Baixe o app para aproveitar ainda mais
Prévia do material em texto
Antonio Celso Ribe iRo bRAs il iAno INTELIGÊNCIA EM RISCOS Gestão InteGrada em rIscos corporatIvos Dados Internacionais de Catalogação na Publicação (CIP) (Câmara Brasileira do Livro, SP, Brasil) Brasiliano, Antonio Celso Ribeiro Inteligência em riscos : gestão integrada em riscos corporativos / Antonio Celso Ribeiro Brasiliano. -- São Paulo : Sicurezza, 2016. Bibliografia. ISBN 978-85-87297-66-2 1. Administração de riscos 2. Análise de risco 3. Planejamento estratégico 4. Risco - Administração I. Título. 16-06217 CDD-658.155 Índices para catálogo sistemático: 1. Gestão e análise de riscos corporativos: Planejamento estratégico : Administração de empresas 658.155 Titulo Original: Inteligência em riscos: gestão integrada em riscos corporativos © Copyright 2016 by Antonio Celso Ribeiro Brasiliano 1a edição, Setembro 2016 Todos os direitos reservados. É proibida a reprodução desta obra por qualquer meio, em seu todo ou em partes, sem autorização expressa do autor e do editor. Direitos dessa edição cedidos por contrato para: Sicurezza Gestão de Riscos Corporativos, Editora e Distribuidora Ltda www.sicurezzaeditora.com.br Telefone: 11 5531 6171 Email: editora@sicurezzaeditora.com.br Coordenação: Enza Cirelli Projeto Gráfico : Marina Brasiliano Antonio Celso Ribe iRo bRAs il iAno INTELIGÊNCIA EM RISCOS Gestão InteGrada em rIscos corporatIvos são PAulo - 2016 5 À Silvia, pelo incanSável apoio ao longo de minha vida. aoS meuS filhoS, Té e má, minha maior criação e fonTe de incenTivo. aoS meuS neToS, anTonio e aniTa, guerreiroS da Terceira geração, que renovam conSTanTemenTe a energia da minha vida. 6 eSTa Terceira edição é fruTo daS adapTaçõeS, da evolução, da inovação e Também de correçõeS doS livroS meuS já publicadoS Sobre geSTão e análiSe de riScoS corporaTivoS. eSSe proceSSo, poSSo aTé chamar de “deSTruição criaTiva”, é e deve Ser Sempre conTínuo e Significa para mim momenToS de grande creScimenTo e, ao meSmo Tempo, de grandeS incerTezaS e vaSToS conhecimenToS que foram comparTilhadoS com muiTaS ouTraS peSSoaS além da minha própria. agradeço em eSpecial a algumaS delaS. À enza, pelo fundamenTal SuporTe e apoio em TodoS oS momenToS complicadoS de noSSa caminhada empreSarial e ainda pela compreenSão da minha aTribulada vida. a equipe de conSulToreS da braSiliano que maiS Trabalhou comigo em projeToS: Sandra, guSTavo, alfredo, pedro paulo, daviS, carloS eduardo, perella, jefferSon, KíSSia, lucaS e oS pica-pauS junior e adriSon, pela paciência de “aTurar” um chefe anSioSo. aoS amigoS e colegaS deSTe noSSo mercado vuca, a quem Seria impoSSível nomear individualmenTe, que incenTivaram com palavraS e geSToS. a TodoS meuS alunoS, TanTo oS do curSo de eSpecialização (mba), como oS doS curSoS de exTenSão, grandeS incenTivadoreS deSTa luTa conTínua da peSquiSa. a TodoS oS meuS clienTeS, oS verdadeiroS proTagoniSTaS deSTe Trabalho. AGRADECIMENTOS 7 SUMÁRIO Palavras do autor 8 1. Introdução 13 2. Contexto holístICo da gestão de rIsCos CorPoratIvos 15 3. a gestão de rIsCos CorPoratIvos e os objetIvos estratégICos da organIzação 41 4. a gestão de rIsCos CorPoratIvos e as 3 lInhas de defesa 47 5. Melhores PrátICas: fraMeworks de MerCado 53 6. ConCeIto de rIsCo – aPetIte ao rIsCo 85 7. ConCeIto de rIsCo – rIsCo Inerente e rIsCo resIdual 90 8. Controles Internos e a gestão de rIsCos 93 9. fases do ProCesso de gestão de rIsCos CorPoratIvos – Método brasIlIano 97 10. CoMunICação e Consulta 100 11. Contexto estratégICo 122 12. IdentIfICação dos rIsCos 152 13. análIse e avalIação de rIsCos – Inerente 185 14. análIse e avalIação de rIsCos – resIdual 205 15. resPostas aos rIsCos 215 16. MonItoraMento e análIse CrítICa 233 17. ConClusão 241 referênCIas 243 sobre o autor 247 8 PALAVRAS DO AUTOR O atual contexto de Gestão de Riscos Corporativos das organizações, no Brasil e no mundo, está cada vez mais complexo e dinâmico, exigindo um processo com alta flexibilidade e demandando um nível elevado da área de gestão de riscos, bem como uma maior oportunidade na avaliação contínua e na resposta a potenciais cenários de riscos. Essa é a principal razão da revisão completa do Processo de Gestão e Análise de Riscos Corporativos, Método Brasiliano – Avançado, incluindo a troca do nome para Inteligência em Riscos – Gestão Integrada em Riscos Corporativos, pois as variadas disciplinas de riscos devem estar debaixo do mesmo framework, falando a mesma linguagem, de tal forma que possa haver uma interpretação das informações relevantes gerando a verdadeira inteligência em riscos na organização. Essa Inteligência em Riscos Corporativos, a integração das disciplinas, agrega valor para o negócio e previne contra as incertezas no ambiente de negócios, ajudando, dessa forma, a empresa a priorizar recursos. Outro IN TE LI G ÊN C IA E M R IS C O S G es tã o I n te G r a d a e m r Is c o s c o r p o r at Iv o s 9 desafio prioritário que se coloca é integrar a estrutura de gestão de riscos (GR) aos processos e às estratégias da organização. Além de mensurar os riscos da empresa, o objetivo destacado pelas organizações é a criação de uma função integrada às estratégias da organização, que gere e preserve valor aos acionistas. Este livro, totalmente remodelado, com novos critérios e novas ferramentas, alinhadas e integradas com os três frameworks essenciais: a ISO 31000, o COSO I – Controles Internos, Revisado em 2013 e COSO II, ERM. O motivo da integração das três estruturas em um só framework é que o ambiente de negócio, hoje, passa por fortes mudanças, exigindo dos gestores e de seus administradores um modelo de gestão de riscos flexível, mas ao mesmo tempo consistente e estruturado, a fim de atender as regulações e as exigências do mercado. Hoje podemos dizer que o mercado empresarial passa pelo que chamamos de VUCA, uma sigla utilizada para descrever a volatilidade (volatility), a incerteza (uncertainty), a complexidade (complexity) e a ambiguidade (ambiguity) nos ambientes e nas situações de negócio. VUCA em inglês, VICA em português. Oriunda do vocabulário militar americano, o uso comum do termo VUCA começou no final dos anos 1990. O conceito VUCA expressa a complexidade da nossa sociedade contemporânea, devido à interdependência e a globalização – situações que antes tinham pouco impacto agora refletem em toda sociedade. Por exemplo, a catástrofe de Fukushima, em 2011, fez as montadoras japonesas no Brasil pararem suas linhas produtivas devido à falta de peças. Em outras palavras, a interdependência é uma realidade no mundo globalizado e deve fazer parte da gestão de riscos. Partindo dessa abordagem, o US Army War College formulou um programa de formação para o desenvolvimento das lideranças militares, ao nível estratégico, o qual contempla a adoção de metodologias adequadas para enfrentar o VUCA e fazer frente a um ambiente extremamente agressivo e predador. O US Army War College caracteriza os componentes desse contexto envolvente do seguinte modo: - Volatilidade: é marcada pelo ritmo elevado com que ocorrem mudanças com impacto na vida das sociedades desenvolvidas e, concomitantemente, nas suas organizações. Assim, no atual contexto da Era da Informação e do Conhecimento, os dados e as evidências existentes no momento presente podem não ser suficientes para a tomada de decisão. Antecipar e prever o que pode acontecer, por exemplo, durante o período de execução de um projeto, são dimensões, por vezes, absolutamente decisivas. - Incerteza: é uma característica do contexto marcada pela necessidade de se assumir que o conhecimento sobre uma dada situação é sempre incompleto, potencializando, desse modo, o aparecimento de opiniões divergentes sobre a melhor IN TE LI G ÊN C IA E M R IS C O S G es tã o I n te G r a d a e m r Is c o s c o r p o r at Iv o s 10estratégia a seguir, exigindo uma cuidadosa análise do risco. De fato, é cada vez mais difícil levantar cenários futuros com base em acontecimentos passados. - Complexidade: característica do contexto envolvente que está associada à dificuldade de compreender o resultado das interações das várias componentes de um sistema, uma vez que estas raramente são de natureza mecanicista e linear. A Teoria da Complexidade vem, desse modo, mostrar a interdependência essencial de todos os fenômenos. Nesse ponto, a assunção de fenômenos complexos, no seio de uma organização, impõe a necessidade de admitir interações não lineares entre os componentes do sistema, com consequências que se multiplicam rápida e imprevisivelmente. Carac- terística mais marcante dos séculos XX e XXI. - Ambiguidade: descreve um tipo específico de incerteza que resulta de diferenças na interpretação quando as evidên- cias existentes são insuficientes para esclarecer o significado de um determinado fenômeno. Na prática, no âmbito da gestão das organizações, a consequência desse fato é a elevada probabilidade de as lideranças poderem interpre- tar, legitimamente, eventos de formas diferentes, aumentando significativamente a probabilidade de erros na interpre- tação desses eventos. A imprecisão da realidade, o potencial de erros de leitura, os significados misto de condições; a falta de ação, confusão entre causa e efeito e a falta de clareza. Para Greg Hutchins, especialista americano em gestão da qualidade e gestão de risco: “nós estamos saindo de um mundo linear de saber a solução dos problemas e tomar uma decisão clara para um mundo dinâmico de entender o sentido, de tomada de decisão baseada no risco, em condições VUCA”. O mundo VUCA ou VICA só pode ser gerenciado com base em riscos. Daí a importância de todos os gestores saberem e/ou possuírem a competência de lidar com as incertezas. O contexto VUCA é baseado na própria gestão de riscos, lidando com cenários complexos e altamente dinâmicos, em que se exige dos gestores: - visão do todo e não da parte; o gestor tem que enxergar a floresta e não a árvore; - grande velocidade na tomada de decisão (o movimento é mais importante, não podemos ficar parados, se ficarmos o inimigo mata! O ótimo é inimigo do bom; conhecem essa máxima?); - não ortodoxia, pensar fora da caixa, não dogmatizar soluções, ser criativo diante das incertezas; IN TE LI G ÊN C IA E M R IS C O S G es tã o I n te G r a d a e m r Is c o s c o r p o r at Iv o s 11 - colaboração e cocriação entre as equipes, redes de colaboração, estar conectado para o entendimento rápido do contexto; - agilidade, saber mover-se com grande flexibilidade, possuir estrutura leve para poder carregar. Para se vencer no mundo VUCA, é preciso possuir esses preceitos, o velho novo conceito da Gestão de Riscos. Por essa razão que a Gestão de Riscos deve ser internalizada nas empresas de forma a possuir capilaridade em todos os processos e respectivos níveis organizacionais. Com isso a média e a alta gerências das organizações estarão aptas a lidarem com o mundo VUCA e, dessa forma, a empresa terá uma grande vantagem competitiva frente aos seus concorrentes. Após um grande período de economia pujante, o temor de uma recessão voltou a assombrar nós, brasileiros. As incertezas econômicas e políticas impulsionam esse cenário desafiador no Brasil, e ainda não há uma perspectiva clara de quanto tempo ele durará e qual é sua real profundidade. Além do esgotamento de um modelo de crescimento com base no consumo, o país convive com inseguranças que afetam o mercado de forma mais ampla, como custo de energia, escassez de recursos hídricos, falta de profissionais qualificados e mudança demográfica dos consumidores. Some-se a isso a volatilidade do câmbio, o aumento da taxa de juros e a pressão inflacionária, e aí temos um “VUCA” perfeito para gerenciar. Crises são cíclicas, inevitáveis e frequentemente desafiadoras, mas sempre é possível aos líderes aproveitar as oportunidades vindas com elas para obterem uma vantagem competitiva e posicionarem da melhor forma suas empresas para o momento de retomada do crescimento. Para apoiar a gestão da organização nesse caminho desafiador, é que apresento meu livro, o qual traz reflexões para apoiar a travessia desse período, mantendo-nos atentos às oportunidades que possam surgir com a crise. O livro reúne as informações e as orientações para que os gestores de riscos, de qualquer disciplina, possam, de forma prática e objetiva, elaborar a sua gestão de riscos, enxergando e compreendendo as incertezas do futuro. Em 2015, o Brasil teve inúmeros exemplos de concretização de riscos corporativos com consequências massivas para as suas corporações e respectivas comunidades, por falta direta ou indireta de um processo estruturado de gestão de riscos. É uma motivação para que os profissionais e os líderes repensem as causas e não cometam mais os erros crassos que potencializaram os eventos. IN TE LI G ÊN C IA E M R IS C O S G es tã o I n te G r a d a e m r Is c o s c o r p o r at Iv o s 12 Encerro este prefácio pedindo que os leitores façam uma reflexão acerca das palavras do explorador da Antártica Norman Vaughan, quando tiverem dificuldade de colocar em prática o processo ou encontrar resistência de seus pares ou superiores: “Sonhe grande e ouse fracassar.” Não tenhamos medo neste mundo de incerteza, se temos convicção, vamos em frente! Sucesso a todos! Antonio Celso Ribeiro Brasiliano abrasiliano@brasiliano.com.br Setembro de 2016 13 As empresas devem estar comprometidas com seus clientes, acionistas, parceiros comerciais e com a sociedade em que atua, focando esforços em reduzir os riscos existentes e/ou os que possam se manifestar no futuro e também na maximização das oportunidades de negócio. Para tanto, é necessário conhecer os riscos que a afetam e seus impactos sobre os seus negócios. Os riscos permeiam todos os níveis das atividades do negócio e, se não forem gerenciados adequadamente, poderão resultar em perdas financeiras, deterioração da imagem e reputação ou desencadear uma crise. O gerenciamento de riscos tem se tornado um assunto de suma importância no meio empresarial, uma vez que a conscientização da necessidade de administração dos riscos potenciais é, hoje, uma questão de competitividade e sobrevivência. 1. INTRODUÇÃO IN TE LI G ÊN C IA E M R IS C O S G es tã o I n te G r a d a e m r Is c o s c o r p o r at Iv o s 14 Para que seja eficaz, o gerenciamento de riscos deve fazer parte da cultura de qualquer empresa e deve estar inserido em sua filosofia, nas práticas e nos processos de negócio. O Método Avançado de Gestão de Riscos Corporativos – Método Brasiliano fornece um processo para a identificação e avaliação dos riscos. Esse método descreve os passos a serem percorridos, as ferramentas a serem utilizadas, os critérios a serem aplicados tanto na mensuração da probabilidade como do impacto, além de estabelecer, tendo em vista a criticidade e o apetite ao risco, a priorização das ações a serem executadas. É uma ferramenta de gestão, integrada com as três melhores e mais utilizadas práticas de mercado: ISO 31000, COSO I e COSO II. Portanto, é uma das únicas metodologias que integrou os três conceitos em um único framework, facilitando, dessa forma, a utilização por parte dos gestores. 15 2.1 Origem da gestãO de riscOs A origem da gerência de risco teve seu início efetivo nos Estados Unidos e em alguns países da Europa, logo após a Segunda Guerra Mundial, quando os responsáveis pela segurança das grandes empresas, bem como os responsáveis pelos seguros, começaram a examinar a possibilidade de reduzir os gastos com prêmios de seguro e aumentar a proteção da empresa, frente aos perigos reais e potenciais. Só seria possível atingir tais objetivos – reduçãodos custos – com uma profunda análise das situações de risco. Além da avaliação das probabilidades de perda, tornou-se necessário identificar quais riscos poderiam ser considerados inevitáveis e quais poderiam ter a chance diminuída, de concretização, de forma direta. Em cima desse 2. CONTEXTO HOLÍSTICO DA GESTÃO DE RISCOS CORPORATIVOS IN TE LI G ÊN C IA E M R IS C O S G es tã o I n te G r a d a e m r Is c o s c o r p o r at Iv o s 16 estudo detalhado, levantou-se a relação custo x benefício das medidas de segurança a serem implantadas, bem como a situação financeira da empresa, para escolha adequada do nível de segurança a ser atingido. A partir da década de 1970, o gerenciamento de riscos ligado à área de crédito e à área financeira tomou uma proporção grande, tendo em vista os sinais dos tempos de mudança. A desregulamentação, a globalização e a desintermediação mudaram a definição dos mercados e alteraram os aspectos econômicos das operações desses mercados. Uma pesquisa recente, realizada pela British Bankers’ Association (BBA), levantou que 70% dos bancos do Reino Unido consideravam seus riscos operacionais tão importantes quanto os riscos de crédito e de mercado. Quase um quarto desses bancos havia experimentado perdas relacionadas a operações de US$ 1,6 milhões de dólares. Dados históricos de perdas da Operational Risk Inc (ORI) sugerem que em mais de 50 casos instituições individuais perderam mais de US$ 500 milhões cada uma, enquanto que, em 30 casos, empresas perderam acima de US$ 1 bilhão cada uma. Nesse enfoque, o entendimento de risco corporativo começou a tomar outro corpo dentro das organizações. Embora o risco acompanhe o homem e seja inerente à sua natureza, as organizações começaram a observar e sentir que nem todos os riscos eram iguais. O que ocorre quando se faz uma viagem de avião não é igual ao de uma dona de casa nas suas tarefas domésticas, nem esses dois eventos são comparáveis ao de um navegante solitário que cruza o Atlântico. A era da crença excessiva na racionalidade gerencial parece ter chegado ao fim. Hoje, sabe-se que o mundo organizacional é mais complexo e ambíguo do que se pensava. A atuação gerencial, hoje, convive com a imprevisibilidade e com a ambiguidade. E um dos elementos principais dessa convivência é ter que tomar decisões baseadas em informações incompletas e/ou em constante mudança. O mundo VUCA! Os acontecimentos em 2001, desde o ataque terrorista de 11 de setembro até as grandes fraudes nas corporações americanas; e, em 2015, no Brasil, os casos de fraudes e corrupção passaram a sensibilizar os decisores quanto à necessidade de monitorar, de forma constante, as variáveis internas e externas às empresas. Variáveis essas que poderiam influenciar sua Cadeia de Valor, ou seja, a necessidade de administrar riscos, tanto reais como os potenciais, passa a ser, hoje, uma questão de competitividade e sobrevivência. Num cenário em que as mudanças são velozes, as instabilidades, permanentes, e há um predomínio de alta imprevisibilidade, a formulação de estratégias organizacionais já não pode combinar com métodos tradicionais de projeção e análise. Mais uma vez o mundo VUCA comparece integrado com a gestão de riscos, visando gerenciar a incerteza. villa Realce IN TE LI G ÊN C IA E M R IS C O S G es tã o I n te G r a d a e m r Is c o s c o r p o r at Iv o s 17 2.2 a NOva FuNçãO dO gereNciameNtO de riscOs cOrpOrativOs – iNteligêNcia em riscOs Cabe, antes de prosseguir, definirmos a Gerência de Riscos, sob o aspecto do seguro, no qual quase tudo começou, vejamos: “O processo para conservar o poder de ganho e o patrimônio da empresa (ou pessoa) pela minimização do efeito financeiro de perdas acidentais” (Jaime Cristy). É preciso, também, estabelecer a distinção entre risco puro e risco especulativo. Os vários autores e estudiosos, principalmente norte-americanos, da Gerência de Riscos, digamos, “tradicional”, têm classificado os riscos que podem atingir uma empresa, basicamente, em riscos especulativos (ou dinâmicos) e riscos puros (ou estáticos). A diferença principal entre essas duas categorias está no fato de que os riscos especulativos envolvem uma chance de ganho ou uma mesma possibilidade de perda; ao passo que os riscos puros envolvem somente uma possibilidade de perda, não existindo nenhuma chance de ganho ou de lucro. Um exemplo clássico, que mostra essa diferença, é o do proprietário de um veículo, cujo risco (puro) que está associado a ele é o da perda potencial por colisão. Se ocorrer eventualmente uma colisão, o proprietário sofrerá, no mínimo, uma perda financeira. Se não ocorrer nenhuma colisão, o proprietário não terá, obviamente, nenhum ganho. Hoje em dia a visão e o escopo do gerenciamento de risco corporativo ficou muito mais amplo, muito mais holístico, abrangendo inúmeras disciplinas nas empresas, decorrentes das atividades desenvolvidas nas organizações. A alta direção deve ter uma visão consolidada de suas exposições, sejam operacionais, sejam legais, financeiras ou estratégicas. Para esse fim, é necessária a criação de uma área específica, com uma estrutura e recursos definidos. As atividades de um departamento de gerenciamento de riscos corporativos, dentro do enfoque moderno, abrange inúmeras disciplinas. Muitas dessas atividades são comuns a uma ampla gama de funções administrativas. Por essa razão, é que esse departamento deve possuir processo sistêmico e contínuo de identificação de exposição, medição, análise, controle, prevenção, redução, avaliação e financiamento de riscos. Essa nova função ajuda a integrar riscos financeiros e não financeiros tradicionais a seguros e responsabilidade legal. É uma área que possui uma grande IN TE LI G ÊN C IA E M R IS C O S G es tã o I n te G r a d a e m r Is c o s c o r p o r at Iv o s 18 abrangência, mas com muitas interações por meio de diferentes disciplinas e, portanto, com uma necessidade de uma abordagem integrada. Algumas das disciplinas de riscos que devem interagir entre si são: 1) RISCOS ESTRATÉGICOS 2) RISCOS OPERACIONAIS – LIGADOS À OPERAÇÃO 3) RISCOS NOS PROCESSOS 4) RISCOS DE TECNOLOGIA DA INFORMAÇÃO 5) RISCOS DE MEIO AMBIENTE 6) RISCOS DE SAÚDE E SEGURANÇA DO TRABALHADOR 7) RISCOS DE SEGURANÇA EMPRESARIAL 8) RISCOS FINANCEIROS 9) RISCOS LEGAIS 10) RISCOS SOCIAIS 11) RISCOS DE SUSTENTABILIDADE 12) RISCOS DE COMUNICAÇÃO 13) RISCOS DE FRAUDES 14) RISCOS NA CADEIA LOGÍSTICA 15) RISCOS NO PROJETO 16) OUTRAS TANTAS DISCIPLINAS IN TE LI G ÊN C IA E M R IS C O S G es tã o I n te G r a d a e m r Is c o s c o r p o r at Iv o s 19 Essas disciplinas devem estar incorporadas com um único framework e com políticas integradas, de modo que a empresa fale uma mesma linguagem. Esse é o principal desafio das empresas: integrar as disciplinas para que possam possuir a chamada Inteligência em Riscos Corporativos – IRC. O gerenciamento de riscos, sob esse enfoque, contribui para o fortalecimento e a eficácia operacional e financeira da empresa, na medida em que proporciona mecanismos de alocação de recursos para o seu emprego mais eficiente e eficaz, atingindo de forma direta a efetividade. Portanto, a função do gestor de riscos é de integrar disciplinas e gerenciar as informações das inúmeras disciplinas de riscos. O gestor de riscos tem que relacionar os diversos riscos e verificar as interdependências entre eles. Hoje por si só não existe mais a possibilidade de só ter como ferramenta de gestão a Matriz de Riscos, mas deve também ter a Matriz de Impactos Cruzados para ver a motricidade entre riscos. Segundo o Fórum Econômico Mundial, em seu Relatório de Riscos Globais de 2015 ressalta: “A edição 2015 do relatório de Riscos Globais completa uma década destacando os riscos a longo prazo mais significantes ao redor do mundo,extraindo as perspectivas de especialistas e dos tomadores de decisões globais. Nesse tempo, a análise mudou da identificação dos riscos a pensar através das interconexões dos riscos e os potenciais efeitos-cascata que resultarão deles”. Podemos então afirmar que a função do gestor de riscos corporativos é possuir Inteligência em Riscos, levado para a alta administração os riscos considerados mais críticos, já com as conexões feitas. Com o modelo a seguir entendemos a Inteligência em Riscos em integrar soluções e indicadores, fornecendo para os decisores a visão holística dos riscos considerados críticos e as respectivas soluções integradas, com um farol de monitoramento de acompanhamento das evoluções. Dessa forma a organização possuirá verdadeiramente condições operacionais de se antecipar de forma objetiva a possíveis riscos, trabalhando de forma preventiva e não só de forma reativa. A organização ganha com isso velocidade e competitividade, fatores-chave de sucesso em um mundo VUCA! villa Realce IN TE LI G ÊN C IA E M R IS C O S G es tã o I n te G r a d a e m r Is c o s c o r p o r at Iv o s 20 A área de GRC como integradora e analista das informações estratégicas de riscos corporativos. A abrangência da área da Gestão de Riscos Corporativos é muito grande, deixando de ser somente uma abordagem financeira e regulamentar – trabalhista, tributária e de investimento. A tendência é que a área de gestão de riscos caminhe para fatores de interesse de seus stakeholders, com forte atenção à imagem e à reputação das organizações. Por essa razão a amplitude cresceu e acabou abrangendo a organização como um todo, envolvendo as médias gerências como responsáveis na gestão de riscos corporativos. Dessa maneira a área de riscos passa atuar como uma área de Inteligência em Riscos, ou seja, de interpretação das informações e utilização de ferramentas estratégicas. A figura abaixo demonstra esta abrangência nas áreas e processos das organizações, incluindo os fornecedores críticos/estratégicos. IN TE LI G ÊN C IA E M R IS C O S G es tã o I n te G r a d a e m r Is c o s c o r p o r at Iv o s 21 Abrangência da área de Gestão de Riscos Corporativos nas empresas. IN TE LI G ÊN C IA E M R IS C O S G es tã o I n te G r a d a e m r Is c o s c o r p o r at Iv o s 22 Outro ponto a destacar na nova função do Gerenciamento de Riscos Corporativos e do seu gestor é o foco de atuação, que primordialmente é o da prevenção, o da antecipação, mas também, como resposta aos cenários de riscos, tem que ter estruturado respostas a emergências, descontinuidade de negócio e de crises. Atualmente o mercado identificou a necessidade de uma abordagem integrada à gestão de riscos, envolvendo temas como mercado, estratégia, modelo de negócio, segurança cibernética, anticorrupção e reputação corporativa. Essa abordagem demanda compreender e responder a interconectividade entre riscos de diferentes naturezas à medida que, e muito impulsionado pela tecnologia, os mais variados fatores podem gerar cenários de descontinuidade e de crises, impactando as operações e os respectivos resultados das empresas no curto, médio e longo prazo. Frente a esse novo contexto, mundo VUCA, torna-se imperioso que as empresas intensifiquem esforços no aprimoramento nas estruturas integradas – Inteligência em Riscos –, em que o gestor possa enxergar e trabalhar tanto a prevenção como as contingências. Na verdade a função do gestor de riscos é de um “chapéu de dois bicos”: de um lado a prevenção e do outro as respostas para as emergências, continuidade de negócio e crises empresariais. Tudo isso integrado em um único framework. A função da gestão de riscos, vista sob a ótica estratégica, atua no aumento da resiliência empresarial. Nesse sentido, a maturidade dessa função interfere diretamente na qualidade e no entendimento global dos riscos, sejam eles internos, sejam eles externos, que podem produzir relevantes cenários de descontinuidade e ou de crises. O grande passo da gestão de riscos está relacionado à definição e à qualificação de um panorama dos potenciais cenários de descontinuidade e de crise, que podem e ou devem serem gerados com base na avaliação geral de riscos operacionais, legais e estratégicos, levando em consideração a linguagem comum de riscos e o impacto para as operações e a reputação da empresa. Essa base de potenciais cenários de descontinuidade e ou de crises deverão orientar a estruturação dos planejamentos das respostas estruturadas e respectivas alternativas. É nesse momento que deve se definir, com extrema clareza, o nível de complexidade e dimensão do impacto no contexto (empresa e sociedade como um todo). No quadro a seguir podemos visualizar uma visão holística do processo preventivo e contingencial da função do gestor de riscos do século XXI. villa Realce IN TE LI G ÊN C IA E M R IS C O S G es tã o I n te G r a d a e m r Is c o s c o r p o r at Iv o s 23 Ocorre o evento Processos Serviços Vidas em perigo Indisponíveis Recuperação Identi�cação Análise de Riscos Acionamento das respostas Continuidade de Negócios PREVENÇÃO PREMISSA: Saber quais são os cenários de riscos!! Protocolos de emergências Ações Imediatas Ações e recursos Emergenciais Avaliação de Danos Procedimentos Imediatos Procedimentos de Continuidade Operacional Operacionalização da Recuperação Retomada Operacional Ações nas causas raízes dos Riscos Visão holística do processo macro de GRC, incluindo a prevenção, emergência, crise, continuidade e a recuperação dos negócios. 2.3 categOrias de riscOs Não há uma fórmula para classifi car riscos corporativos. Não existe uma classifi cação de riscos que seja consensual, exaustivo e aplicável a todas as organizações; a classifi cação deve ser desenvolvida de acordo com as características de cada organização, contemplando as particularidades da indústria, do mercado e do setor de atuação. IN TE LI G ÊN C IA E M R IS C O S G es tã o I n te G r a d a e m r Is c o s c o r p o r at Iv o s 24 Por exemplo: os estoques de materiais de consumo são menos relevantes para um banco do que para uma indústria, na qual pode representar um dos principais fatores de risco. Analogamente, as variáveis relacionadas ao “risco de mercado” são cruciais para um banco e podem não ser tão relevantes para determinada organização manufatureira. Portanto, dependendo do tipo de segmento que a empresa atua podemos ter as seguintes categorias de riscos: 2.3.1 riscO de mercadO O risco de mercado pode ser definido como uma medida numérica da incerteza relacionada aos retornos esperados de um investimento, em decorrência de variações em fatores como taxas de juros, taxas de câmbio, preços de ações e commodities. As principais subáreas do risco de mercado são: a) Risco de Taxas de Juros Pode ser definido como o risco de perda no valor econômico de uma carteira, decorrente dos efeitos de mudanças adversas das taxas de juros. Podemos citar como exemplos: 1) Eventual perda do valor de mercado de títulos públicos (BBCs, brady bonds, etc.) ou privados (corporate eurobonds, etc.); 2) Encarecimento do custo de funding; 3) Queda da taxa de reinvestimento. b) Risco de Taxas de Câmbio Pode ser definido como o risco de perdas devido a mudanças adversas nas taxas de câmbio. Dois exemplos: 1) Variação nos preços de NTN-Ds, NBC-Es, NBC-Fs, de ativos internacionais negociados em moeda estrangeira, devido à apreciação/ depreciação relativa de moedas; 2) Descasamentos em uma carteira indexada a alguma moeda estrangeira. c) Risco de Commodities Pode ser definido como o risco de perdas devido a mudanças no valor de mercado de carteiras de commodities. Exemplo: Variação nos preços de carteiras constituídaspor ouro, prata, platina, soja, café, boi gordo, cacau, etc. d) Risco de Ações Pode ser definido como o risco de perdas devido a mudanças no valor de mercado de carteiras de ações. Exemplo: Variação nos preços de carteiras constituídas por ações como Petrobras PN, Vale PN, Eletrobras PNB, ADRs de Usiminas PN, etc. IN TE LI G ÊN C IA E M R IS C O S G es tã o I n te G r a d a e m r Is c o s c o r p o r at Iv o s 25 e) Risco de Liquidez Pode ser definido como o risco de perdas devido à incapacidade de se desfazer rapidamente uma posição, ou obter “funding”, devido às condições de mercado. Exemplos: 1) Carteiras de eurobonds brasileiros, ações de segunda e terceira linhas, alguns contratos futuros negociados na BM&F, etc.; 2) Situações em que não é possível “rolar” dívidas nos mercados financeiros; 3) Ajustes de margens que venham a consumir a liquidez da instituição. f) Risco de Derivativos Pode ser definido como o risco de perdas devido ao uso de derivativos (seja para especulação, seja para hedge). Exemplo: Variação no valor de posições de contratos de swaps, futuros, a termo, opções, etc. g) Risco de Hedge Pode ser definido como o risco de perdas devido ao uso inapropriado de instrumentos para hedge. Exemplos: 1) Perdas por falta de rebalanceamento dinâmico de hedges em resposta a movimentos bruscos no mercado; 2) Hedge subótimo de ativos/passivos (opções cambiais, brady bonds, etc.). h) Risco de Concentração (mercado) Pode ser definido como o risco de perdas devido à não diversificação do risco de mercado de carteiras de investimentos. Exemplos: Investimentos excessivamente concentrados em poucos indexadores, moedas, ativos, vencimentos, etc. 2.3.2 riscO de créditO O risco de crédito pode ser definido como uma medida numérica da incerteza relacionada ao recebimento de um valor contratado/compromissado, a ser pago por um tomador de um empréstimo, contraparte de um contrato ou emissor de um título, descontadas as expectativas de recuperação e realização de garantias. As principais subáreas do risco de crédito são: a) Risco de Inadimplência Pode ser definido como o risco de perda pela incapacidade de pagamento do tomador de um empréstimo, contraparte de um contrato ou emissor de um título. Exemplos: 1) Não pagamento de juros e/ou principal de crédito pessoal, empréstimos IN TE LI G ÊN C IA E M R IS C O S G es tã o I n te G r a d a e m r Is c o s c o r p o r at Iv o s 26 para pessoa jurídica, cartão de crédito, leasing, etc.; 2) Não pagamento de juros e/ou principal de títulos de renda fixa (nacionais/internacionais, públicos/privados) pelo emissor. b) Risco de Degradação de Crédito Pode ser definido como o risco de perdas pela degradação da qualidade creditícia do tomador de um empréstimo, contra- parte de uma transação ou emissor de um título, levando a uma diminuição no valor de suas obrigações. Exemplo: Perdas em títulos soberanos e/ou corporativos pela redução do rating do país emissor. c) Risco de Degradação das Garantias Pode ser definido como o risco de perdas pela degradação da qualidade das garantias oferecidas por um tomador de um empréstimo, contraparte de uma transação ou emissor de um título. Exemplos: 1) Empréstimos cujas garantias não mais existam; 2) Depreciação no valor das garantias depositadas em bolsas de derivativos. d) Risco Soberano Pode ser definido como o risco de perdas pela incapacidade de um tomador de um empréstimo, contraparte de uma transação ou emissor de um título, em honrar seus compromissos em função de restrições impostas por seu país-sede. Exemplo: Transações que envolvam transferências internacionais de títulos ou de câmbio. e) Risco de Financiador Pode ser definido como o risco de perdas por inadimplência do financiador de uma transação, potencializada quando o contrato não contempla acordo de liquidação por compensação de direitos e obrigações (netting agreement). Exemplo: Repurchase transactions que não contemplem o netting de direitos/obrigações (ao contrário dos ISMA Agreements). f) Risco de Concentração (crédito) Pode ser definido como o risco de perdas em decorrência da não diversificação de risco de crédito de investimentos. Exem- plos: 1) Concentrar empréstimos em poucos setores da economia, classes de ativos, etc.; 2) Possuir parte substancial dos passivos de um devedor (por exemplo, um emissor de debêntures). IN TE LI G ÊN C IA E M R IS C O S G es tã o I n te G r a d a e m r Is c o s c o r p o r at Iv o s 27 2.3.3 riscO OperaciONal O risco operacional pode ser definido como uma medida numérica da incerteza dos retornos de uma instituição, caso seus sistemas, práticas e medidas de controle não sejam capazes de resistir a falhas humanas, danos à infraestrutura de suporte, utilização indevida de modelos matemáticos ou produtos, alterações no ambiente dos negócios, ou a situações adversas de mercado. As principais subáreas do risco operacional são: a) Risco de Overload Pode ser definido como o risco de perdas por sobrecargas nos sistemas elétrico, telefônico, de processamento de dados, etc. Exemplos: 1) Sistemas não operacionais em agências bancárias, por acúmulo de informação nos canais de comuni- cação com a central de atendimento; 2) Linhas telefônicas constantemente ocupadas. b) Risco de Obsolescência Pode ser definido como o risco de perdas pela não substituição frequente dos equipamentos e softwares antigos. Exemplos: 1) Versões atualizadas de softwares não compatíveis com hardware antigo; 2) Impossibilidade de integrar sistemas com- putacionais desenvolvidos em versões de softwares diferentes. c) Risco de Presteza e Confiabilidade Pode ser definido como o risco de perdas, pelo fato de informações não poderem ser recebidas, processadas, arma- zenadas e transmitidas em tempo hábil e de forma confiável. Exemplos: 1) Situações em que informações consolida- das sobre exposição de um banco não podem ser obtidas em tempo hábil para análise; 2) Impossibilidade de prestar informações precisas em determinados horários devido à atualização de bancos de dados ocorrer por processamento em batch. d) Risco de Equipamento Pode ser definido como o risco de perdas por falhas nos equipamentos elétricos, de processamento e transmissão de da- dos telefônicos, de segurança, etc. Exemplos: 1) Redes de micros contaminados por vírus; 2) Discos rígidos danificados; 3) Telefonia não operacional por falta de reparos. IN TE LI G ÊN C IA E M R IS C O S G es tã o I n te G r a d a e m r Is c o s c o r p o r at Iv o s 28 e) Risco de Erro Não Intencional Pode ser definido como o risco de perdas em decorrência de equívoco, omissão, distração ou negligência de funcionários. Exemplos: 1) Mal atendimento de correntistas (má vontade, falta de informação, etc.); 2) Posicionamento da tesouraria no mercado contrário ao especificado pelo Comitê de Investimentos. f) Risco de Fraudes Pode ser definido como o risco de perdas em decorrência de comportamentos fraudulentos (adulteração de controles, descumprimento intencional de normas da empresa, desvio de valores, divulgação de informações erradas, etc.). Ex- emplos: 1) Desvio de dinheiro de agência bancária; 2) Aceitação de “incentivos” de clientes para conceder crédito em valores mais elevados. g) Risco de Qualificação Pode ser definido como o risco de perdas pelo fato de funcionários desempenharem tarefas sem qualificação profissional apropriada à função. Exemplos: 1) Uso de estratégias de hedge com derivativos, sem conhecimento por parte do operador das limitações desta; 2) Cálculo de perdas e lucros em carteiras, sem conhecimento dos mercados; 3) Iniciar operações em mercados “sofisticados”, sem contar com equipes (back-office e front-office) devidamente preparadas. h) Risco de Produtos e Serviços Pode ser definido como o risco de perdas em decorrência da venda deprodutos ou prestação de serviços ocorrer de forma indevida, ou sem atender às necessidades e demandas de clientes. Exemplos: 1) Envio de cartões de crédito sem consulta prévia ao cliente; 2) Recomendar a clientes de perfil conservador o investimento em fundos de derivativos alavancados diante de um bom desempenho no passado recente desses mesmos fundos. i) Risco de Regulamentação Pode ser definido como o risco de perdas em decorrência de alterações, impropriedades ou inexistência de normas para controles internos ou externos. Exemplos: 1) Alteração de margens de garantia ou de limites de oscilação em bolsas de derivativos sem aviso antecipado ao mercado; 2) Front-office responsável pela operação do back-office. IN TE LI G ÊN C IA E M R IS C O S G es tã o I n te G r a d a e m r Is c o s c o r p o r at Iv o s 29 j) Risco de Modelagem Pode ser definido como o risco de perdas pelo desenvolvimento, pela utilização ou interpretação incorreta dos resultados fornecidos por modelos, incluindo a utilização de dados incorretos. Exemplos: 1) Utilizar software comprado de terceiros, sem conhecimento de suas limitações; 2) Utilizar modelos matemáticos, sem conhecimento de suas hipóteses simplificadoras. k) Risco de Liquidação Financeira Pode ser definido como o risco de perdas em decorrência de falhas nos procedimentos e controles de finalização das transações. Exemplos: 1) Envio e/ou recebimento de divisas em praças com diferentes fusos horários, feriados, regras operacionais, etc. l) Risco Sistêmico Pode ser definido como o risco de perdas devido a alterações no ambiente operacional. Exemplos: 1) Alteração abrupta de limites operacionais em bolsas, levando todas as instituições financeiras a dificuldades; 2) Modificação repentina de base de cálculo de tributos corporativos. m) Risco de Concentração (operacional) Pode ser definido como o risco de perdas por depender de poucos produtos, clientes e/ou mercados. Exemplo: Bancos que só operem financiando clientes de determinado segmento (por exemplo, setor automotivo, crédito a lojistas, etc.). n) Risco de Imagem Pode ser definido como o risco de perdas em decorrência de alterações da reputação com clientes, concorrentes, órgãos governamentais, etc. Exemplo: Boatos sobre a saúde de uma instituição, desencadeando corrida para saques. o) Risco de Catástrofe Pode ser definido como o risco de perdas devido a catástrofes (naturais ou não). Exemplos: 1) Desastres naturais (enchen- tes) que dificultem a operação diária da instituição ou de áreas críticas como centros de processamento, de telecomuni- cações, etc. 2) Destruição do patrimônio da instituição por desastres que abalem a estrutura civil de prédios (colisão de aviões, caminhões, etc.), incêndios, etc. IN TE LI G ÊN C IA E M R IS C O S G es tã o I n te G r a d a e m r Is c o s c o r p o r at Iv o s 30 2.3.4 riscO legal | cONFOrmidade O risco legal pode ser definido como uma medida numérica da incerteza dos retornos de uma instituição, caso seus contratos não possam ser legalmente amparados por falta de representatividade por parte de um negociador, por documentação insuficiente, insolvência ou ilegalidade. As principais subáreas do risco legal são: a) Risco de Legislação Pode ser definido como o risco de perdas decorrentes de sanções por reguladores e indenizações por danos a terceiros por violação da legislação vigente. Exemplos: 1) Multas por não cumprimento de exigibilidades; 2) Indenizações pagas a clientes por não cumprimento da legislação; 3) Interdição de projetos, obras, empresas por violação da legislação vigente; 4) Processo crime para uso administradores por violação. b) Risco Tributário Pode ser definido como o risco de perdas devido à criação ou nova interpretação da incidência de tributos. Exemplos: 1) Criação de impostos novos sobre ativos e/ou produtos; 2) Recolhimento de novas contribuições sobre receitas, não mais sobre lucros. c) Risco de Contrato Pode ser definido como o risco de perdas decorrentes de julgamentos desfavoráveis por contratos omissos, malredigidos ou sem o devido amparo legal. Exemplos: 1) Pessoa sem poder para assinar contratos representando a instituição; 2) Não execução pronta de garantias, requerendo o acionamento do jurídico; 3) Responsabilidades cobertas nos contratos de terceirização colocadas de forma pouco objetivas. 2.3.5 riscOs estratégicOs Os riscos estratégicos alvejam um ou mais elementos cruciais na concepção do modelo de negócio da empresa, ou seja, afeta as atividades primárias da Cadeia de Valor. Em alguns casos podem até acabar com o vínculo da empresa com o mercado. Em outros casos, diminuem a proposta de valor que a empresa oferece, que pode ser a base do fluxo de receita. Podem também diluir os lucros dos quais dependem. Às vezes destroem a gestão estratégica que ajuda a IN TE LI G ÊN C IA E M R IS C O S G es tã o I n te G r a d a e m r Is c o s c o r p o r at Iv o s 31 empresa a monitorar e controlar a concorrência. No pior cenário possível, riscos estratégicos podem ameaçar todos os pilares que sustentam os objetivos da empresa. No contexto moderno seguindo a citação de Adrian J. Slywotzky, em seu livro Do risco à oportunidade, há sete grandes tipos de riscos estratégicos que qualquer empresa deve estar preparada para enfrentar. Embora a empresa vá continuar enfrentando outros tipos de riscos, dos tipos geopolítico, regulatório, operacional, estes setes riscos estratégicos compreendem a gama de riscos que expõe a concepção do negócio da maioria das empresas. Em outras palavras, a gestão de riscos, por conceito, passa também a lidar com a gestão estratégica e o monitoramento contínuo dos objetivos empresariais. Os sete riscos estratégicos são: a) Sua grande iniciativa falha: isso significa nos projetos que são liderados, tais como lançamento de novos produtos, expan- são do mercado, fusão, entre outros. De acordo com estudos realizados, a grande maioria dos projetos novos possuem uma probabilidade real de sucesso em torno de 20%! b) Seus clientes abandonam: a empresa foi surpreendida pelos clientes – mudanças repentinas e imprevistas em suas preferências, prioridades e gostos? Nesse caso a base da receita poderá ruir rapidamente, pois sem mercado não existe empresa. c) Seu setor chega a uma bifurcação na estrada: quando as mudanças na tecnologia ou concepção do negócio transformam um setor, até 80% das empresas incumbentes não sobrevivem à transição. d) Um concorrente aparentemente invencível aparece: quando a empresa encontrar um forte concorrente, será possível sobre- viver e prosperar enquanto as outras empresas estão sendo destruídas. e) Sua marca perde a força: uma grande marca é uma fortaleza de valor – 40% das principais marcas já vivenciaram grandes impactos. Isso ocorre quando os gestores da empresa possuem uma visão estreita das marcas, ignorando a integração entre marca, produto e concepção do negócio. f) Seu setor torna-se zona de lucro zero: inúmeros setores padeceram de maior concorrência, maior poder do cliente e com- pressão de margem, até um ponto em que os lucros ficam praticamente zerados. IN TE LI G ÊN C IA E M R IS C O S G es tã o I n te G r a d a e m r Is c o s c o r p o r at Iv o s 32 g) Sua empresa para de crescer: quando as vendas atingem estagnação, o impacto é imediato e doloroso, tais como novos talentos começam a sair da empresa e ou novas iniciativas são paralisadas. Cada um dos riscos listados acima podem, simplesmente, exterminar o negócio da empresa. Isso acontece porque os riscos são ou menos desprezados ou ignorados pela gestão, que, ou partem do princípio que a estratégia da empresa e os riscos que a ameaçam são responsabilidade única e exclusiva da direção, ou que esses tipos de riscos não irão ocorrer em suas empresas. 2.3.6 riscO de liquidez e/Ouatuarial Esse tipo de risco é específico a Fundos de Pensão, empresas de Previdência Privada. É decorrente da possibilidade de perdas por inadequação dos níveis de contribuição necessárias à manutenção dessas disponibilidade ao longo do tempo, da especificação deficiente dos planos de benefícios e seus reflexos nas provisões técnicas exigidas. Exemplos: Interpretação indevida de regulamentos ou critérios que subsidiam o cálculo das provisões técnicas; especificação inadequada dos planos de benefícios e das premissas atuariais; avaliação atuarial inadequada motivada pela inconsistência na base de informações; adoção de premissas e hipóteses que não confirmem, ou que se revelem pouco aderentes ao grupo de participantes ou, ainda, do uso de metodologias que se mostrem inadequadas; diferenças temporais entre fluxos de caixa gerados pelos ativos e passivos que implicam a falta de recursos para honrar obrigações, forçando a transformação de um ativo em caixa. A categorização de riscos mais comum, como benchmarking de mercado é: Estratégico, Operacional, Financeiro e Legal. Essas quatro categorias devem possuir vasos comunicantes entre elas, visando não ficar com uma visão limitada e ou segregada dos riscos. IN TE LI G ÊN C IA E M R IS C O S G es tã o I n te G r a d a e m r Is c o s c o r p o r at Iv o s 33 2.4 iNtercONectividade eNtre riscOs 2.4.1 cONceitO de iNtercONectividade O relatório de Riscos Globais de 2014, do Forum Mundial, salienta como os riscos globais não apenas são interconectados mas também possuem impactos sistêmicos. Para gerir os riscos corporativos eficientemente e construir a resiliência aos seus impactos, esforços melhores são necessários para entender, medir e prever a evolução das interdependências (INTERCONECTIVIDADE) entre os riscos, suplementando as ferramentas tradicionais de gestão de riscos com novos conceitos projetados para ambientes incertos. Se os riscos não forem eficazmente abordados e interpretados, os prejuízos serão ampliados de forma geométrica e em todas as disciplinas. Podemos citar como exemplo a crise financeira de 2007/2008, na qual os impactos políticos, econômicos e sociais foram de longo alcance, de forma sistêmica e de uma capilaridade avassaladora. A natureza sistêmica dos riscos corporativos pede por uma visão estratégica holística dentro da corporação. Assim como sistemas de finanças, supply-chain, saúde e energia, a Internet e o ambiente se tornam mais complexos e interdependências e seus níveis de resiliência determinam se eles se tornam o baluarte da estabilidade ou amplificadores de choques em cascata. Fortalecer a resiliência requer a superação de desafios de ação coletivos por meio do entendimento dos vasos comunicantes entre riscos. Podemos citar o terremoto e tsunami no Japão em 2011, que quebrou toda a cadeia logística das empresas automobilísticas ao redor do mundo. Depois do terremoto de 11 de março, as fábricas automobilísticas japonesas deixaram de fabrircar mais de 500.000 veículos, e as perdas chegaram a bilhões, segundo especialistas do setor. “A China teria perdido no final de abril 25.000 veículos; a Europa, 55.000; e a América do Norte, 68.000”, estima Carlos da Silva, analista da Global Insight, contatado pela AFP. A maior montadora do mundo de automóveis, a japonesa Toyota, anunciou redução 50% a 70% de sua produção na China até 3 de junho de 2011. Os problemas na cadeia de abastecimento de componentes eletrônicos e materiais plásticos custaram à Toyota uma perda produtiva de mais de meio milhão de unidades em todo o mundo até junho de 2011. O conceito de “just in time” ficou exposto, sendo revisado em função da interdependência. Dessa maneira, não basta mais somente utilizar a Matriz de Riscos, cruzando probabilidade e impacto, pois essa avaliação fornece a criticidade dos riscos, dentro de suas disciplinas. É importante, mas não mais só isso! Há IN TE LI G ÊN C IA E M R IS C O S G es tã o I n te G r a d a e m r Is c o s c o r p o r at Iv o s 34 necessidade do entendimento da dinâmica entre riscos, ou seja, da motricidade entre eles. Quais riscos possuem força e capacidade de influenciar outros riscos? A partir daí podemos enxergar a verdadeira interconectividade entre riscos. Sem o estudo da interconectividade, realizando o estudo somente por disciplina ou por categoria de riscos, a empresa e seus gestores podem não enxergar os riscos sistêmicos. O risco sistêmico (Goldin e Mariathasan, da Princeton University) é o risco de “colapsos em um sistema inteiro, oposto ao colapso de partes e componentes individuais”. Os riscos sistêmicos são caracterizados por: - pontos de ruptura modestos, combinados indiretamente para produzir grandes falhas; - contágio ou compartilhamento de risco, como uma perda que desencadeia uma reação de outras; - sistemas sendo incapazes de recuperar o equilíbrio depois de um choque. Esse estudo começou na década de 1960 com o cientista Edward Lorenz, cientista do MIT – Massachusetts Institute of Technology, que à época conduzia pesquisas sobre previsão do tempo. Descobriu variações imperceptíveis nos valores da pressão e temperatura, que combinadas geravam efeitos massivos em questões de dias nas previsões do tempo. É dele a famosa pergunta: Pode o bater das asas de uma borboleta no Brasil causar um tornado no Texas? O famoso Efeito Borboleta! Portanto, o risco sistêmico está relacionado à sensibilidade de pequenas variações nas condições iniciais de um sistema, que se desenvolvem e se combinam, produzindo um enorme efeito no sistema como um todo. Ações inconsequentes, desconexas e de pouca importância nas partes de um processo podem combinar e ocasionar impactos massivos nos processos das empresas ou no modelo de negócio. 2.4.2 criticidade e mOtricidade de riscOs O Relatório de Riscos Globais de 2016, do Forum Mundial, mais uma vez salienta a importância de elaborar o estudo da conexões entre riscos, ou seja, de entender as influências entre riscos. O que um risco influência em outro? Qual é a motricidade dos riscos no contexto geral do quadro? O que o Relatório sugere, desde 2009, é que não só façamos o estudo da Matriz de Risco de Probabilidade e Impacto que identifica a criticidade do risco. (Figure 1) IN TE LI G ÊN C IA E M R IS C O S G es tã o I n te G r a d a e m r Is c o s c o r p o r at Iv o s 35 IN TE LI G ÊN C IA E M R IS C O S G es tã o I n te G r a d a e m r Is c o s c o r p o r at Iv o s 36 A Matriz acima só demonstra quais riscos são mais críticos, quais são mais severos, ou seja, a Matriz de Criticidade prioriza o tratamento frente a criticidade do seu impacto e probabilidade de seu acontecimento. Esse estudo não demonstra a interconectividade entre riscos. O estudo das conexões entre riscos nos dá uma visão do risco sistêmico. Portanto, podemos concluir que a influência de um risco não crítico pode, às vezes, ser estratégico, dentro de um determinado contexto. Dentro dessa ótica é imperioso que o gestor passe então a enxergar a motricidade e as conexões entre os riscos. (Figure 2 e Figure 4) IN TE LI G ÊN C IA E M R IS C O S G es tã o I n te G r a d a e m r Is c o s c o r p o r at Iv o s 37 IN TE LI G ÊN C IA E M R IS C O S G es tã o I n te G r a d a e m r Is c o s c o r p o r at Iv o s 38 IN TE LI G ÊN C IA E M R IS C O S G es tã o I n te G r a d a e m r Is c o s c o r p o r at Iv o s 39 As matrizes anteriores demonstram as interconectividades entre os riscos, salientando os riscos de maior motricidade, maior influência de um risco sobre o outro. Nós, da Brasiliano & Associados, trabalhamos com a interconectividade entre riscos já alguns anos, visando entender essa dinâmica. Utilizamos para isso a Metodologia trazida da construção de cenáriosprospectivos, a Matriz de Impactos Cruzados – MIC. A MIC foi adaptada da metodologia do cenarista francês Michael Godet que tem como base o Teorema de Bayes, Probabilidades Condicionantes. No nosso Processo de Gestão de Riscos, essa ferramenta será descrita com maior detalhe, no capítulo 12, itém 12.6 matriz de impactos cruzados, mas de forma geral a técnica de impactos cruzados identifica os riscos considerados motrizes e de ligação, ou seja, aqueles que possuem maior influência entre os demais. Ponto importante é a aplicação da ferramenta. Não se pode aplicar essa ferramenta em qualquer tipo de estudo, mas sim para estudos de riscos estratégicos e/ou riscos críticos entre disciplinas. O objetivo é enxergar quais riscos são os influenciadores. Para priorizarmos o tratamento podemos cruzar as matrizes de risco e a matriz de impacto cruzado, tendo como resultado uma Matriz de Priorização de Riscos, conforme figura a seguir. IN TE LI G ÊN C IA E M R IS C O S G es tã o I n te G r a d a e m r Is c o s c o r p o r at Iv o s 40 MOTRIZ 04 05 12 13 *01 *06 *03 *02 LIGAÇÃO 04 05 12 13 *10 *14 *04 *05 *12 *13 *15 DEPENDENTE 04 05 12 13 *08 *09 *07 *11 INDEPENDENTE 1 2 3 4 01 - Manifestação pacífica com bloqueio parcial 02 - Manifestação com atos de vandalismo / depredação contra patrimônio público 03 - Manifestação com atos de vandalismo com lançamentos de inflamáveis contra o público local 04 - Manifestação com atos de agressão contra o efetivo da PM 05 - Tumulto 06 - Manifestação para contenção do público para o local do evento 07 - Atentado terrorista criminoso 08 - Assédio sexual 09 - Arrastão 10 - Briga entre torcidas uniformizadas 11 - Presença de grupos extremistas 12 - Presença de extremista solitário 13 - Crimes comuns (roubo, furto, etc.) 14 - Movimentos de pressão e reivindicatórios 15 - Violência policial Criticidade dos Riscos M ot ric id ad e do s R is co s Com essa Matriz de Priorização, o gestor consegue visualizar os riscos que são realmente relevantes para a organização, pois seleciona, de forma cruzada, os críticos (probabilidade x impactos) versus sistêmicos (motrizes x dependentes). Essa ferramenta é inédita em processos de gestão de riscos, pois consegue fazer os gestores cruzarem as duas Matrizes e a partir daí entenderem os riscos de maior relevância. Isso faz com que a organização tenha maior assertividade nas suas tomadas de decisões. 41 3.1 ObjetivOs dO gereNciameNtO de riscOs cOrpOrativOs A premissa inerente ao gerenciamento de riscos corporativos é que toda organização existe para gerar valor às partes interessadas. Todas as organizações enfrentam incertezas, e o desafio de seus administradores é determinar até que ponto aceitar essa incerteza, assim como definir como essa incerteza pode interferir no esforço para gerar valor às partes interessadas. Incertezas representam riscos e oportunidades, com potencial para destruir ou agregar valor. O gerenciamento de riscos corporativos possibilita aos administradores tratar com eficácia as incertezas, bem como os riscos e as oportunidades a elas associadas, a fim de melhorar a capacidade de gerar valor. 3. A GESTÃO DE RISCOS CORPORATIVOS E OS OBJETIVOS ESTRATÉGICOS DA ORGANIZAÇÃO IN TE LI G ÊN C IA E M R IS C O S G es tã o I n te G r a d a e m r Is c o s c o r p o r at Iv o s 42 O valor é maximizado quando a organização estabelece estratégias e objetivos para alcançar o equilíbrio ideal entre as metas de crescimento e de retorno de investimentos e os riscos a elas associados, e para explorar os seus recursos com eficácia e eficiência na busca dos objetivos da organização. Os objetivos estratégicos do gerenciamento de riscos corporativos, segundo as premissas do COSO II, publicado em 2004, são: 1. Alinhar o apetite a risco com a estratégia adotada Os administradores avaliam o apetite a risco da organização ao analisar as estratégias, definindo os objetivos a elas relacionados e desenvolvendo mecanismos para gerenciar esses riscos. 2. Fortalecer as decisões em resposta aos riscos O gerenciamento de riscos corporativos possibilita o rigor na identificação e na seleção de alternativas de respostas aos riscos – como evitar, reduzir, compartilhar e aceitar os riscos. 3. Reduzir as surpresas e prejuízos operacionais As organizações adquirem melhor capacidade para identificar eventos em potencial e estabelecer respostas a estes, reduzindo surpresas e custos ou prejuízos associados. 4. Identificar e administrar riscos múltiplos e entre empreendimentos Toda organização enfrenta uma gama de riscos que podem afetar diferentes áreas da organização. A gestão de riscos cor- porativos possibilita uma resposta eficaz a impactos inter-relacionados e, também, respostas integradas aos diversos riscos. 5. Aproveitar oportunidades Pelo fato de considerar todos os eventos em potencial, a organização posiciona-se para identificar e aproveitar as oportunidades de forma proativa. 6. Otimizar o capital A obtenção de informações adequadas a respeito de riscos possibilita à administração conduzir uma avaliação eficaz das necessidades de capital como um todo e aprimorar a alocação desse capital. IN TE LI G ÊN C IA E M R IS C O S G es tã o I n te G r a d a e m r Is c o s c o r p o r at Iv o s 43 Essas qualidades, inerentes ao gerenciamento de riscos corporativos, ajudam os administradores a atingir as metas de desempenho e de lucratividade da organização, e evitam a perda de recursos. O gerenciamento de riscos corporativos contribui para assegurar comunicação eficaz e cumprimento de leis e regulamentos, bem como evitar danos à reputação da organização e suas consequências. Em suma, o gerenciamento de riscos corporativos ajuda a organização a atingir seus objetivos e a evitar os perigos e surpresas em seu percurso. Os eventos podem gerar impacto tanto negativo quanto positivo ou ambos. Os que geram impacto negativo representam riscos que podem impedir a criação de valor ou mesmo destruir o valor existente. Os de impacto positivo podem contrabalançar os de impacto negativo ou podem representar oportunidades, que por sua vez representam a possibilidade de um evento ocorrer e influenciar favoravelmente a realização dos objetivos, apoiando a criação ou a preservação de valor. A direção da organização canaliza as oportunidades para seus processos de elaboração de estratégias ou objetivos, formulando planos que visam ao aproveitamento destes. 3.2 deFiNiçãO de gereNciameNtO de riscOs cOrpOrativOs A gestão de riscos corporativos trata riscos e oportunidades que afetam a criação ou a preservação de valor. O processo de gestão de riscos corporativos deve ser efetivado de forma descentralizado, por todos os membros da organização. Portanto, uma definição que a Brasiliano utiliza bastante por ser eficaz, é a que está escrita no COSO II: “O gerenciamento de riscos corporativos é um processo conduzido em uma organização pelo conselho de administração, diretoria e demais empregados, aplicado no estabelecimento de estratégias, formuladas para identificar em toda a organização eventos em potencial, capazes de afetá-la, e administrar os riscos de modo a mantê-los compatível com o apetite a risco da organização e possibilitar garantia razoável do cumprimento dos seus objetivos.” Essa definição reflete certos conceitos fundamentais: 1. é um processo contínuo e que flui pela organização como um todo; 2. é conduzido pelos profissionais em todos os níveis da organização, ou seja, é um processo descentralizado; IN TE LI G ÊN C IA E M R IS C O S G es tã o I n te G r a d a e m r Is c o s c o r p o r at Iv o s 44 3. é aplicado à definição das estratégias, alinhado com seus objetivos estratégicos; 4. é aplicado em toda a organização, em todos os níveis e unidades, einclui a formação de uma visão de portfólio de todos os riscos a que ela está exposta; 5. é formulado para identificar eventos em potencial, cuja ocorrência poderá afetar a organização, e para administrar os riscos de acordo com seu apetite a risco; 6. é capaz de propiciar garantia razoável para o conselho de administração e a diretoria executiva de uma organização do cumprimento de seus objetivos, pois seus riscos estão gerenciados; 7. é orientado para a realização de objetivos em uma ou mais categorias distintas, mas dependentes. Essa definição é intencionalmente ampla e adota conceitos fundamentais sobre a forma como as empresas e outras organizações administram riscos, possibilitando uma base para sua aplicação em organizações, indústrias e setores. O gerenciamento de riscos corporativos orienta seu enfoque diretamente para o cumprimento dos objetivos estabelecidos por uma organização específica e fornece parâmetros para definir a eficácia desse gerenciamento de riscos. A figura abaixo reflete de forma direta as vantagens do processo de gerenciamento de riscos nas empresas, tornando-as mais resilientes. IN TE LI G ÊN C IA E M R IS C O S G es tã o I n te G r a d a e m r Is c o s c o r p o r at Iv o s 45 Contribuição do gerenciamento de riscos para o comprimento dos objetivos estratégicos. 3.3 realizaçãO de ObjetivOs Com base na missão ou visão estabelecida por uma organização, a administração estabelece os planos principais, seleciona as estratégias e determina o alinhamento dos objetivos nos níveis da organização. A estrutura de gerenciamento de riscos corporativos é orientada a fim de alcançar os objetivos da organização. O processo do COSO II, publicado em 2004, sugere quatro objetivos que a estrutura de Gestão de Riscos Corporativos deve contemplar. São eles: IN TE LI G ÊN C IA E M R IS C O S G es tã o I n te G r a d a e m r Is c o s c o r p o r at Iv o s 46 1. Estratégicos – metas gerais, alinhadas com o que suportem à sua missão. 2. Operações – utilização eficaz e eficiente dos recursos. 3. Comunicação – confiabilidade de relatórios. 4. Conformidade – cumprimento de leis e regulamentos aplicáveis. Essa classificação possibilita um enfoque nos aspectos distintos do gerenciamento de riscos de uma organização. Apesar dos objetivos serem distintos, eles se inter-relacionam, uma vez que determinado objetivo pode ser classificado em mais de uma categoria, tratam de necessidades diferentes da organização e podem permanecer sob a responsabilidade direta de diferentes executivos. Essa classificação também permite diferenciar o que pode ser esperado de cada categoria de objetivos. Em razão de os objetivos relacionados com a confiabilidade e relatórios e o cumprimento de leis e regulamentos estarem sob controle da organização, pode-se esperar que o gerenciamento de riscos corporativos forneça uma garantia razoável em relação ao atendimento desses objetivos. Entretanto, a realização de objetivos estratégicos e operacionais está sujeita à ação de eventos externos nem sempre sob o controle da organização; da mesma forma, em relação a esses objetivos, o gerenciamento de riscos corporativos é capaz de propiciar uma garantia razoável que a diretoria executiva e o conselho de administração, na função de supervisão, serão informados, no momento adequado, o quanto a organização está avançando na direção do atendimento dos objetivos. 47 A economia brasileira tem sido acompanhada por movimentos profundos nas empresas nacionais e com esses movimentos demandam e reforçam a criticidade de uma Governança Corporativa efetiva e bem-estruturada, já que em alguns casos a falta de requisitos mínimos de Governança Corporativa impede que algumas empresas consigam tirar proveito deste momento pelo qual o Brasil e o mundo está passando. Adicionalmente, embora em muitos casos vários elementos de uma boa Governança Corporativa estejam presentes nas empresas, nem sempre eles são postos em prática da forma adequada. Uma das ferramentas adequadas a Governança Corporativa, lançada em 21 de setembro de 2010 pela FERMA – Federação das Associações Europeias de Gestão de Riscos e pelo ECIIA – Confederação Europeia do Instituto de Auditoria Interna, é a Orientação sobre a 8a Diretriz Jurídica Europeia da Empresa (Art. 41), que recomenda a 4. A GESTÃO DE RISCOS CORPORATIVOS E AS 3 LINHAS DE DEFESA IN TE LI G ÊN C IA E M R IS C O S G es tã o I n te G r a d a e m r Is c o s c o r p o r at Iv o s 48 implementação operacional para monitorar com eficácia a auditoria, controle interno e o sistema de gestão de risco. O objetivo do documento foi o de auxiliar a gestão sênior na implementação da gestão de riscos, controle interno, compliance e auditoria interna e as relações com a diretoria executiva e conselho. O documento estabelece claramente as responsabilidades entre as áreas e suas relações. O conselho é responsável pela fiscalização da gestão de riscos da empresa e pelo framework de controle. Todos na empresa desempenham uma função na gestão eficaz de riscos, mas a responsabilidade primária para a gestão e o controle dos riscos é delegada ao nível de gestão adequado dentro da empresa. Em outras palavras, o processo é descentralizado e o dono do processo é o dono do risco. O CEO e o CFO possuem a responsabilidade final para o conselho para a gestão de riscos e o framework de controle. Para cumprir essas tarefas eficientemente, eles buscam se assegurar de várias fontes dentro da organização. O FERMA e o ECIIA apoiam o modelo das “três linhas de defesa” como um ponto de partida para a orientação regulatória futura. O modelo a seguir é o original publicado. conselho / comitê auditoria 1a Linha Defesa Gestão sênior 2a Linha Defesa 3a Linha Defesa Gestão de Riscos Conformidade Outros Gestão Operacional Controles Internos Auditoria Interna Gestão de Riscos Conformidade Outros IN TE LI G ÊN C IA E M R IS C O S G es tã o I n te G r a d a e m r Is c o s c o r p o r at Iv o s 49 Todos nós, cidadãos brasileiros, e, principalmente, profissionais da área de gestão de riscos e auditoria, ficamos estarrecidos com os acontecimentos de fraudes no Brasil. Estamos falando da operação Lava Jato, que a cada dia consegue mais vitórias em termos de fazer justiça e reduzir o nível de impunidade no Brasil. Ficamos surpresos com a facilidade com que os controles foram burlados e com o franco desconhecimento da alta gestão. Ficou mais nítido com estas fraudes, que ainda inúmeras empresas, profissionais de riscos e auditoria interna ainda não apliquem e pratiquem uma melhor prática chamada 3 Linhas de Defesa. Essa melhor prática ou estratégia de atuação da área de gestão de riscos, compliance, controles internos e auditoria foi estruturada para descentralizar o procresso de controle, dando aos usuários dos processos operacionais e estratégicos a responsabilidade primária de realizar o respectivo controle, com uma supervisão de áreas corporativas e da auditoria interna, de tal forma que haja cobertura em todos os níveis da empresa. Segundo Marcelo Fridori, em seu artigo, ele escreve as justificativas da construção do Modelo das 3 Linhas de Defesa: “Com o crescimento significativo da complexidade no ambiente de negócios, as organizações passaram a necessitar de diferentes equipes de especialistas em controle interno, executivos de compliance, especialistas em gerenciamento de riscos, auditores internos, entre outros, para gerenciar, em conjunto, de forma efetiva seus principais riscos… Deve-se ressaltar, entretanto, que a divisão das atividades relacionadas ao gerenciamento de riscos entre diversos departamentos pode levar à ineficácia de algumas das ações promovidas. Assim, passa a ser fortemente recomendável que os esforços empreendidos por todossejam devidamente coordenados, de modo a garantir que os processos sejam conduzidos de acordo com o que foi planejado. De acordo com o modelo apresentado, o conselho de administração e o diretor executivo, em nome da alta administração, são responsáveis pela supervisão e monitoramento dos processos de gestão de riscos e, para assumir de forma efetiva essas atribuições, eles necessitam de resultados provenientes das várias áreas envolvidas com este assunto. Esse modelo ganhou rapidamente um reconhecimento mundial por parte das organizações e das entidades que representam as funções de gerenciamento de riscos e controles e, a partir de 2013, passou a ser divulgado também através de uma Declaração de Posicionamento do IIA – The Institute of Internal Auditors”. O modelo das Três Linhas de Defesa é uma forma simples e eficaz de melhorar a comunicação do gerenciamento de riscos e controle por meio do esclarecimento dos papéis e responsabilidades essenciais. O modelo apresenta um novo ponto de vista sobre as operações, ajudando a garantir o sucesso contínuo das iniciativas de gerenciamento de IN TE LI G ÊN C IA E M R IS C O S G es tã o I n te G r a d a e m r Is c o s c o r p o r at Iv o s 50 riscos, e é aplicável a qualquer organização – não importando seu tamanho ou complexidade. Mesmo em empresas em que não exista uma estrutura ou sistema formal de gerenciamento de riscos, o modelo de 3 Linhas de Defesa pode melhorar a clareza dos riscos e controles e ajudar a aumentar a eficácia dos sistemas de gerenciamento de riscos. No modelo de 3 Linhas de Defesa, o controle da gerência é a primeira linha de defesa no gerenciamento de riscos, as diversas funções de controle de riscos e supervisão de conformidade estabelecidas pela gerência são a segunda linha de defesa e a avaliação independente é a terceira. Cada uma dessas três “linhas” desempenha um papel distinto dentro da estrutura mais ampla de governança da organização. Na figura abaixo podemos visualizar holisticamente o modelo. IN TE LI G ÊN C IA E M R IS C O S G es tã o I n te G r a d a e m r Is c o s c o r p o r at Iv o s 51 Embora os órgãos de governança e a alta administração não sejam considerados dentre as três “linhas” desse modelo, sistemas de gerenciamento de riscos, mas são papéis essenciais. Os órgãos de governança e a alta administração são as principais partes interessadas atendidas pelas “linhas” e são as partes em melhor posição para ajudar a garantir que o modelo de 3 Linhas de Defesa seja aplicado aos processos de gerenciamento de riscos e controle da organização. Esse modelo reforça de forma incisiva que o dono do processo é o dono do risco e de seus controles. Portanto, os riscos corporativos só acontecem quando os donos do processo possuem comprometimento e maturidade de praticarem os controles e respectivas metodologias, sugeridas e supervisionas pela segunda linha de defesa. A segunda linha de defesa é na verdade o grande guardião do processo, pois incentiva que a primeira linha pratique e ao mesmo tempo supervisiona para identificar possíveis falhas. A terceira linha, Auditoria Interna, realiza suas avaliações tanto na primeira como na segunda linha de defesa. As três linhas deveriam existir em todas as organizações, não importando tamanho ou complexidade. O gerenciamento de riscos, normalmente, é mais sólido quando há três linhas de defesa separadas e claramente identificadas, com papéis esclarecidos. Os riscos corporativos acabam sendo concretizadas quando há falhas de cobertura, principalmente entre a primeira e segunda linha de defesa. Os riscos acontecem quando o dono do processo não está praticando o processo de Gestão de Riscos e a segunda linha, a supervisora, falha em não identificar o risco e nem reportar e informar a alta gestão. A situação piora mais ainda quando a terceira linha não identifica falha na segunda linha de defesa e por consequência fica míope para realizar uma auditoria baseada em riscos na primeira linha de defesa. O processo das 3 Linhas de Defesa reforça o que já escrevi no segundo capítulo, quando citei que a área de Gestão de Riscos deveria poder realizar a Inteligência em Riscos Corporativos – IRC. Essa inteligência só poderá ser alcançada se a empresa adotar a prática do dono do processo ser dono do risco. O dono do processo ser o responsável em realizar a autoavaliação dos riscos e controles. Com esse processo rodando a segunda linha de defesa pode fazer seu grande papel estratégico de interpretar e de realizar os estudos de interconectividade entre riscos, entre áreas e entre processos. Dessa forma, passa a agregar valor no processo estratégico e operacional. A auditoria interna, por sua vez, IN TE LI G ÊN C IA E M R IS C O S G es tã o I n te G r a d a e m r Is c o s c o r p o r at Iv o s 52 utilizará como insumo as informações tanto da segunda linha como da primeira para realizar seus testes de controles, Chaves em processos críticos. Esse é o grande diferencial que as empresas devem possuir para operacionalizar, o dono do processo ser o dono do risco, seja qual for a complexidade do processo. Infelizmente, ainda hoje no Brasil há uma grande resistência por parte dos usuários, chamados de média gerência. A Revista HSM de 2014, número 104, de maio/junho, ressalta em seu artigo intitulado “Eu, gestor de riscos? A importância da média gerência estar sensibilizada com esta nova tarefa”. O artigo considera que as médias gerências são as guardiães dos seus processos. Escreve: “Os especialistas consideram que a mudança de mentalidade desses profissionais é fundamental para um futuro mais seguro”. É o gerente de linha que instala e monitora procedimentos de controle e segurança. Assim, o modo mais eficaz de alcançar melhor gestão de riscos é motivar esses funcionários a prestar atenção suficiente a esse tipo de responsabilidade. Esse passa a ser o grande desafio do gestor de riscos: possuir maturidade e sensibilidade em convencer a empresa que a gestão de riscos não pertence à área de Gerenciamento de Riscos, mas sim aos donos do processo. 53 5.1 cOsO – the cOmmittee OF spONsOriNg OrgaNizatiONs OF the treadway cOmmissiON O COSO é uma organização privada criada nos Estados Unidos em 1985 para previnir e evitar fraudes nas demonstrações contábeis da empresa. Portanto, é uma antiga organização brigando para o quesito prevenção a fraudes; porém, as empresas fazem muito pouco para o processo preventivo acontecer. O foco do COSO é a implantação de controles internos efetivos, proporcionando uma garantia razoável para prevenir fraudes. Em 1985, foi criada nos Estados Unidos a National Commission on Fraudulent Financial Reporting – Comissão Nacional sobre Fraudes em Relatórios Financeiros –, iniciativa independente para estudar as causas da ocorrência de 5. MELHORES PRÁTICAS – FRAMEWORKS DE MERCADO IN TE LI G ÊN C IA E M R IS C O S G es tã o I n te G r a d a e m r Is c o s c o r p o r at Iv o s 54 fraudes em relatórios financeiros e contábeis. Essa comissão era composta de representantes das principais associações de classe de profissionais ligados à área financeira. Seu primeiro objeto de estudo foram os controles internos. O COSO é uma entidade sem fins lucrativos, dedicada à melhoria dos relatórios financeiros fundamentados na ética, na efetividade dos controles internos e na governança corporativa, além de ser patrocinado por cinco das principais associações de classe: • AICPA – American Institute of Certified Public Accounts – Instituto Americano de Contadores Públicos Certificados; • AAA – American Accounts Association – Associação Americana de Contadores; • FEI – Financial Executive International – Executivos Financeiros Internacionais; • IIA – The Institute of Internal Auditors – Instituto dos Auditores Internos; • IMA – Institute of
Compartilhar