Antecipar os desafios

por Frederico Macias – ASSOCIATE PARTNER, RISK ADVISORY DA DELOITTE

Nos últimos anos temos assistido de forma mais acentuada a um crescimento dos ecossistemas de negócios e das relações interempresariais, o que se traduz numa crescente dependência que as entidades têm de terceiros. Nada de novo. O facto que mais preocupação causa é o que revela um estudo global realizado pela Deloitte: 70% das empresas inquiridas reconhece que não tem a capacidade adequada para gerir o consequente aumento de risco que esta dependência representa.

A gestão do risco alargada ao ecossistema de terceiros que envolvem uma empresa, à qual chamamos “Extended Enterprise Risk Management (EERM)”, foca não só a antecipação e gestão da exposição de todas as operações da empresa a terceiros, mas também a optimização do valor entregue pelo ecossistema de terceiros. No entanto, e apesar dos desafios crescentes, esta área não tem progredido ao ritmo esperado, conforme indica o estudo, no qual também traçamos um retrato das causas e consequências desta aparente falta de preparação das organizações e dos riscos que essa posição pode representar.

Apesar dos níveis críticos de dependência de terceiros, apenas 20% das organizações refere ter optimizado os seus sistemas e processos de gestão de risco. Uma percentagem baixa, com a maioria a acreditar que o plano traçado para alcançar a maturidade nesta área vai demorar no mínimo dois a três anos. Esta caminhada será significativamente mais longa do que o previsto nos estudos anteriores, onde as organizações indicavam poder concluí-la entre seis meses a um ano. Esta nova previsão parece mais realista, esperando-se também que as empresas alinhem neste plano, em conformidade com os muitos e novos desafios regulatórios que se antevêem neste período.

Enquanto os principais objectivos da gestão de risco se centram na sua mitigação, é nosso entendimento que também deve existir um foco crescente na criação de valor. A implementação do Regulamento Geral de Protecção de Dados é um óptimo exemplo deste aspecto: as empresas que se adaptam, numa óptica de valor e não apenas na óptica da gestão do risco de incumprimento regulatório, fazem-no muito mais facilmente e com muito melhores resultados. O argumento para o investimento em gestão de risco está a ser impulsionado por outros factores que exploram o lado positivo do risco, tais como a melhoria da capacidade de resposta e da flexibilidade organizacional, a inovação, a confiança na marca e no que isso se traduz em receitas.

Esta é uma mudança significativa face ao passado, em que o foco esteve quase exclusivamente na gestão do lado negativo do risco. As organizações podem e devem agora levar este conceito a novos níveis de dependência crítica, de forma a tirar partido de oportunidades que não estão a ser exploradas e a potenciar o desempenho organizacional.

Há um longo trabalho a fazer para que as organizações se tornem totalmente integradas e optimizadas relativamente às suas capacidades de gestão de risco. Além do aumento da maturidade e da renovação do argumento de investimento, existem outras quatro áreas-chave, nas quais entendemos que as organizações se devem focar para alcançar os resultados anteriormente descritos:

CONTROLO CENTRALIZADO

Um número cada vez maior de organizações está a adoptar uma supervisão e gestão de risco centralizada para acelerar a consciencialização e a eficiência do risco por toda a organização. Cerca de 55% das empresas continuam a seguir uma tendência descentralizada (ainda assim uma melhoria face aos 62% verificados no estudo do ano anterior), o que indica um movimento de centralização das actividades de controlo. Deste grupo de 55%, cerca de 53% afirmam ter já adoptado frameworks de EERM que suportam as suas estruturas de controlo centralizado.

PLATAFORMAS TECNOLÓGICAS

Ao manter-se a tendência de maior supervisão centralizada das actividades de EERM, as decisões relacionadas com tecnologia estão agora a ser tomadas de uma forma mais central, fazendo emergir uma arquitectura padrão de tecnologia assente em tiers transversais à organização. Menos de 10% dos entrevistados usam actualmente sistemas à medida para EERM, uma queda acentuada face ao ano anterior, onde foram registados 20%. A crescente e diversificada oferta de tecnologias cloud para esta componente contribui também para um número significativo de organizações que planeiam a utilização de tecnologias cloud padronizadas para EERM (cerca de 46%). Um número também interessante revela que pondera utilizar a muito curto prazo Automatização Robótica de Processos (Robotic Process Automation) para tarefas rotineiras de EERM em toda a organização (31%).

RISCO DE SUBCONTRATAÇÃO

As organizações têm uma elevada dificuldade em controlar o trabalho dos sub-contratados (quarto e quinto níveis) envolvidos pelos terceiros, com quem lidam directamente. E esta dificuldade aumenta exponencialmente com o número de níveis de subcontratação que vão sendo adicionados ao longo da cadeia de negócio. Aproximadamente 57% dos inquiridos consideram não ter o conhecimento e a visibilidade adequados sobre os subcontratados envolvidos pelos seus terceiros e 21% têm dúvidas relativamente às respectivas práticas de supervisão. Apenas 2% dos inquiridos identificam e controlam regularmente os seus subcontratados (quarto e quinto níveis), enquanto 10% só o fazem para os subcontratados identificados como críticos. A regulamentação continuará a ser cada vez mais incisiva no controlo dos graus seguintes na cadeia de negócio, de forma a controlar as “ondas de choque” que o risco no final da cadeia provoca a montante. As organizações podem e devem ser cada vez mais exigentes e rigorosas na adopção de mecanismos de controlo das práticas adoptadas pelos terceiros que subcontratam.

ORGANIZACIONAIS E RESPONSABILIDADE

A responsabilidade em termos de EERM parece estar bem estabelecida na linha C-Level, com 78% das organizações a sugerir que o CEO e CFO ou um membro do Conselho de Administração são, em última instância, responsáveis por este tema. No entanto, acreditam que há espaço para um maior envolvimento nesta questão, tanto por parte dos membros do Conselho de Administração como dos responsáveis pelas áreas de risco. As qualificações, a capacidade de trabalho e a competência do talento envolvidos em actividades de EERM parecem ser a principal preocupação dos entrevistados (45%), seguidos pela clareza das funções e responsabilidades dos processos EERM (41% em ambos os casos). Cerca de 40% das empresas deram prioridade à necessidade de estabelecer uma melhor coordenação entre os responsáveis pelas componentes de risco, os líderes de unidades de negócio, os responsáveis operacionais e as equipas de auditoria interna e jurídica, como o seu principal imperativo organizacional relacionado com a EERM.

Sendo claro que há um largo caminho a percorrer nesta componente do controlo de risco, fica também patente que, se existir também uma visão focada no valor e não apenas no risco em si mesmo, a evidência do retorno do investimento nesta área facilitará, e muito, a adopção dos mecanismos aqui descritos. Os resultados aparecerão mais depressa do que possamos pensar.

Artigo publicado na revista Risco n.º 9 de Verão de 2018.

Artigos relacionados
Comentários