Gestão de Risco Interno
A Gestão de Risco é quando um gerente tenta organizar sua empresa (ou unidade de negócios) para se preparar para, e tentar prevenir, algo dar errado. A gestão de risco é um dos ramos mais complicados da administração, pois requer que os gerentes sejam capazes de avaliar situações desconhecidas e tentar estar preparados para qualquer coisa. É a técnica de distinguir, investigar e reconhecer a incerteza e as escolhas de gestão de especulação. Essencialmente, a gestão de risco ocorre sempre que um especialista financeiro ou gerente de fundos analisa e tenta determinar o potencial de perda em qualquer situação dada, e depois toma a ação apropriada para tentar minimizar esse risco.
Controles Internos versus Externos
As ferramentas para Gestão de Risco geralmente são divididas entre Controles Internos, significando ferramentas para prevenir problemas que vêm de dentro da organização, e Controles Externos, que significam se preparar para enfrentar ameaças e problemas que vêm de outro lugar.
Controles Internos
Os Controles Internos são os procedimentos e processos em vigor em uma organização para garantir que tudo funcione sem problemas e que os erros sejam raros. Isso inclui coisas como a construção de Procedimentos Operacionais Padrão (SOPs), Garantia de Qualidade (QA) e Auditoria. Também inclui verificações e investigações para garantir que esses SOPs e processos de QA estejam sendo seguidos corretamente, e não apenas documentos não utilizados. A maioria dos exemplos neste artigo se concentrará na gestão de risco interno.
Controles Externos
Os Controles Externos estão em vigor para proteger uma organização de danos causados por alguma força externa. Isso inclui coisas como avaliar quão provável é que um novo produto não venda, quanto dano seria sofrido em caso de um acidente, e garantir que a organização esteja devidamente segurada em caso de desastres. Os Controles Externos incluem coisas relativamente menores, como segurança de edifícios (para garantir que segredos da indústria sejam mantidos seguros) até hedge cambial para garantir que a organização não seja excessivamente danificada se as taxas de câmbio começarem a flutuar.
Natureza do Controle de Risco Interno
O Controle de Risco Interno é o que um gerente e a organização colocam em prática para minimizar os riscos que vêm de dentro da organização. Esses controles se enquadram em 4 categorias amplas:
- Monitoramento: Esses são controles colocados em prática para manter um olho nas operações e identificar problemas antes que eles se agravem.
- Ambiente de Controle: Isso significa organizar o local de trabalho para minimizar riscos. Isso pode ser qualquer coisa, desde uma fábrica instalando equipamentos de segurança até o departamento de TI instalando firewalls para proteger contra vírus.
- Informação e Comunicação: Esta é a criação de relatórios regulares e canais de comunicação entre departamentos, trabalhadores e gerentes. Às vezes, trabalhadores e gerentes acreditam que têm um problema “sob controle”, mas pode estar à beira de se transformar em um desastre – uma boa comunicação e relatórios ajudam a evitar que isso aconteça.
- Avaliação de Risco: Este é o método que uma organização usa para colocar um valor em dólares sobre quanto risco cada aspecto das operações está adicionando ao todo.
A avaliação de risco é a mais complicada, mas também a mais importante. Cada organização tem recursos finitos que precisa distribuir para minimizar o risco como um todo, e esse processo de avaliação ajuda a guiar esses esforços. Ao mesmo tempo, cada vez que uma empresa adiciona mais monitoramento, controles e deveres de relatórios à sua equipe, a equipe passa mais tempo focando na gestão de risco e menos no que gera receita. Cada vez que um novo controle interno é imposto, deve ser equilibrado com o custo que impõe à equipe que está tentando proteger.
O controle de risco interno é feito em todos os níveis de gestão. Os gerentes de nível mais baixo estão tentando minimizar os riscos inerentes à sua equipe para atingir seus objetivos, enquanto níveis mais altos de gestão examinam os riscos que permeiam toda a organização. Controles eficazes também são de baixo para cima, assim como de cima para baixo, adicionando avenidas diretas de comunicação dos trabalhadores de base para relatar sempre que acreditam que os controles internos estão sendo desconsiderados, ou se novos controles podem ser necessários para abordar novos riscos.
Contraste com o Controle de Risco Externo
O controle de risco externo é mais livre, uma vez que os riscos de fora de uma organização não podem ser quantificados tão facilmente. Isso geralmente começa com uma análise SWOT (Forças, Fraquezas, Oportunidades e Ameaças) e se concentra em abordar as Ameaças identificadas. O Controle de Risco Externo é geralmente abordado pelos gerentes de nível mais alto, que então emitem diretrizes para os níveis inferiores de gestão para abordar esses riscos.
Enquanto os controles internos são colocados em prática para garantir que a organização continue a operar sem problemas, os controles de risco externos tentam abordar ameaças ao próprio negócio. Por exemplo, as companhias aéreas estão sempre em risco de aumento no preço do petróleo, o que causa um grande aumento em suas despesas operacionais. Uma forma importante de controle de risco externo que elas exercem é a compra de futuros de petróleo, que fixa um preço definido por vários meses no futuro, removendo alguma incerteza. Os controles de risco externos tentam olhar para tudo, desde mudanças nos preços de insumos até novas leis e regulamentos sendo aprovados, e tudo mais entre eles.
Formas de avaliar risco
A avaliação de risco não tem diretrizes definidas sobre como deve ser feita. No entanto, existem algumas regras gerais que são seguidas. Existem cinco etapas para a avaliação de risco que podem ser tomadas para garantir que a avaliação de risco seja concluída com precisão. Essas cinco etapas são:
Etapa 1: Detectando os perigos
Antes que um risco possa ser avaliado, o primeiro passo é identificar exatamente qual é esse risco. O objetivo da Etapa 1 é ter uma definição clara e concisa do que exatamente os problemas potenciais são e que tipos de danos podem ser causados. Por exemplo, máquinas perigosas em um local de trabalho têm um risco definido de prejudicar os trabalhadores, o que tanto perde produtividade quanto resulta em processos judiciais.
Molts riscos són inicialment molt vagues, però no es poden implementar controls efectius fins que els gestors identifiquin què és exactament el que intenten controlar. Els riscos es poden reconèixer utilitzant diversos procediments diversos, per exemple, passejant pel lloc de treball o preguntant als treballadors. Alguns riscos poden ser fàcils d’identificar i altres poden requerir ajuda d’altres professionals fora de l’empresa.
Fase 2: Identificació dels interessats
Aquesta fase es basa en els riscos i perills trobats a la fase un. Un problema al lloc de treball té diversos nivells d’interessats. Per exemple, amb maquinària perillosa, els treballadors en risc de ser ferits són interessats evidents. Altres interessats serien les altres unitats d’aquesta empresa que es veuran endarrerides si hi ha un incident anterior a la cadena de producció. També afectarà les famílies dels que podrien resultar ferits, així com els accionistes de l’empresa que podrien retirar la seva inversió a la llum de la mala premsa després d’una lesió.
Fase 3: Avaluació dels perills i elecció de mesures de control
Avaluar els perills significa intentar assignar alguna probabilitat de com de probable és que el perill es produeixi. Cap perill es pot eliminar completament – només minimitzar. Això significa que les empreses primer identifiquen com de probable és que un problema sorgeixi d’aquest perill, i quant les mesures de control potencials reduiran aquesta possibilitat.
Les mesures de control potencials s’avaluen equilibrant el seu cost d’implementació (tant en valor monetari com en quant temps/esforç del personal es necessitarà per fer complir el control) amb quant risc es redueix realment. Un cop es comparen diverses alternatives, es poden introduir nous controls.
Fase 4: Registrar les troballes
Els controls efectius s’implementen de manera provisional. Això significa que l’equip té una sessió de formació per esbossar quins són els perills i els nous controls que s’implementen per abordar-los. Mentre avança la prova, tot l’equip (des dels treballadors fins a la gestió implicada) registra com la implementació impacta el seu treball, tant en termes d’abordar realment els riscos que els controls estan abordant com en el cost realitzat de la seva implementació.
Pas 5: Revisar l’avaluació i actualitzar
Els controls de risc necessiten ser revisats contínuament per la seva efectivitat i actualitzats, amb la comunicació corresponent a tots els interessats implicats. Això normalment ho fa l’equip de gestió, amb un “Avaluador” específic encarregat de realitzar una revisió o auditoria del control i com evoluciona amb el temps. Cal implementar canvis a cada tipus de control al llarg del temps per abordar nous riscos i entorns empresarials canviants.
Importància de l’auditoria del control de risc
Les auditories són revisions més grans dels controls interns de risc que una empresa ha implementat. Les auditories són separades dels procediments normals d’avaluació de riscos, però segueixen un full de ruta similar sobre com es realitzen.
Les auditories regulars dels controls interns de risc són essencials per mantenir una organització funcionant sense problemes. Els seus dos grans beneficis són assegurar-se que els controls interns s’estan implementant tal com es va dissenyar, mentre també es té una “visió d’ocell” dels controls generals d’una organització. Aquesta visió d’ocell pot ajudar a identificar redundàncies amb els controls interns i optimitzar els processos, fent-los més barats, més fàcils i més efectius.
Identificació i Avaluació de Riscos
Això és el mateix que el Pas 1 fins al Pas 3 en l’avaluació normal de riscos, però mira les operacions empresarials com un tot, en lloc d’unitats empresarials individuals. L’objectiu és identificar quins riscos estan presents, i quins controls ja existeixen per abordar aquests riscos. Si no hi ha controls adequats, l’equip d’auditoria farà recomanacions als interessats rellevants per solucionar-ho.
Millora de l’Eficiència i Efectivitat del Procés
Aquest és el procés d’intentar harmonitzar els controls interns de risc ja implementats a través d’una organització. L’objectiu principal d’aquestes activitats és intentar facilitar que les unitats empresarials mantinguin controls efectius. Això normalment significa fusionar SOPs de diferents unitats empresarials, millorar els canals de comunicació, i obtenir més aportacions dels gestors sobre quins tipus de controls consumeixen més temps. Les auditories efectives de controls interns signifiquen que els treballadors necessiten dedicar menys esforç al compliment, i més esforç a construir valor per a l’empresa, sense sacrificar la protecció contra el risc.