Artigo Christopher e Sarens 2015 - Traduzido e grifado

Prévia do material em texto

Gestão de Riscos: Sua Adoção nas Universidades Públicas Australianas dentro de um Ambiente de Gestão de Mudanças – Uma Perspectiva de Gestão
J. Christopher & G. Sarens
Este estudo baseia-se na abordagem multi-teórica de governança e numa metodologia qualitativa para examinar até que ponto os principais atores das universidades públicas australianas desenvolveram e implementaram gestão de riscos dentro de um ambiente de gestão de mudanças. Os resultados demonstram que influências mais amplas – em grande parte o resultado de culturas de gestão conflitantes – tiveram impactos diferentes nos valores dos principais atores e na subsequente adoção do processo. Os valores dos principais atores variam de congruentes com uma cultura corporativa (no nível estratégico) a incongruentes com uma cultura corporativa (no nível operacional), e resultam em diferentes resultados. Esses resultados diferentes sugerem que a adoção da gestão de riscos pelas universidades públicas australianas sob a influência do novo gerenciamento público é problemática. O estudo fornece oportunidades para pesquisas adicionais para confirmar essas descobertas com uma amostra mais ampla de atores e a adoção de outros processos de controle de governança.
As universidades públicas australianas estão remodelando suas identidades em torno de uma imagem idealizada de identidade corporativa, amplamente influenciada pelo Novo Gerencialismo Público (NPM) (Hood 1995; Lapsley 2008).
Novo Gerencialismo Público
· Usuário = Cidadão
· ACCOUNTABILITY e EQUIDADE
· Foco na EFICIÊNCIA (Produtividade com Menor Custo)
· Introduz COMPETIÇÃO e CONTROLE nas Organização Públicas
A identidade corporativa concentra-se em uma cultura de gestão que promove competitividade, eficiência e eficácia das operações e ideais de lucro através da adoção de processos de controle corporativo apropriados (Clark 1998, 2004; Meek 2002; Parker 2011). A adoção da abordagem corporativa envolve uma mudança de um ambiente mais confiante e menos controlado (associado ao colegiado e ao gerencialismo do setor público) para um ambiente menos confiante e mais controlado (associado ao gerencialismo corporativo). A abordagem corporativa à gestão levou a um aumento da complexidade no nível das operações universitárias, com uma exposição correspondente aumentada ao risco. As universidades públicas, sob esse cenário, exigem maior profissionalismo e responsabilidade para gerenciar suas operações e riscos aumentados através de controles de gestão apropriados (Coates et al. 2009; Harman 2000; Meek 2002). Portanto, a gestão de riscos tem sido amplamente descrita como o conjunto de controles de gestão que precisam ser implementados para gerenciar o risco (Abernathy e Chua 1996).
A relação entre governança, controles e gestão de riscos é reforçada pela definição de controle de gestão de Anthony (1965: 17): 'o processo pelo qual os gestores garantem que os recursos são obtidos e utilizados de forma eficaz e eficiente para a realização dos objetivos da organização'. Essa relação também foi incorporada em padrões de gestão de riscos e diretrizes de boas práticas (por exemplo, ISO/DIS 31000 2009 e COSO 2004). Portanto, há uma pressão crescente sobre as universidades para adotar a gestão de riscos como um processo de controle corporativo para facilitar a responsabilidade, eficiência e eficácia das operações por meio de controles apropriados (Huber 2009). O processo também tem sido incentivado pelo Governo Federal por meio de um conjunto de protocolos de governança que promovem uma abordagem 'empresarial' à gestão (veja a Lei de Apoio ao Ensino Superior, 2003 (Cth)).
Lei de Apoio ao Ensino Superior australiana de 2003
· Introdução do Sistema de Taxa de Ensino
· Expansão das Bolsas de Estudo e Empréstimos para Estudantes: Alunos financiam seus estudos e pagam após conclusão (Similar ao FIES do Brasil)
· Incentivos para Qualidade e Desempenho
· Acesso Equitativo 
No entanto, a adoção bem-sucedida de um processo corporativo como a gestão de riscos nas universidades públicas australianas depende da sua aceitação pelos principais atores no processo. Eles incluem aqueles responsáveis por implementar o processo (no nível estratégico) e operacionalizá-lo (no nível operacional). Os níveis estratégico e operacional são enfatizados, pois a teoria da governança postula que a governança de uma entidade envolve o desenvolvimento holístico de mecanismos de controle em todos esses níveis (Christopher 2010). Como a gestão de riscos e a governança corporativa são interdependentes (Bhimani 2009), os principais atores na gestão de riscos estão inevitavelmente envolvidos nesses níveis.
Estudos anteriores indicaram uma resistência contínua à transição para uma cultura corporativa por parte daqueles que acreditam que essa cultura está em tensão com os valores do setor público e do gerencialismo colegiado, como autoregulação, práticas colegiadas e padrões educacionais (Christopher 2012; Churchman 2006; Barnett 2011; Alexander 2007; Kezar 2005). Os resultados do desenvolvimento e implementação da gestão de riscos nos níveis estratégico e operacional de governança estão sujeitos ao impacto dessa tensão cultural. Parte do padrão comportamental que causa essa tensão e afeta o resultado do processo foi descrito da seguinte forma: 'Há uma tendência a preservar a estrutura organizacional existente, mesmo quando claramente ineficiente e inadequada para os objetivos oficiais' (Rumelt 1995: 103). Essa visão é apoiada por teorias culturais que sugerem uma forte resistência à mudança dos valores existentes que se refletem em um sistema simbólico ao qual os funcionários se acostumaram (Morga 1986; Schein 1985).
Como consequência da proposição teórica em curso de uma tensão na adoção de uma cultura corporativa nos níveis estratégico e operacional de governança, há considerável incerteza sobre como a gestão de riscos, como processo de controle corporativo, foi aceita ou adotada pelos principais atores das universidades públicas australianas. Também é incerto se a tensão existe em ambos os níveis estratégico e operacional, ou em apenas um deles. Estudos anteriores têm pedido por mais pesquisas em gestão de riscos que considerem o impacto de suas influências sociais, institucionais e organizacionais mais amplas, em vez de focar em seus aspectos técnicos (Pesquisa em Contabilidade Gerencial 2013; Miller 1994). Indivíduos e seus interesses pessoais encapsulam essas influências. Portanto, este estudo aborda a lacuna de pesquisa examinando como os principais atores das universidades públicas australianas impactaram a adoção da gestão de riscos nos níveis estratégico e operacional de governança. A consequente questão de pesquisa é: até que ponto os principais atores no sistema universitário desenvolveram e implementaram gestão de riscos nas universidades públicas australianas dentro de um ambiente de gestão de mudanças? O foco deste estudo não é determinar a eficácia do processo, mas estabelecer como os principais atores no sistema universitário, dentro de um ambiente de gestão de mudanças, desenvolveram e implementaram a gestão de riscos nas universidades públicas australianas.
O estudo parte do pressuposto de que a adoção bem-sucedida de um processo de controle corporativo como a gestão de riscos só pode ocorrer se for implementada tanto nos níveis estratégico quanto operacional de governança, com os principais atores em ambos os níveis vinculados a um objetivo comum (Hardy 1991). Nesse sentido, o processo operacional é uma continuação da política e do plano de gestão de riscos desenvolvidos e aprovados no nível estratégico de governança. O termo 'nível estratégico de governança' refere-se ao nível do conselho de governança; para os propósitos deste estudo, esses termos são usados ​​de forma intercambiável.
Gestão de Riscos - Uma Visão Geral
O conceito de 'risco' é definido de forma ampla como a incerteza de um evento, as consequências do resultado e o benefício de afastar a ameaça desse risco (Cleary e Malleret 2007). Na operacionalização doconceito, outras definições foram introduzidas. Por exemplo, a norma internacional de gestão de riscos ISO 31000 (ISO/DIS 31000 2009) define risco como o efeito da incerteza na realização de objetivos, com a gestão de riscos sendo o conjunto de princípios, estruturas e processos para gerenciar riscos. A definição de risco dentro da gestão de riscos corporativos (ERM), um processo promovido pela profissão contábil, adota uma abordagem mais holística para o risco, considerando tanto as consequências negativas quanto as positivas do risco nos objetivos estratégicos da organização. Ela se concentra no desenvolvimento de modelos de risco que se baseiam em processos para garantir que a responsabilidade exista porque todos na organização conhecem suas responsabilidades e contribuem para a missão, visão e objetivos gerais. Sugere-se que o alinhamento gerencial das atividades realizadas no nível operacional com os objetivos desenvolvidos no nível estratégico garantirá a responsabilidade (Comitê de Organizações Patrocinadoras (COSO) 2004).
Com seu foco no controle de gestão por meio de mudanças nas estruturas formais das organizações, todas as definições acima de risco significam que a gestão de riscos está se tornando cada vez mais importante na governança das organizações. A gestão de riscos tem o potencial de influenciar os valores dos principais atores e alterar as linhas de responsabilidade e prestação de contas nas organizações (Pesquisa em Contabilidade Gerencial 2013).
A gestão de riscos foi inicialmente praticada em organizações, incluindo universidades públicas australianas, de forma isolada, geralmente por meio da gestão de seguros e controles financeiros para gerenciar o risco de transações. De acordo com as definições acima, essa prática gradualmente evoluiu para um nível de profissionalismo que reconhece a gestão de riscos como sofisticada, complexa e envolvendo outras subdisciplinas de risco (como estratégica, operacional, financeira, continuidade de negócios e reputacional), que precisam ser integradas às amplas responsabilidades de governança corporativa (Selim e McNamee 1999). Um desenvolvimento proeminente nessa abordagem foi o surgimento do conceito de ERM e o reconhecimento dos fatores associados à sua implementação (COSO 2004; Beasley et al. 2005; Moeller 2007). O nível de complexidade e a necessidade de considerar todos os aspectos das operações foram destacados por Hoffman (2002), que identificou bilhões de dólares perdidos anualmente por organizações devido a riscos operacionais que não foram adequadamente gerenciados.
A gestão de riscos logo foi reconhecida como uma profissão por si só, e sua importância ganhou destaque quando foi integrada aos princípios de governança corporativa e gerenciada por meio de departamentos profissionais de gestão de riscos (Froot et al. 1994; Lam 2003; Chapman 2006). Sua contribuição para a eficiência e eficácia das operações, aumento da receita e redução de custos era consistente com a abordagem corporativa e foi prontamente adotada no setor corporativo. Para facilitar sua adoção, características de boas práticas de gestão de riscos são refletidas nas atuais políticas de governança do setor corporativo, diretrizes e padrões de gestão de riscos (por exemplo, Conselho de Governança Corporativa da Bolsa de Valores Australiana 2007; ISO/DIS 31000 2009; COSO 2004).
Essas características de boas práticas de gestão de riscos podem ser resumidas como atividades ocorrendo em dois níveis dentro do paradigma de governança de uma organização. No nível do conselho, elas envolvem a formação de um comitê de gestão de riscos que se reporta ao conselho, sendo responsável por supervisionar o processo de gestão de riscos. Parte desse papel é garantir que o risco a ser gerenciado aborde todo o espectro das obrigações contratuais da organização com seus múltiplos stakeholders. No nível operacional, essas atividades envolvem o estabelecimento de uma função de gestão de riscos responsável por desenvolver um framework de gestão de riscos, coordenar a conformidade do framework em toda a organização e relatar periodicamente os riscos identificados e gerenciados aos comitês de supervisão. O nível de complexidade envolvido nos dois níveis de controle de governança varia de acordo com a natureza das atividades de cada organização e os riscos envolvidos.	Comment by Thales De Jesus Hatem: Nível estratégico de governança	Comment by Thales De Jesus Hatem: Nível tático? Segunda linha de defesa?	Comment by Thales De Jesus Hatem: Parece que ainda é estratégico.
Essa visão histórica e as percepções sobre a prática atual de gestão de riscos fornecem um contexto para o exame da adoção da gestão de riscos nas universidades públicas australianas dentro de um ambiente de gestão de mudanças. O exame envolve o estabelecimento de como os principais atores desenvolvem e implementam a gestão de riscos nos níveis estratégico e operacional de governança. Uma ênfase particular está nos valores dos principais atores envolvidos no processo de mudança em ambos os níveis estratégico e operacional, que são influenciados por uma cultura de gestão fundamentada no gerencialismo colegiado ou corporativo, ou uma mistura de ambos.
Referencial Teórico - A Abordagem Multi-Teórica para Governança
A adoção da gestão de riscos em toda a universidade depende das opiniões de diferentes atores nos níveis estratégico e operacional de governança. Por sua vez, esses atores são influenciados por numerosas influências externas e internas que afetam os níveis de controle de governança das universidades públicas. A abordagem multi-teórica para governança é um arcabouço teórico apropriado que permite o reconhecimento dessas forças influenciadoras mais amplas e dos diferentes níveis de controle de governança (Christopher 2010).
O primeiro nível de controle de governança refere-se ao reconhecimento dos diferentes stakeholders em uma organização, as diferentes obrigações contratuais da organização com os stakeholders e os diferentes controles que precisam estar em vigor para gerenciar quaisquer riscos associados ao não cumprimento dessas obrigações. Esse nível é informado pela teoria da agência (Berle e Means 1932; Jensen e Meckling 1976) e complementado pela teoria dos stakeholders (Freeman 1994; Donaldson e Preston 1995). Enquanto a teoria da agência informa a necessidade de reconhecer os acionistas, a teoria dos stakeholders prevê o reconhecimento de qualquer grupo ou indivíduo que possa afetar ou ser afetado pelo alcance dos objetivos da organização. O reconhecimento de uma base de stakeholders ampliada é especialmente relevante para as universidades públicas em seu ambiente operacional atual, já que lidam com múltiplos stakeholders. No contexto deste estudo, esse nível de controle prevê a identificação e o gerenciamento estratégico e operacional do escopo de obrigações contratuais relevantes para as universidades públicas australianas e os riscos associados a elas.
O desenvolvimento estratégico do processo de gestão de riscos é conduzido pelo segundo nível de controle de governança, no nível do conselho de governança. Ele é informado pela teoria da dependência de recursos (Pfeffer 1972; Pfeffer e Salacik 1978; Daily e Dalton 1994; Gales e Kesner 1994; Hillman et al. 2000) e complementado pela teoria da agência. Essas teorias informam sobre as habilidades e experiência ampliadas necessárias aos membros do conselho para gerenciar as diferentes obrigações contratuais dos stakeholders, desde as de um único acionista até as de múltiplos stakeholders. No contexto deste estudo, para facilitar uma cultura profissional de gestão de riscos para universidades públicas, os membros do conselho e a alta administração da universidade serão necessários para compartilhar valores consistentes com uma abordagem corporativa a fim de implementar processos de gestão de riscos no nível estratégico. Isso envolve o desenvolvimento de um código de ética e uma política de gestão de riscos, e a formação de uma estrutura de gestão de riscos (que abrangeum comitê de gestão de riscos e disposições para uma função de gestão de riscos no nível operacional). A estrutura de gestão de riscos garantirá que todos os riscos associados às obrigações contratuais dos diversos stakeholders das universidades públicas australianas sejam identificados e gerenciados.
O terceiro nível de controle de governança está relacionado ao desenvolvimento e implementação de processos de controle de governança apropriados no nível operacional para auxiliar o conselho e a administração no cumprimento de suas responsabilidades de governança mais amplas. Este nível inclui processos de garantia para fornecer ao conselho e à alta administração feedback regular sobre a eficácia dos mecanismos e processos de controle. Em um extremo, um paradigma de governança orientado para a agência prevê um ambiente de controle rigoroso caracterizado por monitoramento e controles do tipo recompensa extrínseca. No outro extremo, um paradigma de governança orientado para a administração responsável/diligente, influenciado por uma cultura de confiança e profissionalismo, requer um ambiente de controle e monitoramento caracterizado por controles capacitadores e recompensas intrínsecas. Esse paradigma é informado pela teoria do stewardship (Donaldson e Davis 1991; Davis et al. 1997). No contexto deste estudo, o desenvolvimento e implementação da gestão de riscos no nível operacional de governança nas universidades públicas australianas envolve o reconhecimento de estratégias para desenvolver o processo conforme determinado pelo conselho e o desenvolvimento de processos apropriados para gerenciar a função de gestão de riscos operacionalmente. A capacidade de desenvolver e implementar processos corporativos no nível operacional dependerá de onde a universidade se posiciona no espectro de agência-stewardship. Universidades cujos principais atores (tanto nos níveis estratégico quanto operacional de governança) adotaram valores corporativos consistentes com uma cultura corporativa (ou seja, um ambiente de controle de monitoramento rigoroso) encontrarão muito mais fácil adotar processos de controle corporativo como a gestão de riscos.
Este estudo utiliza o referencial teórico acima para determinar os atores nos níveis estratégico e operacional de governança, as forças influenciadoras que afetam seus valores e até que ponto eles desenvolveram práticas de gestão de riscos nos respectivos níveis.
Metodologia de Pesquisa
O estudo adota uma abordagem de pesquisa qualitativa. Este método é apropriado, pois há evidências empíricas mínimas na área, e o estudo se concentra na identificação de questões relativas ao processo de mudança por parte daqueles que vivenciaram várias etapas do processo (Creswell 1998). Ele examina os níveis estratégico e operacional de governança nas universidades selecionadas, incluindo os impulsionadores internos do processo de mudança, os desenvolvedores e implementadores do processo de mudança e aqueles responsáveis por monitorar o processo de mudança.
Seleção de universidades e entrevistados
Foram selecionadas várias universidades, em vez de apenas uma, para obter uma compreensão mais profunda da situação real e validar os dados das entrevistas por meio de comparação. Uma abordagem de amostragem intencional (Straus e Corbin 1998) foi utilizada para determinar os três grupos de funcionários a serem entrevistados nas universidades selecionadas. O primeiro grupo de entrevistados era composto por nove vice-reitores (VRs), representando 25% da população total de todas as universidades. O objetivo de entrevistar esse grupo era obter opiniões de um grupo de funcionários que são, em última instância, responsáveis por impulsionar a implementação da gestão de riscos em suas universidades. O segundo grupo de entrevistados consistia em 14 membros da equipe em cargos de segunda linha de gerenciamento, incluindo secretários universitários, executivos de governança, decanos executivos de divisões e diretores financeiros. Este grupo representa nove universidades (aproximadamente 25% de todas as universidades públicas australianas). O objetivo de entrevistar o segundo grupo era obter opiniões de um grupo de gerentes seniores de segunda linha que são responsáveis pelo processo em um nível de divisão ou departamento sênior e que podem verificar as opiniões dos VRs. O terceiro grupo de entrevistados consistia em 12 executivos-chefes de auditoria (ECAs), representando 35% de todas as universidades públicas australianas. A justificativa para selecionar ECAs é o papel deles em aprimorar a governança, sendo um componente importante da governança (Instituto de Auditores Internos 2002). Alguns deles também são facilitadores do processo de gestão de riscos. Eles ocupam posições de alto escalão na estrutura organizacional e, por meio de seu papel funcional independente, espera-se que conheçam o espectro de governança de suas organizações do ponto de vista operacional. Além disso, sugere-se que, com o papel complementar que desempenham em fornecer garantias à administração sobre a eficácia dos processos de governança (incluindo o processo de gestão de riscos), os ECAs estão em melhor posição para fornecer contribuições independentes sobre a cultura de gestão de riscos de sua organização.
O número de entrevistas para todos os três grupos foi restrito uma vez que a saturação de informações foi alcançada. Os entrevistados foram prometidos anonimato; portanto, os nomes dos entrevistados e suas respectivas organizações não são identificados neste artigo e, em vez disso, são utilizados pseudônimos. As universidades são representadas pela letra 'U' seguida por uma sequência numérica (por exemplo, UI, U2, U3, ...) enquanto os entrevistados são representados pela abreviação de sua designação seguida por um número numérico em sequência das respectivas universidades (por exemplo, o vice-reitor de U1 é VR de U1). As amostras selecionadas de todos os três grupos estão mostradas na Tabela 1.
Seguindo os procedimentos de pesquisa qualitativa, as entrevistas foram inicialmente guiadas por perguntas gerais sobre a implementação da gestão de riscos. Isso foi seguido por perguntas mais detalhadas para determinar as opiniões dos entrevistados sobre o quanto a gestão de riscos está desenvolvida em suas universidades, incluindo os responsáveis por sua forma atual. As entrevistas duraram aproximadamente uma hora e foram realizadas nos locais de trabalho dos entrevistados. As entrevistas foram gravadas em fita.
O processo de análise começou com a transcrição dos dados brutos das fitas de entrevista. As transcrições brutas foram então resumidas e analisadas tematicamente, com base no referencial teórico (Miles e Huberman 1994). Esse processo começou com a codificação usando a técnica de codificação aberta (Strauss e Corbin 1998). Todo o processo, incluindo a codificação e a correspondência de padrões, foi facilitado usando o software NVivo.
Nota: Na Austrália, existem 37 universidades públicas categorizadas em quatro grupos:
(1) as universidades do "Grupo dos Oito", compostas por oito antigas universidades de arenito que possuem uma base sólida tanto em ensino quanto em pesquisa;
(2) as universidades da Rede de Tecnologia da Austrália, que se originaram de instituições de ensino superior ou tecnológicas;
(3) as universidades Australianas de Pesquisa Inovadora, compreendendo universidades mais recentes que adotam uma abordagem estratégica mais focada em pesquisa; e
(4) as universidades da Nova Geração (NGUs), que incluem universidades regionais australianas e outras estabelecidas mais recentemente. As NGUs dependem significativamente mais de financiamento do governo do que os outros grupos. Os entrevistados foram selecionados para garantir que todos os grupos fossem representados.
Dados secundários
Paralelamente à análise das transcrições, foi conduzida uma análise de dados secundários, corroborando os dados de forma contínua. Dados secundários textuais provenientes dos sites das universidades e documentos de apoio fornecidos pelosentrevistados foram analisados utilizando as mesmas técnicas utilizadas na análise das transcrições. Exemplos de dados secundários usados na análise de corroboração e apoio incluem estruturas de gestão de riscos, frameworks de gestão de riscos e políticas e procedimentos relativos à gestão de riscos. O processo dual facilitou uma maior rigidez e força na fase de coleta e análise de dados.
Resultados Empíricos
Os resultados revelam que a principal força influenciadora responsável por impulsionar e implementar práticas de gestão de riscos no setor público australiano é o Governo Federal. O Governo Federal influenciou as operações das universidades por meio de políticas que reduziram a dependência das universidades do financiamento governamental e as incentivaram a serem competitivas globalmente e a se aventurarem em atividades para gerar seus próprios recursos. Ele também introduziu diversos protocolos de governança para aprimorar o aumento do nível de responsabilidade exigido da gestão universitária, sendo um deles que incentiva o conselho e a alta administração a desenvolver práticas apropriadas de gestão de riscos. Essa influência externa motivou os atores internos dentro das universidades a responderem. Como esses atores responderam inevitavelmente resulta no nível de desenvolvimento e implementação do processo dentro de cada universidade.
Nível estratégico de governança
No nível estratégico de governança, a principal força influenciadora interna é o conselho universitário (semelhante ao conselho administrativo no setor corporativo), que é composto por vários membros do conselho. Os membros do conselho têm autoridade e responsabilidade final pelas operações da universidade e são responsáveis por executar os requisitos das políticas governamentais. No contexto da abordagem multi-teórica de governança, os membros do conselho e seu representante delegado no nível de gestão, o Reitor, responderam às diretrizes políticas da influência externa (o Governo Federal) implementando processos de gestão de riscos no nível estratégico. O Reitor da U2 comentou sobre essa abordagem positiva, que reflete a opinião da maioria dos entrevistados:
"Nós intensificamos consideravelmente nossos esforços para gerenciar riscos, incluindo o desenvolvimento de um registro abrangente de riscos e mecanismos de relatórios em relação ao registro de riscos. Ele [o registro] é apresentado em todas as reuniões do comitê de gestão de riscos para que haja uma atualização sobre ele. Também avaliamos os riscos estratégicos - não apenas os riscos potenciais de incidentes e os riscos de saúde ocupacional, mas também os riscos estratégicos gerais. É uma questão crescente para as universidades, não apenas por causa das expectativas do governo e da grande quantidade de novas regras e regulamentos, principalmente em questões ambientais e de saúde ocupacional, mas também, em uma universidade como a nossa, os prédios atingiram uma idade em que precisam de reparos e começamos a encontrar problemas de segurança - obviamente problemas não intencionais - que precisam de atenção."
Evidências dessas iniciativas dos conselhos fornecidas por meio das entrevistas foram corroboradas por dados secundários. Uma análise dos sites de todas as universidades revelou que a maioria havia cumprido as melhores práticas associadas à promoção de uma cultura de risco. Isso incluía a implementação de um subcomitê do conselho, normalmente referido como 'comitê de gestão de riscos', e o desenvolvimento e implementação de políticas e procedimentos adequados (incluindo um código de ética) para apoiar uma forte cultura de risco.
Uma análise dos relatórios anuais de 2011 de todas as 37 universidades públicas australianas também revelou que 33 delas relataram o progresso de sua função de gestão de riscos por meio de uma seção de riscos separada. Dessas, 12 relataram que aderiram à norma ISO 31000:2009; quatro relataram aderir a alguma outra norma; e o restante, que não forneceu nenhuma informação sobre as normas seguidas, geralmente relatou que a gestão de riscos estava sendo praticada. Isso é complementado por informações nos sites das universidades revelando que a maioria das universidades estabeleceu uma função de gestão de riscos.
As descobertas acima sugerem que os principais atores responsáveis pela implementação da gestão de riscos no nível estratégico internalizaram valores que refletem a cultura corporativa.
Nível operacional de governança
No nível operacional de governança, a responsabilidade pela implementação do processo de gestão de riscos é delegada pelo conselho de administração [conselho universitário] aos vice-reitores como diretores executivos das universidades. Outras forças internas identificadas como responsáveis por coordenar ou impulsionar o processo de gestão de riscos na fase de desenvolvimento e implementação no nível operacional de governança incluem o ECA [executivos-chefes de auditoria], os chefes de departamentos e prestadores de serviços externos de gestão de riscos. O nível de conflito entre essas forças internas identificadas (atores) à medida que implementam um processo de mudança afetado pela força influenciadora externa (o Governo Federal) varia em cada universidade; alguns desses atores utilizam poder, estratégias políticas e táticas para gerar diferentes resultados no processo de mudança. Portanto, ao contrário do desenvolvimento de práticas de gestão de riscos no nível estratégico, que são satisfatoriamente desenvolvidas e implementadas no nível do conselho, os diferentes valores dos atores no nível operacional de governança geraram diferentes níveis de desenvolvimento e implementação do processo. Esses resultados diferentes no nível operacional, e os motivos para essas diferenças, são ilustrados por meio dos seguintes temas, que foram gerados a partir das entrevistas e dados secundários.
A gestão de riscos é realizada através de uma série de estruturas e configurações estruturais e funcionais
Coordenação pela auditoria interna
Este tema é resultado da influência dominante do Chefe de Auditoria Interna (CAE) de cada universidade no processo de conflito. Alguns CAEs assumiram um papel proativo ao reconhecer a sinergia criada por meio de seu papel na auditoria interna, garantindo que práticas apropriadas de gestão de riscos sejam desenvolvidas na organização. Os CAEs fornecem liderança direta nesse tipo de rede. Para manter sua independência como auditores internos, eles limitam seu papel ao de facilitador ou coordenador do processo de gestão de riscos, em vez de se envolverem nas operações do processo. Os gerentes de departamentos individuais assumem o papel de responsáveis pelo processo; portanto, é responsabilidade deles garantir que os riscos sejam identificados e gerenciados de acordo com um processo estabelecido facilitado pela função de auditoria interna. O perfil universitário e a posição hierárquica de muitos desses CAEs foram elevados, e muitos receberam o título de Diretor de Auditoria e Gestão de Riscos. Os VRs e CEOs responderam positivamente a essa luta pelo poder pelos CAEs, aceitando que a gestão de riscos é melhor coordenada pelo departamento de auditoria interna. Eles [VR e CEOs] consideraram o departamento de auditoria interna como o mais apropriado para conduzir o processo, dada sua sinergia com a gestão de riscos, e enfatizaram que a auditoria interna manteve sua independência ao relatar ao VR administrativamente e ao comitê de auditoria funcionalmente.
Uma revisão dos sites de todas as universidades revelou que 19 universidades tinham funções de auditoria interna internas, sendo que oito delas indicavam claramente que a função de auditoria interna desempenhava um papel na coordenação da função de gestão de riscos. A rede clara estabelecendo este tipo de entrega é caracterizada pela cooperação e compromisso como estratégias políticas comumente utilizadas. Os comentários do VR de U3 refletiram o sentimento comum dos entrevistados em relação a essa observação:
"A gestão de riscos é tratada pela nossa equipede auditoria interna. O auditor interno se reporta a mim para questões padrão, incluindo gestão de riscos. Quando assumi como vice-reitor, a auditoria interna costumava se reportar ao diretor financeiro. Isso gerava um conflito. Uma das minhas primeiras decisões para lidar com esse problema foi determinar que eles [o auditor interno] se reportassem a mim para fins operacionais. Mas seus relatórios são para o conselho, então eles têm independência. Eles se reportam ao comitê de auditoria funcionalmente e se reportam a mim para fins operacionais. Eu tenho muito respeito por essa linha."
Embora os CAEs tenham desempenhado um papel dominante no desenvolvimento e implementação da gestão de riscos, os processos específicos de gestão de riscos operacionais e de relatórios realizados pelas funções de auditoria interna variaram entre as universidades. No contexto da abordagem multi-teórica para governança, esses processos são refletidos por meio de diferentes estruturas (modos de entrega) no nível operacional de cada universidade, sendo cada estrutura resultado dos diferentes níveis de influência gerados pelos CAEs. Esses diferentes níveis de influência são o resultado de diferentes culturas internas de gestão fundamentadas em controles de monitoramento de agência-stakeholder (um ambiente menos confiável e mais controlado) em uma extremidade do espectro e controles de monitoramento de agência-stewardship (um ambiente mais confiável e menos controlado) na outra extremidade. No ambiente menos confiável e mais controlado, os CAEs adotaram a gestão de riscos em um nível em que está integrada ao planejamento estratégico e ao processo de orçamento. Essa estrutura de entrega é fortemente afetada por outras influências, como padrões de melhores práticas de gestão de riscos (por exemplo, ISO/DIS 31000 2009). Foi observado nas entrevistas que algumas universidades adotaram aspectos totais ou parciais do padrão, determinados por meio de concursos de enquadramento, nos quais os diferentes atores negociam para chegar a uma determinada estrutura de entrega. Por exemplo, como facilitadores do processo, os CAEs negociam com os gerentes departamentais, como proprietários do processo, e com o CEO, como condutor do processo, para chegar a uma determinada estrutura de entrega. O CAE da U8 forneceu insights sobre a versão mais comum da estrutura através da qual as práticas de gestão de riscos são realizadas, e enfatizou que a essência dessa estrutura era abranger todos os tipos de riscos possíveis:
“Nós temos um funcionário que é o coordenador de gestão de riscos. Nós temos uma política formal de gestão de riscos e temos um comitê separado de gestão de riscos. É um subcomitê do comitê de gestão de riscos e é separado do nosso comitê de auditoria. Nós atribuímos a responsabilidade pela gestão de riscos a todos os gestores em toda a universidade. Um dos papéis do coordenador de gestão de riscos é compilar os diversos relatórios que chegam. Isso é monitorado bastante bem. Embora realizemos uma revisão da eficácia da gestão de riscos empresariais como um todo, há realmente uma necessidade de ser devidamente independente, então realizamos uma revisão externa de tempos em tempos.”
Funções terceirizadas
Nas universidades onde os CAEs não assumiram um papel proativo como atores no processo de conflito, os VRs têm utilizado sua influência para terceirizar a função de gestão de riscos. Uma análise dos sites indicou que pelo menos três universidades terceirizaram a função de gestão de riscos. Esse processo inevitavelmente convida outro participante para o processo de negociação - o prestador de serviços externo, que fornece liderança direta nesse tipo específico de rede. Nessa situação, o processo no nível operacional é enquadrado de forma diferente, já que esses prestadores terceirizados têm suas próprias abordagens para a gestão de riscos.
O CAE da U2, cuja universidade tem uma função de gestão de riscos terceirizada, descreveu o status desse processo, ilustrando mais uma forma de resolução de quadros:
"A posição de gestão de riscos está sob contrato. O provedor terceirizado esteve aqui em tempo integral por alguns anos para implementar a estratégia de gestão de riscos da universidade. Um framework de gestão de riscos foi estabelecido. Existem os registros de riscos e os planos de tratamento de riscos, que foram desenvolvidos nos últimos anos. Agora eles são um sistema eletrônico automatizado; todo ano, as pessoas responsáveis são informadas para atualizar seus riscos para sua área específica. O gestor de riscos garante que este processo automatizado seja realizado anualmente e, até o momento, há melhorias. Preparei um relatório sobre esse processo de gestão de riscos e ainda há fraquezas lá. Mas, em geral, é eficaz, e o que vi é que, em geral, os riscos críticos identificados no nível operacional foram adequadamente abordados."
Departamento separado dentro da universidade
Alguns vice-reitores utilizaram sua influência para alocar a função de gestão de riscos a um departamento separado dentro da universidade. Essa abordagem é, até certo ponto, influenciada pelos chefes de departamentos específicos que negociaram com sucesso com seus vice-reitores para assumir a responsabilidade adicional de implementar o processo. Aqui, os respectivos chefes de departamentos específicos assumiram um papel de liderança para chegar a um acordo em um quadro diferente. Esses departamentos separados foram relatados como variando desde o escritório de finanças e negócios até o escritório da secretaria da universidade e o escritório de planejamento. Uma revisão dos sites das universidades revelou que oito universidades operam dessa maneira.
O secretário da universidade U2 justificou a função de gestão de riscos como parte das responsabilidades da secretaria e forneceu uma descrição de sua estrutura e dos serviços prestados, fornecendo assim outro quadro no qual a gestão de riscos é realizada operacionalmente. A secretaria parece levar essa função a sério, com um especialista externo atuando no comitê como avaliador. O secretário da universidade U2 explicou:
"Acredito que a gestão de riscos faz parte das responsabilidades da secretaria. Temos uma política de avaliação e gestão de riscos como parte do manual. E temos um gestor de riscos. Projetamos e implementamos um processo de registro de riscos baseado na web, que vincula os vários riscos a diversas áreas da universidade. Temos um comitê de gestão de riscos da secretaria, que é separado do comitê de auditoria porque entendemos que o risco é responsabilidade da administração e a diretoria assume a responsabilidade pela gestão de riscos. Temos um especialista externo que se junta ao comitê como avaliador para nos manter no caminho certo. Temos um processo pelo qual revisamos os 10 principais riscos corporativos. Gerenciamos esses riscos em termos do processo normal de quão provável é que o risco ocorra, quais são as consequências se ocorrer e quais são os controles mitigadores e planos de ação que você precisa implementar para gerenciar e controlar esse risco. Em seguida, cascata isso por todos os nossos planos operacionais. Cada uma das unidades de negócios deve identificar os cinco principais riscos em sua área e apresentá-los da mesma forma. Isso é registrado no registro de riscos. Depois, uma vez por ano, analisamos nosso registro de obrigações estatutárias. Existem 160 instrumentos legais ou estatutários separados com os quais precisamos cumprir. Cada um dos gerentes responsáveis nessa área deve assinar que estamos em conformidade. Fomos bastante sistemáticos em como lidamos com a gestão de riscos corporativos."
Gestão de Riscos está em desenvolvimento/ainda relativamente nova
O outro grande tema que emerge do estudo é que o processo de gestão de riscos permanece inadequadamente implementado. No contexto de uma abordagem multi-teórica para a governança, essas universidades ainda não adotaram uma abordagem corporativa para a gestão. Elas permanecem dominadas pelo gerencialismo colegiado e operamdentro de um ambiente mais confiante e menos controlado. São caracterizadas pela falta de um ator dominante disposto a assumir o papel no nível operacional de governança. Nessas universidades, os entrevistados descreveram o processo de conflito como ainda em andamento, sem um resultado claro até agora. Os entrevistados descreveram o processo de negociação entre o facilitador (CAE), os proprietários (chefes departamentais) e o condutor (CEO) ainda em curso, e o novo produto inovador ainda a ser implementado. O status das práticas de gestão de riscos nesses casos muitas vezes foi referido como 'subdesenvolvido', 'em andamento' ou 'com espaço para melhorias'. As práticas foram caracterizadas como tendo infraestrutura inadequada para apoiar os processos estratégicos, operacionais e técnicos necessários para facilitar mudanças eficazes nos diferentes níveis organizacionais. Os seguintes comentários fornecem algumas percepções sobre esse status:
"Bem, a gestão de riscos realmente é pouco formalizada, e é um exemplo de onde as universidades, na minha opinião, provavelmente estão atrás do setor privado. Então, eu acho que do nosso ponto de vista, estamos lentos em concluir esse processo (VR da U4).
Acho que ninguém argumentaria que, até recentemente, a gestão de riscos não aconteceu de verdade. Acho que é algo que a Universidade percebeu e tem trabalhado posteriormente no desenvolvimento de um plano de gestão de riscos e vários planos locais relacionados à gestão de riscos. E certamente, estou muito cauteloso com a forma como alguns deles foram desenvolvidos. Acredito que há um longo caminho a percorrer antes que ele [um plano de gestão de riscos] esteja em vigor e antes que faça parte da cultura (VR da U6).
Temos um gerente de riscos separado. Ele está dentro da unidade de finanças e serviços empresariais. Mas seu foco tem sido mais em torno do seguro do que na gestão de riscos. Embora o foco em gerenciar o risco esteja nos gestores, não temos as ferramentas para que eles realmente formalmente... identifiquem, documentem e monitorem seus riscos (ECA da U3)."
As afirmações acima são apoiadas pelo fato de que os sites de nove das 37 universidades públicas não contêm informações completas sobre a realização de gestão de riscos, nem afirmam em seus relatórios anuais que o processo está em desenvolvimento.
Discussão e Conclusão
No nível estratégico de governança, este estudo identificou que a maioria dos conselhos das universidades e seus respectivos funcionários de alta administração delegados teve reações satisfatórias à força de influência externa (Governo Federal) na criação de uma cultura corporativa de risco por meio de um código de ética, políticas e procedimentos apropriados, e provisão para a criação de uma função de gestão de riscos para gerenciar o processo de gestão de riscos operacionalmente. O desenvolvimento estratégico do processo de gestão de riscos neste nível foi consistente entre as universidades examinadas e em conformidade com as diretrizes de melhores práticas (por exemplo, ISO/DIS 31000 2009; COSO 2004). Um elemento importante identificado como contribuinte para o desenvolvimento satisfatório de um processo de gestão de riscos foi que os principais atores no nível estratégico de governança (conselho e alta administração) prontamente adotaram valores congruentes com uma cultura corporativa. Essa adoção, aparentemente, é necessária para a responsabilidade dos atores em gerenciar outros acadêmicos e funcionários administrativos, a fim de promover os objetivos corporativos de eficiência e produtividade.
No nível operacional de governança, as universidades desenvolveram práticas de risco que variaram em seu modo de entrega. A tensão entre o gerencialismo corporativo e o gerencialismo colegial e setorial público foi mais evidente neste nível, e resultou em vários atores embarcando em uma luta de poder para eventualmente chegar a várias redes e estruturas de gestão de riscos. Nessas universidades, por meio de várias estratégias e táticas políticas, os atores de influência interna cooperaram e comprometeram-se para chegar a um resultado adequado consistente com a abordagem corporativa.
No contexto da abordagem multi-teórica para governança, as percepções de gestão das práticas de gestão de riscos aceitas em linha com a abordagem corporativa foram caracterizadas por: uma cultura de risco desenvolvida no nível estratégico (ou seja, práticas de risco desenvolvidas no nível do conselho de governança, iniciadas pela alta hierarquia por meio de um comitê de auditoria e/ou gestão de riscos designado pelo conselho, que tem um papel de supervisão da gestão de riscos); e uma função de gestão de riscos desenvolvida no nível operacional (ou seja, práticas de risco desenvolvidas no nível operacional de governança, iniciadas por vários atores dominantes e executadas e relatadas no nível do conselho de governança). Os níveis apropriados de controle nos níveis do conselho e operacional de governança nessas universidades são fundamentados em teorias de agência, partes interessadas, dependência de recursos e administração fiduciária, que informam cada universidade sobre a necessidade de reconhecer seus stakeholders, incorporar suas obrigações contratuais com os stakeholders em seu framework de governança e gerenciar os riscos associados às diferentes obrigações contratuais por meio de jogadores habilidosos e experientes tanto nos níveis estratégicos quanto operacionais.
Um tema adicional que emerge consistentemente dos três grupos de membros da equipe é que algumas universidades ainda não tinham práticas adequadas de gestão de riscos em vigor no nível operacional de governança. Aqui, os resultados sugerem que os atores internos identificados que passaram por um processo de conflito, luta pelo poder e estratégias políticas ainda não haviam alcançado um consenso aceitável, ou que os atores ainda consideravam o consenso aceito como um trabalho em andamento. No contexto da abordagem multi-teórica para governança, essas universidades são caracterizadas por uma cultura que leva certos atores a discordarem dos meios de alcançar uma mudança bem-sucedida, impedindo assim um comprometimento compartilhado com o processo de mudança. O resultado líquido é que um critério importante na adoção bem-sucedida do processo empresarial não foi atendido. Este critério diz respeito a ter tanto um contexto organizacional (estrutura, tarefa, cultura e incentivos) para facilitar o processo de mudança estrategicamente quanto drivers (funcionários com as habilidades, experiência e profissionalismo certos) para desenvolver e implementar o processo operacionalmente. Neste caso, embora o contexto organizacional tenha sido abordado estrategicamente, não foi apoiado operacionalmente.
Os resultados ilustram que o apetite ao risco e o consequente nível de controles de gestão de riscos a serem implementados no nível operacional, conforme identificados pelos principais atores, também podem ser influenciados pelo nível de confiança associado à universidade (embasado tanto na teoria da agência quanto na teoria do mordomato). Quanto menor o nível de confiança (associado a universidades que possuem uma forte influência de gestão corporativa e são propensas a controles orientados para agência), maior será o destaque nos processos de gestão de riscos. Isso é evidente na maioria das universidades que possuem um ambiente complexo distinto (caracterizado por atividades de alto nível associadas a parcerias internacionais e estudos colaborativos conjuntos, conforme evidenciado em seus sites e informações fornecidas pelos entrevistados) e uma cultura na qual os principais atores demonstram valores congruentes com uma cultura corporativa. Quanto maior o nível de confiança (associado a universidades que têm uma forte influência de gerenciamento colegiado), menor será o destaque nos detalhes do processo. Isso é evidente em universidades que possuem uma cultura onde os principais atores demonstram valores incongruentes com a cultura corporativa.
Esses resultadosrevelam que os valores dos principais atores influenciam significativamente a maneira como a gestão de riscos é delineada nos níveis estratégico e operacional de governança. Os diversos modos de entrega revelam que eles são atribuíveis às influências mais amplas de cada universidade e aos diferentes níveis de impacto que inevitavelmente têm nos principais atores. Os principais atores aproveitaram esse cenário para desenvolver estruturas de entrega que lhes convêm. Essas estruturas variam de uma avaliação satisfatória (resultado de metas comuns ou acordadas pelos principais atores em ambos os níveis de governança) a uma avaliação insatisfatória (resultado de metas dos principais atores que são incongruentes com a cultura corporativa no nível operacional de governança). Em termos mais amplos, os resultados sugerem que a adoção da gestão de riscos dentro de um ambiente de mudança nas universidades públicas deve incluir a consideração do contexto social e institucional mais amplo no qual a universidade opera e o impacto consequente da gestão de riscos nos valores dos principais atores. Esses resultados são consistentes com estudos anteriores que mostraram que os principais atores utilizam sistemas de controle de gestão para seus próprios interesses e que têm o potencial de alterar as linhas de responsabilidade e prestação de contas.