“A administração deve avaliar se tem implementado controlos que tratem adequadamente o risco dos erros materiais não serem prevenidos ou detectados atempadamente e em seguida, centrar-se sobre a fixação ou o desenvolvimento de controlos para preencher eventuais lacunas. Tem de ter em atenção que o risco real reside nas pessoas por trás dos processos e controlos que compõem o ambiente da empresa como um elemento de controlo dinâmico e desafiador da consciência da organização.
As pessoas cometem erros e irregularidades e a avaliação do ambiente de uma empresa com base no risco torna-se cada vez mais necessária. É uma oportunidade para a gestão de identificar os elos fracos que poderão vir a resultar numa distorção, bem como para os departamentos de AI de fazerem a avaliação da gestão. Os auditores internos devem evitar confiar demasiado na documentação, especialmente quando se trata de quantificar e caracterizar o elemento humano do risco de adulteração, e precisam de ser capazes de desafiar a qualidade, integridade e motivação dos funcionários, em todos os níveis da organização”77.
“A orientação da SEC vem de encontro aos princípios do tipo de risco baseado numa abordagem de auditoria holística que melhor servirá a organização.
Para implementar a GRN com sucesso, as organizações devem abordar uma ampla gama de problemas na fase de planeamento em relação à gestão do pessoal e ao compromisso com o processo, bem como o processo de sustentabilidade de longo prazo.
O desenvolvimento de uma ferramenta adaptada à forma como as abordagens de risco são executadas na organização não é tão rígida como muitos podem pensar78”.
“A matriz de risco é uma ferramenta comummente usada para documentar a análise dos objectivos, riscos e respostas. Normalmente uma matriz de riscos concentra-se primeiro sobre os riscos inerentes - isto é, todos os eventos de risco que poderiam ter um impacto no alcance dos objectivos, sem levar em conta as respostas da administração. A matriz de riscos inerentes típicos lista esses eventos de risco, juntamente com uma classificação de risco - alto,
77 Traduzido de The Human Side of Risk by Russell Jackson, artigo inserido na página 40 da Revista Internal Auditor de Out.
2007.
78 Traduzido de The Model Approach by Imad A. Mouchayleh, artigo inserido na página 75 da Revista Internal Auditor de Out. 2007.
27 médio ou baixo do seu potencial impacto e probabilidade. Em seguida, a matriz identifica a resposta da administração ou seja os controlos para cada evento e determina a sua adequação global. A questão central desta avaliação é, considerando os riscos identificados, se a gestão tem respostas para mitigar ou controlar os eventos de risco. Com base nesta avaliação, os auditores prepararam um programa de auditoria para testar a eficácia operacional dos controlos79”.
“Usando uma abordagem de análise de risco residual que começa por identificar os controlos, o processo da matriz de riscos pode ser tornado mais eficaz e eficiente, nomeadamente através da identificação dos riscos que não estão a ser tratados pelos controlos existentes, com o objectivo de os mitigar80”.
Desta forma a avaliação de riscos e vulnerabilidades ajuda a compreender melhor as situações que constituem o risco mais elevado para que seja possível dar prioridade e implementar as técnicas de mitigação adequadas. É por essa razão que muitas organizações falham em atingir os resultados desejados nas suas iniciativas de gestão do desempenho, apesar de terem planos bem delineados.
A importância de tornar a gestão do risco pró-activa num elemento essencial em qualquer gestão do desempenho, visa reduzir a um nível aceitável, em antecipação, os riscos identificados pela organização, através da criação de uma cultura fundamentada na avaliação e na prevenção, em vez de acções reactivas e de correcção.
A GRN pró-activa é um elemento-chave na gestão do desempenho.
O problema está em que poucas organizações tendem a monitorar proactivamente e a gerir o risco como forma de definir e implementar as suas estratégias de gestão de desempenho, sendo o foco colocado nos resultados positivos que se pretendem alcançar e não nos factores negativos que podem surgir, mas que são ignorados.
A única forma da gestão obter um desempenho com real optimização, maximizando a rentabilidade e vantagens competitivas sustentadas é quando o risco potencial e as
79 Traduzido de The Matrix Revisited by Larry Hubbard, artigo inserido na página 55 da Revista Internal Auditor de Abr.2009.
80 Traduzido de The Matrix Revisited by Larry Hubbard, artigo inserido na página 55 da Revista Internal Auditor de Abr.2009.
Capítulo III
28 consequências são devidamente avaliadas, geridas e enquadradas nas metas de desempenho visadas pela organização.
Talvez o maior obstáculo para o equilíbrio eficaz do desempenho e do risco é que ele requer mudanças inerentes à cultura da empresa, sendo necessário criar um ambiente onde o risco é considerado e avaliado em cada etapa durante o processo de planeamento estratégico, acompanhamento e, em seguida, de forma proactiva, com metas e objectivos a cumprir, exigindo mudanças culturais que permitam chegar a um equilíbrio adequado.
A organização deverá adoptar actividades eficazes de GRN, tais como a identificação de ameaças, análise, avaliação, e previsão, ou por outras palavras, deve ligar os indicadores chave de desempenho – KPI's81, aos indicadores chave de risco – KRI's para ter uma visão completa do risco ajustado ao desempenho, de uma forma dinâmica que permita fácil modificação e seja personalizável para se adaptar de imediato à evolução dos riscos externos, como as novas exigências reguladoras ou às dinâmicas condições do mercado, bem como aos factores internos, tais como mudanças inesperadas nas estratégias ou mudanças na política da empresa.
A supervisão de riscos é considerada proactiva e não reactiva, quando se consegue uma gestão em tempo real dos indicadores KPI's e KRI's, permitindo ver não só o que aconteceu, mas também o que está a acontecer tanto em termos de desempenho como de perspectiva de risco.
O sistema deve oferecer indicações dinâmicas, para de imediato, notificar as partes interessadas no momento do estado crítico ou quando um importante evento ocorra.
A GRN inclui quatro etapas que são a identificação, avaliação e hierarquização dos riscos, tratamento dos riscos, acompanhamento da evolução e finalmente a garantia do bom andamento do mecanismo através de fiscalizações independentes82.
“A falta de supervisão pró-activa de riscos, detecção e prevenção significa que, mesmo quando as organizações estão conscientes das ameaças, são incapazes de controlá-las eficazmente, o que torna difícil evitar que os riscos tenham um impacto negativo ou mesmo manter o desempenho e o risco dentro de níveis considerados aceitáveis83”.
81 Medem o nível de desempenho do processo, focando no “como” e indicando quão bem os processos de tecnologia da informação permitem que o objectivo seja alcançado, em http://pt.wikipedia.org/wiki/KPI, consultado em 24.Ago.2010.
82 Moreau, Franck (2003) Compreender e Gerir os Riscos, Bertrand Editora, página 189.
83 Traduzido de http://www.computerworld.com.pt/media/2010/07/WP_9025.pdf, consultado em 20.Ago.2010.
29 Assim qualquer programa de GRN deve ter em atenção a cultura quanto à GRN, o pessoal, os controlos internos e a tecnologia de suporte, elementos que interagindo entre si são essenciais para o sucesso dentro da organização.
Essa cultura de GRN deverá ser orientada, com o comprometimento da alta direcção, de forma a ser flexível para mudar práticas existentes, admitir lacunas noutros casos e ser capaz de encontrar respostas qualificadas, para além de promover as responsabilidades individuais, educando todos os colaboradores.
Cada colaborador deve participar nesse processo de maneira efectiva, através do pleno conhecimento de suas responsabilidades e dos riscos a serem evitados.
A motivação é decisiva para o estabelecimento de um programa de GRN, complementada com controlos internos e utilizando a tecnologia como uma ferramenta de grande importância no treino e educação dos colaboradores para a tomada de decisões ao nível da gestão pró-activa de riscos.
“A auditoria posiciona-se, assim, claramente na cadeia de riscos: a auditoria define-se sempre como uma actividade independente e objectiva mas ultrapassa a aprovação da conformidade, “proporcionando aconselhamento” e, sobretudo, avaliando os processos de gestão de riscos84”.
A GRN ou Risk Management tem como vantagens alinhar a apetência para o risco e estratégia, ligar crescimento, risco e retorno, identificar as decisões de resposta ao risco, minimizar surpresas operacionais e perdas, identificar e gerir riscos transversais inter-relacionados, proporcionar respostas integradas a riscos múltiplos, aproveitar oportunidades e racionalizar o capital85.
“As organizações estão agora com uma mentalidade de supervisão do risco e da sua importância para o planeamento estratégico e para a criação de valor numa abordagem top-down86”, não como um fim em si mesmo mas como um meio, um facilitador do processo de gestão, inter-relacionando-se com a governação da sociedade, com a performance de gestão e com o CI, parte integrante da GRN87.
84 Moreau, Franck (2003) Compreender e Gerir os Riscos, Bertrand Editora, página 217.
85 Beja, Rui (2004) Risk Management – Gestão, Relato e Auditoria dos Riscos de Negócio, Áreas Editora, página 88.
86 Traduzido de Time to teach ERM by Mark S. Beasley, artigo inserido na página 61 da Revista Internal Auditor de Fev.
2009.
87 Beja, Rui (2004) Risk Management – Gestão, Relato e Auditoria dos Riscos de Negócio, Áreas Editora, página 89.
Capítulo III
30 Relativamente ao enquadramento sistémico do Risk Management, há quatro componentes fundamentais que são o planeamento estratégico e a contabilidade de gestão, o CI e os instrumentos técnicos de Risk Management, constituído por um conjunto de metodologias próprias da organização, responsabilização e de execução que em articulação dão corpo a todo este processo88.
“Ao risco da empresa inerente à tomada de decisão, à gestão corrente, às opções estratégicas, vem juntar-se e, muitas vezes, combinar-se, um ambiente de risco, ele próprio marcado pela importância do imaterial e da dificuldade crescente em definir fronteiras da empresa”89. Tudo isto devido aos novos problemas criados pela globalização, as novas tecnologias, pois além da responsabilidade do espaço existe a responsabilidade do tempo, que pode inclusive alterar a atitude dos dirigentes e colaboradores e modificar inclusive o seu comportamento90.
3.3 As Directrizes da Nova Norma