ERM é a abreviação do inglês, enterprise risk management, e significa gerenciamento de risco empresarial. Seu papel é fundamental para identificar, prevenir e gerenciar riscos potenciais que possam impactar os negócios e influenciar os resultados de uma empresa, garantindo a sua sustentabilidade.
O ERM nasceu a partir do COSO (Committee of Sponsoring Organizations of the Treadway Commission), Comitê das Organizações Patrocinadoras da Comissão Treadway, uma organização privada criada nos Estados Unidos da América em 1985, com o propósito de prevenir e evitar fraudes nos procedimentos e processos empresariais. O COSO foi inicialmente criado como Comissão Nacional sobre Fraudes em Relatórios Financeiros (National Commission on Fraudulent Financial Reporting), e acabou criando uma estrutura de gerenciamento de riscos empresariais em 1992.
Além disso, as recomendações do COSO para o estabelecimento de controles internos são amplamente praticadas e seguidas como um exemplo de excelência em todo o planeta. Um dos ícones criado pelo Comitê é o seu famoso cubo, ilustrado abaixo:
Imaginar que um relatório resultante da implementação de ERM em uma empresa possa ser utilizado da mesma forma em outra empresa é uma ilusão, uma vez que os resultados podem ser ineficazes. Isso ocorre pois os riscos se modificam de acordo com o ambiente de negócios e a infraestrutura da empresa. Logo, quanto mais diverso o negócio, mais diversos serão os riscos identificados. Entretanto, ainda que as empresas sejam do mesmo ramo de negócio, sua matriz de riscos certamente irá divergir em vários aspectos, considerando suas diferenças.
A concepção de um projeto de ERM abarca toda a empresa, contando com a responsabilidade e dedicação de cada gestor e cada colaborador para que o resultado possa ser bem-sucedido. Sua revisão em períodos pré-determinados é igualmente importante, de forma a atender mudanças na matriz de riscos, necessárias para se adaptar a alterações no ambiente de negócios ou na sua infraestrutura.
Não obstante, a indagação que paira no ar é como implementar um projeto de ERM em uma organização. Nada mais adequado do que seguir os passos abaixo:
PASSOS PARA IMPLEMENTAR O ERM EM UMA EMPRESA
1. Crie um time (task force) específico para o projeto.
2. Defina o significado do que seria considerado risco para o negócio da empresa.
3. Classifique o seu risco.
4. Comece a elaborar o seu plano de ação e o seu plano de remediação, estabelecendo um cronograma de implementação e definindo responsabilidades.
5. Comunique a empresa de forma clara o resultado do projeto, encorajando o engajamento de todos seguindo a ordem de prioridades previamente definida.
6. Monitore o andamento da implementação com reuniões periódicas, de forma a corrigir desvios, remediar atrasos e garantir a consecução dos resultados.
7. Revise periodicamente o seu projeto de ERM, a fim de adequá-lo às mudanças do negócio.
Nos passos descritos acima existem alguns fatores críticos de sucesso que, se não forem cuidadosamente observados pelos responsáveis pela implementação do ERM, poderão pôr em xeque todo o trabalho. Faço referência especialmente à identificação do significado do que seria considerado risco para a empresa. Como exemplo, cito empresas exportadoras ou importadoras de bens que podem ser severamente atingidas por uma macro desvalorização cambial; ao passo que outras empresas, até mesmo do ramo, poderiam não sê-lo, ao terem acordado contratos de hedge para fixação do preço em operações futuras, independentemente da variação cambial. Logo, o significado de risco para uma determinada empresa necessita ser obrigatoriamente customizado para a sua realidade.
Os planos de ação e de remediação devem levar em consideração premissas importantes como a identificação de riscos potenciais, a avaliação de tais riscos frente ao negócio da empresa, o gerenciamento de incidentes ou emergências ou mesmo desastres, a mitigação de danos, a recuperação do negócio diante do problema identificado e os relatórios que deverão ser elaborados ao lidar com a existência de tais riscos. Por outro lado, um cronograma de implementação e a definição de responsabilidades são cruciais para o sucesso de um plano de ação e de remediação, pois, do contrário, o projeto pode acabar sofrendo atrasos consideráveis e injustificados, se tornando órfão sem que haja um ou mais responsáveis por determinadas tarefas ou atividades lá estabelecidas.
