Política de gestão de risco ganha espaço (mas não em cyber)

Da Redação
13/11/2019
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Riscos cibernéticos são os que menos contam com processos definidos de mitigação, e também são os mais desconhecidos para as organizações pesquisadas

As políticas de gestão de risco estão se tornando cada vez mais concretas e formalizadas. A formalização já existe em 73% das organizações, diz a segunda edição do estudo Os Cinco Pilares dos Riscos Empresariais – Visão abrangente e integrada sobre os fatores de riscos, que a Deloitte e o Instituto Brasileiro de Governança Corporativa (IBGC) publicaram hoje.

Esse número representa um aumento de 26% em relação ao mesmo dado da edição passada. A pesquisa traz como tema uma visão abrangente e integrada sobre os fatores de risco divididos em operacionais, cibernéticos, financeiros, regulatórios e estratégicos. O levantamento confirma, de acordo com as 165 empresas ouvidas, que o mercado brasileiro tem procurado evoluir em suas estruturas de controles, governança corporativa e gestão de riscos como uma resposta às transformações regulatórias e aos eventos de crises que impactaram todo o ambiente de negócios.

Riscos cibernéticos são os menos conhecidos

“Entre os tipos de riscos a serem mitigados, os operacionais são os que mais têm processos definidos para mitigação. Na sequência, vêm os riscos financeiros e regulatórios. Os riscos cibernéticos são os que menos contam com processos definidos de mitigação, assim como também são os que as organizações pesquisadas têm menor grau de ciência, o que revela que, ainda que as empresas estejam em um contexto de forte digitalização de negócios, terão de explorar os recursos para a gestão dessas ameaças emergentes”, detalha Alex Borges, sócio-líder de Risk Advisory da Deloitte.

A pesquisa aponta uma tendência de as empresas adotarem, cada vez mais, postura ética alinhada à conformidade, além de promoverem ajustes em suas políticas de integridade/compliance e gestão de riscos. “A imagem das organizações está cada vez mais posta à prova em função de como elas são vistas em suas deliberações éticas. Decisões não podem ser tomadas em benefício próprio ou de terceiros, sob o risco de a organização ter sua imagem e reputação abaladas”, acrescenta Ricardo Lemos, membro da Comissão de Gerenciamento de Riscos Corporativos do IBGC.

Planejamento é atualizado anualmente

Segundo a pesquisa, praticamente nove em cada dez organizações já possuem um planejamento estratégico formalizado — entre essas empresas, esse planejamento é atualizado, em 70% dos casos, anualmente, confirmando que as organizações estão focadas em entender as necessidades e as expectativas do mercado, de forma a estarem melhor preparadas para atendê-las de forma robusta e assertiva. Apesar de muitas vezes não contarem com um modelo avançado de gestão integrada de riscos, as organizações se mostram atentas a como podem evoluir. Prova disso é que 79% das que responderam aumentaram interesse por desenvolvimento e transformação da gestão de riscos em relação a 2017.

A evolução da tecnologia, as transformações no comportamento do consumidor e as mudanças regulatórias estão tornando o ambiente de negócios mais dinâmico, mas também trazem novos riscos. Nesse sentido, as empresas ainda têm a avançar nas práticas de identificação, avaliação, resposta e monitoramento de riscos emergentes.

Pouco mais da metade das empresas pesquisadas contam com mecanismos para identificação de riscos emergentes (55%), e um número ainda menor tem práticas estruturadas para avaliar (49%), responder (38%) e monitorar (42%) esses riscos. Também é expressiva a porcentagem (30%) de empresas que não têm mecanismos para a gestão de ameaças emergentes. A maior parte das organizações pesquisadas não tem um comitê para responder a eventos relacionados a essas questões — iminentes ou já materializadas — e, entre as empresas que formaram esse comitê, a grande maioria não realizou treinamentos para que seus membros possam responder adequadamente a esses riscos.

Desafio é fortalecer a gestão

De acordo com o estudo, o desafio que se coloca atualmente é o de fortalecer a gestão dos riscos estratégicos e cibernéticos. Do total de respondentes, 83% indicaram que os riscos desse tipo são geridos com grau moderado ou baixo em sua organização. Praticamente metade (46%) dos respondentes indicaram estar nos estágios mais básicos na gestão de riscos de sua organização. Somente 2% afirmaram que essa gestão se encontra em um estágio definido, com uma prática consistente, definida e monitorada de maneira centralizada em pelo menos algum processo. E apenas 26% responderam estar nos níveis mais avançados.

No que diz respeito à detecção e resolução dos riscos, praticamente metade dos executivos participantes do estudo mensuram os seus riscos a cada ano e, pouco menos de um terço, realiza essa análise a cada seis meses. A comunicação desses riscos e o treinamento de pessoas para lidar com as ameaças também são fundamentais e ainda estão relegados a segundo plano. Para ambos, a adesão dos respondentes foi menor do que 30%.

Atenção maior está em conduta ética e fraude

Os riscos operacionais de conduta antiética e fraude são os mais gerenciados pelas organizações, seguidos dos riscos de aderência a regras da empresa. Entre os riscos financeiros, os mais regulados são os relacionados ao fluxo de caixa e à integridade das demonstrações financeiras, o que revela a preocupação das empresas não apenas com os resultados, mas também com o compliance dos aspectos fiscais.

“Percebe-se uma evolução na gestão de riscos em função dos fatos recentes ocorridos tanto no ambiente de negócios do Brasil, quanto no global. Crises financeiras, perdas operacionais e mudanças regulamentares — tais como a Lei Anticorrupção brasileira — fizeram com que as organizações se estruturassem para atender a esses fatores”, explica Borges, da Deloitte.

As reformas que têm sido propostas e regulamentadas pelo poder público, embora ainda estejam em diferentes graus de discussão e implementação, demandaram prontidão das empresas para lidarem com os riscos relacionados aos aspectos trabalhistas e tributários. As ameaças de corrupção estão também entre os riscos regulatórios mais geridos — um indicador de como as organizações estão respondendo aos grandes eventos de crises que impactaram o ambiente de negócios.

Adequação à LGPD

A adequação à Lei Geral de Proteção de Dados Pessoais (LGPD), por exemplo, representa um desafio de médio prazo para quase 80% das empresas pesquisadas, seguida de gestão de terceiros, com 70%, disruptura tecnológica (66%), talentos (58%) e integridade de informações (57%).

E, por fim, os maiores desafios apontados na implementação de um processo de gestão de riscos eficaz foram os seguintes:

1) Cultura da organização;
2) Falta de prioridade da administração
3) Criação de uma metodologia eficiente de gestão de riscos
4) Custos e restrições orçamentárias
5) Falta de integração entre as áreas de riscos, controles, compliance e auditoria interna

Nesse sentido, é visível que temos desafios ainda, mas a percepção de que o mercado brasileiro tem procurado evoluir em suas estruturas de controles, governança corporativa e gestão de riscos como uma resposta às transformações regulatórias e aos eventos de crises que impactaram todo o ambiente de negócios.

Metodologia e amostra

Participaram do estudo 165 executivos — entre esses, 44% pertencem ao nível de diretoria, presidência ou conselho de sua organização. Metade das empresas pesquisadas tem faturamento maior do que R$ 1 bilhão, e quase um terço movimenta ações em Bolsa de Valores ou Mercado de Balcão.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest