Rรก
Apresentação A prática de gestão de riscos já foi vista como conceito de difícil aplicabilidade fora do mercado financeiro. “Risco está relacionado à escolha, não ao acaso, pois decorre da incerteza inerente ao conjunto de possíveis conseqüências (ganhos e perdas) que resultam de decisões tomadas diariamente pela organização”. Por que hoje se fala em gestão de riscos e há alguns anos não se falava? O fator determinante para isso se dá pelo aumento das variáveis de decisão, como: globalização, complexidade dos produtos e serviços, aspectos regulatórios, dinamismo do mercado. Gerir riscos tornou-se fundamental para tratar gaps de controle e principalmente, fornecer uma visão macro da organização, tanto o que compreende valor ao acionista como do corpo diretivo e gerencial. Apesar dos diversos benefícios, a idéia de gerir riscos não é algo totalmente palpável para algumas corporações. Uma proposta interessante sobre como convencer a Alta Administração da importância da gestão de riscos é olhar para dentro da organização e questionar: nos últimos dias, meses, anos, qual a ocorrência de fatos incertos ou surpresas negativas ao negócio? A incerteza é o maior motivador da gestão de riscos, assim como a geração de oportunidades, vista como conseqüência da aplicação bem sucedida da prática. O presente trabalho, apesar do cunho introdutório e elucidativo, ilustra de forma sistemática a aplicabilidade da gestão de riscos, fazendo um paralelo com a visão integrada de GRC – Governança, Riscos e Compliance.
Carlos Diego Cavalcanti – dcavalcanti@dcavalcanti.com Graduado em Análise de Sistemas pela Unibratec e pós-graduado em Administração Financeira pela UPE Universidade de Pernambuco. Membro do PMI - Project Management Institute. Membro da Comissão de Gestão de Riscos da ABNT (GT03 – Riscos Positivos e GT05 – Riscos em Projetos), participante da comunidade acadêmica sobre modelos de gestão.
| Gestão de Riscos: abordagem de conceitos e aplicações
2
Sumário 1. Introdução a gestão de riscos 3.1. Conceitos de riscos 3.2. Classificação de riscos 3.3. Histórico da gestão de riscos 3.4. COSO: Controles internos e riscos 3.5. ERM: Evolução da visão de riscos através da integração à estratégia corporativa 3.6. Integração e sinergia de práticas: Governança, riscos e compliance (GRC) 2. Abordagem de conceitos e aplicações 3.1. Abordagem do processo de gestão de riscos 3.2. A visão da gestão de oportunidades 3. Considerações finais 4. Referências
3
| Gestão de Riscos: abordagem de conceitos e aplicações
1. Introdução a Gestão de Riscos Muitos executivos se perguntam: “Qual a importância de controle efetivo sobre a gestão da empresa?” As variações que ocorrem na conjuntura empresarial, em inúmeros casos, terminam por obrigar as organizações a adotar ações como a redução do quadro funcional, por exemplo. Tal prática é algo enraizado na cultura gerencial das corporações e está longe de ser vista como algo inexistente na realidade atual. Contudo, uma pergunta sempre surge quando o tema demissão é abordado: o quão eficaz para a proposta de redução de custos será o desligamento de um ou outro funcionário? Entre os círculos de consultoria circula uma história que exemplifica de forma singular esse cenário: uma necessidade de enxugamento em uma célula de produção levou uma empresa a uma situação no mínimo inusitada. Três operadores da área de estamparia executavam a mesma tarefa. Ao final do turno, dois deles atingiam praticamente a mesma produção, sendo que o terceiro, não conseguia acompanhá-los. Uma decisão imediatista, sem dúvida alguma, o indicaria para a demissão, como ocorre na maioria das empresas. Uma análise mais criteriosa mostrou que, os dois primeiros, apesar de manterem maiores índices de produtividade, interrompiam suas tarefas com maior freqüência, ao contrário do terceiro. O que explicaria então o fato de apresentarem diferentes índices de produtividade? Analisando minuciosamente os movimentos braçais de cada um deles, para surpresa, o terceiro vinha executando uma movimentação diferente dos demais, gastando com isto, alguns preciosos segundos a mais para a realização completa da operação. Estaria aí, a razão para tal diferença? Convidou-se o terceiro operador para uma conversa em particular, onde se mostrou o resultado das análises, questionando-o a seguir sobre as razões para tal. Foi surpresa quando o mesmo informou ser canhoto e, portanto, a necessidade do movimento adicional. Foram adotadas ações imediatas no processo e o resultado foi surpreendente nas avaliações seguintes. Resultado: o candidato a demissão era o melhor operador. Repensando o processo, seriam gastos: R$6.275,45 na demissão do operador; A empresa arcaria com um novo processo seletivo, que custaria aproximadamente R$3.000,00; Entre treinamento e alinhamento de conhecimento do novo colaborador com os demais, seriam gastos R$4.000,00 em salários e encargos durante o período de dois meses; A operação executada pelo operador rende a empresa exatos R$523,50/dia. Ou seja: a perda direta seria de R$13.275,45 com a demissão, além da perda de receita na ordem de R$23.557,50 nos próximos 90 dias
| Gestão de Riscos: abordagem de conceitos e aplicações
4
(rendimento pleno do operador / 2 * 90, considerando que o novo colaborador renderia a metade do anterior durante o período de integração e treinamento). Ponderando sobre o exemplo dado anteriormente, é salutar afirmar que risco está relacionado a escolha e não ao acaso. Segundo dados da consultoria Deloitte Touche Tohmatsu, 75% dos riscos de negócio não são identificados pelas empresas. Dos 25% que são de fato identificados, a materialização dos mesmos é integral. Conclui-se que a visão dos gestores é totalmente reativa quando se tratam os eventos de risco inerentes ao negócio. Um dos grandes desafios atuais da prática de gestão de riscos é atuar não só de forma preventiva aos eventos de incerteza, mas principalmente, criar oportunidades de ganhos. Considerando que a maioria ainda vê a gestão de riscos como um custo, gerenciá-los de forma reativa excede substancialmente o investimento efetuado de forma pró-ativa. Gerar oportunidades a partir das incertezas não é simplesmente olhá-las como possibilidades de melhoria. É sim concebê-la como conseqüência da aplicação efetiva de controles internos que garantam a solidez dos processos de negócio.
PROCESSO REATIVO Mapeamento de Riscos
Demandas Emergenciais
Análise de Riscos
Sanar crises e imprevistos
Controle de Riscos
Correção de Problemas
PROCESSO PROATIVO
Figura [I].
Visão comparativa do processo reativo face ao processo proativo de gestão.
1.1. Conceito de riscos 5 A definição mais comumente utilizada aborda riscos como “ameaça de que um evento ou ação (interno ou externo) possa afetar negativa ou positivamente o ambiente no qual se está inserido.” Do ponto de vista corporativo, o conceito de risco considera como esses eventos de | Gestão de Riscos: abordagem de conceitos e aplicações
incertezas podem comprometer ou aperfeiçoar capacidade da empresa de operar, executar sua atividade fim e gerar valor. Existem muitas variáveis motivadoras para a aplicação da disciplina de gestão de riscos como ferramenta no processo decisório e diretivo. Por se tratar de uma abordagem subjetiva, alguns desses ganhos são tácitos, porém de grande valia para o desenvolvimento da organização. A grande maioria, porém, de identificação clara após a implantação de uma estrutura integrada de gestão de riscos. Alguns desses benefícios são: • Entendimento do ambiente corporativo a partir de uma visão estruturada de processos de negócio; • Instrumentos de controle adequados frente aos eventos de incerteza negativa inerentes ao contexto; • Conhecimento quanto à possibilidade de perda pela exposição aos riscos; • Identificação de condições de recuperação de perdas no caso de materialização; • Eliminar fontes de incertezas negativas, provendo a geração de oportunidades; • Garantir da continuidade do negócio; • Geração de valor como conseqüência da boa gestão dos riscos; • Estruturação da cadeia de valor, condições internas e externas no mercado no qual a empresa está inserida. Mesmo que os benefícios e os aspectos positivos sejam elucidados, velhos paradigmas interpolam e muitas vezes inviabilizam a implantação de uma estrutura de gerenciamento de riscos. Alguns gestores visualizam o tratamento de riscos como uma atividade específica sob demanda, restrita a áreas como Controladoria e Contabilidade, fragmentada quanto aos padrões, onde cada departamento atua da forma que achar por bem. Entretanto, resultados são evidenciados através da prática contínua, com a inclusão de todas as áreas e processos de negócio da organização, considerando aspectos como: operação, mercado, regulamentações, ambiente, ativos e toda e qualquer variável relevante.
6
| Gestão de Riscos: abordagem de conceitos e aplicações
Visão gerencial sem os conceitos e práticas de Gestão de Riscos
Visão gerencial com os conceitos e práticas de Gestão de Riscos
Figura [II].
Visão gerencial com e sem os conceitos de gestão de riscos
Um dos principais motivadores das discussões quanto à aplicabilidade dos conceitos de gestão de riscos está entre evidenciar a tênue linha entre a diferença de “perda” para o “não ganho”, ou o pior dos mundos, onde ambas as situações ocorrem conjuntamente. Geralmente a grande maioria das empresas trata o segundo caso com certo desprezo, por não afetar diretamente o disponível de curto prazo. Entretanto, se considerarmos que todas as organizações trabalham sob o prisma das projeções, certamente o que se perdeu é apenas uma parte do que se deixou de ganhar. Considerar os benefícios trazidos pela gestão de riscos, porém, não é algo fácil. A prática de gerir incertezas não é nova. O mercado financeiro foi pioneiro nesse sentido. Por se tratar de um setor com diversas variáveis condicionais, principalmente subjetivas, gerir riscos é conseqüência. Entretanto, outrora os analistas não viam a disciplina com bons olhos, principalmente por associá-la a burocracia. As críticas eram grandes. Trazendo esse cenário para os dias atuais, a realidade é bem diferente: hoje praticamente nenhum analista de investimento deixa de considerar riscos em suas aplicações. Outra grande dificuldade para os gestores visualizarem os benefícios da gestão de riscos é atrelá-la a custos e despesas em vez de investimento. Grande parte das publicações que abordam a prática de riscos se utiliza do termo “criação de valor”. Esse movimento está relacionado a resposta às criticas frente ao gerenciamento dos riscos, visto anteriormente como custo. Considerando essas assertivas, qual é a real demanda de uma organização para uma área de gestão de riscos? Qual o tipo de problema que uma empresa tem que justifique tal prática? Um dos grandes motivadores é o conhecimento quanto até que ponto o objeto gerenciado aumenta a capacidade de entender as incertezas existentes. É na compreensão dos problemas, | Gestão de Riscos: abordagem de conceitos e aplicações
7
das incertezas, que se passa a conhecer as oportunidades. Nessa direção, a gestão de riscos evoluiu e aborda conceitos como a “Gestão de Oportunidades”, a qual não só consideram a gestão dos riscos como variáveis geradoras de problemas, mas principalmente, as oportunidades criadas a partir do bom gerenciamento dessas incertezas. Analisando friamente o ambiente corporativo, são restritos os casos onde planejamentos de longo prazo são eficazes. Trazendo isso para a realidade da gestão de riscos, onde é preciso ir além de meramente lidar com a incerteza presente, é necessário considerar profundamente as incertezas futuras. E é justamente nesse ponto que é criada uma grande barreira. Todo e qualquer trabalho estratégico possui um exaustivo pleito de mapeamento e modelagem do negócio. Isso demanda tempo e investimento, duas palavras que alguns empresários não podem nem ouvir falar. Contudo, quando bem geridas e planejadas, a soma dessas variáveis gera uma terceira: resultado.
1.2. Classificação de riscos Em se tratando das incertezas que circundam o ambiente gestor de qualquer organização, existem aspectos da conjuntura geral que precisam ser considerados e contemplados no processo de análise para identificação dos eventos de risco. As variações quanto à classificação de riscos podem ocorrer dependendo da organização, do mercado de atuação, além de uma série de outros fatores. Naturalmente o agrupamento e a classificação atribuída aos riscos se configuram com o objetivo de compor o dicionário de riscos, o qual contemplará as categorias de eventos passíveis de materialização, sejam eles de incertezas negativas ou mesmo de oportunidades. Comumente, são abordadas três grandes classificações genéricas para condições de incertezas externas ao negócio:
8
| Gestão de Riscos: abordagem de conceitos e aplicações
Classificação de Riscos Figura [III].
•
Classificação de riscos
Riscos operacionais: Os riscos operacionais relacionam-se com perdas resultantes de: processos internos, pessoas e tecnologia. O princípio do risco operacional trata a reação em cadeia dos eventos internos e externos. Por exemplo, o mau atendimento ao cliente é resultado de uma série de ocorrências de processos internos, tais como: erro no desenvolvimento do produto, falta de treinamento da equipe de atendimento, inexistência de política e procedimentos internos, inoperância do sistema de informação. Os riscos operacionais tratam as situações de incertezas e fontes geradoras de problemas dentro do processo, tratando as pessoas que interagem com esses assim como os sistemas que os suportam.
•
Riscos de mercado: Os riscos de mercado consideram as variáveis que alteram o valor de um instrumento financeiro. O risco de mercado existe em decorrência da possibilidade de ocorrerem perdas mediante movimentos adversos no mercado. É o risco da perda financeira como resultado da mudança ocorrida no valor percebido de um dado instrumento. O exemplo clássico de risco de mercado procede das perdas na Bolsa de Valores.
•
Riscos de crédito: Tratam atividades cujas quais os êxitos dependem do cumprimento pela outra parte, emitente ou tomador. Para ilustrar o cenário, quando pessoas, empresas ou estrutura governamental falham com as convenções para efetuação de um pagamento, configura-se o risco de crédito. Existe uma fronteira tênue entre o | Gestão de Riscos: abordagem de conceitos e aplicações
9
risco de mercado e o risco de crédito, uma vez que o risco de mercado pode influenciar as decisões dos atores mencionados acima. O risco de crédito advém de distintas fontes, entre as quais se destacam os empréstimos individuais (falha em repor total ou parcialmente a quantia emprestada) e as operações de troca (sujeito percebe que vai perder dinheiro com a troca, reluta em pagar). Conforme pode ser visto no quadro abaixo, as derivações possíveis e particulares de riscos em cada segmento possibilitam a composição do Dicionário de Riscos relativo ao negócio avaliado. A formalização do referido catálogo tem como propósito prover o direcionamento das ações de gestão dos riscos e processos contidos na cadeia de valor1 do negócio, assim como as condições externas e internas do mesmo.
Figura [IV].
Cadeia de valor de riscos e processos, considerando as condições externas e internas.
É importante frisar que mais do que uma categorização, o dicionário de riscos provê a elaboração de estratégias específicas para cada agrupamento. O objetivo do filtro existente no
1
“A cadeia de valor designa uma série de atividades relacionadas e desenvolvidas pela empresa a fim de satisfazer as necessidades dos clientes, desde as relações com os fornecedores e ciclos de produção e venda até a fase da distribuição para o consumidor final, neste sentido o conceito de cadeia de valor é especialmente ajustado para explicitar a integração da logística na estratégia empresarial. Cada elo dessa cadeia de atividades está interligado. Michael Porter, desagregando a empresa nas suas atividades de relevância estratégica, considera que ganha vantagem competitiva a empresa que conseguir executar essas atividades da forma mais barata ou melhor que a concorrência.” Moura, 2006 | Gestão de Riscos: abordagem de conceitos e aplicações
10
dicionário de riscos é justamente fornecer ações que vão além da mera taxonomia dos processos, atividades, riscos e controles, mas sim, possibilitar a estruturação de modelos e abordagens apropriadas para cada segmento considerado.
1.3. Histórico da gestão de riscos A evolução cronológica percebida ao longo do tempo no processo de gerenciamento de riscos é uma conseqüência clara da demanda a ser atendida. Conjunturas de mercados cada vez mais flutuantes invariavelmente tendem a exigir a reflexão quanto à eficiência e eficácia dos modelos até então tidos como definitivos e solucionadores de problemas. Mercados como o financeiro, por exemplo, demandam atualmente uma série de mecanismos de controle que garantam a solidez operacional e principalmente, do capital. Segundo um estudo elaborado pela Deloitte Touche Tohmatsu para a FEBRABAN (Federação Brasileira dos Bancos), os dez principais aspectos considerados pelo mercado financeiro no tocante ao gerenciamento de riscos são: 1. Gerenciamento integrado dos riscos; 2. Identificação dos riscos com alto grau de impacto e probabilidade de ocorrência; 3. Implementação de um efetivo programa de prevenção à lavagem de dinheiro; (AMLP); 4. Otimização do capital; 5. Restabelecimento da credibilidade pública (Governança Corporativa); 6. Tratamento de novas e complexas regulamentações (Sarbanes-Oxley e Basiléia-II); 7. Implementação de modelos de Compliance; 8. Planejamento para cenários extremos (continuidade dos negócios); 9. Altos investimentos realizados em Tecnologia da Informação; 10. Integração de plataformas tecnológicas em virtude de fusões e aquisições. Como toda e qualquer iniciativa de gestão, ou mesmo metodologia que busca prover uma maior integração dos modelos e práticas de mercado, a visão de riscos passou por uma série de evoluções até atingir o escopo atual de trabalho, abrangendo: Auditoria Interna, Controles Internos, Governança Corporativa e Compliance.
| Gestão de Riscos: abordagem de conceitos e aplicações
11
Cronologia de Modelos de Referência
Modelo
Ano
Descrição
COSO
1992
Framework para implantação de uma estrutura de controles internos a partir de cinco componentes integrados: ambiente de controle; avaliação de riscos; atividade de controle; informação e comunicação; monitoramento.
FERMA
2002
Guia europeu da prática de gestão de riscos a partir de uma visão objetiva do processo de gerenciamento de riscos. Contempla templates para realização das análises de riscos.
AS/NZS 4360
1995
Modelo que contempla templates e práticas aplicáveis a gerenciar riscos no contexto de um processo, de uma organização ou até mesmo no projeto de vida de uma pessoa. Trata riscos por uma visão generalista e aplicável em qualquer segmento de atuação.
ERM
2004
Ampliação do conceito abordado pelo COSO, alinhado de forma integrada a estratégia da organização. Introduz conceitos como apetite de riscos.
BS 31100
Em criação
ISO 31000
Em criação
Tabela [I].
Manual de orientação da BSI para gerenciamento de riscos. Apresenta dez princípios-chave para gestão de riscos, modelo, framework, processo e guia de implantação prática. A ser finalizado em 2009, a ISO 31.000 será referência mundial para a prática de gestão de riscos. Apresenta onze princípios da gestão de riscos, modelos de orientação para desenvolver e controlar um framework de riscos e um processo genérico de gestão de riscos.
Autor COSO – Commitee of Sponsoring Organizations of the Treadway Commission FERMA – Federation of European Risk Managers Association Standards Australia / Standards New Zeland COSO – Commitee of Sponsoring Organizations of the Treadway Commission BSI – British Standard Institution ISO – International Organization for Standardization
Cronologia dos modelos de referência. Adaptado de MACIEIRA, 2008, pág. 3.
Cronologia de Regulamentações e Legislações
Modelo
Ano
BSA (Bank Secrecy Act)
1970
BACEN 2554 BACEN 3056 BACEN 3380 BACEN 3490
1998, 2001, 2006, 2007
Sarbanes-Oxley
2002
BASILÉIA II
2004
SUSEP 249 SUSEP 280 SUSEP 327
2004, 2004, 2006
Tabela [II].
Descrição Regulamenta a cooperação das instituições financeiras americanas juntamente com o governo com o objetivo de prevenir a lavagem de dinheiro. Normatiza a práticas de gestão de risco pelas instituições financeiras brasileiras. 2554 – Sistema de controles internos; 3056 – Auditoria interna; 3380 – Implantação da área de riscos operacionais; 3490 – Apuração do Patrimônio de Capital Econômico. Lei americana que regulamenta os controles internos para emissão relatórios financeiros por parte das empresas com ações negociadas na bolsa de Nova York. Aborda também a responsabilização civil e criminal dos principais executivos destas empresas pela confiabilidade das informações financeiros e contábeis publicadas. Publicação elaborada por empresas e instituições do mercado financeiro com o objetivo de criar um modelo internacional para concepção de leis e regulamentações relacionadas à gestão de riscos em bancos. Determina a prática de controles internos em seguradoras. Circular 249 Criação de estrutura de controle internos em seguradoras; Circular 280 Estabelece procedimentos mínimos associados aos controles internos; Circular 327 - Controles internos específicos para o tratamento de crimes como lavagem de dinheiro.
Autor Governo Federal dos Estados Unidos Banco Central do Brasil
SEC – Security Exchange Commission Basel Committee on Banking Supervision SUSEP – Superintendência de Seguros Privados
Cronologia das regulamentações e legislações. Adaptado de MACIEIRA, 2008, pág. 3.
Esses modelos de referência e regulamentações sem dúvida foram os grandes motivadores da visão de que controlar e gerir riscos são fundamentais. Alguns acadêmicos chegam a afirmar que sem eles, talvez o que hoje conhecemos por governança corporativa e gestão de riscos não passaria de “boa prática”, comprovando que o princípio da busca dos gestores por governança é motivada principalmente pelas exigências das regulamentações.
| Gestão de Riscos: abordagem de conceitos e aplicações
12
Todavia, apesar da clara evolução elucidada nos quadros acima, tanto no que se refere aos modelos de referência de gestão, como também as regulamentações e legislações aplicadas, invariavelmente, e por que não dizer, salutarmente são levantadas questões como: “Qual o ganho efetivo concebido pela gestão de riscos, se não apenas atender às regulamentações e garantir o menor número possível de materialização de eventos de negativos?” Gestores de projeto, por exemplo, constantemente abordam o gerenciamento de riscos apenas como o processo de identificação de possíveis pontos de problemas no projeto. Alguns vão além, ao ponto de afirmarem que “é ideal que o gerenciamento de riscos de projeto seja realizado por pessimistas”. Em contrapartida, o PMBOK (Project Management Body of Knowledge, Guia de Referência em Gestão de Projetos, p. 237) afirma: [...] Os objetivos do gerenciamento de riscos do projeto são aumentar a probabilidade e o impacto dos eventos positivos e diminuir a probabilidade e o impacto dos eventos adversos ao projeto. Opiniões como a citada anteriormente, de que o bom gestor de riscos é um pessimista por natureza, sempre conduziram a prática em uma direção negativa, no sentido de que:
As melhorias providas pelo gerenciamento de riscos não são aplicáveis no nível operacional;
Visão de que risco é algo negativo e deve ser expurgado da organização;
Gerir riscos atende apenas às demandas de regulamentações e conformidade (compliance);
Burocratiza o processo de gestão com mecanismos de controle excessivos;
Gerador de relatórios de “fundo de gaveta”.
Como o próprio PMBOK cita, gerir riscos deve prover o “aumento da probabilidade e impacto dos eventos positivos e diminuir a probabilidade e o impacto dos eventos adversos”. Em momento algum se trata de que os riscos devem ser eliminados. A boa gestão, seja no viés dos riscos ou em qualquer outra abordagem, tem nas oportunidades a conseqüência natural.
1.4. COSO: Controles Internos e Riscos 13 Os controles internos são as ferramentas pelas quais a alta administração se utiliza para garantir da integridade do negócio. O princípio básico dos controles vai além dos conceitos estabelecidos pela auditoria e contabilidade, uma vez que, além de garantir a eficácia das | Gestão de Riscos: abordagem de conceitos e aplicações
informações de reportes financeiros, suporta que os processos de negócio operem de forma satisfatória para o atendimento das metas e objetivos estratégicos estabelecidos pelas organizações. E nesse sentido, COSO se mostra como a metodologia e framework de melhor aplicabilidade. Foi criado nos Estados Unidos na década de 70 motivado pelo estudo das causas de fraudes em relatórios financeiros, o que mostra que o tema não é recente. A comissão é formada por profissionais ligados a área financeira. O Comitee of Sponsoring Organization atua desde então com independência e relacionando integrantes de diversos segmentos de mercado em prol do mesmo fim: garantir e definir modelos de controles internos como ferramenta de gestão e probidade administrativa. Conforme a estrutura concebida pelo COSO, Controle Interno é um processo formado por cinco elementos inter-relacionados e presentes em toda forma de controle, a qual congrega:
Ambiente de controle;
Avaliação e gerenciamento dos riscos;
Atividade de controle;
Informação e comunicação;
Monitoramento.
14 Figura [V].
Framework do COSO (Comitee of Sponsoring Organization).
| Gestão de Riscos: abordagem de conceitos e aplicações
Controlar tem se mostrado o grande desafio das organizações, independentemente do porte e mercado de atuação. Obviamente as pequenas e médias empresas tendem a estar mais factíveis aos aspectos negativos que circundam um ambiente sem uma estrutura efetiva de controle. No entanto, as grandes organizações, apesar de possuírem uma visão mais formalizada quanto à atuação, na maioria das vezes não conseguem atingir um nível satisfatório de controles, pois os trata como meros requisitos de atendimento a regulamentações, como no caso dos bancos e demais instituições financeiras, as quais operam sob uma nuvem de amontoados de normas. Os ganhos, entretanto, são de extrema valia e altamente compensatórios para as organizações que possuem uma visão séria quanto à aplicabilidade de uma estrutura integrada de controles internos. Controlar, salvo o sentido pejorativo da palavra, é sinônimo de gerir com transparência o ambiente corporativo. Vai muito além de regras de negócios automatizadas em sistemas de gestão. Ou seja: mais do que automatizar controles, é importante que a organização crie a cultura de concebê-los, independentemente da forma pela qual irá executálos. Os investimentos das empresas que possuem uma prática interna de controles internos são retornados na maioria das vezes já no primeiro ano – se implantados e geridos por uma equipe de atuação efetiva. Naturalmente essa regra possui variantes para mais ou para menos, porém essa volatilidade é diretamente proporcional ao nível de respaldo e patrocínio vindo da alta administração. Bem como toda e qualquer prática de gestão, projetos de estruturação de controles internos por diversas vezes não conseguem obter o resultado esperado, ou mesmo serem dados por concluídos, por um fator deveras comum entre os gestores: falta de conhecimento da sua importância para o contexto corporativo. A prerrogativa do desconhecimento, porém, não exime a empresa da demanda necessária de atuação nessa área, pois invariavelmente o porte da organização gerará tal necessidade de processo. E por julgar pelo tamanho das organizações que se vêem diante de uma realidade de que uma estrutura de controles internos se faz necessária, o investimento tardio talvez possa custar alguns milhões.
15 1.5. ERM: Evolução da visão de riscos através da integração à estratégia corporativa Publicado como evolução à visão de controles e riscos anteriormente tratada pelo COSO, o ERM, do inglês Enterprise Risk Management, em português Gestão de Riscos Corporativos, | Gestão de Riscos: abordagem de conceitos e aplicações
constitui oito componentes relacionados, através dos quais, integrados ao processo de gestão da organização, é possível alinhar as estratégias e objetivos do negócio a uma visão baseada em riscos. Seguindo a premissa do ERM, os componentes de gerenciamento de riscos possibilitam a organização o alcance dos seus objetivos, conforme representado pelo cubo abaixo.
Figura [VI].
Estrutura integrada de gerenciamento de riscos corporativos.
Ambiente interno – Aborda aspectos culturais da organização, embasamento para identificação e abordagem dos riscos por parte da equipe interna, assim como: filosofia, apetite integridade e valores éticos para gerenciamento dos riscos;
Fixação de objetivos – Os objetivos se caracterizam pelas metas estratégicas da organização. Essa etapa se caracteriza por avaliar e definir se os objetivos estão alinhados com a missão da organização e são compatíveis com o apetite a riscos;
Identificação de eventos – Os eventos internos e externos são as variáveis que podem influenciar o atendimento aos objetivos estratégicos. Esses eventos devem ser classificados entre riscos e oportunidades, de forma a estabelecer um processo de administração que os considere tanto no que tange a mitigação – no caso de eventos de incertezas negativas – como no aumento das suas evidências – no caso de oportunidades;
Avaliação de riscos – Análise quanto à probabilidade e o impacto dos riscos, de forma a estabelecer as formas como esses serão gerenciados. São avaliados quanto à sua classe de inerentes e residuais;
| Gestão de Riscos: abordagem de conceitos e aplicações
16
Resposta a risco – Ações às evidencias de risco - evitar, aceitar, reduzir ou transferir – concebendo medidas para alinhar com o apetite a risco;
Atividades
de
controle
–
Políticas
e
procedimentos
estabelecidos
e
implementados para assegurar que as respostas aos riscos sejam executadas;
Informações e comunicações – As informações relevantes são identificadas, coletadas e reportadas de forma que permitam o cumprimento de suas responsabilidades.
A
comunicação aborda aspectos
gerenciais, não só
considerando a prática de gerir riscos;
Monitoramento – Monitoramento e revisões aplicáveis para garantia do gerenciamento eficaz dos riscos. Realizado através de atividades gerenciais, avaliações periódicas, auditorias.
O ERM por fim é um complemento do modelo proposto pelo COSO. Sua visão sugere que além da formalização dos controles internos, é importante que a organização visualize os eventos que de alguma forma possam comprometer a capacidade da empresa em atingir seus objetivos estratégicos, no caso de falha na execução do respectivo controle. ERM propõe um modelo que prioriza fraquezas críticas a serem tratadas, criando mecanismos preventivos atuantes sob a perspectiva de que mesmo o controle interno é passivo de agentes que comprometam a sua eficácia. Já sob esse direcionamento evolutivo, o ERM recomenda o inventário dos processos, sistemas e pessoas, os quais são as fontes originárias de eventos de incerteza que possam comprometer a operação da organização. Essa tríade, vale ressaltar, congrega o que inevitavelmente gera valor para a empresa, onde a escala de eficiência e estruturação é diretamente proporcional à maturidade na gestão dos processos de negócio e seus respectivos eventos de ameaças e oportunidades. Conforme explicitado anteriormente, mais do que um modelo ou framework, o ERM possibilita avaliar o grau de maturidade de um modelo de gestão de riscos corporativos a partir da análise operacional dos oito componentes e como eles são executados dentro da organização. Ou seja, além de sistêmico, o modelo proposto pelo ERM atua também como critério e parâmetro 17
da gestão de riscos.
| Gestão de Riscos: abordagem de conceitos e aplicações
1.6. Integração e sinergia de práticas: Governança, riscos e compliance (GRC) A conjuntura padrão da gestão organizacional é um vasto universo de demandas e esforços os quais invariavelmente se congregam para um objetivo fim, nesse caso, a operação financeira, ou o lucro propriamente dito. Entretanto, até atingir-se esse cenário de lucros e receitas, há uma longa estrada a ser percorrida e nela, os percalços serão os mais diversos. Isso sem mencionar as questões envolvendo o pós-receita, tais como: qualidade do produto, relacionamento com cliente, fidelização da carteira, entre outros. A revista Compliance Week, de dezembro de 2006, cita alguns dessas dificuldades: falta de visibilidade, baixa integração entre os processos de negócio, duplicação de iniciativas de gestão, complexidade operacional, fragmentação
de
atuações,
custos
altos,
informação
e
recursos
desperdiçados,
vulnerabilidade. Um ponto que pode ser adicionado e que não consta nessa vasta lista talvez seja a conjunção de todos eles: a dificuldade e lentidão no processo decisório. É comum deparar-se com situações nas quais diretores, gerentes e qualquer outro tomador de decisão hesite na hora de assinar um contrato, proposta comercial ou liberação de recurso. É como se incessantemente badalasse em seus ouvidos a frase: “Será que estou decidindo corretamente? Onde estou me metendo?” Essa situação repete-se aos montes no cotidiano corporativo. Essa incerteza quanto à tomada de decisão talvez seja uma das maiores demandas para que em um novo ambiente de gestão proposto, a prática de gerir riscos seja ferramenta fundamental. A incerteza decisória é conseqüência natural de uma conjuntura atual de gestão, na qual as variáveis do contexto são as mais diversas (segmentos globalizados, preocupação com a reputação da empresa, concorrência, pressão regulatória). Suas inúmeras combinações resultam na diminuição substancial da visibilidade para tomada de decisão. Chegou-se ao ponto em que muitos consideram a intuição como a maior parcela na receita da escolha. Entretanto, é importante afirmar que existem sim diversas frentes que buscam solucionar esse problema. Metodologias são freqüentemente propostas para atender a essa demanda deficitária de gestão. Modelos de referência (COSO, ERM, BPM) e regulamentações (SOX, Basiléia II, Bacen 3490, Bacen 3380, FERMA) são ofertados já há algum tempo e seus resultados são evidenciados pela melhoria nos resultados operacionais e na governança como um todo para as organizações que se dispõem a investir nelas. Considerando que existem tais modelos e que esses aparentemente sanam a demanda por práticas de gestão, qual o real problema?
| Gestão de Riscos: abordagem de conceitos e aplicações
18
A experiência mostra que as organizações nem sempre conseguem obter os resultados positivos esperados dessas iniciativas, principalmente quando essas objetivam o gerenciamento de riscos. É evidente que cada modelo proposto visa atender a uma demanda de gestão específica, o que gera incessantes investimentos em estruturas que até então caminhavam em sentidos diferentes. As críticas a essas ocorrências são variadas, porém consenso entre a grande maioria: as ações muitas vezes são segregadas na organização, grande parte dos modelos de gestão são burocratizadores, as formas de gerir riscos são pouco práticas, entre outros. A reflexão desses gaps levou a um esclarecimento: é preciso integrar. Nesse modelo integrado de gestão, amplia-se a abordagem comumente utilizada, onde cada metodologia busca um resultado específico. O que se vê claramente é que gerir riscos não pode resumir-se ao objetivo de identificar eventos de incertezas e simplesmente controlá-los através da avaliação contínua – auditoria – mas principalmente, trazê-lo para o contexto de ferramenta de gestão. Sob esse prisma é que o conceito de Governança, Riscos e Compliance (GRC) é baseado e deposita seus aspectos positivos. A prática de GRC unifica metodologias e práticas de gestão a fim de proporcionar uma visão integrada de iniciativas que antes eram vistas de forma segregada. Com a proposta de alargar essa convergência de ações, objetiva-se não só a redução de inconsistências, redundâncias e segregação de objetivos, mas sim, o provimento de um contexto onde todos esses movimentos congreguem pelo objetivo maior que é fornecer para a organização uma gestão mais eficaz. É a mudança da visão de gerir riscos como eventos de incertezas, para a visão da gestão baseada em riscos como fonte geradora de oportunidades. Conceituando as siglas da GRC – Governança, Riscos e Compliance, definem-se: •
Governança: Segundo o IBGC (Instituto Brasileiro de Governança Corporativa), a Governança Corporativa consiste em práticas e relacionamentos entre os Acionistas/Cotistas,
Conselho
de
Administração,
Diretoria,
Auditoria
Independente e Conselho Fiscal, com a finalidade de otimizar o desempenho da empresa e facilitar o acesso ao capital. A expressão é designada para abranger os assuntos relativos ao poder de controle e direção de uma empresa, bem como as diferentes formas e esferas de seu exercício e os diversos interesses que, de alguma forma, estão ligados à vida das sociedades comerciais. Ou seja, a governança é a vertente da gestão do negócio
| Gestão de Riscos: abordagem de conceitos e aplicações
19
propriamente dita, sobre a perspectiva de um forte embasamento em responsabilidade fiscal e conduta gerencial. •
Riscos: O gerenciamento dos riscos define-se por um conjunto de fatores que congregam para o aperfeiçoamento da gestão e controle do negócio. Suas abrangências consideram fatores como: perdas (de receita, de market-share, de oportunidades) a serem evitadas; ocorrências que desviam o atendimento dos objetivos estratégicos da organização; problemas e gaps operacionais relacionados
aos
processos
de
negócio; segurança de
informação;
continuidade do negócio. É a vertente que trata as fontes de incertezas que podem produzir eventos negativos, mas que se controlados de forma eficiente, são potenciais geradores de oportunidades, essas vistas como conseqüência natural da prática bem executada. •
Compliance: Consiste no controle e gestão da conformidade com leis e regulamentações (externas e internas) existentes no negócio, que possam ser cometidas por agentes que interagem com a organização. Instituições de capital aberto com ações negociadas na bolsa de Nova Iorque, por exemplo, são reguladas pela lei Sarbanes-Oxley2.
Anteriormente vistas como disciplinas distintas e geridas de forma independente, os conceitos de Governança (Corporativa), Riscos (controles) e Compliance (regulamentações) foram unificados de forma a proporcionar não só o ganho operacional na gestão, como prover o entrelaçamento das práticas, aproveitando os benefícios de cada um para o todo. Quando uma companhia considera estar conforme as sessões da lei Sarbanes-Oxley, por exemplo, as formas como a governança corporativa e a gestão de riscos atuam estão relacionadas ao sucesso da iniciativa de compliance. A governança orienta uma atuação embasada na transparência e na ética, provendo credibilidade, e principalmente, a sustentabilidade do negócio. Por ela são considerados diversos tipos de riscos: estratégico, operacional (financeiro), mercado, além de outras variações, como riscos em TI, indisponibilidades físicas e ambientais, climáticas, entre outros. 20 2
O objetivo da lei Sarbanes-Oxley é impor um regime ético de atuação empresarial, a fim de fornecer credibilidade e estabelecer a confiança nas apresentações financeiras e controles internos das companhias, principalmente no mercado de capitais norte-americano e nos mercados que contam com empresas globais. | Gestão de Riscos: abordagem de conceitos e aplicações
Compliance, que na tradução literal para o português significa “conformidade”, é o ato de garantir que a empresa segue às regulamentações sob as quais ela está regida, seja ela uma instituição financeira, uma companhia com ações nas bolsas americanas ou empresas globais. Mesmo as pequenas e médias empresas estão sujeitas à compliance. Elas estão sob regime de incentivos fiscais ou financiamentos providos por órgãos como Banco Nacional para o Desenvolvimento (BNDES), por exemplo, os quais exigem garantias de atuação, operacional e financeira para ofertar benefícios e subvenções. A exigência pela conformidade às normas estabelecidas pelos órgãos beneficiadores é rigorosa. Precisam ser seguidas como condição para a manutenção dos incentivos, sendo constantemente avaliadas através de auditorias e fiscalizações. Os executivos brasileiros vêem com bons olhos os princípios de Governança, Riscos e Compliance. São, inclusive, mais favoráveis do que os gestores americanos e europeus. Uma recente pesquisa realizada pela auditoria PricewaterhouseCoopers faz uma comparação em diferentes regiões e sugere que os CEOs – Chief Executive Officer – brasileiros estão mais otimistas e confiantes quanto às potenciais vantagens da implementação dos princípios de GRC de maneira eficaz. “Entre os CEOs brasileiros, 68% concordam plenamente que a adoção efetiva dos princípios de GRC possibilita a criação de valor e se constitui em vantagem competitiva. Entre os líderes norte-americanos, apenas 22% concordam com essa percepção, percentual bastante abaixo da média global que é de 43%. Ressalta-se que, entre os entrevistados, o Brasil registrou o menor percentual (3%) de executivos que consideram GRC um conjunto de princípios e práticas aplicáveis exclusivamente como decorrência de leis e a regulamentações.” 3 Ainda segundo a pesquisa, existem inúmeras controvérsias quanto à questão se a GRC deve ser classificada como investimento ou despesa. Obviamente a definição de investimento e despesa está diretamente relacionada à geração de valor e benefícios a partir do processo avaliado. Ou seja, mesmo operações claramente classificadas como despesas podem ser visualizadas como investimentos se forem gerados ganhos – sejam esses operacionais ou financeiros – a partir do referido dispêndio. Enquanto no Brasil os executivos consideram a GRC como investimentos, nos Estados Unidos a maior parte dos líderes considera como despesa. Tal movimento se pressupõe pela associação 3
Fonte: Governança, Gestão de Riscos e "Compliance" (GRC) no Brasil, ano base 2008. Disponível em: http://www.pwc.com/extweb/insights.nsf/docid/74DA71F7C237175F85256F8F0065B2F5 | Gestão de Riscos: abordagem de conceitos e aplicações
21
às imposições mais burocráticas e de curto prazo ligadas aos aspectos da lei Sarbanes-Oxley. Dessa forma, a percepção dos norte-americanos pode estar influenciada pelas pressões do cotidiano de exigências da lei, o que obviamente compromete a visão dos ganhos gerados pelas práticas de controle.
22
| Gestão de Riscos: abordagem de conceitos e aplicações
2. Abordagem de conceitos e aplicações Para muitos, ainda que as experiências de diversas empresas comprovem, gerenciar incertezas sempre recairá sobre um prisma: burocratização de processos, ferramenta de “amarração” do corpo diretivo e conselhos de administração das companhias, garantia de geração de valor aos acionistas e termômetro para o mercado quanto à volatilidade da saúde financeira da empresa abordada. No entanto, a disciplina de gestão de riscos se encontra em um momento único desde sua difusão como prática de mercado. Os investimentos das empresas para o atendimento às regulamentações como Basiléia e Sarbanes-Oxley geraram um cenário de obrigatoriedade dos trabalhos envolvendo controles internos, auditoria e gestão de riscos os quais aparentemente tornaram-se meros instrumentos de inspeção pelos órgãos reguladores. Os benefícios da geração de valor concebida a partir de iniciativas de cunho estratégico passaram a ser subjugadas. Com a visão integrada mencionada anteriormente, onde a GRC reúne e congrega esforços no sentido de um fim em comum: a gestão eficiente e o atendimento dos objetivos estratégicos da organização. A proposta passa a ser aperfeiçoar o modelo de governança da organização, uma vez que essa iniciativa contempla a abordagem de uma série de outras iniciativas. Como descrito antes, as publicações que abordam à prática de gestão de riscos sempre trazem à tona a geração de valor ao negócio como benefício para a sua implantação. Quando se trata de valor monetário de uma empresa, pode-se dizer que esse está diretamente associado à percepção quanto à perspectiva futura, ou seja, a velocidade no tempo da organização em materializar seus eventos de receita e geração de valor. Canarim (2007, p.40) afirma: [...] A forma de avaliar as empresas consiste, portanto, em estimar o rendimento futuro que esses fatores podem gerar, e quantificar quanto nos dispomos a desembolsar para obter mais rendimentos. [...] Estimamos quanto vamos receber no futuro para chegarmos ao valor razoável no presente dessa série de rendimentos, ou seja, seu preço, o valor pelo qual transacionamos o que temos ou o que pretendemos adquirir. Em se tratando do cenário brasileiro, é comum por parte das organizações considerarem apenas a incerteza presente, onde as improbabilidades futuras não são tratadas com a devida | Gestão de Riscos: abordagem de conceitos e aplicações
23
seriedade. Vendo sob esse prisma da citação anterior, a gestão de riscos como fonte geradora de oportunidades viabiliza diretamente o valor para a organização, por garantir que os eventos que podem comprometer o negócio sejam conhecidos, controlados e analisados a fim de originar fontes de melhorias. Conclui-se que é justamente essa base da fundamentação das due dilligences as quais atrelam os níveis de governança corporativa como fonte de valor real ao capital. Quanto mais estruturado o sistema de controles internos e de gestão dos riscos, mais valor efetivo a empresa possui no mercado. No âmbito de GRC é importante afirmar que o tratamento dado aos riscos é determinante para a obtenção de resultados da governança corporativa e do atendimento às regulamentações (compliance). Sobre o gerenciamento de riscos, Peters (2007, p. 51) afirma: [...] A base primitiva de gerenciamento de riscos que inclui a gestão de crises – prevenção, detecção e plano contingencial – é o instinto de conservação do ser humano. O perigo, a insegurança, a incerteza e o medo são os motores do gerenciamento de riscos. O autor descreve que de fato há uma clara tendência à visão de que gerir riscos é tratar dos eventos de insegurança operacional, de mercado ou da conjuntura na qual o ambiente avaliado está inserido. Essa visão é diretamente relacionada a associação à custos, vista anteriormente e como o próprio Peter (2008, p.52) elucida. [...] Os riscos estão relacionados com a rentabilidade no sentido de que, para preveni-los, há um custo. Eliminar o risco é, economicamente, um engano. É o desejo de assumir riscos, considerado como apetite por riscos, que movimenta grande parte da economia, fazendo o ser humano desenvolver-se. Quando queremos nos proteger de determinada situação, podemos fazer um seguro, passando a outro o risco. Essa passagem a terceiros ou o compartilhamento, ou a divisão de riscos, é a base do seguro. O seguro tem um preço (prêmio), ou seja, a proteção contra riscos envolve custos, seja através de um pagamento para transferência de riscos, seja através de investimento em gestão de riscos. A analogia quanto à base do seguro estar relacionada com a transferência da oneração em função da materialização do evento de risco é um ótimo exemplo de permuta de risco. Procedem as visões de que a transferência de riscos é uma opção economicamente viável, se forem considerados somente os aspectos de custo versus investimento. Entretanto, ao contrário da visão expressada por Peters, são significativos os benefícios trazidos pelo total | Gestão de Riscos: abordagem de conceitos e aplicações
24
controle dos riscos, uma vez que é justamente a gestão eficiente do risco, ao ponto de mitigálo de forma plena, que possibilita as melhores condições para a geração de oportunidades. Essa assertiva aborda justamente os conceitos de governança. Quanto ao tocante da compliance, pode se afirmar que às regulamentações por si só são fontes potenciais de riscos, sejam eles operacionais, de mercado ou de crédito, se não tratadas de forma a atender os aparatos regulatórios ao qual o negócio está sujeito. Outro grande desafio que o gerenciamento de riscos encontra face ao planejamento de gestão estratégica das organizações, se refere ao doutrinamento do corpo executivo a cerca da necessidade primordial de gerir incertezas e oportunidades. Nassim Nicholas Taleb, em seu livro A lógica do cisne negro, afirma: [...] A principal tragédia do evento de alto impacto e baixa probabilidade vem do desencontro entre o tempo necessário para compensar alguém com tempo que uma pessoa precisa para sentir-se confortável com não estar fazendo uma aposta contra o evento raro. As pessoas têm um incentivo para apostar contra ele, ou para jogar com o sistema, já que podem receber um bônus refletindo seu desempenho anual, quando na verdade tudo que estão fazendo é produzir lucros ilusórios que perderão algum dia. Na verdade, a tragédia do capitalismo é que, já que a qualidade dos retornos não é observável a partir de dados passados, proprietários de companhias, especificamente acionistas, podem ser enganados pelos gerentes que apresentam retornos e lucratividade cosmética mas que, na verdade, estão correndo riscos ocultos.
Figura [VII]. Modelo genérico de matriz de exposição a riscos (probabilidade versus impacto).
Risco não se trata de pessimismo ou tampouco é restrito a fatores inerentes de adversidade na conjuntura corporativa. Risco aborda primordialmente os gaps de gestão que de alguma forma são obstruídos dos demonstrativos financeiros e operacionais, por considerar fatores
| Gestão de Riscos: abordagem de conceitos e aplicações
25
intangíveis. Todavia é sabido que é justamente dos benefícios ou dos malefícios intangíveis que é composta a riqueza: os montantes que circulam no mercado são virtuais, ganhos e perdas nos mercados de ações, tomada de decisão, visualização de oportunidades, todos esses aspectos são embasados na grande maioria das vezes em pontos que não possuem qualquer tipo de valor físico. Seguindo a assertiva de que “o homem teme e opõem-se ao desconhecido” deve-se considerar o gerenciamento de riscos como parte fundamental do processo de gestão e não algo meramente semântica. É uma questão de sobrevivência.
2.1 Abordagem do processo de Gestão de Riscos Conceitualmente tratando, gerenciar riscos se configura no enfoque estruturado de alinhamento entre a estratégia, processos, pessoas, conhecimento organizacional e tecnologia, com objetivo de avaliar e controlar as incertezas inerentes com as quais as empresas se deparam, de forma a possibilitar a geração de valor. Existem diversas abordagens para gerenciar riscos. Diferentes frameworks e modelos de trabalho sugerem contextos, que apesar de diferirem muitas vezes em suas nomenclaturas, convergiam para os mesmos objetivos na atuação. Partindo desse pressuposto, a ISO – International Organization for Standardization – definiu um padrão para o processo de gestão de riscos. Nomeado como Risk management process (processo de gestão de riscos), conceitua que a gestão de riscos deve fazer parte do processo de gestão, da cultura e prática, adaptada aos processos de negócio da organização. O processo de gestão de riscos segundo a ISO 31.000 congrega cinco atividades:
Comunicação e Consulta
Estabelecimento do Contexto
Monitoramento e Revisão
Processo de Avaliação de Risco Identificação de Risco Análise de Risco Avaliação de Risco
Tratamento de Risco
Figura [VIII]. 2008, ISO 31000. Risk management – principles and guidelines on implementation
| Gestão de Riscos: abordagem de conceitos e aplicações
26
Comunicação e consulta – Relacionamento interno e externo previamente realizado com os stakeholders com objetivo de discutir os aspectos a serem abordados no processo de gerenciamento de riscos. Essa etapa garante que contexto seja definido de forma apropriada, que os interesses dos envolvidos são conhecidos, reunir diferentes áreas de expertise para analisar riscos, riscos são identificados de forma adequada, planos para gestão da mudança durante o processo de gerenciamento de riscos, suporte ao tratamento e comunicação;
Estabelecimento do contexto – O estabelecimento do contexto considera parâmetros internos e externos, escopo e critério para o processo de gerenciamento de risco. De forma resumida, é avaliado o ambiente no qual a gestão de risco será inserida para avaliação;
Processo de avaliação de risco (identificação, análise e avaliação de risco) - O processo de avaliação de riscos é a visão ampla da identificação, análise e avaliação de riscos. A identificação de riscos trata as fontes, áreas de impacto, eventos, causas e potenciais conseqüências. A análise de risco está relacionada com a compreensão do risco. Provê a inserção na avaliação e na decisão se os riscos precisam ser tratados e os tratamentos, estratégias e métodos mais apropriados para tal. O objetivo da avaliação de risco é auxiliar a tomada de decisão, com base nos resultados da análise e sobre quais riscos precisam de tratamento e como priorizá-los;
Tratamento de Risco - Envolve a seleção de uma ou mais opções de modificação de riscos e implementações dessas opções. Consiste em um processo cíclico de avaliação do tratamento de risco, decidindo se os níveis de riscos residuais são toleráveis ou não, se a tolerabilidade está gerando novos tratamentos de risco, e avaliando o efeito do tratamento até que o risco residual esteja de acordo com o critério (apetite) de risco da organização;
Monitoramento e revisão - O monitoramento e revisão devem fazer parte do planejamento do processo de gestão de risco, com o propósito de: analisar as lições aprendidas a partir dos eventos, mudanças e tendências; detectar mudanças no contexto interno e externo, incluindo mudanças no próprio risco e como esse pode demandar revisões do seu respectivo tratamento e priorização; garantir que as medidas de controle e tratamento de risco são efetivas tanto no desenho como na operação; identificar riscos emergentes.. | Gestão de Riscos: abordagem de conceitos e aplicações
27
Não só acadêmicos como os profissionais das áreas de controladoria, auditoria, gestão de processos e gestão de riscos começam a aplicar as premissas estabelecidas pela norma ISO 31000. Essa ação não só favorece àqueles que lidam diretamente com a prática no sentido de universalizar taxonomias, mas principalmente, permite que organizações em todo o mundo se organizem em um sentido padrão no que diz respeito à gestão de riscos. Metodologias, frameworks e normas da própria ISO, como a 21500 (Gerenciamento de projetos) 4, a qual em suas seções considera a gestão de riscos como uma disciplina na gestão de projetos, busca atender e alinhar-se as padronizações viabilizadas pela norma ISO 31000.
2.2 A visão da Gestão de Oportunidades O princípio do planejamento estratégico consiste na definição dos objetivos e metas a serem atingidos por uma organização no que tange a geração de valor ao negócio e o aumento do capital. Partindo desse princípio, a definição e formalização da estratégia da corporação respondem a questão “Aonde queremos chegar?” O risco, conforme visto anteriormente, nada mais é senão os eventos comprometedores da estratégia do negócio. A sua gestão garante que as situações adversas inerentes sejam conhecidas e controladas. Peters (2008, p. 51) afirma: [...] Quando os pontos fortes de uma organização estão de acordo com os fatores críticos de sucesso para satisfazer às oportunidades de mercado a empresa será, por certo, competitiva no longo prazo. No entanto, as fraquezas de uma empresa podem levá-la à descontinuidade ou, no mínimo, comprometer objetivos importantes da mesma. Os fatores críticos de sucesso, quando geridos, trazem como resultado a competitividade em longo prazo. A gestão desses aspectos está diretamente relacionada com o conhecimento da organização quanto ao:
Mercado no qual a empresa está inserida, tanto no que se refere às tendências comerciais como às práticas de governança corporativa;
Entendimento quanto aos processos de negócio da organização, atuando na gestão direta desses como aspectos determinantes para a obtenção dos resultados;
4
Fonte: Análise comparativa da norma ISO 21500 frente à proposta da ISO 31000, ano base 2008. Disponível em: http://www.valcann.com/publicacoes/analise_21500x31000.pdf | Gestão de Riscos: abordagem de conceitos e aplicações
28
Atuação interna no constante acompanhamento da atuação da organização frente às tendências de mercado.
A gestão dos fatores críticos mencionados consiste no autoconhecimento organizacional, uma vez que as soluções são aplicadas para problemas que são conhecidos. O gerenciamento de riscos vem justamente para preencher essa coluna. A prática de gerir riscos sempre privilegiou garantir a não ocorrência de situações adversas a apontar possíveis fontes de geração de valor competitivo para a empresa. O que é tratado como “Gestão de Oportunidades” traz uma proposta bastante interessante no contexto de que quando as incertezas do negócio são conhecidas e os devidos controles são aplicados, se abrem janelas para oportunidades que irão conceber diferenciais competitivos ao negócio. Duas empresas atuam no segmento industrial de embalagens. Ambas possuem um universo de riscos de negócio inerentes que são ao menos semelhantes, porém não equivalentes, afinal de contas cada organização funciona de uma forma diferente. Mas tratemos que ambas possuam modelos de gestão semelhantes. Um dos processos executados por elas é a importação de matéria prima em um dado período do ano, quando os preços dessas se tornam mais interessantes que os praticados no mercado interno. Por essa condição, ambas tendem a comprar 25% a mais nesse período para estocagem. Considerando que o exemplo se encerre nesse momento, nenhuma das duas empresas consegue obter diferenciais competitivos nesse sentindo uma vez que ambas possuem o conhecimento da estratégia de redução de custo sazonal aplicado na aquisição da matéria prima importada. Seguindo com o exemplo, é sabido que ambas as empresas possuem um risco inerente nessa operação que é a “incapacidade de armazenar a matéria prima importada por indisponibilidade de equipamento de empilhamento”. O exemplo dado considera que ambas as empresas, por comprarem 25% acima do que geralmente compram, precisam alugar um equipamento específico para operar a armazenagem da carga extra e que esse aluguel precisa ser realizado com no mínimo 96 horas de antecedência por existir apenas um fornecedor na região. Até esse momento, ambas as empresas vinham no mesmo nível de gestão da incerteza e estavam sujeitos aos mesmos benefícios e adversidades. Porém, ciente de que a aquisição da matéria prima importada no dado período do ano era financeiramente benéfica, uma das empresas, resolveu aproveitar a oportunidade. Em uma ação de realocação e organização dos estoques, conseguiu viabilizar mais espaço interno para armazenagem. Antecipou o arrendamento da máquina empilhadeira e o | Gestão de Riscos: abordagem de conceitos e aplicações
29
aumentou em 15% a quantidade que normalmente importava. Demandou com isso o aluguel de mais um equipamento. Resultado: a segunda empresa, que alugava o equipamento ao mesmo fornecedor, não previu o risco de depender de um único ofertante de empilhadeira e da possibilidade do concorrente alugar a máquina que era sua. Por fim, não conseguiu realizar a operação de importação dada a indisponibilidade da máquina e viu seu concorrente aumentar sua margem no período, por dispor de matéria prima mais barata. O exemplo mostra o quão são visíveis os resultados gerados pela gestão positiva de riscos, a qual visualiza as incertezas como fontes diretas de oportunidades. Macieira (2007, p.5) afirma: [...] Na gestão de riscos negativos, uma organização analisa suas fontes de risco de forma a identificar os eventos (ameaças) com conseqüências negativas (perdas) sobre os resultados da organização. Em oposição, na gestão de riscos positivos, as mesmas fontes de risco deverão ser analisadas. Mas dessa vez, o foco deverá ser a busca de eventos (oportunidades) com conseqüências positivas (ganhos) que levem a organização a alcançar resultados superiores aos obtidos atualmente. A abordagem é prática no sentido de que os gestores passam a enxergar suas deficiências não como problemas que precisam ser expurgados da organização e sim como situações que precisam ser controladas, e principalmente, analisadas. É possível afirmar que a gestão positiva de riscos trás uma visão bastante humanista ao contexto. É comum se ouvir dizer que as pessoas de sucesso são aquelas que aprenderam com seus erros e através deles buscaram se sobressair para atingir melhores resultados. O princípio é exatamente o mesmo para as organizações. Assim como os riscos negativos, assim chamados pelo autor supracitado, são geridos no sentido de prover uma proteção a capacidade da empresa em gerar o retorno do capital (valor ao acionista), os riscos positivos são fontes de geração de valor (ganhos financeiros) pelos resultados provenientes das oportunidades. Considerando que uma visão positiva de riscos enfatiza justamente o aumento da probabilidade dos eventos de oportunidades, é factível a abordagem de que o risco é fundamental para a operação plena do mercado. Aplicando um exemplo ilustrativo, consideremos que existe apenas um tipo de sapato sendo vendido no mercado e que é extremamente desconfortável. É evidente o evento negativo do “desconforto”. Contudo, com o passar do tempo, um sujeito desenvolve uma forma eficiente | Gestão de Riscos: abordagem de conceitos e aplicações
30
de calçá-lo e cria um segundo modelo, dessa vez considerando o desconforto prévio e concebendo um modelo mais cômodo. O ato de explorar o evento negativo do “desconforto”, criando um modelo de sapato “confortável” configura exatamente o que é a Gestão de Oportunidades. Uma prova clara e evidente que os riscos são importantes para todo e qualquer contexto de mercado, pois através da eficiência e eficácia do processo de gestão dessas incertezas é que se cria valor ao negócio e ao objetivo para o qual ele é aplicado. Em suma, pode-se dizer que risco é a base motivadora da inovação. Através da visualização de demandas atendidas de forma ineficientes – riscos negativos – viabilizam-se produtos e serviços, ou seja, ações de tratamento que resolvam essas adversidades e converta-as em resultado – riscos positivos ou oportunidades.
31
| Gestão de Riscos: abordagem de conceitos e aplicações
3. Considerações finais A publicação do presente artigo objetiva explicitar conceitos básicos do que é a gestão de riscos, tanto para aqueles que objetivam iniciar estudos, pesquisas e aplicações práticas da abordagem, como referência para aqueles que já estão familiarizados com as idéias aqui apresentadas. Minha humilde contribuição literária para esse tema que tende a se tornar cada vez mais freqüente no ambiente corporativo. Meus sinceros agradecimentos àqueles que contribuíram direta ou indiretamente com esse artigo: André Macieira (ELO Group); Angelo Valle (PMI/GT05); Prof. Antonio Luiz (Universidade de Pernambuco); Arthur Maranhão (Fiabesa); Fábio Cabral (Expertise Auditoria); Gerson Maranhão (Fiabesa); Letícia Lopes (Lopes & Consultores Associados); Marcelo Correia (Fiabesa); Paulo Maranhão (Fiabesa); Prim Cabral (MPR Consultoria); Ricardo Baudel (TRE); Valmir Pinheiro (CHESF); Virgínia Pinheiro (CHESF/GT05). Para aqueles que desejarem enviar informações, contribuições, questionamentos ou fazer contato sobre algum dos temas relacionados ao artigo, me coloco a disposição através do email: dcavalcanti@dcavalcanti.com.
Carlos Diego Cavalcanti – dcavalcanti@dcavalcanti.com
32
| Gestão de Riscos: abordagem de conceitos e aplicações
4. Referências CAVALCANTI, Carlos Diego. Impactos dos projetos de adequação à seção 404 da lei SarbanesOxley. Projeto de Pesquisa de Especialização em Administração Financeira – FCAP – UPE, 2008. COSO. Gerenciamento de Riscos Corporativos – Estrutura Integrada. Committee of Sponsoring Organizations of the Treadway Commission, 2007. DTT. Metodologia de Auditoria com foco em Riscos. Deloitte Touche Tohmastu, 2003. IBGC. Código das Melhores Práticas de Governança Corporativa. Instituto Brasileiro de Governança Corporativa, 2007. ISO. ISO/DIS 31.000, Risk management. International Organization for Standardization, 2008. MACIEIRA, André. Gestão baseada em Riscos. Elogroup, 2008. MOURA, B. C. Logística: conceitos e tendências. Vila Nova, 2006. PETERS, Marcos. Implantando e gerenciando a lei Sarbanes Oxley: Governança corporativa agregando valor aos negócios. Editora Atlas, 2007. TALEB, Nassim Nicholas. A lógica do cisne negro. Editora Best Seller, 2008.
33
| Gestão de Riscos: abordagem de conceitos e aplicações
34
| Gestão de Riscos: abordagem de conceitos e aplicações