No atual clima empresarial, tanto os eventos locais como os globais têm o potencial de impactar significativamente a sua organização e a forma como esta opera. Com a palavra de ordem para o clima contemporâneo a ser agilidade, os passos necessários para unir os aspetos de estratégia e gestão de risco da sua organização podem ter um benefício duradouro na garantia da obtenção bem-sucedida dos objetivos e metas organizacionais de curto e longo prazo.
Com economias globalmente conectadas, as organizações enfrentam grandes riscos estratégicos, incluindo mudanças económicas, mudanças políticas, alterações climáticas, tecnologias disruptivas e mercados altamente competitivos. Identificar, avaliar e gerir estes riscos é essencial no desenvolvimento e execução da estratégia de uma organização.
Como podem as organizações integrar a gestão da estratégia e a gestão de risco para fortalecer a probabilidade de uma execução bem-sucedida da estratégia? E como podem as organizações explorar oportunidades positivas a partir do risco, bem como mitigar as potenciais desvantagens?
Este blogue irá explorar a melhor forma de uma organização reunir estes dois processos igualmente importantes centrados na medição, monitorização e reporte de desempenho sob uma estrutura coerente e coesa para impulsionar um forte desempenho e resiliência empresarial.
Por que integrar o risco no planeamento estratégico e adotar o ERM?
Na era da intensa volatilidade, incerteza, complexidade e ambiguidade, o sucesso empresarial depende da tomada de decisões de risco inteligentes e informadas através da integração da estratégia corporativa e da gestão de risco. Ignorar os riscos associados às estratégias ou geri-los ineficazmente é uma receita para o fracasso.
Ao integrar a gestão de risco empresarial com o desenvolvimento e execução da estratégia, a sua organização estará melhor posicionada para criar e alcançar valor sustentável. Embora a pesquisa tenha demonstrado os benefícios de tal integração, por que tem havido uma lenta adesão à integração risco-estratégia em muitos setores? As razões comuns incluem:
Adoção de modelos de gestão de risco demasiado simplistas ou excessivamente complexos.
Tratar o ERM como principalmente uma atividade de conformidade, em vez de uma parte integrante do planeamento estratégico e operacional.
Falta de compreensão de como a gestão de risco, o desenvolvimento da estratégia e a execução devem integrar-se.
Avaliar alternativas estratégicas com o maior potencial para alcançar os objetivos da organização, juntamente com os riscos associados, para determinar o equilíbrio certo de risco e recompensa em relação ao apetite de risco da organização.
Falta de clareza sobre o apetite de risco da organização, o que, por sua vez, pode limitar o desenvolvimento de oportunidades ou expor a organização a níveis inaceitáveis de risco
Garantir que o conselho e a gestão executiva compreendam claramente os fatores de valor da organização, os riscos associados a eles e a melhor forma de gerir esses riscos.
As normas de gestão de risco aceites internacionalmente, como a ISO 31000 e a estrutura integrada de gestão de risco empresarial COSO, descrevem os princípios e processos para uma gestão de risco eficaz em toda a empresa. Estas normas enfatizam a necessidade de promover, incorporar e integrar a gestão de risco em toda a empresa, tanto a nível estratégico como operacional.
Principais benefícios de reunir eficazmente o risco e a estratégia
Todas as organizações precisam de definir uma estratégia e ajustá-la periodicamente, estando sempre conscientes tanto das oportunidades em constante mudança para criar valor como dos desafios que ocorrerão na busca desse valor. Para isso, precisam da melhor estrutura possível para otimizar a estratégia e o desempenho.
As organizações que integram a gestão de risco empresarial em toda a entidade podem obter muitos benefícios, incluindo, entre outros:
Aumentar o leque de oportunidades: Ao considerar todas as possibilidades, tanto positivas como negativas, a gestão de risco pode identificar novas oportunidades e desafios associados às oportunidades atuais.
Identificar e gerir o risco em toda a entidade: Cada entidade enfrenta uma miríade de riscos que podem afetar muitas partes da organização. Por vezes, o risco pode originar-se numa parte da entidade, mas impactar uma parte diferente. Consequentemente, a gestão deve identificar e gerir estes riscos em toda a entidade de forma holística para sustentar e melhorar o desempenho.
Aumentar os resultados positivos e a vantagem, reduzindo ao mesmo tempo as surpresas negativas: A gestão de risco empresarial permite que as entidades melhorem a sua capacidade de identificar riscos e estabelecer respostas adequadas, reduzindo assim as surpresas e os custos ou perdas relacionados, ao mesmo tempo que lucram com desenvolvimentos vantajosos.
Melhorar a resiliência empresarial: A viabilidade de médio e longo prazo de uma entidade depende da sua capacidade de antecipar e responder às mudanças, não só para sobreviver, mas também para evoluir e prosperar. Isto é, em parte, possibilitado por uma gestão de risco empresarial eficaz. O ERM torna-se cada vez mais importante à medida que o ritmo da mudança acelera e a complexidade empresarial aumenta.
Estes benefícios destacam o facto de que o risco não deve ser visto apenas como uma potencial restrição ou um desafio para definir e executar uma estratégia. Pelo contrário, a mudança que está associada ao risco e a resposta organizacional ao risco dão origem a oportunidades estratégicas e à capacidade e aptidão para as prosseguir com sucesso.
A jornada para se tornar uma organização inteligente em termos de risco
Quão madura é a sua abordagem de gestão de risco?
Como é que a maturidade se manifesta na prática? Nas organizações mais progressistas, uma estrutura de governação integrada permite que a empresa pense sobre o risco de forma proativa e alinhe o seu perfil de risco e exposições mais de perto com a sua estratégia. O seu conselho e grupo de liderança de governação são proativos na definição do apetite de risco da empresa. Alinhar o risco à estratégia, identificando os riscos estratégicos e incorporando os princípios de gestão de risco nos ciclos de planeamento das unidades de negócio, permite que a empresa identifique e documente os riscos que têm o maior impacto no desempenho e na sustentabilidade.
O retorno sobre este esforço é multifacetado. A análise tão completa do risco dá à empresa a confiança para comunicar abertamente a sua estratégia de risco às partes interessadas externas, sem se preocupar que a transparência abale a confiança dos investidores. Mais importante ainda, o alinhamento da consciencialização do risco e das práticas de gestão, desde a estratégia até às operações de negócio, permite que uma organização monitorize os desenvolvimentos do risco de forma mais eficaz. Os gestores podem manter a organização dentro de intervalos de tolerância aceitáveis, impulsionando o desempenho de acordo com o plano. A gestão de risco madura permite que a organização melhore ainda mais o seu desempenho financeiro, fortaleça a comunicação com as partes interessadas e construa uma maior confiança no mercado.
Ao definir a estratégia de risco, as organizações progressistas:
Geram comunicações abertas e bidirecionais sobre o risco com as partes interessadas internas e externas.
Estabelecem papéis e responsabilidades claros para garantir que o risco é governado e gerido de forma eficiente e eficaz. Fazem com que o conselho ou o comité de gestão desempenhem um papel de liderança na definição dos objetivos de gestão de risco e na definição do apetite pelo risco.
Adotam e implementam uma estrutura e estratégia de risco que se integram em toda a organização.
Uma estrutura de risco comum
Integrar o risco na gestão estratégica e operacional sob uma estrutura ou plano coeso e coerente.
A maioria das organizações dir-lhe-á “já fazemos gestão de risco”. Embora isto possa ser verdade, muitas operam em silos com atividades de gestão de risco estreitamente focadas, funcionalmente orientadas e desconexas. Os sistemas são remendados. Os recursos humanos e de informação são duplicados. Com tantas desconexões, a empresa não consegue alcançar uma visão atempada e empresarial do risco. É deixada num estado de ignorância do risco onde os riscos interdependentes não são antecipados, controlados ou geridos. A ameaça ao negócio é exacerbada pela exposição agregada ao risco. Em contraste, numa empresa inteligente em termos de risco com uma abordagem proativa e abrangente, a gestão de riscos apoia todas as atividades em todas as funções. A gestão de risco torna-se um aspeto integrante da vida organizacional.
Para alcançar os resultados das empresas com melhor desempenho, os executivos seniores, os membros do conselho e o comité de risco e auditoria precisam de ser claros sobre a estratégia e governação de risco da empresa. E precisam de fornecer uma supervisão adequada e ser responsáveis pelas práticas de gestão de risco da empresa. Elevar a discussão sobre o risco aos níveis mais altos da organização melhora a visibilidade, a responsabilização, a transparência e a tomada de decisões estratégicas.
As organizações que incorporam práticas de gestão de risco no seu ADN têm uma hipótese muito maior de alcançar os objetivos estratégicos e operacionais.
Quando uma empresa atinge o nível mais alto de maturidade, normalmente exige que recursos dedicados à gestão de risco sejam integrados nos processos de negócio através de um procedimento formalizado. Em tais ambientes, a gestão de risco proativa é sistematicamente incorporada na estratégia corporativa e nas atividades de planeamento estratégico. No entanto, muitas organizações desenvolveram um labirinto interno de avaliações como respostas individuais a vários riscos, omitindo ou desalinhando o risco estratégico.
A gestão de risco deve permanecer próxima do negócio e o negócio deve compreender o que a gestão de risco está a abordar. Quando a estratégia corporativa, as operações e a gestão de risco se unem, um caminho mais bem definido e direto para alcançar o valor e os objetivos de negócio é assegurado.
Monitorização ativa e reporte de riscos através de um painel de controlo significativo
Ser capaz de visualizar e rastrear facilmente o perfil de risco e o estado da organização a qualquer momento e, por sua vez, fornecer às partes interessadas resumos gráficos fáceis de seguir são atributos-chave de uma abordagem bem-sucedida orientada para o risco e a estratégia. Isto pode ser alcançado através de um painel de controlo de gestão de risco eficaz que pode ajudá-lo a:
Determinar quais as áreas da empresa que estão mais em risco e que exigem uma ação rápida.
Identificar facilmente os “10 principais” ou os riscos de maior prioridade em toda a organização.
Rastrear o progresso das ações de tratamento de risco e o seu subsequente efeito na redução do impacto do risco.
Traçar rapidamente o perfil da gravidade dos riscos por categoria de risco.
Verificar o estado das revisões de risco a qualquer momento.
Monitorizar eventos e tendências através de indicadores-chave de risco.
Manter as partes interessadas internas e externas envolvidas e informadas é crucial para o sucesso da sua organização, uma vez que fornecem recursos importantes, apoio externo e influência que garantirão que o risco e a estratégia sejam integrados com sucesso e que os objetivos da organização sejam alcançados.
Minimizar o manuseamento múltiplo de riscos e controlos
À medida que as empresas crescem, as atividades de risco, controlo e conformidade são frequentemente dispersas por várias funções. As empresas podem reduzir o seu fardo de risco alinhando as funções de monitorização e controlo para se concentrarem nos riscos que mais importam, coordenando as pessoas para reduzir as lacunas nos níveis de capacidade, desenvolvendo práticas consistentes que podem ser aplicadas em todas as funções e partilhando informações e ferramentas tecnológicas para criar uma maior visibilidade das atividades de gestão de risco em toda a empresa.
Para alcançar eficiências ao gerir riscos e controlos, deve:
Estabelecer indicadores-chave de risco (KRIs) onde relevante para rastrear a eficácia dos controlos implementados em diferentes áreas do negócio e informar os respetivos proprietários de risco e partes interessadas.
Padronizar os processos de avaliação e revisão de risco em todo o negócio.
Otimizar os controlos para melhorar a eficácia, reduzir os custos e apoiar o aumento do desempenho do negócio.
Rever os riscos e controlos para remover a replicação e desenvolver modelos para minimizar a replicação futura. Garantir que todos os riscos e controlos são capturados, avaliados, revistos e reportados através de software padronizado.
As empresas podem melhorar o desempenho e reduzir o custo dos gastos com controlos, escolhendo controlos automatizados em vez de manuais e estabelecendo indicadores-chave de desempenho para monitorizar a eficácia do controlo.
Aproveitar as medidas de desempenho e a análise para melhorar a quantificação do risco e a avaliação do controlo
Identificar e rastrear os indicadores-chave de risco e desempenho (KRIs e KPIs) certos garante que os riscos e os seus controlos são avaliados com mais precisão. Estes indicadores também podem ajudar as organizações de várias formas. Por exemplo, os KRIs podem ajudar a identificar riscos emergentes (por exemplo, impactos das alterações climáticas, alterações na oferta/procura, etc.) e impulsionar respostas de mitigação de risco adequadas. Os KRIs podem ajudar as organizações a analisar dados históricos e para reconhecimento de padrões e previsão, que podem ser ainda mais utilizados nas áreas de gestão de alertas e planeamento de capacidade.
Combinar o uso de métricas, análise de dados, monitorização de incidentes e atividades relacionadas com o risco pode ajudar os gestores e as partes interessadas a:
Melhor direcionar os recursos para riscos de maior prioridade que impactam áreas da organização críticas para o desempenho e a sustentabilidade.
Rever as metas para cada métrica e avaliar o impacto operacional no tempo, custo e recursos.
Melhor analisar a(s) causa(s) raiz dos riscos e permitir uma avaliação mais precisa do impacto atual, da eficácia dos controlos e das escolhas de tratamento certas.
Identificar áreas de risco aumentado (onde os dados estavam incompletos) e re-priorizar os esforços de remediação para corrigir os problemas de dados e aumentar a cobertura de monitorização.
Fornecer relatórios mais significativos para apoiar a tomada de decisões sobre gestão de risco e escolhas de estratégia.
À medida que as organizações se tornam melhores na integração da gestão de risco empresarial com a estratégia e o desempenho, tomam melhores decisões e alcançam melhores resultados. Ao conhecer os riscos que terão o maior impacto na entidade, as organizações podem usar a gestão de risco empresarial para ajudar a implementar capacidades que lhes permitam agir cedo, abrindo assim novas oportunidades.
Defender uma cultura consciente do risco de cima para baixo
As organizações que incorporam práticas de gestão de risco na “forma como fazemos negócios por aqui” têm uma hipótese muito maior de alcançar os seus objetivos estratégicos e operacionais.
No entanto, pouco acontecerá sem uma mensagem clara de cima e o compromisso de fazer as mudanças necessárias tanto nos processos-chave como na cultura do negócio. Os executivos seniores precisarão de mudar a forma como incorporam as considerações de risco ao tomar decisões de negócio importantes. Precisarão de comunicar abertamente com todas as partes interessadas sobre como é essa mudança e o que significará. E, mais importante ainda, precisam de ser consistentes e responsabilizar toda a organização em todos os níveis pelos seus papéis e responsabilidades na estratégia de gestão de risco empresarial.
Para as empresas que procuram levar as suas práticas de gestão de risco para o próximo nível para alcançar além da conformidade para abordar as questões que podem adicionar valor de negócio estratégico, não há melhor altura. Será necessário um esforço multifacetado, mas as empresas que optam por mover as suas práticas de gestão de risco para cima na escala de maturidade têm a oportunidade de impulsionar o crescimento e superar os seus pares.
Escolher o parceiro de software certo para gerir e integrar a sua abordagem de gestão de risco
As organizações hoje precisam de software empresarial de próxima geração que possa consolidar processos, sistemas e fontes de dados díspares numa solução singular e holística, fornecendo uma visão profunda do perfil de risco, do estado e do respetivo desempenho de cada parte da organização, ao mesmo tempo que permite a integração e a interação interfuncional.
Mas selecionar a solução de software certa é uma tarefa complexa que exige colaboração multi-nível, multi-regional, interfuncional e interdepartamental.
A nossa solução ERM reconhecida pela Gartner e pela Forrester, pode ajudá-lo a avaliar e a satisfazer as necessidades de governação, risco e conformidade da sua organização e a posicioná-la melhor para enfrentar os desafios e oportunidades de negócio que se avizinham.
Para mais informações sobre como integrar os seus processos de planeamento e risco para alcançar o sucesso empresarial, solicite uma demonstração.
