O gerenciamento de riscos pressupõe um processo estruturado que alinha estratégia, processos, pessoal, tecnologia e conhecimentos. É de fundamental importância que o citado processo seja conduzido por quem efetivamente detenha poder e recursos para tal, pois, conforme menciona Duarte Jr. (1996, p.9), “[...] um mau gerenciamento de risco pode levar a uma falsa sensação de segurança, o que pode ser até mesmo pior que desconhecer - e portanto, temer - o risco [...]” efetivo do negócio.
Assim, é importante que haja uma política de gestão de riscos, definindo aspectos como: a atitude e apetência para o risco; a abordagem para a gestão de riscos; as
responsabilidades relativas à gestão de riscos em toda a organização; referir todos os requisitos legais aplicáveis.
Não há um modelo único para o processo de gerenciamento de riscos, contudo, as linhas gerais do processo de gestão de riscos são similares, independentemente do modelo adotado.
Para efeitos didáticos, este estudo apresenta o modelo apresentado pela Australian Standard AS/NZS 4360-1999:
Estabelecimento do Contexto
A fase de estabelecimento do contexto abrange os contextos estratégico, organizacional e da gestão de riscos; o desenvolvimento de critérios e a definição da estrutura necessária. Compreende a definição do que é feito e como mensurar se os objetivos estão sendo alcançados, a quem o trabalho desenvolvido pode causar impacto e quais as categorias ou grupos de atividades que compõem o referido trabalho.
Identificação de Riscos
A etapa seguinte, a identificação de riscos, é o processo que define os eventos ou resultados que possam ter impacto no alcance do sucesso da organização. Referida etapa responde às perguntas “o que pode acontecer” e “como pode acontecer”.
Seu objetivo é a identificação da exposição da organização ao elemento de incerteza, o que exige um perfeito conhecimento da organização e do mercado na qual está inserida, bem como de suas atividades e dos ambientes jurídico, social, político e cultural. Adicionalmente, faz-se necessário o desenvolvimento de uma sólida interpretação das estratégias e objetivos operacionais, incluindo os fatores fundamentais ao seu êxito e as ameaças e oportunidades relativas à obtenção dos referidos objetivos.
O processo de identificação dos riscos deve assegurar que todas as atividades significativas da organização foram identificadas e todos os riscos delas decorrentes definidos; toda a volatilidade associada relativa a tais atividades deve ser identificada e classificada por categorias.
A classificação por categorias baseia-se na apresentação dos riscos identificados num formato estruturado, visando garantir um processo ordenado de identificação, descrição e avaliação de riscos por toda a organização.
Análise de Riscos
Nesta fase do processo são analisados os impactos que um risco pode ter sobre o negócio e a organização, no curto e longo prazo, bem como a probabilidade de sua ocorrência.
Referida análise é precedida da identificação e determinação dos controles existentes para a mitigação e/ou eliminação de determinado risco, o que influenciará a probabilidade (alta, média, baixa) de sua ocorrência.
Uma vez determinados os controles e a probabilidade de ocorrência do risco, é estabelecido o nível ou perfil do risco (por exemplo: baixo, moderado, elevado ou extremo).
Avaliação de Riscos
A avaliação determina a prioridade no gerenciamento dos riscos por meio da comparação de seus níveis, no contexto dos objetivos da organização.
A comparação é feita entre o nível estimado do risco determinado na análise versus critérios pré-estabelecidos.
Os critérios de riscos podem considerar os custos e receitas associados, exigências legais, fatores sócio-econômicos e ambientais, preocupações dos intervenientes, etc. A estimativa de riscos e subseqüente comparação apóia o processo de tomada de decisões sobre a importância dos riscos para a organização e sobre a possibilidade de cada risco específico ser aceito ou corrigido.
Tratamento de Riscos
O tratamento de riscos é o processo de selecionar e implementar medidas para modificar um risco.
O elemento principal do tratamento de riscos é o controle ou diminuição dos riscos, todavia, pode englobar a rejeição de determinado risco, pelo fato de este estar fora da estratégia da empresa, uma vez que o custo do controle é superior ao risco.
Para os riscos que serão aceitos, pelo fato de serem inerentes ao negócio ou às operações normais, podem ser dispensados os seguintes tratamentos:
(i) Reter: manter o risco, precificar ou planejar conforme o grau de tolerância; (ii) Reduzir: controlar ou diversificar o risco;
(iii) Transferir: necessita que alguém esteja disposto e tenha capacidade financeira para correr o risco;
(iv) Explorar: pode aumentar o grau de exposição na medida em que possibilita vantagens competitivas.
Comunicação e Consulta
A comunicação consiste na existência de um meio adequado de diálogo dentro da organização e entre os stakeholders, com ênfase em consulta, além de um meio de informação dos tomadores de decisão.
O controle e o processo de tomada de decisões requerem informações adequadas e tempestivas. As informações relacionadas ao negócio, sejam internas ou externas, necessitam ser identificadas, avaliadas e comunicadas no formato devido.
Comunicação interna: dentro de uma organização os vários níveis necessitam de diferentes tipos de informações que serão obtidos por meio do processo de gestão de riscos.
Comunicação externa: a organização necessita prestar contas aos intervenientes, definindo as respectivas políticas de gestão de riscos e a eficácia na obtenção de objetivos.
Monitoramento e Revisão do Processo de Gestão de Riscos
A gestão de riscos eficaz necessita de uma estrutura de comunicação e revisão que assegure que os riscos são identificados e avaliados de forma eficaz e que os controles e respostas adequados são implementados.
Assim, o monitoramento é o processo que tem como objetivo verificar, supervisionar, observar criteriosamente ou registrar a melhoria de uma atividade, ação ou sistema a fim de identificar mudanças.
O processo de monitoramento deve garantir que foram implementados os controles adequados para as atividades da organização e que os procedimentos são compreendidos e seguidos. As alterações à organização e ao ambiente no qual esta se insere devem ser identificadas, para que sejam efetuadas as mudanças requeridas.
4 EVOLUÇÃO DO CENÁRIO DE RISCOS EM INSTITUIÇÕES FINANCEIRAS E COMITÊ DA BASILÉIA