Gartner
Segunda-feira, 11 de outubro de 2010 – 11h34

SÃO PAULO – “Gerenciamento de risco” é um termo abrangedor e o Gartner fornece uma ampla variedade de pesquisas que o colocam em foco. As organizações devem balancear seus controles com as necessidades do negócio para direcionar o desempenho corporativo.

ANÁLISE – Todos falam sobre gerenciamento de risco, mas nem todos estão de acordo em relação a como gerenciar os riscos. A crise financeira global de 2008 aumentou a consciência acerca do gerenciamento de risco orientado ao negócio em assuntos como segurança de TI e registros financeiros, assim como a necessidade de compreender os riscos enfrentados por uma organização.

Apesar dessas preocupações, a maioria das organizações continua lutando contra silos de atividades de gerenciamento de risco que falham em prover uma estrutura integrada para esses esforços.

Algumas atividades cobrem uma área de especialização, como gerenciamento da continuidade do negócio (BCM), enquanto outras tratam de um tipo de risco que afeta toda a companhia, como gerenciamento de risco operacional (ORM).

Apresentamos um grupo de pesquisas que fornecem diretrizes sobre como lidar com estratégia, organização, processo e tecnologia de atividades relacionadas com riscos dentro de uma empresa, desde silos individuais de risco até a implementação de uma efetiva capacidade de gerenciamento de risco corporativo (ERM).

Frequentemente, esforços de gerenciamento de risco são etiquetados como risco e cumprimento de governança (GRC). Este termo tem sido aplicado tão amplamente no mercado que não representa mais do que a maduração das abordagens usadas pelas organizações para lidar com suas atividades de gerenciamento de riscos e cumprimento de diretrizes.

Não há uma definição normalmente aceita de GRC que delineie um conjunto específico dessas atividades. O GRC foca em estimativa individual qualitativa, processos de controle e auditoria e registros regulatórios. As organizações deveriam tomar cuidado com os fornecedores que usam o termo GRC para descrever basicamente qualquer produto que vendam.

O termo “ERM” é usado igualmente de forma ampla e, em muitos casos, incorretamente para descrever qualquer atividade para centralizar silos de risco sob gerenciamento comum. Em muitas situações, os riscos selecionados são somente riscos operacionais. O Gartner define o ERM verdadeiro como o tratamento estratégico e holístico de todos os riscos da organização, incluindo riscos de crédito e mercado, assim como riscos operacionais.

Lições que outras indústrias podem aprender sobre ERM de serviços financeiros  – A indústria de serviços financeiros foi sempre rigidamente regulada a partir de uma perspectiva de risco e inclui algumas das organizações mais evoluídas e cientes dos riscos.

A maioria das outras indústrias pode não ser obrigada a atingir os mesmos níveis de maturidade em controle, processamento e registro de riscos. Entretanto, a indústria de serviços financeiros continua fornecendo lições aplicáveis a organizações de todas as indústrias, em relação ao possível sucesso ou falha de uma implantação de gerenciamento de risco. Por exemplo, organizações de serviços financeiros estão consideravelmente à frente da maioria das outras indústrias quanto à implementação de ERM.

Conforme já  se notou, muitas organizações caracterizam qualquer esforço para desfazer os silos de risco como ERM. Etiquetas à parte, a lição neste caso é que, embora nem todas as organizações tenham um relevante caso de implementação de ERM, quase todas as organizações podem se beneficiar da implantação de uma abordagem mais ampla acerca do gerenciamento de riscos.

Todas as atividades relacionadas com gerenciamento de risco são parte de, e contribuem para, uma solução corporativa para gerenciamento de risco. Individualmente e também coletivamente, contudo, elas não atingem as capacidades ou os benefícios oferecidos pelo ERM.

O ERM é  uma abordagem compreensiva, diferente da abordagem fragmentada encontrada em um típico ambiente onde os processos de gerenciamento de riscos e cumprimento de diretrizes tendem a ser implantados de uma maneira não coordenada em unidades de negócios e funções de suporte.

Uma visão corporativa mira os componentes de risco holisticamente. Ela centraliza os processos de governança e controle de risco para que a empresa possa determinar as relações entre os riscos e decidir qual é a melhor maneira de absorver, limitar e transferir os riscos.

Quando esta abordagem é utilizada, gerentes de linha de negócio (LOB) continuam controlando os riscos no nível operacional, enquanto o chefe de gerenciamento de riscos (CRO) define políticas que permitam aos negócios da companhia funcionar como uma unidade, organicamente compartilhando dados e coordenando decisões sobre riscos.

Uma abordagem holística dos riscos corporativos inclui uma visão corporativa do risco operacional e suas interdependências e correlações com os riscos de mercado e de crédito.

A abordagem holística é essencial para a capitalização do potencial positivo do risco adequadamente gerenciado. A idéia de que o risco pode ter um lado positivo desafia as os departamentos de TI, que tendem a interpretar o gerenciamento de risco apenas como a redução ou a eliminação do risco.

O desafio para os departamentos de TI é determinar quais programas de risco e processos técnicos permitem que eles detectem e capitalizem os eventos de risco significativos para o desempenho corporativo, ou para reduzir o risco por meio de automatização e padronização.

ERM não  é uma tecnologia discreta. Você não pode comprar um sistema de ERM completo. Seu sucesso depende em grade parte da criação de uma cultura ciente do risco. O principal objetivo do ERM é relacionar o risco com a criação de valor, e a associação do risco com o desempenho. Isso envolve:

1 –  Apagar as fronteiras de LOB e abordagens fragmentadas de gerenciamento de risco

2 –  Avaliar o desempenho a partir de uma base ajustada ao risco para gerentes de compensação

3 –  Tomar decisões informais para alocar capital

O ERM é  uma necessidade da boa governança. Ele vai além do típico regime de registro e cumprimento de diretrizes e dos processos operacionais.  Todas as organizações tem riscos de crédito e mercado.

Organizações fora da indústria de serviços financeiros tendem a minimizar ou negligenciar a importância das exposições a riscos de mercado e de crédito, quando lidam com riscos corporativos. Normalmente, elas limitam inapropriadamente sua abordagem corporativa ao risco operacional (o risco relacionado com processos inadequados ou falhos, pessoas ou eventos externos).

Toda organização está exposta a riscos de crédito relacionados com o crédito negociado expandido para clientes e atividades de fornecedores. Riscos de mercado, por exemplo,  podem ser relacionados com as mercadorias usadas para fabricação, compra ou venda de produtos em moedas estrangeiras, flutuações de taxas de juros e liquidez. Basicamente, toda organização, de alguma forma, é uma instituição financeira.

Além dos modelos de crédito, o gerenciamento de risco de crédito exige processos confiáveis e sustentáveis, e o desempenho desses processos e das políticas associadas que são facilmente visíveis e ativamente gerenciadas.

Por outro lado, o risco operacional pode se transformar em uma perda de crédito, como ilustrado em negócios de hipotecas (por exemplo, informação fraudulenta ou insuficiente) ou em incidentes de furto de identidade. Isso pode ocorrer inclusive com o negócio de serviços não-financeiros. O risco operacional é parte de todas as atividades corporativas, e pode contribuir com eventos de riscos de crédito e de mercado. A calamidade de crédito e liquidez de 2008 na indústria bancária foi o resultado de falha operacional.

Falhas bancárias e restrições de crédito tem um efeito direto em todos os negócios. Nessas específicas circunstâncias de demanda, as empresas requerem mais visibilidade e controle sobre eficácia financeira e riscos de abastecimento. Os motivos são espremer mais capital de trabalho enquanto as fontes de financiamento externo estiverem reduzidas, além de assegurar que o desempenho está dentro do nível de tolerância de risco da organização.

Estratégia  – O fato de a sua organização procurar ou não o ERM não altera a exigência básica para usar uma abordagem estratégica de gerenciamento de risco. Uma organização consciente dos riscos entende que o gerenciamento de riscos está diretamente ligado ao desempenho corporativo. Comece com controle qualitativo de auto-avaliações, e então mude para avaliações qualitativas relacionadas com indicadores básicos de desempenho (KPIs).

Organização – Organizações devem desenvolver uma hierarquia de risco descendente. Cada líder de um silo de risco (por exemplo, risco de TI, segurança de TI, BCM, privacidade, cumprimento de diretrizes legais e regulatórias) deve compreender como os componentes específicos do seu silo se ajustam no cenário de riscos geral.

Processo – A eficácia do gerenciamento de risco de do desempenho geral dependem de processos confiáveis e sustentáveis. Ela também depende da visibilidade que esses processos e políticas relacionadas fornecem para dar suporte ao gerenciamento ativo da exposição a riscos.

Tecnologia  – A organização de TI é essencial para minimizar os riscos por meio de um sólido planejamento de arquitetura e automação. Isso inclui uma visão consistente dos processos e dos dados de uma companhia para dar suporte ao gerenciamento de risco ativo.

Fonte: Info | http://info.abril.com.br/noticias/corporate/como-gerenciar-riscos-em-ti-11102010-11.shl?3

.