- Um mecanismo para assegurar a liderança, os gerentes de negócios e outras partes interessadas tomem decisões informadas sobre os riscos e cumpram os deveres de supervisão
- O que é um relatório de risco e por que é importante?
- Dicas gerais de relatórios de risco
- 4 Público dos relatórios de risco – O que os relatórios devem incluir
- Em conclusão…
Um mecanismo para assegurar a liderança, os gerentes de negócios e outras partes interessadas tomem decisões informadas sobre os riscos e cumpram os deveres de supervisão
No final do dia, o processo ERM deve ser considerado como um ciclo ou loop de feedback…ou seja, nunca há um ponto final definitivo.
É como as quatro estações do ano – nunca há um ponto final, apenas um loop contínuo ao longo do ano. O outono se move para o inverno, inverno para a primavera, primavera para o verão, de volta para o outono, e o ciclo continua como tem feito para eons.
Discuti outros pontos ao longo do ciclo do ERM como identificação, avaliação e análise de risco, além do desenvolvimento do processo, em artigos anteriores.
Neste artigo, vou mergulhar no último ponto deste loop ou ciclo – relatório de risco.
Antes de ir mais longe, quero explicar que esta cartilha não vai necessariamente entrar na forma como você deve preparar relatórios de risco na sua organização. Como você verá nas próximas seções, há muitos fatores específicos da organização e individuais que entram em um relatório de risco eficaz.
Embora haja alguns exemplos abaixo, este artigo focalizará elementos de um relatório de risco sólido e considerações baseadas em para quem o(s) seu(s) relatório(s) é(são) destinado(s).
Sem mais delongas, quero começar fornecendo uma definição…
O que é um relatório de risco e por que é importante?
Desde que o relatório de risco pode variar muito de uma organização para outra, uma definição exata é difícil de ser definida. Entretanto, o COSO ERM Framework (2017) diz isso sobre relatórios de risco:
Relatórios dão suporte ao pessoal em todos os níveis para entender as relações entre risco, cultura e desempenho e para melhorar a tomada de decisões no estabelecimento de estratégias e objetivos, governança e operações do dia-a-dia.
E como Norman Marks explica em seu livro World-Class Risk Management (…uma fonte à qual me referirei mais neste artigo), a gestão de riscos deve ser uma parte essencial da gestão e tomada de decisões do dia-a-dia de uma organização. No entanto, é importante que a administração e o conselho “façam um balanço” de vez em quando. Dessa forma, o Conselho e a alta administração sabem que a organização está no caminho certo para atingir seus objetivos.
Além de fazer um balanço, o relato de riscos também é importante do ponto de vista jurídico. Em tempos passados, um Conselho não tinha necessariamente que saber sobre um risco, mas hoje, os Conselhos não podem afirmar que simplesmente não tinham consciência de um risco que acabou se tornando um grande problema. Os membros do Conselho têm a obrigação de compreender os riscos enfrentados por uma organização e assegurar que a administração esteja tratando-os da maneira apropriada.
Embora a importância dos relatórios de risco, o nível de satisfação com “…a natureza e a extensão dos relatórios internos dos principais indicadores de risco que podem ser úteis para o monitoramento dos riscos emergentes pelos executivos seniores” é bastante baixo, de acordo com o relatório State of Risk Oversight de 2018 da NC State University. Mais de 40% dos entrevistados afirmam estar “nada” ou “minimamente” satisfeitos com a qualidade dos relatórios que recebem do seu pessoal de risco.
Porquê?
Duas razões principais (não se preocupe – discutirei estas em mais detalhes mais tarde):
1. O relatório não fala ao público certo.
Por não compreender os antecedentes dos destinatários pretendidos ou o seu conhecimento do ERM, os relatórios de risco são esmagadores (demasiado detalhados) ou tão elevados que não fornecem qualquer informação real.
2. O relatório é um exercício de documentação sem quaisquer conhecimentos.
Um relatório que simplesmente fornece uma lista de riscos sem quaisquer conhecimentos e perspectivas em tempo real sobre o alcance de objectivos críticos significa essencialmente que o relatório de risco é um quadro bonito que documenta o que as pessoas já sabem. Listas de riscos também estão desatualizadas rapidamente, uma vez que cada decisão modifica riscos existentes ou cria novos riscos.
Um relatório de riscos que simplesmente lista riscos é uma das várias formas pelas quais o ERM pode cair na temida armadilha do “check-the-box”. Os membros do conselho e os executivos eventualmente começarão a questionar o valor do ERM nesta situação.
Um verdadeiro relatório de risco de valor agregado fornecerá insights e perspectivas em tempo real sobre os riscos aos objetivos. No entanto, ter informação oportuna pode ser um desafio em um cenário formal, portanto seja cauteloso sobre quanto tempo leva para reunir, compilar, analisar e relatar a informação. Organizações com processos ERM mais robustos usam os relatórios de risco como um trampolim para futuras discussões sobre estratégia, mitigação e mais.
Dicas gerais de relatórios de risco
Anteriormente, mencionei brevemente como as necessidades de um relatório de risco irão variar de acordo com o público. No entanto, existem algumas dicas gerais de relatórios de risco para garantir que os seus relatórios de risco sejam acionáveis e fáceis de consumir. Estas dicas incluem:
- Estrutura do relatório – No entanto, você desenvolve relatórios de risco em sua organização, eles devem ser intuitivos antes de tudo. Você não deve ter que ensinar o público a ler e a agir sobre o relatório. Se você o fizer, o relatório é muito complexo e/ou muito confuso. Considere também os antecedentes dos usuários finais – o quanto eles sabem sobre as práticas de gerenciamento de riscos empresariais? Eles têm mais experiência empresarial, técnica ou legal?
- Terminologia de Risco – Uma das razões pelas quais muitas organizações lutam com relatórios de risco tem a ver com a linguagem usada nos relatórios. Como explico aqui, é importante para os profissionais de ERM usar uma linguagem consistente com a empresa, ao invés de termos técnicos que apenas alguns poucos entenderão. A maioria dos usuários de relatórios de risco não compreenderá as nuances da pontuação de risco e outras medidas, portanto isso precisa ser levado em conta.
- Os relatórios precisam ser acionáveis – Uma das queixas comuns dos relatórios de risco é que eles simplesmente fornecem uma lista de riscos sem qualquer análise adicional. Como explicado por Norman Marks, uma lista de riscos é útil na gestão de riscos, mas o que os usuários do relatório precisam, especialmente os tomadores de decisão, é entender o risco e seu impacto sobre os objetivos de forma cumulativa, e não um a um. Pense mais sobre a(s) causa(s) raiz(s) do risco, os efeitos sobre os objetivos do negócio, como é difundido em toda a organização, se há espaço para assumir mais riscos e se há oportunidades para a organização se esse risco ocorrer.
Nota: A agregação de riscos é uma forma avançada de entender como vários riscos afetam cumulativamente os objetivos, mas como a maioria das práticas provavelmente envolve modelagem computadorizada avançada, a agregação de riscos não deve ser uma prioridade até que você tenha pregado o processo de relato de riscos para sua organização.
Estas dicas gerais sobre relato de riscos se aplicam independentemente do público. No final, resume-se à clareza…qualquer texto ou elemento visual nos relatórios de risco tem que ser suficientemente claro para que o usuário os entenda sem ter que pensar muito, e depois ser capaz de tomar decisões rapidamente com base nessas informações.
4 Público dos relatórios de risco – O que os relatórios devem incluir
O fator central em como os relatórios de risco tomam forma depende de quem é o usuário final. Um relatório de risco para um comitê de nível de diretoria será muito diferente de um para um proprietário de risco.
Por exemplo, os relatórios de risco para a diretoria serão mais “grandes” e focados nos riscos para a organização atingir seus objetivos. A estrutura e os detalhes dos relatórios de risco tornar-se-ão gradualmente mais granulares ou focados em riscos específicos, à medida que se desce na escada organizacional. E os relatórios de risco para agências reguladoras têm uma série de considerações separadas dos consumidores internos.
Continue lendo para saber mais sobre esses quatro públicos e o que eles precisam obter de qualquer relatório de risco.
Comitê de Risco de Nível do Conselho e do Conselho de Administração
Em suma, o Conselho ou um comitê de risco de nível do Conselho de Administração precisa de um relatório baseado no desempenho que se concentre em atingir os objetivos. As responsabilidades do conselho ou do comitê de risco a nível do conselho são frequentemente delegadas ao Comitê de Auditoria.
O que o conselho está procurando em um relatório de risco? Garantia de que o CEO e outros gerentes executivos compreendem os riscos para os objetivos e estão tomando as medidas apropriadas para abordar esses riscos.
Porquê? Assegura que o Conselho tem as informações necessárias para compreender os riscos para alcançar os objetivos e cumprir suas responsabilidades de supervisão.
O quê? Este relatório será de alto nível e deverá suscitar mais discussão sobre como proceder, se isso envolve ação(ões) de mitigação ou uma mudança na estratégia.
A maioria das organizações prepara um relatório completo pelo menos anualmente, mas esse prazo significa que as informações precisam ser atualizadas antes deste relatório. (Caso contrário, a informação que tem 6 meses é inútil.)
Respondentes a uma pesquisa do Estado NC tinham um fio condutor comum no que seus relatórios incluíam. A maior parte da informação contida nos relatórios era baseada em texto com elementos gráficos/visuais, tais como gráficos ou mapas de calor desempenhando um papel de apoio. Elementos visuais desempenham um papel no enquadramento de questões críticas e mostrando o nível de exposição aos principais riscos.
Aqui estão alguns exemplos de mapas de calor de um projeto anterior. Embora eu esteja fornecendo este exemplo, há limitações para mapas de calor que eu quero discutir em um futuro post…
A grande maioria dos entrevistados também explica que eles só relatam sobre os 10 a 15 principais riscos para a empresa em suas apresentações em nível de diretoria.
Não posso sublinhar isto o suficiente: estes relatórios para a Direcção devem ser de natureza geral e incluir apenas os principais riscos.
Em alguns casos, a Direcção pode solicitar um acompanhamento ou “mergulho profundo” sobre quaisquer riscos de particular preocupação trimestral ou mesmo mensal, se o risco for suficientemente significativo. Essa responsabilidade realmente recai sobre as funções do negócio na empresa se o risco estiver verdadeiramente embutido em toda a organização. Quando executivos de TI, Marketing, Finanças, Jurídico ou RH estiverem presentes ao Conselho, eles devem estar assumindo a liderança nos relatórios sobre riscos-chave e sua avaliação desses riscos.
Por outro lado, os comitês de risco e/ou de auditoria do Conselho procurarão relatórios completos da equipe de gerenciamento de riscos, uma vez que, em muitos casos, esses são os fóruns onde discussões detalhadas sobre o caminho a seguir ocorrerão. Um comitê como este também estará desempenhando a função de supervisão para a gestão de risco.
Vejamos a Southwest Airlines como exemplo. Os relatórios de risco para o Conselho da Southwest Airlines têm 4 níveis de informação:
- Identificar proactivamente os maiores riscos
- Delinear quaisquer planos de acção para estes riscos (passados, presentes, e futuro)
- Lista de riscos “aceitos” que estão fora do controle da organização
- Definir o impacto que esses grandes riscos podem ter no alcance dos objetivos
Gerência Superior
Executivos como o CEO e outros terão muitos dos mesmos requisitos de relatório de riscos que o Conselho de Administração. No entanto, neste caso, os relatórios terão de entrar em mais detalhes, mas não tanto que os executivos que os lerem ficarão sobrecarregados.
De facto, os executivos confiam na equipa do ERM para verificar os riscos com os proprietários dos riscos e dar-lhes prioridade de acordo com as informações disponíveis. O staff do ERM irá então fornecer aos executivos uma pequena lista de riscos e fornecer orientação sobre as decisões que precisam ser tomadas. Componentes da informação sobre riscos, tais como categoria, impacto/risco, velocidade e quaisquer actividades de mitigação até à data são discutidos nestes relatórios.
Relatórios de risco à gestão de topo também precisam de cobrir mais de 10-15 riscos individuais de topo mencionados acima. Para que a gerência possa cumprir suas responsabilidades, eles devem compreender o nível geral de risco para um objetivo. Tomado um de cada vez, um risco pode não ser um grande negócio, mas quando “agregado” juntos pode apresentar uma enorme bandeira vermelha.
(É importante notar que a verdadeira “agregação” é um tópico muito avançado que não deve ser tentado enquanto ainda se desenvolve um processo ERM em sua organização.)
ERM também pode recomendar passos de ação para mitigar os riscos ou modificar a estratégia com base em observações e conhecimentos gerais.
No final, é responsabilidade da gerência assegurar que controles apropriados e outras atividades relacionadas a riscos estejam em vigor.
Um painel de riscos é uma ferramenta que os executivos em programas de ERM mais maduros usam para obter as informações necessárias para cumprir suas responsabilidades. Criar um painel de risco pode ser feito manualmente usando o Excel (ou uma ferramenta similar), entretanto, este é um uso primário de software de risco. O software ERM, do qual muitas opções estão disponíveis, incluirá indicadores sobre o status dos principais riscos, dependências, impactos, e como eles estão sendo tratados. Com um rápido olhar, o executivo será capaz de ver o dono do risco, juntamente com um gráfico resumido dos principais riscos, outros indicadores-chave de risco e mais.
Ferramentas visuais como um painel de controle, que também podem ser incluídas nos relatórios de nível de diretoria, são uma ótima maneira de seu público compreender rapidamente os dados.
Dashboard de risco exemplo cortesia da NC State University
Uma palavra de cautela, porém – como discutido por Norman Marks, COSO, eu mesmo e outros líderes de pensamento de risco, as organizações devem primeiro focar em estabelecer e refinar seus processos antes de pular para uma solução tecnológica. Uma ferramenta não deve ditar o processo de risco em uma organização. Ao invés disso, uma organização deve estabelecer e refinar seu processo por pelo menos um ano, e depois encontrar uma ferramenta que suporte esse processo. Afinal de contas, o software deve apoiar o gerenciamento mais simplificado dos riscos em toda a organização.
Existe uma outra forma de relatórios. Essa é uma forma “informal” de relatórios. Como são os relatórios informais de riscos? Organizações com um robusto processo ERM que está embutido em toda a organização e tem forte adesão de executivos irão buscar a perspectiva de profissionais de risco. As percepções, opiniões e perspectivas sob demanda da equipe de risco é onde o valor real do ERM pode ser realizado.
Proprietários de Risco
O último público interno para relatórios de risco serão os gerentes médios e outros funcionários da linha de frente que realmente possuem os riscos, ou seja, o(s) indivíduo(s) responsável(eis) pelo monitoramento e implementação de quaisquer ações de mitigação prescritas pela alta administração.
Embora os relatórios em todos os níveis precisem fornecer informações acionáveis, isso é especialmente importante para relatórios aos proprietários de risco.
Estes relatórios também fornecerão o mais alto nível de detalhe em relação ao risco, incluindo os principais indicadores de risco. Os relatórios para os proprietários de risco irão focar em métricas de desempenho, bem como fornecer as informações mais atualizadas sobre a avaliação de todos os riscos sob a responsabilidade do indivíduo. Isso pode parecer esmagador para você no início, mas é sua responsabilidade ser sucinto e preciso nos relatórios. Lembre-se de usar uma combinação de elementos visuais e de texto.
Um exemplo de um bom elemento visual para relatórios de proprietários de risco é um gráfico de radar (disponível em Excel), que compara os resultados da avaliação de risco com níveis de tolerância de risco.
Uma diferença chave é que este relatório é o seguinte: em vez de usar o relatório para desenvolver ou modificar a estratégia, os proprietários de risco usam informações em seus relatórios para planejar e orçar as operações diárias da organização.
Como é o caso dos relatórios de nível de diretoria e altos executivos, o formato terá que ser adaptado ao histórico profissional e ao nível de conhecimento do ERM que o usuário final possui.
Agências Reguladoras
A última audiência de relatórios de risco a mencionar é qualquer agência reguladora relevante que exija que as organizações reportem sobre riscos. As empresas de capital aberto nos EUA são obrigadas pela Securities and Exchange Commission (SEC) a reportar os principais riscos. Outro exemplo de relatório de risco mandatório inclui a Avaliação de Solvência de Risco Próprio (ORSA) para companhias de seguros dos EUA ou o relatório Solvência II na União Européia.
Como um antigo regulador de seguros no meu estado natal da Flórida, posso atestar que qualquer relatório de risco para um regulador deve equilibrar a necessidade da companhia de satisfazer a exigência regulatória e a necessidade do regulador de entender os riscos da companhia. É claro que a companhia de seguros deve divulgar os riscos sem ser muito detalhada, o que pode resultar em um nível mais elevado de escrutínio pelos reguladores.
No momento atual, também não está claro o quão bem os reguladores realmente entendem os riscos da empresa e podem, portanto, digerir informações e fazer perguntas profundas sobre o relatório.
O relatório da SEC, conhecido como 10-k, não procura uma lista de riscos com informações detalhadas de avaliação, mas sim uma narrativa dos grandes riscos para a organização.
Neste caso, é melhor olhar para outros enviando relatórios como este do Walmart para entender o que incluir em um relatório 10-k se sua empresa for obrigada a enviar um.
Em conclusão…
Eu quero reiterar como os relatórios de riscos são realmente específicos para a organização. O conteúdo de um relatório e como ele é formatado depende de uma variedade de fatores, incluindo as necessidades dos usuários, o histórico profissional e o conjunto de habilidades do público e outros fatores específicos de cada indivíduo. Entender isso sobre os usuários dos relatórios de risco é fundamental para garantir que os relatórios mais úteis para facilitar a discussão sobre riscos sejam produzidos.
Não se sinta pressionado a incluir certos elementos, especialmente se a organização não estiver preparada para eles ou se o processo de risco ainda não suportar esses elementos.
E por último, mas não menos importante, você já deve ter adivinhado isso…Os relatórios de risco são muito fluidos. Não pense por um momento que a forma como você prepara relatórios de risco será sempre a mesma.
Só lembre-se que o processo e o formato dos relatórios de risco na sua organização é um processo em constante evolução.
Os relatórios de risco são um tópico bastante aprofundado, mas esta cartilha deve fornecer uma boa base para o que você precisa considerar ao desenvolver relatórios na sua organização.
Os membros do Conselho e os executivos da sua organização acham os relatórios de risco úteis na abordagem dos riscos aos objetivos estratégicos?
Foram eles a orientação que você, como profissional de riscos, precisa fornecer-lhes as informações certas de uma forma que lhes seja útil?
Estou interessado em ouvir seus pensamentos e experiências sobre este importante tópico…simplesmente comente abaixo ou junte-se à conversa no LinkedIn para compartilhar sua perspectiva ou pergunta(s).
E se você está lutando para desenvolver relatórios de risco concisos e acionáveis para sua organização ou uma agência reguladora, visite meu website de consultoria (Soluções Estratégicas de Decisão) para saber mais sobre como eu ajudo as organizações a superar desafios e garantir o sucesso a longo prazo.