização em todos os níveis da empresa, em que a gestão de riscos não pode ser uma atribuição exclusiva do comitê de riscos ou da diretoria, mas ela deve ser incorporada ao dia a dia de todas as áreas do negócio, o que significa de que cada unidade de negócio e cada departamento deve ter um papel ativo na identificação e mitigação de riscos. Para isso o conselho deve garantir que a estrutura de governança de riscos estabeleça papéis e responsabilidades bem definidos para diferentes níveis hierárquicos. Os executivos e gestores devem atuar como promotores da cultura de riscos, demonstrando comprometimento e incentivando suas equipes a adotar práticas de gestão de riscos em suas atividades diárias. Os funcionários operacionais, por sua vez, devem ser treinados para reconhecer riscos dentro de suas funções e reportá-los de maneira estruturada. Já as funções de controle interno e auditoria devem atuar como segunda e terceira linhas de defesa, garantindo que os processos de mitigação de riscos estejam sendo seguidos e aprimorados conforme necessário.
Para fortalecer essa responsabilização, o conselho pode incorporar a gestão de riscos às descrições de cargos e aos processos de avaliação de desempenho, assim dessa forma, os colaboradores passam a ter metas relacionadas à mitigação de riscos, incentivando a agir proativamente. Essa prática pode ser complementada com programas de reconhecimento, onde profissionais que demonstram uma atuação exemplar na identificação e mitigação de riscos são premiados, reforçando a importância da cultura de riscos dentro da empresa.
Além da responsabilização é fundamental que a cultura de riscos seja monitorada por meio de métricas e indicadores bem definidos. O conselho deve estabelecer os devidos Key Performance Indicators (KPIs), que permitam avaliar o nível de maturidade da cultura de riscos na empresa. Entre os principais indicadores que podem ser utilizados estão por exemplo o número de riscos reportados voluntariamente pelos colaboradores, o tempo médio de resposta a eventos de risco, a taxa de participação dos funcionários em treinamentos de gestão de riscos e os resultados de pesquisas internas sobre a percepção dos riscos dentro da empresa. Empresas com uma cultura de riscos saudável geralmente apresentam uma alta taxa de reporte de riscos, pois os colaboradores se sentem seguros para compartilhar preocupações e sugerir melhorias. Além disso um tempo de resposta ágil a incidentes indica que a organização possui processos eficazes de gestão de riscos.
Outro aspecto importante para fomentar a cultura de riscos é garantir que os sistemas de incentivo da empresa estejam alinhados com a estratégia de mitigação de riscos, pois muitas empresas ainda enfrentam dificuldades na gestão de riscos porque seus sistemas de recompensa incentivam comportamentos que podem aumentar a exposição ao risco. Por exemplo se um executivo é avaliado apenas pelo crescimento da receita, ele pode adotar estratégias excessivamente arriscadas para alcançar esse objetivo. Já vi muito isto acontecer, e não deu muito certo para o Banco Boavista Interatlantico quando estive lá, ou mais recentemente com as americanas s.a. Para evitar distorções desse tipo o conselho deve garantir que a remuneração variável dos executivos e gestores inclua métricas relacionadas à gestão de riscos. Dessa forma os profissionais que gerenciam riscos de forma eficaz e mantêm a exposição dentro dos limites aceitáveis podem ser recompensados, incentivando uma abordagem equilibrada entre crescimento e segurança.
Além de vincular a remuneração à gestão de riscos o conselho pode implementar treinamentos contínuos para reforçar a importância da cultura de riscos dentro da empresa. Programas de capacitação sobre gestão de riscos devem ser oferecidos regularmente para todos os funcionários, desde a alta administração até os níveis operacionais. Esses treinamentos podem incluir simulações de cenários de crise, estudos de caso de incidentes reais e workshops sobre identificação e mitigação de riscos. Ao investir na capacitação dos colaboradores, a empresa fortalece sua capacidade de resposta e aumenta a resiliência organizacional.
Assim como para garantir que a cultura de riscos esteja sendo implementada de maneira eficaz, o conselho deve promover auditorias periódicas e avaliações independentes, em que essas auditorias devem avaliar se as práticas de gestão de riscos estão sendo seguidas corretamente e identificar eventuais lacunas que precisam ser corrigidas. Além disso uso de benchmarks com empresas do mesmo setor podem ser utilizados para comparar práticas e adotar melhorias contínuas. A realização de auditorias externas também pode trazer insights valiosos sobre a maturidade da cultura de riscos da empresa e apontar oportunidades de aprimoramento.
Fomentar uma cultura de gestão de riscos é um desafio contínuo e exige um compromisso permanente por parte do conselho e da alta administração. Sem uma cultura organizacional que valorize a identificação e mitigação de riscos, mesmo os frameworks mais sofisticados podem falhar na prática. O papel do conselho e do comitê de assessoramento de riscos é garantir que a empresa adote uma abordagem proativa, baseada em comunicação aberta, responsabilização clara, métricas bem definidas e incentivos adequados. Empresas que conseguem integrar a cultura de riscos de maneira eficaz se tornam mais preparadas para lidar com desafios, capturar oportunidades e fortalecer sua posição no mercado, garantindo sua sustentabilidade no longo prazo.
Integrar a Gestão de Riscos à Estratégia Corporativa
A integração da gestão de riscos à estratégia corporativa é um dos aspectos mais importantes da governança de riscos, pois permite que a empresa equilibre crescimento e segurança, tome decisões estratégicas bem fundamentadas e se torne mais resiliente em um ambiente de negócios dinâmico e incerto, mas em muitas empreass a gestão de riscos ainda é tratada como uma função isolada, concentrada em departamentos específicos como auditoria interna ou compliance, e desconectada do processo de tomada de decisão estratégica. Essa abordagem fragmentada pode levar a uma subestimação de ameaças críticas, uma alocação inadequada de recursos e até mesmo à perda de oportunidades estratégicas. O conselho de administração e seu comitê de assessoramento de riscos têm a responsabilidade de garantir que os riscos sejam considerados desde a concepção da estratégia corporativa, permitindo que a empresa tome decisões bem informadas e equilibradas entre risco e retorno.
A gestão de riscos deve ser vista como um elemento essencial do planejamento estratégico e não apenas como uma atividade de mitigação de perdas. O risco é uma parte inerente a qualquer decisão de negócios, e as empresas que sabem gerenciá-lo de maneira eficiente estão melhor posicionadas para inovar, expandir mercados e capturar valor sustentável. No entanto para que essa abordagem seja eficaz, é necessário que a organização possua uma estrutura formal de avaliação de riscos que esteja plenamente alinhada ao planejamento estratégico. Isso significa que a identificação, a análise e a mitigação de riscos devem estar incorporadas a todas as fases do ciclo estratégico, desde a definição de metas e investimentos até a execução e monitoramento dos resultados.
Um dos pilares fundamentais para essa integração é a adoção de processos estruturados de avaliação de riscos estratégicos, que devem ser baseados em frameworks amplamente reconhecidos, como o COSO ERM, que propõe uma abordagem abrangente para a gestão de riscos corporativos, ou a ISO 31000, que estabelece princípios e diretrizes para a gestão de riscos em organizações de todos os setores. Além disso ferramentas como o Risk-Adjusted Return on Capital (RAROC) ou o Value-at-Risk (VaR) podem ser utilizadas para quantificar e avaliar riscos financeiros e operacionais, fornecendo uma base analítica robusta para a tomada de decisão.
Para garantir que a gestão de riscos seja efetivamente incorporada à estratégia corporativa, o conselho e a alta administração devem adotar uma abordagem prospectiva baseada em cenários de risco e análise preditiva. A realização de simulações e modelagens de impacto permite que a empresa avalie diferentes cenários futuros e desenvolva planos de ação para mitigar possíveis impactos negativos. Essas análises devem considerar tanto fatores internos, como a solidez financeira da empresa e sua capacidade operacional, quanto fatores externos, como mudanças regulatórias, tendências macroeconômicas, riscos tecnológicos e eventos geopolíticos. Ao adotar uma visão abrangente dos riscos estratégicos, a empresa fortalece sua capacidade de resiliência e se prepara para enfrentar crises antes que elas ocorram, reduzindo sua vulnerabilidade a fatores inesperados.
Outro fator crítico para a integração da gestão de riscos à estratégia corporativa é a criação de mecanismos eficazes de monitoramento e reporte de riscos estratégicos, aonde o conselho deve exigir relatórios periódicos sobre os principais riscos que podem afetar a execução da estratégia, garantindo que as decisões sejam tomadas com base em informações atualizadas e confiáveis. Esses relatórios devem incluir métricas e indicadores-chave de risco, permitindo que a empresa acompanhe sua exposição ao longo do tempo e tome medidas corretivas quando necessário. Além disso a transparência no reporte de riscos é essencial para manter a confiança dos stakeholders, incluindo acionistas, reguladores e parceiros de negócios. Uma governança eficiente de riscos pressupõe que todas as partes interessadas tenham acesso a informações claras e objetivas sobre os riscos enfrentados pela organização e as medidas adotadas para mitigá-los.
A colaboração entre o conselho e a equipe de gestão de riscos é um elemento essencial para garantir que a gestão de riscos seja integrada à estratégia da empresa. O conselho deve promover reuniões regulares com os líderes das áreas estratégicas e de risco para discutir tendências emergentes e revisar continuamente os planos de mitigação. Essa abordagem colaborativa ajuda a criar uma cultura organizacional onde a gestão de riscos é vista como um facilitador da estratégia, e não como um obstáculo à inovação e ao crescimento. Quando há um alinhamento entre a estratégia corporativa e a gestão de riscos, a empresa pode adotar uma postura mais ousada em busca de oportunidades, mantendo sempre um nível de exposição que esteja dentro do apetite e da tolerância ao risco definidos.
Para que essa integração seja bem-sucedida o conselho deve garantir que a empresa adote um apetite por risco claramente definido, que vai estabelecer o nível de exposição que a empresa está disposta a assumir em busca de seus objetivos estratégicos, e que deve ser formalmente documentado e revisado periodicamente para garantir que esteja alinhado com as mudanças no ambiente de negócios. O apetite por risco pode variar de acordo com o tipo de risco considerado. Por exemplo uma empresa pode ter um alto apetite por riscos relacionados à inovação e desenvolvimento de novos produtos, mas um baixo apetite para riscos regulatórios ou de conformidade. Esse equilíbrio é essencial para garantir que a empresa não adote uma postura excessivamente conservadora, que pode limitar seu crescimento, nem uma abordagem excessivamente agressiva, que pode comprometer sua estabilidade financeira e reputacional.
Além de definir o apetite por risco, a empresa deve estabelecer limites operacionais e métricas de tolerância ao risco, garantindo que os gestores tenham diretrizes claras para tomar decisões estratégicas. Esses limites podem ser expressos em termos quantitativos, como uma porcentagem do capital alocado para investimentos de alto risco, ou qualitativos, como restrições para entrar em determinados mercados ou setores. O conselho deve monitorar continuamente esses limites e garantir que a empresa não ultrapasse sua capacidade de absorver riscos. A implementação de dashboards de risco, que permitam a visualização em tempo real da exposição da empresa a diferentes tipos de riscos, pode ser uma ferramenta valiosa para manter esse monitoramento.
Outro ponto relevante na integração da gestão de riscos à estratégia corporativa é a avaliação do impacto de fatores externos, como mudanças regulatórias, avanços tecnológicos e questões ESG, até mesmo pelo crescimento da agenda ESG, que tem levado empresas a reconsiderar seus modelos de negócios e adotar estratégias que reduzam impactos ambientais e promovam maior transparência e responsabilidade social. Os riscos ESG devem ser considerados como parte fundamental do planejamento estratégico. O conselho deve avaliar como questões como mudanças climáticas, diversidade e inclusão, e ética empresarial podem impactar a sustentabilidade da empresa no longo prazo.
Para garantir que a gestão de riscos seja de fato incorporada à estratégia da empresa, o conselho pode adotar algumas ações práticas, tais como desenvolver processos formais para considerar riscos no planejamento estratégico, aumentar a frequência das discussões sobre riscos com a alta administração, definir indicadores-chave de desempenho (KPIs) para a gestão de riscos, promover a capacitação dos executivos e conselheiros em gestão de riscos e acompanhar riscos emergentes e tendências globais.
A integração da gestão de riscos à estratégia corporativa também requer a adoção de tecnologias de suporte à análise e monitoramento de riscos. Ferramentas de inteligência artificial e aprendizado de máquina podem ser utilizadas para analisar grandes volumes de dados e identificar padrões que indiquem potenciais ameaças ou oportunidades estratégicas. Além disso, soluções de big data analytics e machine learning permitem que a empresa refine suas previsões e tome decisões baseadas em insights mais precisos.
Além disto a governança de riscos deve ser encarada como um processo dinâmico e em constante evolução, aonde o conselho e seu comitê de assessoramento de riscos devem revisar continuamente a eficácia das estratégias de gestão de riscos e realizar ajustes conforme necessário. Benchmarking com outras empresas do setor pode fornecer insights valiosos sobre melhores práticas e auxiliar na identificação de oportunidades de melhoria. Além disso as auditorias independentes e avaliações externas podem ser utilizadas para garantir que a empresa esteja adotando padrões elevados de governança de riscos.
A integração da gestão de riscos à estratégia corporativa é um dos pilares fundamentais para garantir a resiliência organizacional e a criação de valor sustentável. Quando bem implementada, essa abordagem permite que a empresa equilibre crescimento e segurança, reduza vulnerabilidades e aproveite oportunidades com maior eficácia. O conselho de administração desempenha um papel fundamentalnesse processo, garantindo que os riscos sejam devidamente considerados e gerenciados como parte essencial do planejamento estratégico da empresa. Dessa forma as empresas que adotam uma governança de riscos estruturada e integrada à sua estratégia estarão mais bem preparadas para enfrentar desafios e se posicionar de forma competitiva em um mercado em constante transformação.
Definir e Revisar o Apetite por Risco
A definição e a revisão do apetite por risco são elementos fundamentais para garantir que a empresa esteja estrategicamente alinhada com seus objetivos, sem comprometer sua sustentabilidade e sua capacidade de enfrentar desafios, aonde este conceito de apetite por risco se refere ao nível de risco que uma empresa está disposta a assumir para alcançar suas metas estratégicas e operacionais.
Esse conceito deve ser compreendido dentro de um espectro equilibrado, pois uma empresa que adota uma postura excessivamente conservadora pode perder oportunidades valiosas de crescimento, enquanto uma abordagem excessivamente agressiva pode expô-la a riscos desnecessários que comprometam sua estabilidade financeira e reputacional.
A definição do apetite por risco precisa ser clara e comunicada de maneira eficaz em toda a empresa, desde o conselho de administração e seus comitês até os níveis operacionais, garantindo que todas as áreas tenham diretrizes bem estabelecidas para orientar a tomada de decisão. Mas muitas empresas ainda falham bastante nesse aspecto porque tratam a gestão de riscos como uma função isolada, sem estabelecer conexões diretas com sua estratégia de negócios. Dessa forma o conselho e seu comitê de assessoramento de riscos desempenham um papel essencial na formulação, no monitoramento e na revisão contínua do apetite por risco, assegurando que ele esteja alinhado com a visão de longo prazo da empresa.
A definição do apetite por risco deve considerar diversos fatores, incluindo o setor de atuação da empresa, suas condições financeiras, seu modelo de negócios e seu ambiente regulatório. Empresas de setores altamente regulados, como o financeiro e o de saúde, tendem a ter um apetite por risco mais baixo, uma vez que a conformidade com normas rígidas é um requisito essencial para sua operação. Já empresas de tecnologia e inovação podem assumir um apetite por risco mais elevado, pois precisam explorar novas oportunidades e testar modelos de negócios inovadores. Independentemente do setor é fundamental que o apetite por risco esteja alinhado com a tolerância ao risco, que representa os limites práticos dentro dos quais a empresa deve operar para evitar impactos adversos significativos.
A diferenciação entre apetite por risco e tolerância ao risco é essencial para garantir que a empresa tenha um controle rigoroso sobre sua exposição, aonde o apetite por risco define a postura geral da empresa em relação ao risco, enquanto a tolerância ao risco estabelece os limites quantitativos e qualitativos dentro dos quais as decisões devem ser tomadas. Por exemplo uma instituição financeira pode definir um apetite por risco moderado ao conceder crédito a pequenas empresas, mas estabelecer uma tolerância ao risco que limite a taxa de inadimplência aceitável em 5%. Se a taxa de inadimplência ultrapassar esse limite, a empresa deve adotar medidas corretivas para ajustar sua estratégia e reduzir sua exposição.
Outro ponto crítico na definição do apetite por risco é a necessidade de incorporar uma visão ampla dos diferentes tipos de risco que a empresa enfrenta, aonde estes riscos podem ser classificados em diversas categorias, incluindo riscos financeiros, operacionais, estratégicos, regulatórios e reputacionais. Cada uma dessas categorias deve ter diretrizes específicas dentro do apetite por risco da organização. No caso dos riscos financeiros, por exemplo a empresa pode estabelecer limites para sua alavancagem, exposição cambial e volatilidade dos fluxos de caixa. Já nos riscos operacionais, pode definir tolerâncias para falhas em processos internos, interrupções na cadeia de suprimentos e incidentes de segurança cibernética. Nos riscos reputacionais, pode estabelecer diretrizes para a gestão de crises e para a comunicação com stakeholders.
A definição do apetite por risco deve ser um processo colaborativo, envolvendo o conselho de administração, seus comitês, a alta administração e as principais áreas de negócios. Para garantir que essa definição seja bem fundamentada, a empresa pode utilizar benchmarks setoriais e análises comparativas com empresas similares, identificando as melhores práticas adotadas por empresas de referência no mercado. Além disso pode recorrer a modelos de análise quantitativa, como Value at Risk (VaR) e Stress Testing, para estimar o impacto potencial de diferentes cenários de risco em seus resultados financeiros.
Uma vez definido o apetite por risco deve ser comunicado de forma clara para toda a empresa, assim o conselho deve garantir que os gestores e as equipes operacionais compreendam os limites estabelecidos e saibam como incorporá-los em suas decisões diárias. Para isso é recomendável que a empresa desenvolva políticas e diretrizes que detalhem os critérios para a aceitação e a mitigação de riscos em cada área do negócio. Essas diretrizes podem incluir limites de exposição financeira, parâmetros para a aceitação de novos clientes e fornecedores, critérios para a aprovação de investimentos e fusões e aquisições, entre outros aspectos relevantes.
Além da definição a revisão periódica do apetite por risco é essencial para garantir que ele continue alinhado com a realidade da empresa e com as mudanças no ambiente de negócios. O mercado está em constante transformação, e fatores como crises econômicas, avanços tecnológicos, mudanças regulatórias e novas tendências de consumo podem impactar significativamente a exposição ao risco da empresa. O conselho e o comitê de assessoramento de riscos devem monitorar continuamente esses fatores e revisar o apetite por risco sempre que necessário, ajustando as diretrizes conforme as condições do mercado evoluem.
A revisão do apetite por risco pode ser feita no minimo anualmente, ou sempre que houver mudanças significativas no contexto de negócios da empresa, então para isso,o conselho pode utilizar uma abordagem estruturada baseada em métricas e indicadores-chave de risco (Key Risk Indicators – KRIs), que permitem avaliar se a empresa está operando dentro dos limites estabelecidos. Esses indicadores podem incluir a volatilidade dos resultados financeiros, a frequência e o impacto de eventos de risco, a taxa de sucesso na mitigação de riscos e o nível de exposição a riscos críticos. Se os KRIs indicarem que a empresa está assumindo riscos acima do aceitável, o conselho deve adotar medidas corretivas para realinhar a estratégia e garantir que a organização opere dentro dos parâmetros estabelecidos.
Além dos KRIs outra ferramenta valiosa para a revisão do apetite por risco são os testes de estresse e análises de sensibilidade, que simulam cenários adversos e avaliam como a empresa se comportaria diante de eventos inesperados. Esses testes podem ser aplicados a diferentes tipos de risco, como crises financeiras, falhas em cadeias de suprimentos, ataques cibernéticos e mudanças bruscas no ambiente regulatório. Com base nos resultados desses testes, o conselho pode tomar decisões mais embasadas sobre a necessidade de ajustes no apetite por risco e nas políticas de mitigação.
A tecnologia também pode desempenhar um papel fundamental na definição e na revisão do apetite por risco. Ferramentas avançadas de análise de dados, inteligência artificial e machine learning podem ser utilizadas para monitorar a exposição da empresa a riscos em tempo real, permitindo que os gestores identifiquem padrões e tendências que possam indicar um aumento na vulnerabilidade da organização. Essas ferramentas ajudam a empresa a adotar uma abordagem mais dinâmica e ágil na gestão de riscos, garantindo que as decisões sejam tomadas com base em dados precisos e atualizados.
A definição do apetite por risco também deve levar em consideração aspectos de governança e conformidade regulatória. Reguladores e órgãos de fiscalização têm exigido cada vez mais transparência das empresas em relação à sua exposição ao risco e às medidas adotadas para mitigá-lo. Empresas do setor financeiro por exemplo devem atender a requisitos rigorosos estabelecidos por órgãos como o Banco Central e a Comissão de Valores Mobiliários (CVM). Nesse sentido, o conselho deve garantir que a empresa esteja em conformidade com todas as exigências regulatórias e que sua gestão de riscos esteja alinhada às melhores práticas de governança corporativa.
Portanto definir e revisar o apetite por risco é uma atividade essencial para garantir que a empresa esteja preparada para enfrentar desafios e aproveitar oportunidades de forma estruturada. O conselho de administração deve desempenhar um papel ativo nesse processo, assegurando que a empresa tenha diretrizes claras para a tomada de decisão e mecanismos eficazes para monitorar sua exposição ao risco. Ao adotar uma abordagem disciplinada e baseada em dados, a empresa pode equilibrar crescimento e segurança, garantir a sustentabilidade de longo prazo e fortalecer sua resiliência diante das incertezas do mercado. Dessa forma a definição e a revisão contínua do apetite por risco não são apenas uma necessidade regulatória, mas um componente estratégico fundamental para o sucesso empresarial.
Implementar e Monitorar Processos de Governança de Riscos
A implementação e o monitoramento de processos de governança de riscos são etapas fundamentais para garantir que a gestão de riscos seja eficaz e alinhada aos objetivos estratégicos da empres, aonde embora a definição de um apetite por risco adequado e a integração da gestão de riscos à estratégia corporativa sejam passos essenciais, eles precisam ser traduzidos em processos concretos que garantam a aplicação sistemática das diretrizes estabelecidas pelo conselho.
O papel do conselho de administração e de seu comitê de assessoramento de riscos é assegurar que a empresa tenha estruturas e mecanismos adequados para identificar, avaliar, mitigar e monitorar riscos de forma contínua, garantindo uma abordagem estruturada e disciplinada. Dessa forma a governança de riscos deve ser projetada para permitir que a empresa antecipe ameaças e responda rapidamente a eventos adversos, minimizando impactos negativos e maximizando oportunidades.
No entanto muitas empresas ainda enfrentam desafios nesse processo, pois a gestão de riscos é frequentemente tratada como uma função isolada, restrita a determinadas áreas, como auditoria interna e compliance, sem uma abordagem integrada. Para que a governança de riscos seja eficaz é fundamental que ela esteja incorporada a todos os processos da empresa, desde as operações cotidianas até as decisões estratégicas de longo prazo.
O conselho deve garantir que a empresa adote um modelo estruturado de gestão de riscos baseado em melhores práticas internacionais, como o COSO ERM e a ISO 31000, que fornecem diretrizes para a implementação de um sistema integrado de gerenciamento de riscos. Esses frameworks estabelecem uma estrutura que permite à empresa avaliar, responder e monitorar riscos de maneira contínua, garantindo que a tomada de decisão esteja sempre alinhada a um entendimento claro da exposição aos riscos.
A primeira etapa da implementação da governança de riscos é o desenvolvimento de um framework robusto de gestão de riscos, que deve definir claramente os papéis e responsabilidades de cada unidade da empresa, garantindo que a gestão de riscos seja descentralizada e incorporada às atividades de todas as áreas, em que um modelo amplamente adotado é a estrutura de "três linhas de defesa", que estabelece uma divisão clara de responsabilidades dentro da empresa. A primeira linha de defesa é formada pelas áreas operacionais, que são responsáveis pela identificação e mitigação dos riscos dentro de suas atividades diárias. A segunda linha de defesa inclui funções de controle, como gestão de riscos e compliance, que monitoram a eficácia dos processos e garantem a aderência às políticas estabelecidas. Já a terceira linha de defesa é composta pela auditoria interna, que atua de forma independente para avaliar a efetividade dos controles e sugerir melhorias. Esse modelo garante que a empresa tenha um sistema de governança eficiente, com mecanismos de controle bem distribuídos e integrados.
Após a implementação do framework a empresa deve garantir a criação de políticas e procedimentos formais para a gestão de riscos, que devem detalhar os processos de identificação, avaliação, mitigação e monitoramento de riscos, garantindo que todas as áreas da empresa sigam diretrizes padronizadas. As políticas devem abordar diferentes categorias de risco, incluindo riscos financeiros, operacionais, estratégicos, regulatórios e de reputação, além de estabelecer critérios claros para a aceitação, transferência, mitigação ou eliminação de riscos. O conselho deve revisar e aprovar essas políticas regularmente, garantindo que elas estejam sempre alinhadas às mudanças no ambiente de negócios.
Outro aspecto crítico da governança de riscos é a implementação de sistemas e ferramentas tecnológicas para monitoramento contínuo dos riscos. A tecnologia desempenha um papel fundamental na melhoria da eficiência e precisão da gestão de riscos, permitindo que a empresa colete, analise e monitore dados de maneira estruturada. O uso de ferramentas de big data analytics, inteligência artificial e machine learning pode ajudar a prever tendências, identificar padrões e detectar riscos emergentes antes que se tornem problemas críticos. Além disso, sistemas integrados de gestão de riscos, conhecidos como GRC (Governance, Risk & Compliance), permitem a automação de processos, facilitando a análise de riscos e o reporte de informações para o conselho e a alta administração. A adoção de dashboards interativos que fornecem informações em tempo real sobre a exposição a riscos pode aumentar a agilidade na resposta a ameaças emergentes.
Para garantir que a governança de riscos seja eficaz o conselho deve estabelecer mecanismos claros de reporte e comunicação, pois a falta de comunicação entre diferentes áreas da empresa pode comprometer a eficácia da gestão de riscos, tornando a organização vulnerável a falhas de controle. Para evitar esse problema devem ser implementados fluxos de reporte estruturados, nos quais os riscos identificados sejam comunicados rapidamente aos níveis apropriados de gestão. O conselho deve receber relatórios periódicos sobre a exposição da empresa a riscos e sobre a eficácia das medidas de mitigação adotadas. Esses relatórios devem incluir indicadores-chave de risco (Key Risk Indicators – KRIs), que permitem monitorar a evolução dos riscos ao longo do tempo e identificar a necessidade de ações corretivas. Além disso a realização de reuniões periódicas entre o conselho, o comitê de riscos e os executivos responsáveis pela gestão de riscos permite um acompanhamento mais próximo das iniciativas em andamento e a tomada de decisões mais ágeis.
A definição de métricas e indicadores para avaliação da governança de riscos é um passo essencial para garantir que a empresa possa medir a eficácia de seus processos e identificar oportunidades de melhoria. Entre os principais indicadores que o conselho pode monitorar estão o número de eventos de risco ocorridos, a frequência de falhas nos controles internos, o tempo médio de resposta a incidentes e o nível de aderência às políticas de risco. A análise desses indicadores permite que a empresa ajuste sua estratégia e melhore continuamente sua governança de riscos, garantindo que a organização esteja preparada para lidar com desafios futuros.
Além da implementação de processos estruturados, é fundamental que o conselho e a alta administração promovam uma cultura organizacional voltada para a gestão de riscos. A cultura de riscos é um fator determinante para o sucesso da governança de riscos, pois influencia diretamente a forma como os colaboradores percebem e lidam com os riscos no dia a dia. Para promover essa cultura, a empresa deve investir em programas de capacitação e conscientização, garantindo que todos os funcionários compreendam a importância da gestão de riscos e saibam como identificar e mitigar ameaças dentro de suas atividades. O conselho pode incentivar a realização de workshops, treinamentos e simulações de cenários de risco, fortalecendo a mentalidade de risco em toda a organização.
Outro aspecto fundamental da governança de riscos é a realização de auditorias internas e externas para avaliação da eficácia dos processos de gestão de riscos. A auditoria interna deve atuar de forma independente para avaliar a conformidade com as políticas estabelecidas e identificar possíveis falhas nos controles. Já a auditoria externa pode fornecer uma visão imparcial sobre a maturidade da governança de riscos da empresa, trazendo recomendações para aprimoramento. Além disso, a empresa pode realizar testes de estresse e análises de cenários para avaliar sua resiliência diante de eventos adversos, garantindo que esteja preparada para enfrentar crises de diferentes naturezas.
A governança de riscos deve ser um processo dinâmico e em constante evolução. O conselho e seu comitê de assessoramento de riscos devem revisar periodicamente a eficácia dos processos implementados e realizar ajustes sempre que necessário. A empresa deve acompanhar as tendências e melhores práticas do mercado, realizando benchmarking com outras organizações do setor para identificar oportunidades de aprimoramento. Além disso, deve garantir que sua estrutura de governança esteja adaptada às mudanças no ambiente regulatório, tecnológico e competitivo.
A implementação e o monitoramento da governança de riscos são fundamentais para garantir que a empresa esteja preparada para enfrentar desafios e capturar oportunidades de forma estruturada e segura. O conselho de administração desempenha um papel central nesse processo, assegurando que a organização adote uma abordagem disciplinada e baseada em dados para a gestão de riscos. Ao estabelecer um framework robusto, investir em tecnologia, promover uma cultura organizacional voltada para riscos e monitorar continuamente a eficácia dos processos, a empresa pode fortalecer sua resiliência, garantir sua sustentabilidade no longo prazo e se posicionar de maneira competitiva no mercado. Dessa forma a governança de riscos não deve ser vista apenas como um mecanismo de defesa, mas como um diferencial estratégico que contribui para a criação de valor e a perenidade do negócio.
Avaliar e Aprimorar Continuamente a Governança de Riscos
A governança de riscos não é um processo estático, mas sim dinâmico, exigindo constante avaliação e aprimoramento para garantir que a empresa esteja preparada para lidar com um ambiente de negócios cada vez mais incerto, volátil e interconectado. O conselho de administração e seu comitê de assessoramento de riscos desempenham um papel essencial nesse processo, assegurando que a gestão de riscos evolua continuamente para acompanhar as mudanças regulatórias, as novas tecnologias, as ameaças emergentes e as melhores práticas do mercado. A capacidade de adaptação é fundamental para a resiliência organizacional, pois empresas que mantêm processos rígidos e desatualizados correm o risco de se tornarem vulneráveis a eventos disruptivos. Dessa forma aprimorar a governança de riscos não significa apenas manter processos operacionais funcionando, mas sim garantir que a empresa esteja continuamente fortalecendo sua capacidade de antecipação, resposta e mitigação de ameaças estratégicas, operacionais, financeiras e regulatórias.
A primeira etapa para avaliar e aprimorar continuamente a governança de riscos é a implementação de um modelo de maturidade da gestão de riscos. Esse modelo permite que a empresa avalie seu estágio atual de governança e identifique oportunidades de melhoria. Diferentes frameworks podem ser utilizados para essa avaliação, incluindo o Risk Maturity Model (RMM), o COSO ERM (Enterprise Risk Management) e a ISO 31000, que estabelecem critérios para medir o grau de desenvolvimento dos processos de gestão de riscos. Em geral um modelo de maturidade classifica a governança de riscos em diferentes níveis. No nível inicial os processos de gestão de riscos são básicos e aplicados de maneira reativa, sem formalização ou integração com a estratégia corporativa. No nível intermediário os riscos começam a ser mapeados de forma mais estruturada, mas ainda há pouca coordenação entre as áreas, e as decisões são tomadas com base em percepções subjetivas. No nível avançado a empresa já possui uma estrutura clara de governança de riscos, com políticas formalizadas, monitoramento contínuo e integração parcial com a estratégia. No nível estratégico a gestão de riscos está totalmente incorporada à cultura organizacional, e os processos são altamente automatizados, utilizando tecnologia para análise preditiva e tomada de decisão baseada em dados.
O conselho deve garantir que a empresa esteja sempre avançando para níveis mais altos de maturidade, promovendo avaliações periódicas para identificar lacunas e implementar melhorias contínuas. Para isso, pode ser útil realizar auditorias internas e externas, benchmarking com empresas do mesmo setor e workshops com especialistas para discutir tendências e novas metodologias. Uma empresa que deseja aprimorar sua governança de riscos deve ter um compromisso contínuo com a evolução de seus processos, adotando metodologias de avaliação independentes e garantindo que seus executivos e colaboradores estejam capacitados para lidar com riscos de maneira proativa e estratégica.
Outro fator essencial para a melhoria contínua da governança de riscos é o uso de métricas e indicadores de desempenho para monitorar a eficácia dos processos. A empresa deve definir Key Risk Indicators (KRIs) e Key Performance Indicators (KPIs) que permitam avaliar a evolução da governança de riscos ao longo do tempo. Entre os principais indicadores que podem ser utilizados estão o número de eventos de risco ocorridos e impacto financeiro associado, a frequência de falhas nos controles internos, o tempo médio de resposta a incidentes, o grau de conformidade com políticas internas e regulatórias, o nível de participação dos colaboradores em treinamentos de gestão de riscos e a taxa de implementação de ações corretivas após auditorias e testes de estresse. A análise desses indicadores permite que o conselho tenha uma visão clara sobre a eficácia da governança de riscos e tome decisões baseadas em dados para aprimorar continuamente os processos. Se os indicadores mostrarem que a empresa não está conseguindo mitigar riscos de maneira eficiente ou que os eventos de risco estão se tornando recorrentes, isso pode ser um sinal de que há falhas estruturais na governança que precisam ser corrigidas.
Além das métricas outra ferramenta importante para a melhoria contínua da governança de riscos é a realização periódica de testes de estresse e simulações de cenários adversos. Esses testes permitem avaliar a resiliência da empresa diante de diferentes tipos de crise, como recessões econômicas, ataques cibernéticos, desastres naturais e mudanças regulatórias abruptas. A metodologia de stress testing é amplamente utilizada no setor financeiro para avaliar a solidez de bancos e seguradoras, mas também pode ser aplicada em qualquer empresa que deseja entender os impactos potenciais de eventos adversos e ajustar suas estratégias de mitigação. O conselho deve garantir que a empresa realize esses testes regularmente e utilize seus resultados para fortalecer suas políticas de gestão de riscos. Dessa forma a empresa pode antecipar cenários extremos e preparar respostas adequadas para minimizar impactos negativos, garantindo sua sustentabilidade no longo prazo.
Outro aspecto fundamental do aprimoramento contínuo da governança de riscos é a incorporação de novas tecnologias e inovações no processo de gestão de riscos. Com os avanços da inteligência artificial, do machine learning e do big data analytics, as empresas podem utilizar modelos preditivos para identificar riscos emergentes antes que eles se materializem. Soluções automatizadas permitem a análise de grandes volumes de dados em tempo real, facilitando a detecção de padrões e anomalias que podem indicar potenciais ameaças. O conselho deve incentivar o uso dessas tecnologias para tornar a governança de riscos mais ágil e precisa, reduzindo a dependência de processos manuais e subjetivos. A adoção de dashboards interativos que fornecem informações atualizadas sobre a exposição da empresa a diferentes tipos de riscos pode aumentar a agilidade na resposta a ameaças e garantir que a tomada de decisão seja fundamentada em dados concretos.
Além da tecnologia é fundamental que a empresa esteja sempre atenta às mudanças no ambiente regulatório e nas melhores práticas de governança corporativa. Reguladores em todo o mundo estão aumentando as exigências para que as empresas demonstrem um gerenciamento eficaz de riscos, especialmente em setores como o financeiro, o energético e o de tecnologia. O conselho deve garantir que a organização esteja em conformidade com todas as normativas aplicáveis e, sempre que possível, adote padrões elevados de governança, indo além do mínimo exigido pela legislação. Empresas que antecipam mudanças regulatórias e se preparam com antecedência para novas exigências tendem a ter uma vantagem competitiva e uma melhor reputação no mercado.
A governança de riscos também pode ser aprimorada por meio da criação de um ciclo contínuo de aprendizado organizacional. O conselho e a alta administração devem incentivar a troca de experiências e o compartilhamento de lições aprendidas com incidentes passados, tanto dentro da empresa quanto no setor em que atua. Estudar casos reais de empresas que enfrentaram crises e analisar suas respostas pode fornecer insights valiosos para aprimorar a resiliência organizacional. Além disso os programas de desenvolvimento profissional voltados para a capacitação em gestão de riscos devem ser promovidos continuamente, garantindo que os gestores estejam sempre atualizados sobre novas metodologias e tendências.
Outra prática recomendada para o aprimoramento da governança de riscos é a avaliação independente da estrutura de governança por especialistas externos. Empresas que desejam atingir um nível avançado de maturidade na gestão de riscos podem contratar consultorias especializadas para revisar seus processos e identificar oportunidades de melhoria. Essas avaliações externas oferecem uma visão imparcial e comparativa, permitindo que a empresa adote as melhores práticas do mercado e fortaleça sua estrutura de controle. O uso de avaliações externas também pode aumentar a credibilidade da governança de riscos junto a investidores e reguladores, demonstrando o compromisso da empresa com a transparência e a mitigação de riscos.
A governança de riscos deve estar sempre alinhada com a cultura e os valores da empresa. O aprimoramento contínuo da governança só será eficaz se houver um compromisso genuíno da liderança em promover uma cultura organizacional que valorize a gestão de riscos como um diferencial competitivo e não apenas como uma obrigação regulatória. O conselho e o comitê de assessoramento de riscos devem atuar como agentes dessa mudança cultural, garantindo que a gestão de riscos esteja integrada às práticas diárias da empresa e seja percebida como um fator essencial para a sustentabilidade do negócio. Dessa forma, a avaliação e o aprimoramento contínuo da governança de riscos garantem que a empresa esteja sempre preparada para enfrentar desafios, reduzir vulnerabilidades e aproveitar oportunidades de forma estruturada e segura, transformando a gestão de riscos em um verdadeiro motor de crescimento e vantagem competitiva.