O provérbio lançado como título deste artigo é apropriado para emblemar um assunto que permeia o ambiente empresarial: a Gestão de Riscos. Os administradores precisam, em primeiro lugar, conscientizar-se de que os riscos existem, para depois identificá-los, mensurá-los e, em seguida, agir para reduzi-los. Gerenciar riscos é condição sine qua non para assegurar minimamente a perpetuidade das empresas.
Mas afinal, o que são riscos? O termo ‘risco’ deriva do italiano ‘risicare’ que significa ‘ousar’ (to dare, na língua inglesa). Risco é o efeito da incerteza, que pode impedir ou dificultar a consecução dos objetivos de uma organização. Invariavelmente, todas as empresas estão suscetíveis a riscos, os quais podem mudar em função do porte e do segmento de negócio em que elas atuam.
Os riscos evoluíram em gênero, número e grau de impacto com o advento do sistema capitalista e da globalização. Esta dupla obriga os administradores a ‘ousar’ mais, visando a manutenção da competitividade de suas empresas. Neste contexto, é fundamental ousar com prudência, afinal, como disse Frederico, o Grande: “é perdoável ser derrotado, mas nunca surpreendido”.
É importante distinguir ‘risco’ de ‘perigo’. Risco é uma hipótese de perda, inclusive a perda de uma oportunidade. Perigo é a efetivação do risco. A possibilidade de um empresário fazer um investimento equivocado é um risco; a realização deste investimento é um perigo. Morar numa região propensa a terremotos é um risco; a ocorrência desse abalo sísmico é um perigo.
Quanto à tipificação, os estudiosos do tema ainda divergem. A Pricewaterhousecoopers, gigante mundial do ramo de auditoria e consultoria, dividiu os riscos em 04 famílias: estratégicos, de conformidade, financeiros e operacionais. Independentemente do tipo, é consenso que a efetivação de qualquer risco culmina em prejuízos financeiros para as empresas.
São mecanismos que ajudam os administradores a gerenciar os riscos: o Plano de Continuidade dos Negócios, o Plano de Gestão de Crises, o Plano de Governança Corporativa, o conjunto de normas e políticas internas e seu Plano de Aderência (compliance), o Planejamento Estratégico, a Matriz de Riscos, o Sistema de Controle Interno, o Código de Ética, a Auditoria Interna, etc.
E qual é o papel da Auditoria Interna neste contexto? Validar ciclicamente o Plano de Gestão de Riscos, com o objetivo de atestar que está ativo e atendendo as expectativas da administração, depois que esta identificou, mensurou e adotou métodos para estancar os riscos, conforme orienta a ISO 31.000/2009. Essa é a nova roupagem da Auditoria Interna, a Auditoria Baseada em Riscos - ABR.
A ABR tem como foco os riscos do negócio, a Auditoria Convencional - AC, por outro lado, se concentra nos controles internos. Enquanto a AC tem caráter reativo e corretivo, fornecendo recomendações com base no que vê pelo espelho retrovisor, a ABR é preventiva e pró-ativa, alertando os administradores sobre a possibilidade de cristalização de algum risco, permitindo assim ações tempestivas.
Antes de desenvolver o Plano de Gestão de Riscos a administração deve definir se sua posição frente eles é de ousadia ou moderação. Essa posição é chamada de “apetite a riscos”, ou seja, o quanto deles ela consegue digerir, pois uma dose mal dimensionada pode transformar em veneno o que foi receitado como remédio. É por isso que “risco não se corre, risco se mede”.
Mas afinal, o que são riscos? O termo ‘risco’ deriva do italiano ‘risicare’ que significa ‘ousar’ (to dare, na língua inglesa). Risco é o efeito da incerteza, que pode impedir ou dificultar a consecução dos objetivos de uma organização. Invariavelmente, todas as empresas estão suscetíveis a riscos, os quais podem mudar em função do porte e do segmento de negócio em que elas atuam.
Os riscos evoluíram em gênero, número e grau de impacto com o advento do sistema capitalista e da globalização. Esta dupla obriga os administradores a ‘ousar’ mais, visando a manutenção da competitividade de suas empresas. Neste contexto, é fundamental ousar com prudência, afinal, como disse Frederico, o Grande: “é perdoável ser derrotado, mas nunca surpreendido”.
É importante distinguir ‘risco’ de ‘perigo’. Risco é uma hipótese de perda, inclusive a perda de uma oportunidade. Perigo é a efetivação do risco. A possibilidade de um empresário fazer um investimento equivocado é um risco; a realização deste investimento é um perigo. Morar numa região propensa a terremotos é um risco; a ocorrência desse abalo sísmico é um perigo.
Quanto à tipificação, os estudiosos do tema ainda divergem. A Pricewaterhousecoopers, gigante mundial do ramo de auditoria e consultoria, dividiu os riscos em 04 famílias: estratégicos, de conformidade, financeiros e operacionais. Independentemente do tipo, é consenso que a efetivação de qualquer risco culmina em prejuízos financeiros para as empresas.
São mecanismos que ajudam os administradores a gerenciar os riscos: o Plano de Continuidade dos Negócios, o Plano de Gestão de Crises, o Plano de Governança Corporativa, o conjunto de normas e políticas internas e seu Plano de Aderência (compliance), o Planejamento Estratégico, a Matriz de Riscos, o Sistema de Controle Interno, o Código de Ética, a Auditoria Interna, etc.
E qual é o papel da Auditoria Interna neste contexto? Validar ciclicamente o Plano de Gestão de Riscos, com o objetivo de atestar que está ativo e atendendo as expectativas da administração, depois que esta identificou, mensurou e adotou métodos para estancar os riscos, conforme orienta a ISO 31.000/2009. Essa é a nova roupagem da Auditoria Interna, a Auditoria Baseada em Riscos - ABR.
A ABR tem como foco os riscos do negócio, a Auditoria Convencional - AC, por outro lado, se concentra nos controles internos. Enquanto a AC tem caráter reativo e corretivo, fornecendo recomendações com base no que vê pelo espelho retrovisor, a ABR é preventiva e pró-ativa, alertando os administradores sobre a possibilidade de cristalização de algum risco, permitindo assim ações tempestivas.
Antes de desenvolver o Plano de Gestão de Riscos a administração deve definir se sua posição frente eles é de ousadia ou moderação. Essa posição é chamada de “apetite a riscos”, ou seja, o quanto deles ela consegue digerir, pois uma dose mal dimensionada pode transformar em veneno o que foi receitado como remédio. É por isso que “risco não se corre, risco se mede”.