A conversa em torno de ERM vs. IRM é frequentemente enquadrada como uma escolha: Qual é o melhor? Qual devem as organizações adotar? Este enquadramento pressupõe que existe uma distinção clara para começar, mas não é assim tão simples.
O conceito de IRM (gestão integrada de riscos) suscitou debate, refletindo uma mudança na forma como as organizações pensam sobre o risco. Já não basta categorizar o risco por tipo ou departamento. Os líderes empresariais e os reguladores exigem agora uma visão mais integrada e em tempo real do risco que informe a forma como uma empresa funciona. Neste contexto, a comparação de ERM vs. IRM torna-se menos sobre estruturas concorrentes e mais sobre perspetivas em evolução.
A maturidade do ERM
Antes do IRM, o surgimento do ERM (gestão de riscos empresariais) representou uma mudança anterior no pensamento sobre o risco. Em vez de gerir as ameaças em silos, o ERM introduziu a ideia de uma abordagem centralizada e estratégica.
Com estruturas como o COSO e a ISO 31000, o ERM deu às organizações a estrutura para gerir um amplo espetro de riscos sob uma metodologia sólida. Atualmente, o ERM está incorporado em todos os setores. Um inquérito AFERM Federal ERM relatou em 2022 que 85% das agências federais dos EUA tinham um programa formal de ERM, e o COSO foi citado por 37% das organizações como a sua estrutura predominante. Em setores regulamentados, o ERM é frequentemente uma necessidade de conformidade.
O que é IRM? Por que é difícil de definir
O IRM, por outro lado, ainda é um alvo em movimento. Não existe uma estrutura única nem um âmbito acordado. As definições variam amplamente; alguns veem o IRM como uma nova metodologia, outros ainda como uma progressão natural do ERM tradicional.
Esta falta de precisão pode ser confusa, mas também reflete um padrão: os líderes de risco estão a debater-se para definir o risco à medida que este se torna mais interligado e menos limitado por definições e limites tradicionais. Nesse sentido, o IRM é uma tentativa de acompanhar as ideias em mudança.
Visões concorrentes de IRM
IRM fundamental
Alguns, como John Wheeler com a Wheelhouse Advisors, veem o IRM como uma resposta à fragmentação no risco. As ferramentas, os processos e as fontes de dados de gestão de riscos proliferaram ao longo do tempo, mas operam frequentemente de forma independente. O IRM, nesta perspetiva, tem como objetivo consolidá-los. Trata-se de centralizar os dados e construir uma visão única e multifuncional do risco. Ao contrário do ERM, que permanece frequentemente focado no reporte, esta visão incorpora o risco em cada processo.
Em vez de uma mudança de marca do ERM, pode ser visto como uma integração mais profunda de capacidades. É uma mudança em direção ao risco como algo incorporado nos sistemas de negócios, não sobreposto.
IRM como GRC maduro
Críticos, como Michael Rasmussen, argumentam que o conceito de IRM é uma distinção sem diferença. Deste ângulo, é simplesmente uma versão moderna de GRC (governança, risco e conformidade); o tipo que usa a tecnologia de forma mais eficaz e alinha mais estreitamente com a estratégia. Nesta perspetiva, o termo IRM pode soar novo, mas as ideias centrais são as mesmas.
Os críticos do IRM veem o rótulo como desnecessário. Argumentam que os programas maduros de ERM e GRC já fazem o que o IRM promete. O que falta, dizem eles, não é um novo conceito, é uma melhor execução dos existentes.
IRM na evolução mais ampla da gestão de riscos
Visto em contexto histórico, o IRM faz parte de um arco mais longo. A gestão de riscos expandiu-se constantemente ao longo do tempo, desde seguros, à conformidade e à estratégia em toda a empresa. A mudança em direção ao pensamento de IRM é uma continuação dessa trajetória, impulsionada pela crescente complexidade da gestão de riscos.
O que é diferente agora é a ênfase na interconectividade. As organizações estão a reconhecer que os riscos não surgem isoladamente e não permanecem nas suas áreas. Uma violação de dados não é apenas uma questão de cibersegurança – deve ser vista como uma questão reputacional, regulamentar e operacional também. O IRM reflete a necessidade de contabilizar essa complexidade. Estender o alcance do ERM significa permitir que os líderes empresariais acedam a informações sobre riscos em tempo real, em vez de terem de confiar em relatórios ao nível do conselho de administração.
Por que razão “ERM vs. IRM” não aborda o ponto
A tensão entre ERM e IRM é frequentemente exagerada. O IRM não invalida o ERM; em todo o caso, depende dele. Além disso, dependendo de como é definido, o IRM melhora a estrutura do ERM ou dá-lhe uma base mais operacional.
Escolher o modelo “certo” não é a verdadeira questão, a verdadeira questão é a fragmentação. As organizações que gerem o risco em sistemas desconectados podem ter dificuldades em responder rapidamente aos problemas. Os rótulos não importam se a organização não conseguir agir sobre os dados que tem.
Os programas mais eficazes unificam a estratégia e a execução. Tratam o risco não como uma lista de verificação, mas como uma função de negócios; não traçam linhas artificiais entre as estruturas – constroem sobre elas.
A tecnologia unifica ERM e IRM
A tecnologia torna possível esta convergência entre ERM e IRM. O software de gestão de riscos fornece a infraestrutura para conectar dados díspares e integrar fluxos de trabalho.
A plataforma certa suporta os princípios de ERM e IRM:
- Centralizar bibliotecas de risco e controlo
- Ativar análises e relatórios em tempo real
- Mapear causas de raiz
- Definir apetite de risco
- Planear cenários
- Alinhar estratégia e postura de risco
A tecnologia quebra silos, operacionaliza a estratégia e dá aos líderes a visibilidade de que precisam para agir.
A ascensão do IRM reflete um campo em evolução. À medida que as organizações enfrentam riscos mais complexos, sistémicos e em rápida evolução, as suas estruturas precisam de acompanhar. Isso não significa abandonar o ERM; significa construir sobre ele. A verdadeira questão não é qual o acrónimo que usa, é se está a tornar o risco um motor da estratégia.
Para mais informações sobre gestão de riscos empresariais e gestão integrada de riscos, descarregue os nossos ebooks, Traçar um Rumo para a Gestão de Riscos Empresariais e Conquistar o Novo Mundo do Risco com a Gestão Integrada de Riscos, e consulte o software ERM da Riskonnect.
