Como implementar o ERM!

27.10.2023 – ERM é uma sigla de uma expressão em inglês, enterprise risk management, ou seja, gerenciamento de risco empresarial. Sua importância é fundamental para identificar, prevenir e gerenciar riscos potenciais que possam impactar o negócio e influenciar os resultados da empresa, garantindo a sustentabilidade do negócio.

O ERM nasceu a partir do COSO (Committee of Sponsoring Organizations of the Treadway Commission), Comitê das Organizações Patrocinadoras da Comissão Treadway, uma organização privada criada nos Estados Unidos da América em 1985, com o propósito de prevenir e evitar fraudes nos procedimentos e processos internos de uma empresa. O COSO foi inicialmente criado como Comissão Nacional sobre Fraudes em Relatórios Financeiros (National Commission on Fraudulent Financial Reporting). Na verdade, o COSO acabou criando uma estrutura de gerenciamento de riscos empresariais em 1992.

Além disso, as recomendações do COSO para o estabelecimento de controles internos são amplamente praticadas e seguidas como um exemplo de excelência em todo o planeta. Um dos ícones criado pelo COSO é o seu famoso cubo, abaixo ilustrado:

Imaginar que um relatório resultante da implementação de ERM em uma empresa possa ser utilizado da mesma forma em outra empresa é uma ilusão e os resultados podem ser inócuos, na medida em que os riscos se modificam de acordo com o ambiente de negócios e a infraestrutura da empresa. Logo, quanto mais diverso o negócio, mais diversos serão os riscos identificados. Entretanto, ainda que as empresas sejam do mesmo ramo de negócio, sua matriz de riscos certamente irá divergir em diversos aspectos, considerando suas diferenças.

A concepção de um projeto de ERM abarca toda a empresa, contando com a responsabilidade e dedicação de cada gestor e cada colaborador para que o resultado possa ser bem sucedido, sendo igualmente importante a sua revisão em períodos pré-determinados, de forma a atender mudanças em sua matriz de riscos, necessárias para se adaptar a alterações no ambiente de negócios ou na sua infraestrutura.

Não obstante, a indagação que paira no ar é como implementar um projeto de ERM em uma organização. Nada mais adequado do que seguir os passos abaixo:

Passos para Implementar o ERM em uma Empresa
1. Crie um time (task force) específico para o projeto.
2. Defina o significado do que seria considerado risco para o negócio da empresa.
3. Classifique o seu risco.
4. Comece a elaborar o seu plano de ação e o seu plano de remediação, estabelecendo um cronograma de implementação e definindo responsabilidades.
5. Comunique a empresa de forma clara o resultado do projeto, encorajando o engajamento de todos seguindo a ordem de prioridades previamente definida.
6. Monitore o andamento da implementação com reuniões periódicas, de forma a corrigir desvios, remediar atrasos e garantir a consecução dos resultados.
7. Revise periodicamente o seu projeto de ERM, a fim de adequá-lo às mudanças do negócio.

Nos passos acima descritos, existem alguns fatores críticos de sucesso que se não forem cuidadosamente observados pelos responsáveis pela implementação do ERM, poderão pôr em xeque todo o trabalho a ser feito. Faço referência especialmente à identificação do significado do que seria considerado risco para a empresa. Como exemplo, cito empresas exportadoras ou importadoras de bens que seriam severamente atingidas por uma macro desvalorização cambial; ao passo que outras empresas até mesmo não ramo poderiam não sê-lo, tendo em vista ter acordado contratos de hedge para fixação do preço em operações futuras, independentemente da variação cambial. Logo, o significado de risco para uma determinada necessita ser obrigatoriamente customizado para a sua realidade.

Os planos de ação e de remediação devem levar em consideração premissas importantes como a identificação de riscos potenciais, a avaliação de tais riscos frente ao negócio da empresa, o gerenciamento de incidentes ou emergências ou mesmo desastres, a mitigação de danos, a recuperação do negócio diante do problema identificado e os relatórios que deverão ser elaborados ao lidar com a existência de tais riscos. Por outro lado, algo crucial para o sucesso de um plano de ação e de remediação é um cronograma de implementação e a definição de responsabilidades, pois, do contrário, o projeto pode acabar sofrendo atrasos consideráveis e injustificados, além de se tornar órfão, sem que haja um ou mais responsáveis por determinadas tarefas ou atividades lá estabelecidas.