Modelos de maturidade da gestão de riscos

Segundo Hillson (1997), apesar do consenso existente em torno do valor da gestão de riscos, muitas empresas têm relatado diferentes graus de sucesso no alcance de seus objetivos. Considerando-se que a gestão de risco exige um planejamento

adequado, disponibilidade de recursos, além de um controle e monitoramento efetivos, algumas organizações têm apresentado dificuldades em implementar a gestão de riscos eficazmente, por não haver uma visão clara de como esse processo deve ser administrado. Baseado nesse contexto, o autor sugere a existência de diversos níveis de maturidade frente ao processo de gerenciamento dos riscos, que, por sua vez, podem explicar as taxas de insucesso das práticas de gestão de riscos nas organizações.

Genericamente, o uso de um modelo de maturidade permite que uma organização tenha seus métodos e processos avaliados de acordo com as boas práticas de gerenciamento a partir de um conjunto de parâmetros externos, fornecendo bases para a identificação de possíveis processos críticos e para a definição de ações de melhoria (HILLSON, 1997). Vale ressaltar que o modelo de maturidade é um método que tem sido bastante utilizado ao longo dos últimos 25 anos, sendo reconhecido como uma forma estruturada de destacar os aspectos dos processos de ERM eficazes (RIMS, 2006).

Hillson (1997) propôs um modelo de maturidade que categoriza as empresas em quatro níveis, desde organizações que não possuem um processo formal de gestão de riscos, até aquelas na qual a gestão de riscos está completamente integrada aos seus negócios [Ilustração 7]:

Ilustração 7 - Modelo de Maturidade do Gerenciamento de Riscos segundo Hillson Fonte: adaptado de Hillson (1997)

Outro modelo de maturidade, expresso pela Risk and Insurance Management Society (RIMS) em 2006, é apresentado na Ilustração 8. O modelo, denominado Risk Maturity Model (RMM), apresenta os principais elementos necessários para realização da gestão de riscos corporativos. Suas vantagens estão em fornecer um benchmarking das melhores práticas de ERM, agilizar o processo de sua implementação nas organizações, diminuir as ineficiências dos processos dos negócios, evitar que os riscos sejam tratados de forma inadequada, construir um processo replicável e escalável para uma melhor tomada de decisão estratégica e reduzir os custos, dado que compreender a causa de um risco é muito mais barato do que simplesmente tratar o seu sintoma (RIMS, 2006).

Ilustração 8 - Modelo de Maturidade de Risco RIMS Fonte: RIMS (2006, p.9)

Conforme expresso na Ilustração 8, o Modelo de Maturidade de Riscos (RMM), apresenta sete atributos, que compõem os processos de gerenciamento de riscos dentro da organização. Estes sete atributos podem ser distribuídos em uma escala de cinco níveis de maturidade, onde cada nível classifica a organização de acordo com a sua realização das melhores práticas de ERM em seus processos. O Quadro 7 apresenta a definição de cada atributo.

Quadro 7 - Descrição dos atributos do Modelo de Maturidade de Risco RIMS

Atributo Descrição

1 – Adoção do conceito de ERM

Grau de suporte executivo para uma abordagem baseada em ERM dentro da cultura corporativa. Envolve também o grau de integração, comunicação e coordenação da auditoria interna e da tecnologia da informação.

2 – Gestão do processo de ERM

Grau de integração entre os processos de ERM (identificar, avaliar, mitigar e monitorar os riscos) e os processos do negócio. Envolve a incorporação de métodos qualitativos apoiados por métodos quantitativos, análises, ferramentas e modelos.

3 – Gestão do apetite a risco

Grau de compreensão e análise da relação risco-retorno na organização e o limite aceitável de risco e tolerância.

Envolve a responsabilização da liderança para orientar a tomada de decisões estratégicas frente aos riscos na organização.

4 – Disciplina na investigação das causas

Grau de disciplina aplicada na medição e identificação das causas dos riscos, envolvendo todo o ambiente que cerca os negócios.

5 – Descobrimento dos riscos

Grau pelo qual todos os riscos da organização são identificados, classificados e monitorados. Envolve a coleta minuciosa de informações, a experiência dos empregados e a utilização de bancos de dados para descobrir as dependências e correlação entre os riscos de toda a empresa.

6 – Desempenho da ERM, integrados em seu planejamento operacional, considerando-se as relações com a cadeia de suprimentos, as alterações no mercado, a liquidez do negócio, dentre outros fatores.

Fonte: RIMS (2006)

A partir do modelo RMM da RIMS (2006), é possível determinar o grau de maturidade referente a cada aspecto relacionado à gestão de riscos corporativos, servindo de base para o aperfeiçoamento das práticas das organizações.

Lam (2011) também apresenta um modelo de maturidade, cujo objetivo é fornecer benchmarks para as práticas de ERM, possibilitando uma autoavaliação dos programas desenvolvidos pelas empresas [Ilustração 9]. O autor ressalta, no entanto, que a aplicação de um modelo generalista torna possível a identificação de algumas práticas específicas de ERM em determinadas empresas, mesmo antes do alcance de um estágio mais avançado ou antes destas completarem todas as práticas das

etapas anteriores. Isso reflete o fato de que o desenvolvimento e evolução das práticas de ERM são exclusivos e singulares em cada organização (LAM, 2011).

Ilustração 9 - Modelo de Maturidade de ERM segundo Lam Fonte: Lam (2011, p.15)

O modelo de maturidade de Lam (2011), expresso na Ilustração 9, apresenta cinco estágios:

• Estágio 1 – envolve a organização dos recursos e a definição do âmbito e dos objetivos do programa de ERM na empresa. Esta fase inclui a identificação de requisitos e práticas de ERM no setor, a obtenção do suporte executivo, a definição do chefe de riscos (risk chief officer), a nomeação de um comitê de riscos, a elaboração de uma taxonomia de riscos e o desenvolvimento de um plano de implementação do ERM. Este estágio pode levar de 6 a 12 meses para ser concluído.

• Estágio 2 – refere-se aos primeiros estágios de desenvolvimento das práticas de ERM. Os objetivos-chave desta fase incluem a formalização dos papéis e responsabilidades em uma política de ERM, a identificação dos principais riscos por meio de avaliações de risco, além do treinamento dos funcionários.

Esta fase pode demorar de 1 a 2 anos.

• Estágio 3 – nesta etapa já se pode identificar uma prática padrão da gestão de risco na organização. Os principais objetivos neste estágio são: a realização de avaliações de risco mais frequentes, o desenvolvimento de processos para quantificação dos riscos, a elaboração de relatórios periódicos, a integração

dos modelos de risco de crédito, de mercado e operacional, além do desenvolvimento de metodologias de medição de desempenho ajustadas ao risco. Esta etapa pode demorar de 1 a 3 anos.

• Estágio 4 – neste estágio, o foco é integrar a ERM com a gestão dos negócios e com os processos operacionais. Nesta fase, as ferramentas e práticas de ERM se tornam mais difundidas por toda a organização, a avaliação entre o risco e retorno é incorporada mais explicitamente às decisões estratégicas, as possíveis ações frente aos riscos são analisadas com base na concepção de carteira e no apetite a risco da organização, ocorrendo também a automação do ERM por meio de sistemas e painéis eletrônicos, o desenvolvimento de ações de feedback em relação ao desempenho na gestão de risco e a vinculação deste desempenho à remuneração dos executivos. O estágio 4 pode demorar de 2 a 4 anos para ser atingido.

• Estágio 5 – a última etapa do modelo é caracterizada pela ampla aplicação do ERM e pela otimização do desempenho dos negócios. Os principais objetivos no estágio 5 incluem a integração do ERM com a estratégia de maximização do valor da empresa, a completa integração da ERM com os processos de planejamento estratégico, a otimização da rentabilidade da empresa ajustada ao risco e a transparência frente ao risco junto às principais partes interessadas. Salienta-se que a fase 5 é um processo contínuo, que deve perdurar nas organizações que adotam o ERM.

Mais recentemente, Oliva (2016) apresentou um modelo de maturidade, composto por cinco níveis, conforme expresso na Ilustração 10.

O modelo do autor foi desenvolvido a partir da percepção de uma série de executivos de grandes companhias no Brasil, e enfocou a análise do risco na cadeia de valor dessas organizações.

Ilustração 10 - Nível de Maturidade de ERM segundo Oliva Fonte: adaptado de Oliva (2016, p. 77)

O nível de maturidade proposto no estudo de Oliva (2016) decorre de quatro dimensões principais: organizacional (esforços e estrutura); técnica (uso de metodologias quantitativas e qualitativas para gestão dos riscos); transparência (relacionado ao apoio de colaboradores e reporte de resultados); e envolvimento (expresso pela cooperação com outros agentes, como consultores e universidades, no processo de gestão de riscos). Como resultado, tem-se a escala de maturidade das empresas que varia desde insuficiente, no caso de empresas que não possuem

práticas nem estrutura para a gestão de riscos; até o nível sistêmico, no qual as empresas apresentam maior entendimento e estrutura para desenvolvimento da ERM.

De forma geral, pode-se entender que os modelos de maturidade descritos na literatura funcionam como um guia para o desenvolvimento e melhoria das práticas relacionadas à gestão de risco nas organizações. Ao avaliar seu nível de maturidade, as empresas podem identificar, de forma mais realista, quais as metas e planos de ação necessários para aumentar sua capacidade de gestão de riscos.