Os critérios de risco são um ponto de referência importante para avaliar o significado do risco. Ligam a estratégia à ação e ajudam-te a determinar se estás a assumir a quantidade certa de risco. Os critérios de risco também podem dar permissão aos decisores para assumirem mais riscos para obterem o retorno correto e utilizarem eficientemente os recursos disponíveis. No entanto, por mais vitais que sejam os critérios de risco para um programa de Gestão de Riscos Empresariais, muitas vezes eles são eclipsados por ferramentas mais visíveis, como mapas de calor e indicadores-chave de risco. Muitas organizações vêem os critérios de risco como algo que funciona em segundo plano, raramente tendo tempo para reexaminar ou atualizar de acordo com as condições em mudança. Critérios de risco bem elaborados também são complexos – e não são fáceis de desenvolver. É preciso tempo e esforço para criar um instrumento de medição que permita compreender e relacionar a apetência pelo risco, a tolerância ao risco e a estratégia. Mas se a tua medida de medição estiver errada, como é que vais saber se estás a correr os riscos certos para atingir os teus objectivos estratégicos?

Um ponto de referência consistente

Os critérios de risco fornecem uma interpretação clara da tolerância ao risco e da apetência pelo risco, à medida que se alinham com os teus objectivos gerais. A natureza consistente dos critérios de risco elimina o enviesamento cognitivo que pode surgir durante períodos de incerteza. E isso pode ajudar-te a evitar fazer julgamentos precipitados que não são do teu interesse a longo prazo. Os critérios de risco também estabelecem uma linguagem comum para uma comunicação eficaz sobre o risco, o que é importante, uma vez que estimular uma conversa valiosa é uma das partes mais importantes de um programa de ERM. Quando a discussão se volta para a ação, os critérios de risco também podem ser usados para priorizar recursos. Isso é especialmente útil no caso de objetivos conflitantes.

Encontra critérios de risco significativos

Para desenvolver critérios de risco, começa por fazer duas perguntas: Que nível de risco estás a assumir atualmente? E esse nível de risco é aceitável? Quando tiveres respostas precisas, podes passar à definição dos critérios específicos para o teu negócio. Nota que os critérios de risco não são uma ferramenta pronta a usar. Para serem significativos, os critérios de risco devem ser calibrados de acordo com a estratégia, os objectivos, as medidas e a apetência pelo risco da tua empresa. E revisita regularmente os teus critérios para te certificares de que as condições actuais se reflectem na forma como estás a dar prioridade aos riscos. Aqui estão seis passos para usar como guia:

  1. Define os teus objectivos estratégicos. Quais são os teus objectivos de crescimento? Onde é que estás a tentar mudar a fasquia? Que outros aspectos – por exemplo, a segurança, o ambiente, a conformidade regulamentar, a tua reputação – valorizas? Inclui os aspectos com os quais te preocupas e nos quais gastas dinheiro, mesmo que não estejam explicitamente indicados na tua estratégia.
  2. Escolhe medidas para o teu scorecard. Que métricas reflectem melhor o fracasso e o sucesso? Fala com especialistas e líderes de funções nas áreas financeira, RH, vendas, etc., e extrai as medidas que interessam – e que são imediatamente compreensíveis. E se esses KPIs não existirem, aproveita esta oportunidade para os implementar.
  3. Define o evento. O que é um resultado indesejável ou diferente do planeado? Nalguns casos, um resultado que esteja mesmo um pouco fora do previsto pode provocar desastres em espiral. Reservar algum tempo para visualizar circunstâncias indesejáveis ajuda-o a avaliar o impacto que eventos específicos podem ter nas suas operações, reputação e resultados.
  4. Identifica os pontos finais. O que é que seria uma catástrofe? Que tipo de resultado contra cada uma das tuas medidas destruiria efetivamente a tua estratégia e causaria danos irreparáveis à empresa? E que tipos de acontecimentos seriam apenas considerados problemáticos? O resultado mais grave é o teu limite ou ponto de ancoragem.
  5. Determina o desvio intolerável. Quanto desvio do teu objetivo é aceitável e quanto é inaceitável? Que indicadores te dirão quando te estás a aproximar de um desvio inaceitável? Em alguns casos, pode ser necessário ir mais fundo, aplicar outros critérios e avaliar o risco de forma mais formal.
  6. Preenche os pontos entre risco tolerável e intolerável. Utiliza o teu scorecard, os teus pontos finais e os teus desvios para definir os limites do que é aceitável e do que não é – também conhecido como a tua tolerância ao risco. Deves querer olhar mais de perto para os riscos que podem credivelmente exceder o teu limite de tolerância.

Outras considerações a ter em conta no desenvolvimento de critérios de risco

Os critérios de risco também são moldados por forças como a velocidade do risco. No mundo da gestão de riscos, a velocidade é o intervalo de tempo entre a ocorrência de um evento e o seu impacto máximo. Imagina uma linha de tempo para marcar quando algo explode, quando é detectado e quando tem impacto no negócio. No caso dos riscos de alta velocidade – como as ameaças cibernéticas – o evento pode ocorrer tão rapidamente que não tens tempo para tomar medidas para evitar que o dano aconteça. Riscos de baixa velocidade – como uma mudança no cenário competitivo – acontecem ao longo do tempo, o que te dá espaço para mitigar. Outro aspeto a considerar são os controlos que tens em vigor para evitar a ocorrência do risco ou gerir o seu impacto. Os teus esforços são adequadamente dimensionados para o risco? Tens planos em vigor? Tens pessoas responsáveis pela execução desses planos? Estás a verificar se tudo está a funcionar corretamente? Precisas de fazer algum ajuste? Se tiveres estes aspectos em vigor, podes dizer que o risco está totalmente controlado. O último passo é fazer com que um terceiro independente teste periodicamente os controlos relacionados com os riscos mais graves. A última consideração é a probabilidade de ocorrência do risco. A forma mais eficaz de avaliar a probabilidade é olhar para os teus riscos no contexto de cada um deles. Presta especial atenção aos riscos que podem ocorrer de forma credível e cuja preparação pode evitar ou, pelo menos, limitar os danos.

E agora?

Podes utilizar os critérios de risco em qualquer cenário em que tenhas de avaliar ou comunicar riscos e oportunidades – como avaliações de risco, workshops de risco e identificação de riscos de projectos. Depois de teres feito esta análise e estabelecido os teus critérios de risco, também és livre de fazer as coisas de forma diferente para assumires a quantidade adequada de risco. Em vez de proteger a tua reputação a todo o custo, por exemplo, podes decidir que a recompensa de fazer certas mudanças operacionais que beneficiam o negócio vale o risco de nem todos os empregados ficarem satisfeitos com isso.

“Os critérios de risco bem desenvolvidos são uma ajuda tremenda em muitos aspectos da ERM”, explica Rob Quail, conhecido autor e especialista em ERM. “Os critérios de risco são os teus pontos de ativação que dizem que o risco tem de ser comunicado de forma ascendente. É assim que superas a parcialidade e permites a comparação de riscos. Depois, podes integrar toda essa lógica nos principais processos empresariais. Melhores conversas conduzem a melhores decisões sobre prioridades.”

Para saber mais sobre ERM, baixe nosso ebook, Charting a Course for Enterprise Risk Management, e confira o software ERM da Riskonnect .