O tema que trago à comunidade de Compliance foi apresentado no 7o Congresso Internacional de Compliance, promovido pela Legal, Ethics and Compliance (LEC). Tratam-se dos denominados “Indicadores Chave de Crise” (KCI’s – Key Crisis Indicators), que buscam quebrar alguns paradigmas da gestão de riscos, dentre eles, o de que o plano de continuidade do negócio, em se tratando de gestão de crises, deve ser estabelecido sobre os níveis de risco mais extremos (após a devida priorização) e permitir que os riscos do negócio, em especial, os seus impactos, norteiem o Plano de Continuidade do Negócio da Organização.
Há tempos entendemos que é necessário o estabelecimento mínimo de dois pilares sobre as ações de Compliance: uma gestão de riscos congruente e sólida a parametrizar as várias incertezas do negócio e, não menos importante, uma medição objetiva da atuação do compliance, com a criação de indicadores chave de performance (KPI’s) que permitam, tanto sob o aspecto quantitativo, quanto qualitativo, a determinação e a comprovação da efetividade do Programa de Integridade.
Esses dois parâmetros, sem dúvida, devem estar presentes em todo e qualquer programa de compliance que se pretenda, minimamente, adequado. Contudo, alguns “gaps” de análise eram – até o advento dos KCI’s – inobservados pelas áreas de Compliance, o que gerava um grande número de conflitos como, por exemplo, explicar o motivo de não se ter estabelecido um Plano de Continuidade do Negócio em um evento de risco com baixa probabilidade de ocorrência e de impacto muito alto (considerando uma matriz de risco 5×5, como veremos).
Ora, a resposta parece óbvia: não há plano de continuidade do negócio nestes casos, pois os níveis de risco para a hipótese anterior determinam uma classificação em baixo nível, ou seja, no âmbito da matriz de risco e de sua priorização estes riscos apenas seriam “atacados” ou analisados e programados, quando dos controles exercidos sobre níveis mais baixos de risco; controles esses que, obviamente, não correspondem à imediata e constante análise sobre os riscos extremos. É comum que o Plano de Continuidade do Negócio (PCN) seja estabelecido sobre os níveis de riscos mais altos e não sobre os mais baixos.
Aqui é que está o grande “gap” de compliance na gestão de crises corporativas: alguns dos maiores riscos de uma empresa não estão nos níveis extremos de priorização, ao contrário, estão em uma escala mediana ou baixa após a análise no diagrama de cálculo de risco, e foi justamente isso que me motivou a escrever sobre o tema.
Para que se tenha o tema de maneira mais clara, vou tentar esclarecer a teoria de maneira didática e visual, o que não é tarefa simples quando se trata de um texto e não de uma palestra, como quando da apresentação inaugural do título deste artigo.
O Brasil é, naturalmente, o país do risco. E, em consequência, o país onde potencialmente há uma grande probabilidade de graves crises. O risco é – como sabemos – um evento futuro vinculado a uma incerteza. Em linhas gerais, tratar de gestão de risco é tratar do gerenciamento das incertezas do negócio. Quanto melhor for a minha capacidade de gestão das incertezas, menos exposto ao risco meu negócio estará.
Isso é muito bem representado no “problema da agência”, que é um dos maiores vetores das relações público-privadas e também entre privados em nosso país, pois a assimetria de informação, gerada pela ausência de gestão dos riscos corporativos nos negócios travados entre as partes, como regra, conduz ao conflito de interesses; conflitos esses que desencadeiam longas discussões judiciais ou embates arbitrais, cuja solução nem sempre agrada a ambas as partes.
É neste ponto que se justifica um programa de integridade com gestão de riscos efetiva, pois reduzir a assimetria de informação do negócio estruturado entre as partes é o primeiro passo para o sucesso da relação empresarial.
Parece simples, porém, uma boa gestão de risco deve, além de permitir uma preparação – e até mesmo uma maior previsibilidade – para os vários eventos futuros e incertos que possam advir das inúmeras categorias de incertezas mapeadas, também deve permitir o estabelecimento de um plano de continuidade do negócio efetivo, quando um desses eventos desencadear uma crise. E é aqui que têm fundamento os denominados KCI’s.
Ora, todos reconhecemos que o gerenciamento de risco possui, em sua primeira etapa, a necessidade de identificação clara e objetiva dos eventos, sob pena de se realizar uma estrutura para o gerenciamento de risco fundada em falsas incertezas ou situações concretas que não representam realidade vinculada ao risco.
É em razão disso que, nesta fase, o registro do risco (também chamado de mapa de risco) é fundamental para o perfeito enquadramento das situações que serão enfrentadas como incertezas capazes de potencializar o risco do negócio.
Em minha opinião, um bom registro de risco deve possuir no mínimo os seguintes critérios:
a) evento: que representa a incerteza imaginada e que, caso concretizada, poderá impactar negativamente o negócio;
b) causa: que é decorrência lógica do próprio evento de risco, ou seja, um evento de risco possuirá obrigatoriamente uma ou mais causas;
c) consequência: que determina quais os vários resultados que da concretização do evento podem advir;
d) sobre esses núcleos anteriores (causa e consequência), serão objetivadas as ações ou controles preventivos (sobre as causas) e de contingência (sobre as consequências);
e) note-se ainda, que para a avaliação da probabilidade e do impacto a ser lançado no registro de risco, tomar-se-á como base para mensuração da probabilidade do evento, a causa e, para a mensuração do impacto da possível materialização da incerteza, a consequência. Com isso, teremos bem definido o registro do risco, sem olvidar, obviamente, que outros critérios poderiam ser agregados como, por exemplo, responsáveis, categorias de riscos dentre outros.
Importante apenas registrar, para ser fiel à melhor técnica, que o recorte feito neste artigo não permite tecer maiores considerações sobre a análise de risco como oportunidade ou, ainda, sobre as fontes e vulnerabilidades que poderiam incidir sobre as mais variadas causas. É dizer, para a objetividade que se pretende com esse texto, tais temas não farão parte da abordagem.
Evoluindo no registro apresentado, para exemplificar, teríamos, em um registro de risco do caso Brumadinho-MG, o seguinte:
Neste exemplo, fica bastante evidente quais seriam os critérios de registro apontados anteriormente, bem como, que o plano de continuidade do negócio estaria vinculado ao nível de impacto e não à medição de probabilidade, ou seja, não estaria vinculado aos parâmetros de priorização da matriz, mas sim, aos níveis de impacto apontados nos eventos registrados. Vejamos.
No quadro acima fica claro que alguns níveis com impacto alto e muito alto, após serem priorizados na matriz, ocupam posição de níveis de risco altos e médios (parcela sinalizada em laranja e amarelo na matriz), ou seja, se no apetite de risco da empresa, os níveis de análise do Plano de Continuidade do Negócio sobre uma possível crise estivessem vinculados aos níveis de risco considerados extremos (parcela sinalizada em vermelho na matriz), por exemplo, deixaríamos de considerar para fins de planejamento os impactos altos e muito altos com níveis de riscos na parcela laranja e amarela, o que, obviamente, colocaria o negócio da Companhia em risco e sem previsibilidade mínima para uma eventual crise.
Veja que existem níveis extremos cuja probabilidade é muito alta, mas o impacto é médio; sobre esses, o PCN não se faz relevante, não ao menos em uma análise de priorização diante de possível escassez de recursos e tempo nas empresas.
É neste sentido que afirmo que o estabelecimento do Plano de Continuidade do Negócio para a análise de ativação de crise deve ser determinado pelo impacto causado no negócio e não necessariamente por sua probabilidade. Com base nisso, portanto, devem ser estabelecidos os KCI’s (indicadores chave de crise).
É o que se demonstra no quadro abaixo:
Quero exemplificar analisando a situação trazida no KCI intermediário, que trata da categoria “risco estratégico”, evento de risco “ausência de planejamento sucessório”.
Imagine a seguinte hipótese:
a) Empresa Familiar com mais de 50 anos de atuação no mercado;
b) Matriarca detentora da maioria do capital social e Presidente da empresa;
c) 03 filhos, cada um em posições diversas como Diretores da Empresa;
d) Cada um desses filhos casados, com suas respetivas esposas e esposos exercendo atividade na Companhia;
e) faturamento anual de aproximadamente 80 milhões de reais;
f) Algumas informações relevantes sobre a matriarca: 60 anos; desloca-se normalmente de casa para o trabalho em cidade do interior que não oferece graves riscos para segurança e integridade física das pessoas; psicologicamente estável com realização de terapia e yoga semanal; saúde em perfeito estado sem nenhuma doença pretérita preocupante e sem se utilizar de nenhum medicamento de uso contínuo; e mantém atividades físicas regulares.
Neste caso, veja que em uma análise de probabilidade para preenchimento do registro de risco para fins de reenquadramento do risco na matriz de acordo com a Política de Gerenciamento de Riscos da empresa, seguramente diante do evento “ausência de planejamento sucessório”, para aquele ano específico, a probabilidade de alguma causa impactar negativamente no evento “ausência de planejamento sucessório” possuiria níveis muito baixos, baixos ou médios. Diante do cenário apresentado, dificilmente a probabilidade estaria alocada como alta ou muito alta, o que, como regra, não conduziria a níveis de riscos extremos.
Ocorre que, diante de uma situação imprevisível, que leve aquela matriarca a, por exemplo, um internamento de urgência em razão de fato grave ou até mesmo a morte, não estaria esta empresa preparada a dar continuidade ao negócio diante da ausência, temporária ou não, daquela que até então conduzia a empresa.
É em razão disso que o gerenciamento de uma possível crise, para o estabelecimento do Plano de Continuidade do Negócio, deve ser estabelecido sobre a análise de impacto realizada e não sobre o cruzamento de “probabilidade x impacto” após priorizado na matriz, sob pena de não atender circunstâncias que eu diria comezinhas, como são as do exemplo.
Nos próximos textos do blog, trataremos dos níveis de ativação de crise e de outros KCI’s. Espero que tenham gostado do que propusemos como Indicadores Chaves de Crise, nesta nova análise proposta.