Há tempos que a política de gestão de riscos deixou de ser apenas um documento normativo para se tornar uma peça central na governança.
A política de gestão de riscos estabelece como a organização identifica incertezas, avalia impactos e define responsabilidades, sendo uma necessidade cada vez mais crítica devido às exigências regulatórias dos mercados.
Neste artigo, vamos entender o que torna uma boa política de gestão de riscos, como deve ser definidas as probabilidades de impacto na operação e qual a melhor forma de gerir os riscos a partir dela.
O que é uma política de gestão de riscos?
Uma política de gestão de riscos é o documento corporativo que define princípios, objetivos, escopo, papéis, critérios, responsabilidades e ritos de governança para identificar, avaliar, tratar, monitorar e reportar riscos.
Sua função é padronizar decisões e garantir que riscos relevantes sejam geridos de forma consistente.
Em termos práticos, a política transforma a gestão de riscos em um processo institucional, e não em uma prática dependente da percepção individual de cada gestor.
Ela estabelece o que deve ser considerado risco, quais categorias serão utilizadas, quem responde por cada risco, como os riscos serão avaliados e quais critérios orientarão sua priorização.
Para isso, a ISO 31000:2018 se torna a principal referência sobre o assunto, uma vez que propõe que a gestão de riscos seja baseada em princípios, estruturas e processos definidos.
Dessa forma, a política de gestão de riscos deve orientar decisões, integrar-se à governança e criar condições para que a organização lide com incertezas de forma disciplinada.
Como fazer uma política corporativa de gestão de riscos?
Uma boa política de gestão corporativa de riscos precisa traduzir diretrizes estruturais em práticas aplicáveis no dia a dia da operação.
Com isso, a política deve ser clara e orientar as áreas de forma simplificada, mas sem apelar para algo raso. Muito pelo contrário, a política de gestão de riscos também precisa ser robusta para sustentar decisões de conselhos, comitês e auditorias.
Definir objetivos
Defina os objetivos da política, se ela deve proteger valores, apoiar decisões, fortalecer controles internos, atender exigências regulatórias ou melhorar a previsibilidade da performance, é possível também combinar um ou todos os objetivos.
É preciso também definir o escopo. Quais áreas essa política atende e quais os riscos que ela suporta. A classificação não deve ser apenas conceitual: ela precisa ajudar a empresa a mapear riscos de naturezas diferentes com critérios minimamente consistentes.
Governança e responsabilidade
A política, como todo documento sensível, precisa ter responsáveis claros pela aprovação, execução e monitoramento para assegurar a gestão de riscos.
- A primeira linha de governança, normalmente formada pelas áreas de negócio e operação, é responsável por gerir os riscos associados aos seus objetivos, processos e decisões.
- A segunda linha, que pode incluir riscos, controles internos, compliance, segurança da informação e qualidade, apoia metodologicamente, monitora aderência e consolida informações.
- A terceira linha, representada pela auditoria interna, oferece avaliação independente sobre governança, controles e gestão de riscos.
Essa distinção evita um erro comum: delegar a responsabilidade pelo risco unicamente à área de riscos.
Critérios de avaliação
É imprescindível que sejam estabelecidos critérios de avaliação para as políticas de gestão de risco. Isso porque duas áreas podem enxergar o mesmo risco com lentes diferentes, o que compromete a qualidade do portfólio de riscos.
Nesses casos, é essencial definir a probabilidade e o impacto de cada risco:
- A probabilidade deve considerar um horizonte de tempo definido e a chance de ocorrência do evento;
- O impacto deve contemplar as dimensões relevantes para a organização.
Para defini-los, será preciso definir escalas de probabilidade e as dimensões do impacto que o risco pode ter em diferentes áreas da empresa. Uma forma simples de manter isso estruturado é criando uma matriz de risco no Excel.
Apetite e tolerância ao risco
O apetite define o tipo e o nível de risco que a organização está disposta a assumir para perseguir seus objetivos. Já a tolerância traduz esse apetite em limites mais específicos, observáveis e acionáveis.
Na prática, o apetite opera no plano executivo. Uma empresa pode declarar baixo apetite para riscos de segurança da informação, moderado apetite para riscos de inovação e maior apetite para riscos comerciais associados à entrada em novos mercados.
A tolerância, por outro lado, transforma essas diretrizes em parâmetros: limites de perda, variação aceitável de indicadores, exposição máxima por fornecedor, prazo de indisponibilidade, nível de não conformidade ou faixa de desvio em relação ao plano.
Risco inerente, controles e risco residual
Outro componente indispensável é a distinção entre risco inerente e risco residual. O risco inerente representa a exposição antes da consideração dos controles existentes. O risco residual representa a exposição remanescente após a aplicação dos controles.
Essa distinção é fundamental porque evita duas distorções. A primeira é subestimar riscos relevantes apenas porque a empresa já possui algum controle. A segunda é superestimar riscos sem considerar a efetividade real dos mecanismos existentes.
Por isso, a política deve definir como os controles serão cadastrados, avaliados, testados e vinculados aos riscos.
Tratamento, planos de ação e decisão executiva
A política deve indicar quais respostas ao risco serão utilizadas. Normalmente, as alternativas incluem evitar, reduzir, compartilhar, transferir, aceitar ou explorar o risco, dependendo da natureza da exposição e do objetivo estratégico envolvido.
A resposta não é apenas conceitual. Sempre que um risco residual estiver acima do apetite ou da tolerância, a política deve exigir plano de ação com responsável, prazo, prioridade, recursos necessários, indicador de acompanhamento e rito de reporte.
Monitoramento e reporte
O monitoramento fecha o ciclo da política. Sem ele, a organização identifica e avalia riscos, mas não sabe se a exposição está aumentando, se os controles continuam efetivos ou se os planos de ação estão reduzindo o risco residual.
Já o reporte deve ser desenhado de acordo com o público para qual é destinado:
- Áreas operacionais precisam de informações acionáveis;
- Diretoria precisa de visão consolidada por risco, processo, unidade, tendência e plano de resposta;
- Conselho e comitês precisam de exposição agregada, riscos críticos, aderência ao apetite e implicações estratégicas.
Como integrar riscos à estratégia corporativa?
Integrar riscos à estratégia significa inserir a análise de incertezas nos ritos de planejamento, execução, monitoramento e revisão estratégica. Essa integração deve ocorrer antes, durante e depois da definição dos objetivos corporativos.
Por exemplo, se considerarmos uma empresa de grande porte que deseja se consolidar em um mercado internacional, os riscos desse empreendimento devem ser medidos antes da consolidação da estratégia. Com isso:
Antes da formulação estratégica, a gestão de riscos contribui com análise de contexto, riscos emergentes, cenários, restrições regulatórias, ameaças competitivas, vulnerabilidades internas e oportunidades associadas à incerteza.
Durante a formulação, ajuda a avaliar se os objetivos são viáveis dentro do apetite definido.
Depois da aprovação da estratégia, apoia o acompanhamento de riscos associados a metas, indicadores e iniciativas.
Na prática, esse objetivo estratégico de expansão internacional deve ser acompanhado de riscos cambiais, regulatórios, tributários, logísticos, culturais, trabalhistas e reputacionais. O mesmo vale para qualquer outra estratégia, independentemente da complexidade.
Quais políticas e documentos complementam a gestão de riscos?
Quando empresas perguntam quais são as políticas de gestão de riscos, normalmente estão tentando entender se basta criar um documento corporativo ou se é necessário desdobrar diretrizes por tema.
A resposta depende da complexidade da organização, mas a boa prática é ter uma política corporativa central e documentos complementares específicos.
Para que seja possível fazer uma boa gestão de documentos com a sua política, é interessante que o documento não seja extenso, difícil de aplicar e de atualizar, da mesma forma que não pode ser isolado, sem critérios claros e coerência corporativa.
A política de gestão de riscos corporativos deve funcionar como eixo integrador, garantindo que os documentos específicos sigam a mesma lógica de governança, avaliação e reporte.
Como a tecnologia pode fortalecer a execução da política de gestão de riscos?
Uma política de gestão de riscos bem escrita é necessária, mas não suficiente. Na maioria das empresas, o desafio está em operacionalizar o ciclo com consistência, rastreabilidade e visibilidade.
Neste ponto, planilhas e documentos dispersos se tornam limitadores, uma vez que dificultam a consolidação e a análise histórica, tornando difícil manter um bom monitoramento e reporte.
É aqui que softwares de gestão de riscos podem auxiliar na criação de metodologias e critérios, assim como para definir responsáveis e fluxos de atualização e revisão de políticas de forma padronizada.
Neste mercado, a solução de Gestão de Riscos da Actio se mostra a opção mais completa, apoiando um ciclo contínuo a partir do cadastro, construção de matriz de risco e avaliação inerente e individual dos eventos.
Além disso, o programa conta com a aderência da ISO 31000 e COSO, permitindo que a empresa combine a visão metodológica a execução prática.
Para entender como a Actio pode ajudar a sua empresa a criar políticas de gestão de risco conectadas à estratégia, agende uma demonstração preenchendo o formulário abaixo.
