Enfoque

FATORES ESG: MENOS GUIAS, MAIS TAXONOMIAS por Antonio EmIlio Freire

Para melhor reconhecer, compreender e tratar os riscos dos fatores ESG, as organizações brasileiras devem aspirar a falar uma linguagem comum que abranja processos de negócios, escalas de classificação de risco e taxonomias para riscos e controles ambientais, sociais e de governança. Mas quais fatores devem ser considerados ao criar essa linguagem e quais etapas específicas são necessárias para criar uma taxonomia de risco ESG em toda a empresa?

Toda empresa precisa de uma estratégia abrangente de gerenciamento de riscos corporativos (ERM ESG) para identificar, avaliar e gerenciar riscos de forma consistente em processos críticos de negócios, em todas as unidades de negócios. 

Mas a verdadeira agregação e integração de risco só pode ser alcançada após o estabelecimento de uma linguagem hierárquica comum de risco e escalas comuns de classificação de risco. De fato, a criação de uma linguagem de risco comum para a organização é fundamental para o desenvolvimento de uma taxonomia de ERM ESG com uma abordagem para definir a granularidade hierárquica de uma taxonomia

A primeira etapa é concordar com as categorias de risco. A taxonomia de risco explica os principais termos e definições que uma empresa usa para descrever seus riscos e cria a linguagem usada para identificação de riscos em processos de negócios de ponta a ponta. Os controles atenuam o impacto ou a probabilidade de um risco e estão vinculados a cada risco para entender os níveis de risco residual. Os riscos residuais refletem os níveis de risco inerente, menos os controles de mitigação.

A segunda etapa no desenvolvimento de uma taxonomia ERM ESG é a colaboração. A aceitação organizacional de uma taxonomia de risco comum pode ser fomentada por meio de um processo colaborativo no qual a organização de gerenciamento de risco solicita aos departamentos sua assistência para nomear e definir a taxonomia. Partes da taxonomia de risco geralmente são criadas por diversas unidades de negócios, que colaboram para trazer conhecimento profundo aos termos e definições. Para refletir aprendizados e mudanças na estratégia de negócios, esses grupos devem estar ativamente envolvidos nas atualizações regulares da taxonomia.

Por exemplo, recursos humanos (RH) podem fornecer nomes e definições de riscos pessoais; o chief information security officer (CISO) pode nomear e definir os riscos digitais da organização; o grupo de instalações corporativas pode auxiliar na nomeação e definição de riscos de segurança física; e o grupo de comunicações/RI pode ajudar com nomes e definições de riscos reputacionais.

Com relação a processos e controles de negócios, todas as unidades funcionais e de negócios devem usar a taxonomia completa de risco dos fatores ESG para identificar riscos em seus processos de negócios críticos de ponta a ponta. Cada departamento deve ser proprietário dos riscos de seus processos de negócios. Um processo de negócios de ponta a ponta é a cadeia de atividades que resulta em um resultado que perfaz os caminhos dos escopos 1 a 4. Os exemplos podem incluir a integração de novos fornecedores, aquisição de novos clientes, origem de novos empréstimos e pagamentos de benefícios a funcionários.

A criação de uma taxonomia para controles é a terceira etapa no desenvolvimento da taxonomia de ERM ESG e é fundamental para calcular os riscos residuais. No terceiro nível, as unidades de negócios normalmente nomeiam os controles reais, com um mapeamento para um nome de controle de nível 2 exclusivo. Atributos de controle - como manual x automatizado ou preventivo x detetive - precisam ser mantidos para os controles de negócios de nível 3. A taxonomia de risco forma a espinha dorsal do ERM ESG e permite entendimentos consistentes entre os diferentes tipos de medição de risco. 

A etapa 4 no processo de desenvolvimento de ERM ESG é colocar a taxonomia de riscos em funcionamento e agora visualizemos de forma prática cada uma dessas aplicações:

• O apetite ao risco geralmente é baseado em categorias de risco de nível 1. Por exemplo, o conselho pode aceitar níveis médios de risco operacional quando o negócio está crescendo rapidamente e novos mercados estão sendo explorados.

• As autoavaliações de controle de risco (RCSAs) permitem a identificação de um espectro completo de riscos corporativos em um processo de negócios de ponta a ponta. Os eventos de risco são capturados em toda a organização e categorizados por tipos de risco de nível 3 ou 4 para permitir a análise dos padrões de perda e suas causas principais.

• A geração de relatórios, por nível, pode garantir a granularidade adequada para cada público do relatório de risco. O conselho e a alta administração podem estar interessados nas discussões resumidas agregadas das categorias de risco de nível 1.

• A varredura do Horizonte envolve o monitoramento de riscos externos (como ameaças cibernéticas), mudanças de requisitos de conformidade e cobertura de mídia social. O planejamento de eventos e cenários de cauda abrange o espectro de riscos corporativos, com foco naqueles que são menos compreendidos ou representam as maiores falhas potenciais percebidas.

• As métricas para monitoramento de apetite de risco de baixo para cima são baseadas na taxonomia ERM e vinculadas às categorias de risco de nível 1 usadas pelo conselho para uma expressão de apetite de risco. O resultado final é que as discussões de negócios sobre riscos dos fatores ESG se tornarão mais simples e simplificadas quando baseadas em uma taxonomia comum.

Mas como desenvolver uma abordagem de classificação de riscos ESG?
Uma taxonomia de risco e escalas de classificação de risco dos fatores ESG são componentes fundamentais do gerenciamento de riscos corporativos. O primeiro dá à empresa a capacidade de identificar todos os seus riscos, enquanto o último permite que diferentes riscos sejam agregados e comparados.

Mas que passos uma empresa deve tomar para desenvolver uma taxonomia de risco clara e abrangente e escalas de classificação de risco consistentes? Onde os riscos quantitativos e qualitativos entram em jogo e como avaliar fatores importantes como probabilidade de risco, impacto, velocidade, contágio e pontuação?

Tudo começa, é claro, com um acordo sobre os riscos críticos para sua organização, uma taxonomia de ERM conterá riscos quantitativos e riscos qualitativos.

Os riscos financeiros por exemplo incluem riscos de mercado, crédito e liquidez, todos mensurados diretamente em termos quantitativos. Por exemplo, o risco de mercado pode ser medido como a sensibilidade de uma carteira a uma mudança nas taxas de juros.

Os riscos qualitativos, por outro lado, são agrupados em categorias de risco não financeiro (por exemplo, operacional, estratégico) e são normalmente caracterizados usando texto descritivo não estruturado. Eles podem ter impactos quantitativos na demonstração de resultados e no balanço patrimonial, bem como impactos qualitativos no sucesso operacional e na reputação. As pontuações de risco permitem que os riscos qualitativos sejam analisados como se fossem quantitativos.

Embora alguns riscos possam trazer vantagens, o risco é frequentemente considerado uma falha potencial. Um risco atual, por exemplo, é visto como uma falha potencial que pode acontecer hoje.

Os riscos internos são falhas potenciais nos negócios, pessoas, processos e sistemas de uma organização. Riscos externos são falhas potenciais em terceiros, clientes ou outras partes interessadas externas. Esses riscos podem vir de reputação e alguns riscos de negócios e estratégicos.

Um risco emergente é uma falha potencial que pode acontecer nos próximos um a dois anos. Um risco estratégico é uma falha potencial no horizonte de tempo de três a cinco anos que geralmente enfraquece um pilar fundamental da existência da organização.

Um risco principal ou prioritário para relatório pode ser qualquer risco escolhido entre os tipos acima que tenha a pontuação de risco mais alta ou seja subjetivamente considerado crítico. Além de um risco com pontuação de alto risco, um exemplo de risco principal pode ser algo extraído das demandas das partes interessadas que se refere a vários riscos subjacentes na taxonomia da organização (por exemplo, negócios, operacional).

Benefícios de escalas consistentes de classificação de riscos ESG
Um benefício crítico de uma abordagem de pontuação de risco consistente é a capacidade de comparar os riscos dentro de um processo de negócios ou entre processos de negócios - ou em toda a empresa. As empresas também podem se beneficiar da capacidade de agregar riscos dentro de um processo ou departamento de negócios - ou em toda a empresa. Por exemplo, a privacidade de dados pode aparecer como um risco de nível médio em vários processos de negócios importantes e agregar-se a um risco crítico para a empresa.

Além disso, os níveis de tolerância ao risco podem ser estabelecidos com base nas pontuações de risco. Níveis que excedem a tolerância de risco designada de uma empresa podem desencadear tratamentos como mitigação, seguro, prevenção ou aceitação.

As classificações de probabilidade e impacto permitem gráficos de mapa de risco para simplificar a comunicação dos principais riscos. Além disso, dentro de um processo ou departamento de negócios, as pontuações de risco podem ter tendências ao longo do tempo para entender os impactos dos investimentos em estratégia, negócios e tratamento de riscos.

As pontuações de risco para riscos qualitativos podem ser baseadas em probabilidade, impacto, velocidade e potencial de contágio. Os riscos podem ser avaliados em termos da probabilidade de materialização de um risco. É comum classificar probabilidades de risco com base em quatro a oito expressões de verossimilhança.

Os impactos de risco podem ser avaliados com base em fatores de impacto quantitativos e qualitativos - ou pontuados subjetivamente como "alto", "médio" ou "baixo". Algumas organizações preferem classificar o impacto de um risco com base em uma combinação de critérios qualitativos e quantitativos que podem ser transformados em uma matriz de materialidade.

Para riscos emergentes e estratégicos, a velocidade do risco é o momento de ocorrência do impacto. Pense na velocidade do risco emergente como uma estimativa do período de tempo em que um risco pode ocorrer. O valor do escalonamento de velocidade é que ele pode ampliar a importância do risco emergente ou estratégico, com base em sua velocidade percebida para se materializar. Os riscos atuais terão um escalador de velocidade de 0.

Um indicador de contágio deve ser aplicado aos casos em que uma falha potencial ocorrendo em uma unidade ou área de uma organização provavelmente terá efeitos significativos em várias áreas da organização. Pense nisso como um risco que tem um impacto em cascata dentro de uma organização. Por exemplo, um risco comercial pode rapidamente se tornar um risco reputacional, e um risco em um processo organizacional em um departamento pode afetar outros departamentos.

Uma pontuação de risco pode ser tão simples quanto Probabilidade x Impacto. Se assumirmos, por exemplo, que o fator de probabilidade é 4 e o fator de impacto é 5, então a pontuação de risco seria 20. Os indicadores de velocidade de risco e contágio podem ser usados como escaladores no cálculo de uma pontuação de risco ou como fatores de ponderação para classificar os riscos com a mesma pontuação geral, colocando aqueles com efeitos de contágio significativos em um risco ponderado mais alto.

Ao usar pontuações de velocidade ou contágio como escalas, uma pontuação de risco ajustada pode ser calculada da seguinte forma: Pontuação de Risco = (Probabilidade + Velocidade + Contágio) * Impacto. Se assumirmos uma classificação de velocidade de 0,5, a pontuação de risco ajustada seria (4 + 0,5) x 5 = 22,5. 

Observe que as fórmulas de pontuação de risco podem se tornar bastante complicadas - com, por exemplo, raízes quadradas e fatores logarítmicos que modificam a sensibilidade da pontuação de risco com base nas mudanças nas entradas de impacto, probabilidade, velocidade, contágio e para obter uma melhor compreensão de seus riscos mais significativos, uma empresa pode criar mapas de calor de risco 5x5 que exibem os principais riscos ESG.

Toda organização deve ter uma abordagem de pontuação de risco que seja melhor para sua maturidade e objetivos de gerenciamento de risco. Para permitir uma comparação ordinal de riscos, uma organização que está apenas começando sua jornada de ERM deve começar identificando suas categorias de risco e atribuindo pontuações subjetivas de risco “alto”, “médio” e “baixo” a cada risco residual.

À medida que os programas ESG de uma organização amadurecem e o gerenciamento de riscos é valorizado por seus recursos de suporte à decisão, uma taxonomia de risco multinível pode ser acompanhada por uma abordagem simples de pontuação de risco baseada em probabilidade e impactos.

Componentes adicionais de uma estrutura de pontuação de risco, como a velocidade de um risco e os efeitos de contágio, podem ser introduzidos ao longo do tempo - à medida que aumenta a maturidade de riscos corporativos de uma organização. 

Princípios de Monitoramento Contínuo 
O monitoramento contínuo envolve entender não apenas os riscos que você está enfrentando agora e aqueles visíveis no horizonte, mas também os riscos além do horizonte. Isso requer reconhecer a velocidade do risco, reconhecer a volatilidade do risco e desenvolver e implantar um mecanismo pelo qual você possa verificar periodicamente e ser alertado sobre os principais riscos. 

A chave é pensar de forma diferente e usar sua visão de 360° de sua organização para desenvolver estratégias que o ajudem simultaneamente a planejar e executar em coordenação e comunicação contínua com funções de primeira e segunda linha e para obter uma visão mais abrangente sobre o fluxo e refluxo do risco, você precisará olhar além — e mais profundamente — em sua organização. Não faltam lugares para procurar. Atribua responsabilidades dentro de sua equipe para monitorar continuamente os indicadores de risco por meio de recursos externos.

Os KRIs são cruciais para o monitoramento contínuo, ajudando as empresas a serem mais proativas na identificação de possíveis impactos. Os KRIs são selecionados e projetados por meio da análise de eventos relacionados a riscos que podem afetar a capacidade da organização de atingir seus objetivos. Normalmente, observando os eventos de risco que impactaram a organização (no passado ou atualmente), é possível trabalhar de trás para frente para identificar a causa raiz ou os eventos intermediários que levaram a eles. Os KRIs devem ser mensuráveis, preditivos, comparáveis ​​e informativos, rastreando métricas e tendências quantificáveis ao longo do tempo para detectar sinais de alerta precoce e medir o status de riscos e controles. 

A auditoria interna também cria um enorme corpo de trabalho que pode ser um excelente indicador de risco. Tendemos a ser bastante granulares em nosso trabalho, mas é possível dar um passo atrás e considerar as auditorias separadas como uma série de pontos que podemos conectar para criar uma imagem maior. Que percepções você pode extrair de quaisquer questões ou tendências sistêmicas (por exemplo, estouros de custos ou despesas devido a mudanças nas condições macroeconômicas, violações de novos regulamentos) identificados em suas auditorias? 

Digamos, por exemplo, que queremos observar o impacto social em nossos funcionários. Definimos rotatividade de funcionários como um de um conjunto de KRIs que impactam o risco estratégico, legal, operacional e reputacional. Definimos limites superiores e inferiores com base em uma estimativa de níveis saudáveis de rotatividade para nossos negócios. Depois de vários meses, vemos que nossa taxa de rotatividade está subindo e se aproximando do limite declarado.

Podemos então realizar uma análise de causa raiz para descobrir a origem da tendência. Certos grupos demográficos estão saindo em uma taxa mais alta do que outros? Um novo concorrente está atraindo nossos melhores funcionários? As saídas são motivadas pela cultura, política ou outros fatores ambientais do local de trabalho? Estamos usando uma métrica inadequada? Neste ponto, devemos estar em uma boa posição para determinar quais ações devemos tomar, se houver.

Podemos seguir um processo semelhante para outros KRIs e KPIs relacionados a funcionários com base na demografia da força de trabalho, tendências de recrutamento e promoção e práticas de remuneração. Podemos estender a abordagem aos nossos clientes, observando as tendências demográficas, retenção, reclamações, taxas, cobranças e aquisição de contas, apenas para citar alguns.

Em muitos casos, podemos usar dados ESG que já estamos divulgando ou relatando em nossos relatórios gerenciais, financeiros e regulatórios. Em todos os casos, nosso objetivo como gerentes de risco deve ser identificar e abordar problemas potenciais antes que eles se tornem a próxima grande crise. O impacto social carrega um risco em toda a empresa que não pode ser tratado adequadamente por programas isolados de responsabilidade corporativa, diversidade ou conformidade regulatória. As preocupações com o impacto social podem e devem ser incorporadas à estrutura de ERM, onde podem ser identificadas, avaliadas, monitoradas e gerenciadas proativamente.

Por fim, há muito tempo digo que a avaliação de risco é tanto arte quanto ciência. Felizmente, munido de lógica, consistência, tino comercial e de risco, relacionamentos em toda a organização e disposição para pensar de forma diferente, você já está equipado para o sucesso. As taxonomias padrão de risco e controle, com escalas de medição associadas, estão no centro de um programa eficaz de ERM ESG. Elas permitem discussões de risco consistentes e agregação de risco significativa.

Não existe uma abordagem única para uma taxonomia de ERM ESG, mas a adoção pode ser facilitada por meio da colaboração com profissionais de negócios. Uma taxonomia bem-sucedida codifica a linguagem de risco usada e compreendida com mais frequência em uma organização.


Antonio Emilio Freire
é Board Member da Eletrobras e Petrobras, Auditor do Distrito Federal. Nos últimos 10 anos vem atuando no aperfeiçoamento da Gestão de Riscos e da Governança Corporativa no Brasil. Profunda experiência adquirida em empresas globais com 14 anos nos EUA, Nova Zelândia e Suíça. Fundador dos Cursos ESG de Verdade.
emilioabf@yahoo.com