análisederisco empresarial
Ca da vez mais, a administração torna-se uma arte, sendo que os administradores aprendem a cada dia novas articulações, para poder dar continuidade a seus negócios. Muitas vezes, os administradores são obrigados a atirar no escuro e rezar para que acertem algo que não seja o próprio pé. As ameaças e oportunidades aparecem, diariamente, no mercado, e devemos saber lidar com elas, e com as surpresas que elas nos reservam. Mas existe uma diferença entre, atirar no escuro e aceitar riscos estando bem informado. É exatamente sobre isso que vou falar neste artigo, será possível fazer uma análise das ameaças de forma a minimizar riscos ao meu negócio? Já de antemão digo que sim, é possível, mas não é fácil. O cenário corporativo está mudando rapidamente. Em conseqüência disto, o empresário está se deparando com um perfil de riscos muito mais complexo para o negócio, devido à competição global, à velocidade das mudanças e à crescente entrada de empresas concorrentes em todos os segmentos. Tudo isso deixa cada vez mais claro que estes riscos necessitam ser controlados de forma estratégica, para criar valor competitivo para a empresa. A análise de ameaças não é complicada, mas trabalhosa, e devemos utilizá-la para analisar fatos de relevante impacto ao negócio, deixando de lado decisões corriqueiras, para evitarmos cair no velho paradigma da estagnação por análise, que é aquela empresa que analisa, analisa, analisa e quando vai tomar a decisão sobre a ameaça, esta já se concretizou ou a oportunidade já passou. Para iniciarmos este tipo de avaliação precisamos saber quais são as ameaças ao nosso negócio e classificá-las. No quadro abaixo darei um exemplo de como classificar as ameaças ao negócio. Ameaças - Ambiente Externo Ameaças Macroambiente Político Legais Econômicas Demográficas Naturais Tecnológicas Sociais Ameaças De Ambiente Setoriais De fornecedores De clientes De concorrentes De Produtos Alternativos Ameaças Empresariais Totais Ameaças Financeiras De liquidez De crédito De mercado Legais Ameaças - Ambiente Interno Gerais Da estrutura de custos De sucessão De fraudes Corporativas De sistemas De greve De erros De infra-estrutura Ameaças Operacionais Funcionais Da Administração De Compras De Marketing De Vendas De Produção De Sistemas Da Contabilidade De Distribuição www.qualytool.com 2
Este quadro nos dá uma melhor visão de eventos que uma empresa pode ou não estar exposta, com ele podemos analisar as ameaças totais, que são o somatório dos eventos, nos quais a empresa esta inserida, deixando claro que este quadro não tem o objetivo de definir todos os riscos existentes em uma empresa, mas sim orientar acerca dos riscos do negócio. Após esta descrição e segmentação das ameaças, devemos, então, partir para uma etapa importante da reflexão sobre cada uma delas, que é a análise de risco. Mas, antes disso precisamos conceituar risco e ameaça. Ameaça é todo evento que pode vir a prejudicar nossa organização de forma financeira, de imagem, de mercado ou outras. Risco é a probabilidade de perda e o impacto da perda para uma organização decorrente de uma ameaça. Todo empresário precisa entender a harmonia entre o risco, o controle e a performance do seu negócio, para poder então tomar as decisões certas, no momento certo, pois decisões sobre alto risco são tomadas visando maiores ganhos, ou então não haveria sentido em assumir estes riscos. pontuar as ameaças citadas como: Probabilidade - é a possibilidade desta ameaça acontecer. Impacto, - é o reflexo que a ameaça teria em nossa empresa, se viesse a concretizar-se. Vamos exemplificar como determinar a pontuação sobre uma ameaça, para isso devemos definir valores para Baixo, Médio e Alto sobre cada ameaça como segue o quadro abaixo: A 1 A 2 Ameaças Fornecedores não cumprindo prazos de entrega Baixo índice profissional de nossa mão de obra Critério de pontuação Após a pontuação, teremos então o risco, que nada mais é do que a probabilidade de uma ameaça acontecer, multiplicada pelo impacto que ela teria se a mesma ocorresse. Análise de Risco Probabilidade Alta Médio Impacto Alto Baixo Escala do Risco Empresa ABC Risco Alto Baixo Então na análise de risco devemos descrever as ameaças e classificá-las para que possamos analisar quais delas devemos tratar primeiro. Para entendermos isso devemos Alta - 7 Médio - 5 Baixo - 3 Baixo - 9 a 15 Médio - 25 Alto - 35 a 49 Todo empresário precisa entender a harmonia entre o risco, o controle e a performance do seu negócio, para www.qualytool.com 3
poder então tomar as decisões certas, no momento certo, pois decisões sobre alto risco são tomadas visando maiores ganhos, ou então não haveria sentido em assumir estes riscos. Na análise, podemos observar que o número e qualidade das informações que são apresentadas, como relatórios, pesquisas e outros são de extrema importância para que possamos definir melhor as ameaças ao negócio. É aconselhável não utilizar apenas o Feeling para esta definição, pois o mercado anda rápido demais para que possamos acompanhá-lo de forma eficiente e determinar quais são os maiores riscos apenas com a nossa percepção de mercado. Comogerenciarosriscos Algumas das grandes corporações do mundo estão instituindo em seu organograma a função de gerência de risco, o CRO Chief Risk Officer. O responsável por esta função faz o acompanhamento e desenvolve um sistema para identificar, categorizar, quantificar de modo a preparar-se para tratar de forma pró-ativa, todo o risco que a organização venha a ter, sendo também o responsável por guiar um comitê de análise de risco empresarial, que dará suporte ao presidente ou diretor da empresa. A função de CRO nos organogramas das empresas é algo relativamente novo, pois surgiu somente a partir de 1995, nos EUA, quando as empresas passaram a sentir a necessidade de uma função específica para o controle e gerência de risco. Cada organização, seja pelo seu segmento, cultura ou forma pela qual é gerenciada deve definir qual é a sua estratégia para assumir riscos. O grau de risco a ser assumido, no entanto, é função do presidente ou diretor, que pode ter o auxilio do comitê, pois algumas empresas são conservadoras e outras são mais arrojadas, quando se trata de assumir riscos. Pequenas organizações que não comportam um departamento de risco ou um CRO, podem contar com consultorias externas especializadas e capazes de definir e analisar os riscos organizacionais para suas empresas. Se utilizarmos uma gerência de risco para avaliar quais que vamos assumir, certamente teremos maior controle sobre as nossas decisões, lembrado aqui, que manter o controle não é simplesmente ter tudo na linha, mas sim, ter pessoas bem informadas que direcionam os negócios da empresa ao seu objetivo, evitando surpresas no futuro. A pesquisa realizada em 2002 no Brasil pela KPMG, com mais de 450 empresas, mostrou que 11% destas empresas tinham um CRO. No entanto, a mesma pesquisa realizada em 2000, com as 500 maiores empresas dos EUA, mostrou que 14% destas já possuíam o profissional de gerência do risco, e 81% disponibilizava comitês de risco ou consultorias especializadas. www.qualytool.com 4
Outro ponto interessante desta pesquisa, é que os setores das empresas que pretendem desenvolver um controle de risco são, em percentual: 1º.Tecnologia da Informação 12% 2º. Seguro e Hedge 11% 3º. Operações internas 9% 4º. Meio Ambiente 8% 5º. Legal e Jurídico. 8% 6º. Finanças 8% 7º. Gerenciamento de Clientes 7% 8º. Segurança e Privacidade 5% Sabemos que alguns aspectos desta pesquisa hoje já alteraram sua ordem, assim como houve a fusão de alguns itens como, por exemplo, a Tecnologia da informação e a Engenharia Social. Existem algumas áreas nas organizações fundamentais para dar mais sinergia a todos os processos de análise de risco da empresa. Estas as áreas são: Compliance: Área responsável pelas normas regulamentares às empresas. Auditoria: Área que costuma fazer análises de conformidade em toda a empresa, gerando então informações valiosas à análise de risco. Análise de crédito: Responsável pela avaliação do perfil econômico dos clientes. Controladoria: Faz a análise da situação financeira para qual a empresa se direciona, e é encarregada da contratação dos auditores que realizam as avaliações contábeis na empresa. Segurança da informação: Área responsável pela gestão da informação da empresa. Oferece suporte no controle de informações estratégicas e desenvolve as políticas de segurança, envolvendo sistemas, pessoas, parceiros, cliente e outros. Segurança patrimonial: Este setor está diretamente ligado à segurança da informação, sendo mais focado no controle do acesso físico às informações da empresa, assim como roubos de carga, seguros e o PNC - Plano de Continuidade de Negócio. Compliance Controladoria Gerência do Risco Auditoria Análise de Crédito CEO Presidente Resultadoscoma gerênciadorisco Segurança da Informação Segurança Patrimonial O resultado de uma gerência de risco não é minimizar as ameaças, mas controlar os riscos e garantir informações para gerenciá-los, evitando surpresas ao negócio. Muitos riscos não podem ser impedidos de acontecer, e www.qualytool.com 5
nem é este o objetivo da análise e gerência de risco. Ela tem o propósito de minimizar os impactos, deixando a empresa com melhor preparo. Este controle garante ao empresário um processo de tomada de decisões mais seguro, pois estará apoiado por informações de um comitê, e com uma análise real do risco para tomada de decisões. Isso traz maior segurança ao acionista, empregado e a comunidade. A tendência é o CRO Chief Risk Officer ser cada vez mais comum entre as organizações, pois se sua empresa ainda não precisou analisar os riscos do negócio em um planejamento estratégico, em uma reunião de acionistas, em uma tomada de decisões para entrada em um novo mercado ou em outros momentos, o dia de iniciar este processo está cada vez mais perto. Avalie bem os riscos de sua empresa antes de qualquer tomada de decisões, pois isto pode significar a diferença competitiva entre o seu negócio e a concorrência. Cássio Henrique F. Ramos Diretor Executico cassio.ramos@qualytool.com Rua Vereador Dionísio Sandi, 335 Bairro: Santa Catarina CEP.: 95030-760 Caxias do Sul - RS - Brasil +55 54 211 5000 www.qualytool.com Sobreoautor Cássio Henrique F. Ramos é Diretor Executivo da Qualytool Gestão Empresarial e Consultor Especialista em Sistemas para qualidade total e gestão estratégica de negócios. Especialista em Sistemas de Qualidade Total e Gestão Estratégica, com mais de 8 anos de experiência em sistemas para qualidade total e planejamento atuou em diversas empresas no Brasil e nos EUA. No ano de 2000 foi consultor Líder de projeto na certificação do 1º. Escritório de Contabilidade do Brasil, na norma NBRISO 9001:2000. No ano de 2003 foi Consultor integrante nda equipe do projeto da Certificação do Banco Matone como 1º. Banco da América certificado em BS 7799 Norma Britânica de Segurança da Informação, com um dos maiores escopos do mundo. Ainda em 2003 participou da 3ª. Turma do mundo em formação de Auditores de BS 7799, Risk Analysis e PCN Plano de Continuidade de Negócios. www.qualytool.com 6