Gestão de Risco Empresarial (EGRC)

A gestão de risco, praticamente, se aplica a todas as atividades humanas, incluindo: engenharia, finanças, tecnologia da informação, processos de negócios entre outras atividades. O risco está associado a um evento ou a conjunto de eventos que podem ocorrer de forma incerta que, se ocorrer, terá um efeito positivo ou negativo sobre um objetivo definido afetando o tempo, o custo, o escopo ou a qualidade do objetivo final. Para evitar ou mitigar os riscos deve-se adotar as melhores práticas de infraestrutura, políticas e metodologias nas diversas áreas de aplicação, permitindo uma melhor gestão dos limites de riscos aceitáveis, do capital, da precificação e do gerenciamento do portfólio.

Segundo a ISO 31.000, uma gestão de risco eficaz deve atender os seguintes princípios:

  1. Proteger e criar valor para as organizações;
  2. Ser parte integrante de todos os processos organizacionais;
  3. Ser considerada no processo de tomada de decisão;
  4. Abordar explicitamente à incerteza;
  5. Ser sistemática, estruturada e oportuna;
  6. Basear-se nas melhores informações disponíveis;
  7. Estar alinhada com os contextos internos e externos da organização e com o perfil do risco;
  8. Considerar os fatores humanos e culturais;
  9. Ser transparente e inclusiva;
  10. Ser dinâmica, interativa e capaz de reagir às mudanças;
  11. Permitir a melhoria contínua dos processos da organização.

Na gestão de risco, a priorização dos riscos por perda (ou impacto) e sua probabilidade de ocorrência devem ser tratados em primeiro lugar dentro de um determinado contexto definido pela organização. A gestão de risco deve identificar riscos intangíveis que são ignorados pelas organizações devido à falta capacidade de entendimento do risco. Muitas vezes, a existência do risco é decorrente de vários fatores que não são correlacionados pela organização e, desta forma, não identificados.

Um processo de gestão de riscos tem os seguintes:

  1. Definir o contexto para a análise do risco;
  2. Identificar, caracterizar e avaliar o impacto de sua ocorrência;
  3. Análise das vulnerabilidades dos ativos críticos e as ameaças específicas;
  4. Avaliação dos riscos através da probabilidade esperada e o impacto decorrente;
  5. Tratamento dos riscos, identificando e priorizando ações para reduzi-los;
  6. Monitorando e fazendo análises críticas dos resultados.

fluxo_processo_de_gestao_de_risco

Figura: Processo de Análise de Risco

As empresas estão buscando soluções para automatizar os controles de gestão de risco de suas estratégias de negócios, incluindo relatórios de monitoramento contínuo (CCM) de seus sistemas integrados de gestão (ERP) e de suas infraestruturas de TI. As plataformas de software são conhecidas como EGRC, Enterprise Governance, Risk and Compliance Platforms, e GRCM é definido com a automação do gerenciamento, mediação e relatórios de controles e riscos contra objetivos, de acordo com as regras, regulamentos, normas, políticas e decisões de negócios.

Tipicamente, as empresas consideram uma aplicação de GRCM para satisfazer uma exigência específica, como a Lei Sarbanes-Oxley (SOX), um regulamento específico da indústria ou de gestão de risco operacional (ORM) para um processo de negócio. No entanto, muitas empresas utilizam o GRCM para o gerenciamento de auditoria, regulamentação adicional, governança de TI, gestão de remediação e gerenciamento de políticas, incluindo a área de sustentabilidade ambiental.

A demanda por plataformas de EGRC está aumentando por causa de várias tendências emergentes, que incluem:

  • Efeito SOX;
  • Exigências do mercado por análises de riscos melhores e alinhadas aos objetivos estratégicos de negócios;
  • Maior foco em ações anticorrupção e suborno;
  • Uso do gerenciamento de risco para dar mais transparência aos órgãos reguladores e a apoio ao processo de tomada de decisão;
  •  Melhorar a gestão de conteúdo e gerenciamento das mudanças regulatórias para evitar problemas de conformidade legal;

A figura abaixo mostra o Quadrante Mágico do Gartner do mercado de plataformas EGRC.

figura_quadrante_magico_gartner_EGRC_2011

O mercado de plataformas EGRC está se expandindo de um enfoque tático em conformidade regulatória para um enfoque estratégico em gestão de riscos empresarias.