Baixe o app para aproveitar ainda mais
Prévia do material em texto
2a edição Revisada e ampliada com o coso 20 17 e iso 31000:20 18 Antonio Celso Ribe iRo bRAs il iAno INTELIGÊNCIA EM RISCOS Gestão InteGrada em rIscos corporatIvos Dados Internacionais de Catalogação na Publicação (CIP) (Câmara Brasileira do Livro, SP, Brasil) Brasiliano, Antonio Celso Ribeiro Inteligência em riscos [livro eletrônico]: gestão integrada em riscos corporativos / Antonio Celso Ribeiro Brasiliano. -- 2. ed. rev. e ampl. -- São Paulo: Sicurezza, 2018. 14 Kb; PDF “2ª edição revisada e ampliada com o COSO 2017 e ISO 31000:2018” Bibliografia. 1. Administração de riscos 2. Análise de risco 3. Planejamento estratégico 4. Riscos corporativos I. Título. 18-15505 CDD-658.155 Índices para catálogo sistemático: 1. Gestão e análise de riscos corporativo: Planejamento estratégico: Administração de empresas 658.155 Maria Paula C. Riyuzo - Bibliotecária - CRB-8/7639 Titulo Original: Inteligência em riscos: Gestão integrada em riscos corporativos - 2ª edição revisada e ampliada com o COSO 2017 e ISO 31000:2018 © Copyright by Antonio Celso Ribeiro Brasiliano 2a edição, Abril de 2018 Todos os direitos reservados. É proibida a reprodução desta obra por qualquer meio, em seu todo ou em partes, sem autorização expressa do autor e do editor. Direitos dessa edição cedidos por contrato para: Sicurezza Gestão de Riscos Corporativos, Editora e Distribuidora Ltda www.sicurezzaeditora.com.br Telefone: 11 5531 6171 Email: contato@sicurezzaeditora.com.br Coordenação/Edição: Enza Cirelli Coedição: Matheus Fridori Projeto Gráfico/Edição de Arte: Marina Brasiliano 2a edição Revisada e ampliada com o coso 20 17 e iso 31000:20 18 Antonio Celso Ribe iRo bRAs il iAno INTELIGÊNCIA EM RISCOS Gestão InteGrada em rIscos corporatIvos 5 À Silvia, pelo incanSável apoio ao longo de minha vida. aoS meuS filhoS, Té e má, minha maior criação e fonTe de incenTivo. aoS meuS neToS, anTonio e aniTa, guerreiroS da Terceira geração, que renovam conSTanTemenTe a energia da minha vida. 6 eScrever para mim Sempre é um proceSSo que chamo de “deSTruição criaTiva”, poiS conSidero momenToS de creScimenTo, incerTezaS e que Sempre São comparTilhadoS com inúmeraS peSSoaS, meSmo algumaS não Sabendo diSSo. agradeço em eSpecial algumaS delaS. À enza, minha Sócia, amiga, parceira, pelo fundamenTal SuporTe em TodaS aS noSSaS inveSTidaS como empreendedoreS, meSmo com alTo “apeTiTe ao riSco”, Soube apoiar noS momenToS críTicoS de noSSa caminhada empreSarial e ainda pela compreenSão da minha aTribulada vida. meu muiTo obrigado de coração! À Sandra, fiel eScudeira, hoje direTora, que começou como “pica poa” na braSiliano inTeriSK há maiS de 15 anoS, aguenTou a anSiedade e a corrida nervoSa do chefe, eSTudando e creScendo por Seu próprio mériTo, fiel e baTalhadora, SuporTou inúmeroS projeToS; ao guSTavo, gerenTe de conSulToria comigo há maiS de dez anoS, Também iniciou como “pica pau” na braSiliano inTeriSK, TeimoSo, maS baTalhador e perSpicaz; ao daviS, gerenTe de projeToS, amigo há maiS de 35 anoS, deSde oS TempoS de TenenTe de cavalaria, TeimoSo, maS baTalhador e leal; ao pedro paulo, gerenTe de projeToS, fanfarrão, amigo há maiS de 30 anoS, maS aguenTa bem o chefe anSioSo e nervoSo, leal e Trabalhador; AGRADECIMENTOS 7 aoS conSulToreS mário, jefferSon, KíSSia, lucaS, álvaro e junior, pela paciência de “aTurar” um chefe anSioSo; À marina e maTheuS, oS comunicadoreS e marqueTeiroS da braSiliano inTeriSK, que “aperTam e brigam” para que a reviSTa e o newS Saiam no prazo; ao efraim, noSSo “imporTado” do maranhão, com muiTa honra, parceiro fiel já de ouTraS luTaS, hoje enfrenTando, como direTor de Ti e Sócio noSSo, da grande empreiTada da ferramenTa de Ti inovadora inTeriSK, dedicado, baTalhador e ouSado; À Toda equipe de ouTSourcing que Trabalha lá noS confinS do pará e maTo groSSo em noSSoS projeToS de riScoS de Saúde e Segurança, claudemir, juliana, aguinaldo, dilTon, Thiago, bruno, edrielSon e éder, TodoS baTalhadoreS e dedicadoS; À michele e ao miTSuo, por eSTarem há maiS de 15 anoS aguenTando o chefe anSioSo e nervoSo, aS vezeS; À ThayS maiS nova colaboradora, preSTaTiva e compeTenTe, em conciliar a agenda e viagenS para o chefe anSioSo. À márcia que aTura um chefe anSioSo por maiS de cinco anoS, Sempre preSTaTiva e aTencioSa; aoS amigoS e colegaS deSTe noSSo mercado exTremamenTe voláTil, incerTo, complexo e ambíguo, com o anacrônico vica, a quem Seria impoSSível nomear individualmenTe, que incenTivaram com palavraS e geSToS; À TodoS meuS alunoS, TanTo oS do curSo de eSpecialização (mba), como oS doS curSoS de exTenSão, grandeS incenTivadoreS deSTa luTa conTínua da peSquiSa; À TodoS meuS clienTeS, oS verdadeiroS proTagoniSTaS deSTe Trabalho. 8 SUMÁRIO Palavras do autor 9 1. Introdução 18 2. Contexto holístICo da gestão de rIsCos CorPoratIvos 20 3. a gestão de rIsCos CorPoratIvos e os objetIvos estratégICos da organIzação 50 4. a gestão de rIsCos CorPoratIvos e as 3 lInhas de defesa 59 5. Melhores PrátICas – fraMeworks de MerCado 66 6. ConCeIto de rIsCo – aPetIte ao rIsCo 127 7. ConCeIto de rIsCo – rIsCo Inerente e rIsCo resIdual 159 8. Controles Internos e a gestão de rIsCos 162 9. fases do ProCesso de gestão de rIsCos CorPoratIvos – Método brasIlIano 166 10. CoMunICação e Consulta 177 11. Contexto estratégICo 199 12. IdentIfICação de rIsCos 234 13. análIse e avalIação de rIsCos – Inerente 266 14. análIse e avalIação de rIsCos – resIdual 285 15. resPostas aos rIsCos 306 16. MonItoraMento e análIse CrítICa 328 17. o PerfIl do líder no Mundo vICa 330 18. a transforMação do gestor de rIsCos na era da quarta revolução IndustrIal 338 ConClusão 355 referênCIas bIblIográfICas 357 sobre o autor 361 9 PALAVRAS DO AUTOR O atual contexto de Gestão de Riscos Corporativos das organizações, no Brasil e no mundo, está cada vez mais complexo e dinâmico, exigindo um processo com alta flexibilidade e, mandando um nível elevado da área de gestão de riscos, bem como uma maior tempestividade na avaliação contínua e na resposta a potenciais cenários de riscos. Esta 2a edição, abril de 2018, da Inteligência em Riscos: Gestão Integrada em Riscos Corporativos, foi elaborada em função da Revisão do COSO II 2004, agora denominado COSO ERM 2017 – Gerenciamento de Riscos Corporativos – Integrado com Estratégia e Performance, lançado em junho de 2017 e da ISO 31000 – Gestão de Riscos, que também sofreu revisão, tendo já sido publicada em março de 2018. Esta é a principal razão da revisão completa do Processo de Gestão e Análise de Riscos Corporativos, Método Brasiliano – Avançado, incluindo a troca do nome por Inteligência em Riscos – Gestão Integrada em Riscos Corporativos, pois as variadas disciplinas de riscos devem estar debaixo do IN TE LI G ÊN C IA E M R IS C O S G ES TÃ O I N TE G R A D A E M R IS C O S C O R P O R AT IV O S 10 mesmo Framework, falando a mesma linguagem, de tal forma que possa haver uma interpretação das informações relevantes gerando a verdadeira inteligência em riscos na organização. Esta Inteligência em Riscos Corporativos, inte- gração das disciplinas, agrega valor para o negócio e, previne contra as incertezas do ambiente de negócios, ajudando desta forma a empresa a priorizar recursos. No entanto, outro desafio prioritário que se coloca é integrar a estrutura de gestão de riscos aos processos e às estratégias da organização. Além de mensurar os riscos da empresa, o objetivo destacado pelas organizações é a criação de uma função integrada às estratégias da organização, que gere e preserve valor aos acionistas. Em junho de 2016, o COSO colocou em consulta pública uma revisão do modelo de 2004, adotando o título “Integra- do com Estratégia e Performance”, para destacar a importância do gerenciamento de riscos tanto na definição quanto na execução da estratégiae no gerenciamento do desempenho organizacional. Com a incorporação dessa perspectiva, o modelo proporciona maior alinhamento às expectativas em torno das responsabilidades da governança e da alta admi- nistração no cumprimento das suas obrigações de accountability. A revisão atualiza os componentes, adota princípios, simplifica definições, enfatiza o papel da cultura e melhora o foco no valor: como as organizações criam, preservam e entregam valor, inserindo o gerenciamento de riscos em três dimensões fundamentais para a gestão eficaz de uma organização: 1o) a missão, a visão e os valores fundamentais; 2o) os objetivos estratégicos e de negócios; e 3o) o de- sempenho organizacional. Em função das inovações, da volatidade, das incertezas e complexidades do mercado, o modelo revisado faz com que o gerenciamento de riscos seja um processo integrado com outros processos organizacionais, sobretudo os processos de governança, ajudando as empresas na definição da estratégia e dos objetivos, bem como medindo o desempenho com relação aos riscos. A revisão deu um salto qualitativo para o gestor de riscos, indo além da tradicional aplicação por áreas ou níveis dentro das organizações para a empresa como um todo. A versão final, publicada em junho de 2017, recebeu o nome oficial de Gerenciamento de Riscos Corporativos – Integrado com Estratégia e Performance. O novo framework COSO ERM 2017 – Gerenciamento de Riscos Corporativos – Integrado com Estratégia e Performance, explora o papel do risco na seleção da estratégia, enfatizando dois aspectos principais que podem ter um grande efeito no valor da organização: a possibilidade da estratégia não se alinhar e as implicações das escolhas estratégicas. Os aspectos enfatizados são: IN TE LI G ÊN C IA E M R IS C O S G ES TÃ O I N TE G R A D A E M R IS C O S C O R P O R AT IV O S 11 a) A possibilidade da estratégia – e, assim, os objetivos estratégicos e de negócios – não se alinhar com a missão, a visão e os valores fundamentais da organização; b) As implicações da estratégia escolhida. O COSO ERM 2017 integra a gestão de riscos com a gestão do desempenho, explorando como que a identificação e avaliação de riscos podem impactar a implementação da estratégia e o alcance dos objetivos de negócios. Figura 1 – Definição dos objetivos estratégicos alinhados com a Missão, Visão e Valores, visando a Performance Fonte: COSO ERM Enterprise Risk Management, Integrating with Strategy and Performance Executive Summary, 2017 Foi uma revisão substancial, elevando oficialmente, o gerenciamento de riscos para o nível estratégico das empresas. O COSO ERM 2017 reduziu os componentes do gerenciamento de riscos de oito para cinco, não tendo mais o famoso “cubo”. Formalizou e detalhou aos componentes, vinte princípios de gerenciamento de riscos, os quais representam di- retrizes para práticas que podem ser aplicadas de diferentes maneiras por diferentes organizações, independentemen- te de tamanho ou setor, e cuja implementação permitirá que a governança e a administração tenham uma expectativa razoável de que a organização entende e é capaz de gerenciar os riscos associados com a sua estratégia e os seus objetivos de negócio, em um nível aceitável. IN TE LI G ÊN C IA E M R IS C O S G ES TÃ O I N TE G R A D A E M R IS C O S C O R P O R AT IV O S 12 Figura 2 – FRAMEWORK REVISADO 2017 – COSO ERM 2017 – Gerenciamento de Riscos Corporativos – Integrado com Estratégia e Performance Fonte: COSO ERM Enterprise Risk Management, Integrating with Strategy and Performance Executive Summary, 2017 Como a revisão foi substancial, tivemos também que rever e pensar nossos processos de Gestão de Riscos. A revisão da 31000 foi estrutural e estratégica, onde gerenciar riscos baseia-se nos princípios, estrutura e processos delineados na nova ISO 31000:2018, conforme Figura 3. Estes componentes podem já existir total ou parcialmente na organização; contudo, podem necessitar ser adaptados ou melhorados, de forma que gerenciar riscos seja eficiente, eficaz e consistente. A nova ISO 31000:2018 teve mudanças em seus princípios, que também fazem da gestão de riscos criarem valor para a empresa, sua estrutura, mais estratégica, dando maior responsabilidade direta a alta administração. IN TE LI G ÊN C IA E M R IS C O S G ES TÃ O I N TE G R A D A E M R IS C O S C O R P O R AT IV O S 13 No seu framework a ISO 31000: 2018 eleva ao nível estratégico, e no estabelecimento do escopo, critério e contexto, o objetivo é personalizar o processo de gestão de riscos, permitindo um processo de avaliação de riscos eficaz e um tratamento de riscos apropriado. Escopo, contexto e critérios envolvem a definição do escopo do processo, a compreen- são dos contextos externo e interno. Figura 3 – Componentes da Gestão de Riscos: Princípios, Estrutura e Processo Fonte: ABNT/CEE-063 PROJETO DE REVISÃO ABNT NBR ISO 31000 FEV 2018, pg 5. IN TE LI G ÊN C IA E M R IS C O S G ES TÃ O I N TE G R A D A E M R IS C O S C O R P O R AT IV O S 14 Com todas estas revisões nas melhores práticas, ISO 31000:2018, COSO ERM 2017 – Integrado com Estratégia e Per- formance e com a ISO 31010 também sofrendo revisões, nós da Brasiliano INTERISK tivemos que colocar em prática nossa “destruição criativa” e também acompanhar a evolução das tecnicidades e dos modelos de gestão de riscos. Como a melhoria é contínua e nada permanece certo por muito tempo, tive que mudar a perspectiva sobre concei- tos e aplicações, o que considero uma grande evolução do gerenciamento de riscos corporativos. Além disso, nosso framework, Método Brasiliano, acomoda diferentes pontos de vista e melhora as estratégias e a tomada de decisões. Portanto esta 2a edição apresenta: • Maior visibilidade do papel do gerenciamento de riscos corporativos ao estabelecer e executar a estratégia. • Melhora o alinhamento entre desempenho e gerenciamento de riscos corporativos. • Acomoda expectativas de governança e supervisão. • Reconhece a globalização dos mercados e das operações e a necessidade de aplicar uma abordagem comum, embora personalizada, entre as geografias. • Apresenta novas formas de ver o risco para a definição e a consecução de objetivos no contexto de uma maior complexidade empresarial. • Expande relatórios para atender às expectativas de maior transparência das partes interessadas. • Acomoda tecnologias em evolução e o crescimento da análise de dados no suporte à tomada de decisões. Este livro foi totalmente remodelado, com novos critérios e novas ferramentas, alinhadas e integradas com os três Framework’s: a ISO 31000: 2018, o COSO I – Controles Internos, Revisado em 2013 e COSO ERM 2017 – Gerenciamen- to de Riscos Corporativos – Integrado com Estratégia e Performance. O motivo da integração das três estruturas em um só framework é que o ambiente de negócio, hoje, passa por fortes mudanças exigindo dos gestores e de seus administradores um modelo de gestão de riscos flexível, mas ao mesmo tempo consistente e estruturado para atender as regulações e exigências do mercado. Hoje podemos dizer que o mercado empresarial passa pelo que chamamos de VUCA em inglês, VICA em português, uma sigla utilizada para descrever a volatilidade (volatility), a incerteza (uncertainty), a complexidade (complexity) e a IN TE LI G ÊN C IA E M R IS C O S G ES TÃ O I N TE G R A D A E M R IS C O S C O R P O R AT IV O S 15 ambiguidade (ambiguity) nos ambientes e situações de negócio. Oriunda do vocabulário militar americano, o uso co- mum do termo VICA começou no final dos anos 1990. O conceito VICA expressa a complexidade da nossa sociedade contemporânea, devido à interdependência e a globalização, situações que antes tinham pouco impacto, mas que ago- ra refletem em toda sociedade. Por exemplo, a catástrofe de Fukushima,em 2011, fez as montadoras japonesas no Brasil pararem suas linhas produtivas devido à falta de peças. Ou seja, a interdependência é uma realidade no mundo globalizado e deve fazer parte da gestão de riscos. Partindo desta abordagem, o US Army War College formulou um programa de formação para o desenvolvimento das lideranças militares, ao nível estratégico, o qual contempla a adoção de metodologias adequadas para enfrentar o VICA e fazer frente a um ambiente extremamente agressivo e predador. O US Army College, caracteriza os componentes deste contexto envolvente do seguinte modo: - Volatilidade: é marcada pelo ritmo elevado com que ocorrem mudanças com impacto na vida das sociedades desenvolvidas e, concomitantemente, nas suas organizações. Assim, no atual contexto de uma Era da Informação e do Conhecimento, os dados e as evidências existentes no momento presente podem não ser suficientes para a tomada de decisão. Antecipar e prever o que pode acontecer, por exemplo durante o período de execução de um projeto, são dimensões, por vezes, absolutamente decisivas. - Incerteza: é uma característica do contexto marcada pela necessidade de se assumir que o conhecimento sobre uma dada situação é sempre incompleto, potencializando deste modo o aparecimento de opiniões divergentes sobre a melhor estratégia a prosseguir, exigindo uma cuidadosa análise do risco. De fato, é cada vez mais difícil levantar cenários futuros com base em acontecimentos passados. - Complexidade: característica do contexto envolvente que está associada à dificuldade de compreender o resultado das interações das várias componentes de um sistema, uma vez que estas raramente são de natureza mecanicista e linear. A Teoria da Complexidade vem, deste modo, mostrar a interdependência essencial de todos os fenômenos. Neste ponto, a assunção de fenômenos complexos, no seio de uma organização, impõe a necessidade de admitir interações não-lineares entre os componentes do sistema, com consequências que se multiplicam rápida e imprevisivelmente. Característica mais marcante do século XX e XXI! - Ambiguidade: descreve um tipo específico de incerteza que resulta de diferenças na interpretação quando as evidências existentes são insuficientes para esclarecer o significado de um determinado fenômeno. Na prática, no âmbito da IN TE LI G ÊN C IA E M R IS C O S G ES TÃ O I N TE G R A D A E M R IS C O S C O R P O R AT IV O S 16 gestão das organizações, a consequência deste fato é a elevada probabilidade das lideranças poderem interpretar, legitimamente, eventos de formas diferentes, aumentando significativamente a probabilidade de erros na interpretação dos mesmos. A imprecisão da realidade, o potencial de erros de leitura, os significados mistos de condições; a falta de ação, confusão entre causa e efeito e a falta de clareza. Para Greg Hutchins, especialista americano em gestão da qualidade e gestão de risco: “nós estamos saindo de um mundo linear de saber a solução dos problemas e tomar uma decisão clara para um mundo dinâmico de entender o sentido, de tomada de decisão baseada no risco, em condições VICA.” O mundo VUCA e/ou VICA só pode ser gerenciado com base em riscos. Daí a importância de todos os gestores sa- berem e/ou possuírem a competência de lidar com as incertezas. O mundo VICA é baseada na própria gestão de riscos, lidando com cenários complexos e altamente dinâmicos, onde se exige dos gestores: - Visão do todo e não da parte, o gestor tem que enxergar a floresta e não a árvore; - Grande velocidade na tomada de decisão (o movimento é mais importante, não podemos ficar parado, se ficarmos o inimigo mata! O ótimo é inimigo do bom, conhecem?); - Não ortodoxia, pensar fora da caixa, não dogmatizar soluções, ser criativo diante das incertezas; - Colaboração e co-criação entre as equipes, redes de colaboração, estar conectado para o entendimento rápido do contexto; - Agilidade, saber mover-se com grande flexibilidade, possuir estrutura leve para poder carregar. O mundo VICA é um mundo que para ser vencido é preciso possuir estes preceitos, o velho novo conceito da Gestão de Riscos. Por esta razão que a Gestão de Riscos deve ser internalizada nas empresas de forma a possuir capilarida- de em todos os processos e respectivos níveis organizacionais. Com isto, a média e alta gerência das organizações estarão aptas a lidarem com o mundo VICA e, desta forma, a empresa terá uma grande vantagem competitiva frente aos seus adversários. Após um grande período de economia pujante, o temor de uma recessão voltou a assombrar nós brasileiros. As in- certezas econômicas e políticas impulsionam esse cenário desafiador no Brasil, e ainda não há uma perspectiva clara de quanto tempo ele durará e qual é sua real profundidade. IN TE LI G ÊN C IA E M R IS C O S G ES TÃ O I N TE G R A D A E M R IS C O S C O R P O R AT IV O S 17 Além do esgotamento de um modelo de crescimento com base no consumo, o País convive com inseguranças que afetam o mercado de forma mais ampla, como custo de energia, escassez de recursos hídricos, falta de profissionais qualificados e mudança demográfica dos consumidores. Some-se a isto volatilidade do câmbio, aumento da taxa de juros e pressão inflacionária, e aí temos um “VICA” perfeito para gerenciar. Crises são cíclicas, inevitáveis e sempre desafiadoras, mas sempre é possível aos líderes aproveitarem as oportu- nidades vindas com elas para obterem uma vantagem competitiva e melhor posicionarem suas empresas para o mo- mento de retomada do crescimento. Para apoiar a gestão da organização nesse caminho desafiador, é que apresento meu livro, que traz reflexões para apoiar a travessia desse período, mantendo-se atento às oportunidades que possam surgir com ela. O livro reúne as informações e orientações para que os gestores de riscos, de qualquer disciplina, possam, de for- ma prática e objetiva, elaborarem a sua gestão de riscos, enxergando e compreendendo as incertezas do futuro. Nos últimos cinco anos o Brasil teve inúmeros exemplos de concretização de riscos corporativos com consequências mas- sivas para as suas corporações e respectivas comunidades, por falta direta ou indireta de um processo estruturado de gestão de riscos. É uma motivação para que os profissionais e os líderes repensem as causas e não cometemos mais os erros crassos que potencializaram os eventos. Encerro minhas palavras pedindo que os leitores façam uma reflexão nas palavras do explorador da Antártica Norman Vaughan, quando tiverem dificuldade de colocar em prática o processo ou encontrarem resistência de seus pares ou superiores: “Sonhe grande e ouse fracassar.” Não tenhamos medo neste mundo de incerteza, se temos convicção, vamos em frente!! Sucesso a todos! Antonio Celso Ribeiro Brasiliano Abril de 2018 18 As empresas devem estar comprometidas com seus clientes, acionistas, parceiros comerciais e com a sociedade em que atua, focando esforços em reduzir os riscos existentes e/ou os que possam se manifestar no futuro e também na maximização das oportunidades de negócio. Para tanto, é necessário conhecer os riscos que a afetam e seus impactos sobre os seus negócios. Os riscos permeiam todos os níveis das atividades do negócio e, se não forem gerenciados adequadamente, poderão resultar em perdas financeiras, deterioração da imagem e reputação ou desencadear uma crise. O gerenciamento de riscos tem se tornado um assunto de suma importância no meio empresarial, uma vez que a conscientização da necessidade de administração dos riscos potenciais é, hoje, uma questão de competitividade e sobrevivência. 1. INTRODUÇÃO IN TE LI G ÊN C IA E M R IS C O S G ES TÃ O I N TE G R A D A E M R IS C O S C O R P O R AT IV O S 19 Para que seja eficaz, o gerenciamento de riscos deve fazer parte da cultura de qualquer empresa e deve estar inserido em sua filosofia,nas práticas e nos processos de negócio. O Método Avançado de Gestão de Riscos Corporativos – Método Brasiliano fornece um processo para a identificação e avaliação dos riscos. Este método descreve os passos a serem percorridos, as ferramentas, os critérios a serem utilizados tanto na mensuração da probabilidade como do impacto, além de estabelecer, tendo em vista a criticidade e apetite ao risco a priorização das ações a serem executadas. É uma ferramenta de gestão, integrada com as três melhores e mais utilizadas práticas de mercado: ISO 31000: 2018, COSO I: 2013 e COSO ERM 2017. Portanto é uma das únicas metodologias que integrou os três conceitos em um único Framework, facilitando desta forma a utilização por parte dos gestores. 20 2.1 Origem da gestãO de riscOs A origem da gerência de risco teve seu início efetivo nos Estados Unidos e em alguns países da Europa, logo após a segunda Guerra Mundial, tendo os responsáveis pela segurança das grandes empresas, bem como, os responsáveis pelos seguros, começando a examinar a possibilidade de reduzir os gastos com prêmios de seguro e aumentar a pro- teção da empresa, frente aos perigos reais e potenciais. Só seria possível atingir tais objetivos, redução dos custos, com uma profunda análise das situações de risco. Além da avaliação das probabilidades de perda, tornou-se necessário identificar quais riscos poderiam ser conside- rados inevitáveis e quais poderiam ter a chance diminuída, de concretização, de forma direta. Em cima deste estudo 2. CONTEXTO HOLÍSTICO DA GESTÃO DE RISCOS CORPORATIVOS IN TE LI G ÊN C IA E M R IS C O S G ES TÃ O I N TE G R A D A E M R IS C O S C O R P O R AT IV O S 21 detalhado, levantou-se a relação Custo x Benefício das medidas de segurança a serem implantadas, bem como, a situação financeira da empresa, para escolha adequada do nível de segurança a ser atingido. A partir da década de 70, o gerenciamento de riscos ligado à área de crédito e financeiro, tomou uma proporção grande, tendo em vista os sinais dos tempos de mudança. A desregulamentação, a globalização e a desintermediação mudaram a definição dos mercados e alteraram os aspectos econômicos das operações desses mercados. Uma pesquisa recente, realizada pela British Bankers’ Association (BBA), levantou que 70% dos bancos do Reino Uni- do consideravam seus riscos operacionais tão importantes quanto os riscos de crédito e de mercado. Quase um quarto daqueles bancos havia experimentado perdas relacionadas a operações de US$ 1,6 milhões de dólares. Dados históri- cos de perdas da Operational Risk Inc (ORI) sugerem que em mais de 50 casos, instituições individuais perderam mais de US$ 500 milhões cada uma, enquanto que, em 30 casos, empresas perderam acima de US$ 1 bilhão cada uma. Dentro deste enfoque, o entendimento de risco corporativo começou a tomar um outro corpo dentro das organiza- ções. Embora o risco acompanhe o homem e é inerente à sua natureza, as organizações começaram a observar e sentir que nem todos os riscos eram iguais. O que existe, quando se faz uma viagem de avião, não é igual ao de uma dona de casa nas suas tarefas domésticas, nem estes são comparáveis ao de um navegante solitário que cruza o Atlântico. A era da crença excessiva na racionalidade gerencial parece ter chegado ao fim. Hoje, sabe-se que o mundo organizacional é mais complexo e ambíguo do que se pensava. A atuação gerencial, hoje, convive com a imprevisibili- dade e com a ambiguidade. E um dos elementos principais dessa convivência é ter que tomar decisões baseadas em informações incompletas e/ou em constante mudança. O mundo VICA! Os acontecimentos em 2001, desde o ataque terrorista até as grandes fraudes nas corporações americanas, e, em 2015 no Brasil, os casos de fraudes e corrupção, passaram a sensibilizar os decisores quanto à necessidade de mo- nitorar, de forma constante, as variáveis internas e externas às empresas. Variáveis estas que podiam influenciar sua Cadeia de Valor. Ou seja, a necessidade de administrar riscos, tanto reais como os potenciais, passa a ser, hoje, uma questão de competitividade e sobrevivência. Num cenário onde as mudanças são velozes, as instabilidades permanentes e há um predomínio de alta imprevisi- bilidade, a formulação de estratégias organizacionais já não pode combinar com métodos tradicionais de projeção e análise. Mais uma vez o mundo VICA comparece integrado com a gestão de riscos, visando gerenciar a incerteza. IN TE LI G ÊN C IA E M R IS C O S G ES TÃ O I N TE G R A D A E M R IS C O S C O R P O R AT IV O S 22 2.2 a NOva FuNçãO dO gereNciameNtO de riscOs cOrpOrativOs – iNteligêNcia em riscOs Cabe, antes de prosseguir, definirmos a Gerência de Risco, sob o aspecto do seguro, onde quase tudo começou, vejamos: “O processo para conservar o poder de ganho e o patrimônio da empresa (ou pessoa) pela minimização do efeito financeiro de perdas acidentais” (Jaime Cristy). É preciso, também, estabelecer a distinção entre risco puro e risco especulativo. Os vários autores e estudiosos, principalmente norte-americanos, da Gerência de Riscos, digamos, “tradicional”, têm classificado os riscos que podem atingir uma empresa, basicamente, em riscos especulativos (ou dinâmicos) e riscos puros (ou estáticos). A diferença principal entre essas duas categorias, reside no fato de que os riscos especulativos envolvem uma chan- ce de ganho ou uma mesma possibilidade de perda; ao passo que os riscos puros envolvem somente uma possibilida- de de perda, não existindo nenhuma chance de ganho ou de lucro. Um exemplo clássico, que mostra essa diferença, é o do proprietário de um veículo, cujo risco (puro) que está asso- ciado a ele é o da perda potencial por colisão. Se ocorrer eventualmente uma colisão, o proprietário sofrerá, no mínimo, uma perda financeira. Se não ocorrer nenhuma colisão, o proprietário não terá, obviamente, nenhum ganho. Hoje em dia a visão e o escopo do gerenciamento de risco corporativo ficou muito mais amplo, muito mais holístico, abrangendo inúmeras disciplinas nas empresas, decorrentes das atividades desenvolvidas nas organizações. A alta direção deve ter uma visão consolidada de suas exposições, sejam operacionais, legais, financeiras e ou estratégicas. Para este fim, é necessária a criação de uma área específica, com uma estrutura e recursos definidos. As atividades de um departamento de gerenciamento de riscos corporativos, dentro do enfoque moderno, abrangem inúmeras disciplinas. Muitas dessas atividades são comuns a uma ampla gama de funções administrativas. Por esta razão, é que este departamento deve possuir processo sistêmico e contínuo de identificação de exposição, medição, análise, controle, prevenção, redução, avaliação e financiamento de riscos. Esta nova função ajuda a integrar riscos financeiros e não financeiros tradicionais a seguros e responsabilidade legal. É uma área que possui uma grande IN TE LI G ÊN C IA E M R IS C O S G ES TÃ O I N TE G R A D A E M R IS C O S C O R P O R AT IV O S 23 abrangência, mas com muitas interações através de diferentes disciplinas e, portanto, com uma necessidade de uma abordagem integrada. Algumas das disciplinas de riscos que devem se interagir são: 1. Riscos Estratégicos; 2. Riscos Operacionais – Ligados à Operação; 3. Riscos nos Processos; 4. Riscos de Tecnologia da Informação; 5. Riscos Cibernéticos; 6. Riscos do Negócio; 7. Riscos de Meio Ambiente; 8. Riscos de Saúde E Segurança Do Trabalhador; 9. Riscos de Segurança Empresarial; 10. Riscos do Mercado – Financeiros; 11. Riscos de Liquidez – Financeiros; 12. Riscos de Crédito – Financeiros; 13. Riscos de Ativos; 14. Riscos de Facilidade; 15. Riscos Legais; 16. Riscos Sociais; 17. Riscos de Sustentabilidade; 18. Riscos de Comunicação; 19. Riscos de Fraudes; 20. Riscos na Cadeia Logística; 21. Riscos no Projeto;22. Outras tantas disciplinas. Estas disciplinas devem estar integradas com um único Framework e com Políticas integradas, visando a empresa falar uma mesma linguagem. Este é o principal desafio das empresas, integrar as disciplinas para que possam possuir a cha- mada Inteligência em Riscos Corporativos – IRC. O gerenciamento de riscos, sob este enfoque, contribui para o fortalecimento e a eficácia operacional e financeira da empresa, na medida que proporciona mecanismos de alocação de recursos para o seu emprego mais eficiente e eficaz, atingindo de forma direta a efetividade. Portanto a função do gestor de riscos é de integrar disciplinas e gerenciar as informações das inúmeras disciplinas de riscos. O gestor de riscos tem que relacionar os diversos riscos e verificar as interdependências entre eles. Hoje por si só não existe mais a possibilidade de só ter como ferramenta de gestão a Matriz de Riscos, mas deve também ter a Matriz IN TE LI G ÊN C IA E M R IS C O S G ES TÃ O I N TE G R A D A E M R IS C O S C O R P O R AT IV O S 24 de Impactos Cruzados para ver a motricidade entre riscos. Segundo o Fórum Econômico Mundial, em seu Relatório de Riscos Globais de 2015 ressalta: “A edição 2015 do relatório de Riscos Globais completa uma década destacando os riscos a longo prazo mais significantes ao redor do mundo, extraindo as perspectivas de especialistas e dos tomadores de decisões globais. Nesse tempo, a análise mudou da identificação dos riscos a pensar através das interconexões dos riscos e os potenciais efeitos-cascata que resultarão deles.” Podemos então afirmar que a função do gestor de riscos corporativos é possuir Inteligência em Riscos, levado para a alta administração os riscos considerados mais críticos, já com as conexões feitas. A figura abaixo mostra os entregáveis que um gestor de riscos precisa elaborar para oferecer uma visão estratégica para a alta direção e conselho de administração. Figura 4 – Visão Holística da Inteligência em Riscos IN TE LI G ÊN C IA E M R IS C O S G ES TÃ O I N TE G R A D A E M R IS C O S C O R P O R AT IV O S 25 Com o modelo acima entendemos a Inteligência em Riscos em integrar soluções e indicadores, fornecendo para os decisores a visão holística dos riscos considerados críticos e as respectivas soluções integradas, com um farol de monitoramento de acompanhamento das evoluções. Desta forma, a organização possuirá verdadeiramente con- dições operacionais de se antecipar de forma objetiva a possíveis riscos, trabalhando de forma preventiva e não só de forma reativa. A organização ganha com isso: velocidade e competitividade, fatores chaves de sucesso em um mundo VICA! A abrangência da área da Gestão de Riscos Corporativos é muito grande, deixando de ser somente uma aborda- gem financeira e regulamentar – trabalhista, tributária e de investimento. A tendência é que a área de gestão de riscos caminhe para fatores de interesse de seus stakeholders, com forte atenção à imagem e à reputação das organizações. Por esta razão a amplitude cresceu e acabou abrangendo a organização como um todo, envolvendo as médias gerências como responsáveis na gestão de riscos corporativos. Desta maneira, a área de riscos passa atuar como uma área de Inteligência em Riscos, ou seja, de interpretação das informações e utilização de ferramentas estratégicas. A figura a seguir demonstra esta abrangência nas áreas e processos das organizações, incluindo os fornecedores críticos/estratégicos. IN TE LI G ÊN C IA E M R IS C O S G ES TÃ O I N TE G R A D A E M R IS C O S C O R P O R AT IV O S 26 Figura 5 – Abrangência da área de Gestão de Riscos Corporativos nas empresas. Outro ponto a destacar na nova função do Gerenciamento de Riscos Corporativos e do seu gestor é o foco de atuação que primordialmente é o da prevenção, o da antecipação, mas também, como resposta aos cenários de riscos, tem que ter estruturado respostas de emergências, descontinuidade de negócio e de crises. Atualmente o mercado identificou IN TE LI G ÊN C IA E M R IS C O S G ES TÃ O I N TE G R A D A E M R IS C O S C O R P O R AT IV O S 27 a necessidade de uma abordagem integrada a gestão de riscos, envolvendo temas como mercado, estratégia, modelo de negócio, segurança cibernética, anticorrupção e reputação corporativa. Essa abordagem demanda compreender e responder a interconectividade entre riscos de diferentes naturezas à medida que, e muito impulsionado pela tecno- logia, os mais variados fatores podem gerar cenários de descontinuidade e de crises, impactando as operações e os respectivos resultados das empresas no curto, médio e longo prazo. Frente a este novo contexto, mundo VICA, torna-se imperioso que as empresas intensifiquem esforços no aprimora- mento nas estruturas integradas – Inteligência em Riscos – onde o gestor possa enxergar e trabalhar tanto a prevenção como as contingências. Na verdade, a função do gestor de riscos é de um “chapéu de dois bicos”: um lado a prevenção e do outro as respostas para as emergências, continuidade de negócio e crises empresariais. Tudo isso integrado em um único framework. A função da gestão de riscos, vista sob a ótica estratégica, atua no aumento da resiliência empresarial. Nesse sentido, a maturidade dessa função interfere diretamente na qualidade e entendimento global dos riscos, sejam eles internos e ou externos, que podem produzir relevantes cenários de descontinuidade e ou de crises. O grande passo da gestão de riscos está relacionado com a definição e a qualificação de um panorama dos poten- ciais cenários de descontinuidade e de crise, que podem e ou devem serem gerados com base na avaliação geral de riscos operacionais, legais e estratégicos, levando em consideração a linguagem comum de riscos e o impacto para as operações e a reputação da empresa. Essa base de potenciais cenários de descontinuidade e ou de crises deverão orientar a estruturação dos planejamentos das respostas estruturadas e respectivas alternativas. É nesse momento que, deve se definir, com extrema clareza, o nível de complexidade e dimensão do impacto no contexto (empresa e sociedade como um todo). Na figura a seguir podemos visualizar uma visão holística do processo preventivo e contingencial da função do gestor de riscos do século XXI. IN TE LI G ÊN C IA E M R IS C O S G ES TÃ O I N TE G R A D A E M R IS C O S C O R P O R AT IV O S 28 Figura 6 – Visão do processo Macro do GRC: prevenção, emergência, crise, continuidade e a recuperação dos negócios 2.3 categOrias de riscOs Não há uma fórmula para classificar riscos corporativos. Não existe uma classificação de riscos que seja consensual, exaustivo e aplicável a todas as organizações; a classificação deve ser desenvolvida de acordo com as características de cada organização, contemplando as particularidades da indústria, mercado e setor de atuação. IN TE LI G ÊN C IA E M R IS C O S G ES TÃ O I N TE G R A D A E M R IS C O S C O R P O R AT IV O S 29 Por exemplo: os estoques de materiais de consumo são menos relevantes para um banco do que para uma indús- tria, onde pode representar um dos principais fatores de risco. Analogamente, as variáveis relacionadas ao “risco de mercado” são cruciais para um banco e podem não ser tão relevantes para determinada organização manufatureira. Portanto, dependendo do tipo de segmento que a empresa atua podemos ter as seguintes categorias de riscos: de mercado, de crédito, operacional, legal, estratégico e de liquidez e/ou atuarial. 2.3.1 riscOs de mercadO Os riscos de mercado podem ser definidos como uma medida numérica da incerteza relacionada aos retornos espe- rados de um investimento, em decorrência de variações em fatores como taxas de juros, taxas de câmbio, preços de ações e commodities.As principais subáreas dos riscos de mercado são: a) Risco de Taxas de Juros Pode ser definido como o risco de perda no valor econômico de uma carteira, decorrente dos efeitos de mudanças adversas das taxas de juros. Podemos citar como exemplos: 1) Eventual perda do valor de mercado de títulos públicos (BBCs, brady bonds, etc.) ou privados (corporate eurobonds, etc.); 2) Encarecimento do custo de funding; 3) Queda da taxa de reinvestimento. b) Risco de Taxas de Câmbio Pode ser definido como o risco de perdas devido a mudanças adversas nas taxas de câmbio. Dois exemplos: 1) Variação nos preços de NTN-Ds, NBC-Es, NBC-Fs, de ativos internacionais negociados em moeda estrangeira, devido à apreciação/depreciação relativa de moedas; 2) Descasamentos em uma carteira indexada a alguma moeda estrangeira. c) Risco de Commodities Pode ser definido como o risco de perdas devido a mudanças no valor de mercado de carteiras de commodities. Exemplo: Variação nos preços de carteiras constituídas por ouro, prata, platina, soja, café, boi gordo, cacau, etc. d) Risco de Ações Pode ser definido como o risco de perdas devido a mudanças no valor de mercado de carteiras de ações. Exemplo: Variação nos preços de carteiras constituídas por ações como Petrobras PN, Vale PN, Eletrobras PNB, ADRs de Usiminas PN, etc. IN TE LI G ÊN C IA E M R IS C O S G ES TÃ O I N TE G R A D A E M R IS C O S C O R P O R AT IV O S 30 e) Risco de Liquidez Pode ser definido como o risco de perdas devido à incapacidade de se desfazer rapidamente uma posição, ou obter “funding”, devido às condições de mercado. Exemplos: 1) Carteiras de eurobonds brasileiros, ações de segunda e terceira linhas, alguns contratos futuros negociados na BM&F, etc.; 2) Situações em que não é possível “rolar” dívidas nos mercados financeiros; 3) Ajustes de margens que venham a consumir a liquidez da instituição. f) Risco de Derivativos Pode ser definido como o risco de perdas devido ao uso de derivativos (seja para especulação, seja para hedge). Exemplo: Variação no valor de posições de contratos de swaps, futuros, a termo, opções, etc. g) Risco de Hedge Pode ser definido como o risco de perdas devido ao uso inapropriado de instrumentos para hedge. Exemplos: 1) Perdas por falta de rebalanceamento dinâmico de hedges em resposta a movimentos bruscos no mercado; 2) Hedge subótimo de ativos/passivos (opções cambiais, brady bonds, etc.). h) Risco de Concentração (mercado) Pode ser definido como o risco de perdas devido à não diversificação do risco de mercado de carteiras de investimentos. Exemplos: Investimentos excessivamente concentrados em poucos indexadores, moedas, ativos, vencimentos, etc. 2.3.2 riscOs de créditO Os riscos de crédito podem ser definidos como uma medida numérica da incerteza relacionada ao recebimento de um valor contratado/compromissado, a ser pago por um tomador de um empréstimo, contraparte de um contrato ou emissor de um título, descontadas as expectativas de recuperação e realização de garantias. As principais subáreas dos riscos de crédito são: a) Risco de Inadimplência Pode ser definido como o risco de perda pela incapacidade de pagamento do tomador de um empréstimo, contraparte de um contrato ou emissor de um título. Exemplos: 1) Não pagamento de juros e/ou principal IN TE LI G ÊN C IA E M R IS C O S G ES TÃ O I N TE G R A D A E M R IS C O S C O R P O R AT IV O S 31 de crédito pessoal, empréstimos para pessoa jurídica, cartão de crédito, leasing, etc.; 2) Não pagamento de juros e/ou principal de títulos de renda fixa (nacionais/internacionais, públicos/privados) pelo emissor. b) Risco de Degradação de Crédito Pode ser definido como o risco de perdas pela degradação da qualidade creditícia do tomador de um empréstimo, contraparte de uma transação ou emissor de um título, levando a uma diminuição no valor de suas obrigações. Exemplo: Perdas em títulos soberanos e/ou corporativos pela redução do rating do país emissor. c) Risco de Degradação das Garantias Pode ser definido como o risco de perdas pela degradação da qualidade das garantias oferecidas por um tomador de um empréstimo, contraparte de uma transação ou emissor de um título. Exemplos: 1) Empréstimos cujas garantias não mais existam; 2) Depreciação no valor das garantias depositadas em bolsas de derivativos. d) Risco Soberano Pode ser definido como o risco de perdas pela incapacidade de um tomador de um empréstimo, contraparte de uma transação ou emissor de um título, em honrar seus compromissos em função de restrições impostas por seu país-sede. Exemplo: Transações que envolvam transferências internacionais de títulos ou de câmbio. e) Risco de Financiador Pode ser definido como o risco de perdas por inadimplência do financiador de uma transação, potencializada quando o contrato não contempla acordo de liquidação por compensação de direitos e obrigações (netting agreement). Exemplo: Repurchase transactions que não contemplem o netting de direitos/obrigações (ao contrário dos ISMA Agreements). f) Risco de Concentração (crédito) Pode ser definido como o risco de perdas em decorrência da não diversificação de risco de crédito de investimentos. Exemplos: 1) Concentrar empréstimos em poucos setores da economia, classes de ativos, etc.; 2) Possuir parte substancial dos passivos de um devedor (por exemplo, um emissor de debêntures). IN TE LI G ÊN C IA E M R IS C O S G ES TÃ O I N TE G R A D A E M R IS C O S C O R P O R AT IV O S 32 2.3.3 riscOs OperaciONais Os riscos operacionais podem ser definidos como uma medida numérica da incerteza dos retornos de uma institui- ção, caso seus sistemas, práticas e medidas de controle não sejam capazes de resistir a falhas humanas, danos à infraestrutura de suporte, utilização indevida de modelos matemáticos ou produtos, alterações no ambiente dos negó- cios, ou a situações adversas de mercado. As principais subáreas dos riscos operacionais são: a) Risco de Overload Pode ser definido como o risco de perdas por sobrecargas nos sistemas elétrico, telefônico, de processamento de dados, etc. Exemplos: 1) Sistemas não operacionais em agências bancárias, por acúmulo de informação nos canais de comunicação com a central de atendimento; 2) Linhas telefônicas constantemente ocupadas. b) Risco de Obsolescência Pode ser definido como o risco de perdas pela não substituição frequente dos equipamentos e softwares antigos. Exemplos: 1) Versões atualizadas de softwares não compatíveis com hardware antigo; 2) Impossibilidade de integrar sistemas computacionais desenvolvidos em versões de softwares diferentes. c) Risco de Presteza e Confiabilidade Pode ser definido como o risco de perdas, pelo fato de informações não poderem ser recebidas, processadas, armazenadas e transmitidas em tempo hábil e de forma confiável. Exemplos: 1) Situações em que informações consolidadas sobre exposição de um banco não podem ser obtidas em tempo hábil para análise; 2) Impossibilidade de prestar informações precisas em determinados horários devido à atualização de bancos de dados ocorrer por processamento em batch. d) Risco de Equipamento Pode ser definido como o risco de perdas por falhas nos equipamentos elétricos, de processamento e transmissão de dados telefônicos, de segurança, etc. Exemplos: 1) Redes de micros contaminados por vírus; 2) Discos rígidos danificados; 3) Telefonia não operacional por falta de reparos. IN TE LI G ÊN C IA E M R IS C O S G ES TÃ O I N TE G R A D A E M R IS C O S C O R P O R AT IV O S 33 e) Risco de erro não Intencional Pode ser definido como o risco de perdas em decorrência de equívoco, omissão, distração ou negligência de funcionários. Exemplos: 1) Mal atendimento de correntistas (má vontade, falta de informação, etc.); 2) Posicionamento da tesouraria no mercado contrário ao especificado pelo Comitê de Investimentos. f) Risco deFraudes Pode ser definido como o risco de perdas em decorrência de comportamentos fraudulentos (adulteração de controles, descumprimento intencional de normas da empresa, desvio de valores, divulgação de informações erradas, etc.). Exemplos: 1) Desvio de dinheiro de agência bancária; 2) Aceitação de “incentivos” de clientes para conceder crédito em valores mais elevados. g) Risco de Qualificação Pode ser definido como o risco de perdas pelo fato de funcionários desempenharem tarefas sem qualificação profissional apropriada à função. Exemplos: 1) Uso de estratégias de hedge com derivativos, sem conhecimento por parte do operador das limitações desta; 2) Cálculo de perdas e lucros em carteiras, sem conhecimento dos mercados; 3) Iniciar operações em mercados “sofisticados”, sem contar com equipes (back-office e front-office) devidamente preparadas. h) Risco de Produtos e Serviços Pode ser definido como o risco de perdas em decorrência da venda de produtos ou prestação de serviços ocorrer de forma indevida, ou sem atender às necessidades e demandas de clientes. Exemplos: 1) Envio de cartões de crédito sem consulta prévia ao cliente; 2) Recomendar a clientes de perfil conservador o investimento em fundos de derivativos alavancados diante de um bom desempenho no passado recente desses mesmos fundos. i) Risco de Regulamentação Pode ser definido como o risco de perdas em decorrência de alterações, impropriedades ou inexistência de normas para controles internos ou externos. Exemplos: 1) Alteração de margens de garantia ou de limites de oscilação em bolsas de derivativos sem aviso antecipado ao mercado; 2) Front-office responsável pela operação do back-office. IN TE LI G ÊN C IA E M R IS C O S G ES TÃ O I N TE G R A D A E M R IS C O S C O R P O R AT IV O S 34 j) Risco de Modelagem Pode ser definido como o risco de perdas pelo desenvolvimento, pela utilização ou interpretação incorreta dos resultados fornecidos por modelos, incluindo a utilização de dados incorretos. Exemplos: 1) Utilizar software comprado de terceiros, sem conhecimento de suas limitações; 2) Utilizar modelos matemáticos, sem conhecimento de suas hipóteses simplificadoras. k) Risco de Liquidação Financeira Pode ser definido como o risco de perdas em decorrência de falhas nos procedimentos e controles de finalização das transações. Exemplos: 1) Envio e/ou recebimento de divisas em praças com diferentes fusos horários, feriados, regras operacionais, etc. l) Risco Sistêmico Pode ser definido como o risco de perdas devido a alterações no ambiente operacional. Exemplos: 1) Alteração abrupta de limites operacionais em bolsas, levando todas as instituições financeiras a dificuldades; 2) Modificação repentina de base de cálculo de tributos corporativos. m) Risco de Concentração (operacional) Pode ser definido como o risco de perdas por depender de poucos produtos, clientes e/ou mercados. Exemplo: Bancos que só operem financiando clientes de determinado segmento (por exemplo, setor automotivo, crédito a lojistas, etc.). n) Risco de Imagem Pode ser definido como o risco de perdas em decorrência de alterações da reputação com clientes, concorrentes, órgãos governamentais, etc. Exemplo: Boatos sobre a saúde de uma instituição, desencadeando corrida para saques. o) Risco de Catástrofe Este pode ser definido como o risco de perdas devido a catástrofes (naturais ou não). Exemplos: 1) Desastres naturais (enchentes) que dificultem a operação diária da instituição ou de áreas críticas como centros de processamento, de telecomunicações, etc. 2) Destruição do patrimônio da instituição por desastres que abalem a estrutura civil de prédios (colisão de aviões, caminhões, etc.), incêndios, etc. IN TE LI G ÊN C IA E M R IS C O S G ES TÃ O I N TE G R A D A E M R IS C O S C O R P O R AT IV O S 35 2.3.4 riscOs legais Os risco legais podem ser definido como uma medida numérica da incerteza dos retornos de uma instituição, caso seus contratos não possam ser legalmente amparados por falta de representatividade por parte de um negociador, por documentação insuficiente, insolvência ou ilegalidade. As principais subáreas dos riscos legais são: a) Risco de Legislação Pode ser definido como o risco de perdas decorrentes de sanções por reguladores e indenizações por danos a terceiros por violação da legislação vigente. Exemplos: 1) Multas por não cumprimento de exigibilidades; 2) Indenizações pagas a clientes por não cumprimento da legislação; 3) Interdição de projetos, obras, empresas por violação da legislação vigente; 4) Processo crime para uso administradores por violação. b) Risco Tributário Pode ser definido como o risco de perdas devido à criação ou nova interpretação da incidência de tributos. Exemplos: 1) Criação de impostos novos sobre ativos e/ou produtos; 2) Recolhimento de novas contribuições sobre receitas, não mais sobre lucros. c) Risco de Contrato Pode ser definido como o risco de perdas decorrentes de julgamentos desfavoráveis por contratos omissos, malredigidos ou sem o devido amparo legal. Exemplos: 1) Pessoa sem poder para assinar contratos representando a instituição; 2) Não execução pronta de garantias, requerendo o acionamento do jurídico; 3) Responsabilidades cobertas nos contratos de terceirização colocadas de forma pouco objetivas. 2.3.5 riscOs estratégicOs Os riscos estratégicos alvejam um ou mais elementos cruciais na concepção do modelo de negócio da empresa, ou seja, afeta as atividades primárias da Cadeia de Valor. Em alguns casos podem até acabar com o vínculo da empresa com o mercado. Em outros casos, diminuem a proposta de valor que a empresa oferece, que pode ser a base do fluxo de receita. Podem também diluir os lucros dos quais dependem. Às vezes destroem a gestão estratégica que ajuda a IN TE LI G ÊN C IA E M R IS C O S G ES TÃ O I N TE G R A D A E M R IS C O S C O R P O R AT IV O S 36 empresa a monitorar e controlar a concorrência. No pior cenário possível, riscos estratégicos podem ameaçar todos os pilares que sustentam os objetivos da empresa. No contexto moderno seguindo a citação de Adrian J. Slywotzky, em seu livro “Do risco à oportunidade”, há sete grandes tipos de riscos estratégicos que qualquer empresa deve estar preparada para enfrentar. Embora a empresa vá continuar enfrentando outros tipos de riscos, dos tipos geopolítico, regulatório, operacional, esses setes riscos estratégicos compreendem a gama de riscos que expõe a concepção do negócio da maioria das empresas. Ou seja, a gestão de riscos, por conceito, passa também a lidar com a gestão estratégica e o monitoramento contínuo dos obje- tivos empresariais. Os sete riscos estratégicos são: a) Sua grande iniciativa falha Isso significa nos projetos que são liderados, tais como lançamento de novos produtos, expansão do mercado, fusão, entre outros. De acordo com estudos realizados, a grande maioria dos projetos novos possuem uma probabilidade real de sucesso em torno de 20%!! Você sabia?? b) Seus clientes abandonam A empresa foi surpreendida pelos clientes – mudanças repentinas e imprevistas em suas preferências, prioridades e gostos? Nesse caso a base da receita poderá ruir rapidamente, pois sem mercado não existe empresa. c) Seu setor chega a uma bifurcação na estrada Quando as mudanças na tecnologia ou concepção do negócio transformam um setor, até 80% das empresas incumbentes não sobrevivem à transição. d) Um concorrente aparentemente invencível aparece Quando a empresa encontrar um forte concorrente, será possível sobreviver e prosperar enquanto as outras empresas estão sendo destruídas. IN TE LI G ÊN C IA E M R IS C O S G ES TÃ O I N TE G R A D A E M R IS C O S C O R P O R AT IV O S 37 e) Sua marca perde a força Uma grande marca é uma fortaleza de valor – 40% das principais marcas já vivenciaram grandes impactos. Issoocorre quando os gestores da empresa possuem uma visão estreita das marcas, ignorando a integração entre marca, produto e concepção do negócio. f) Seu setor torna-se zona de lucro zero Inúmeros setores padeceram de maior concorrência, maior poder do cliente e compressão de margem, até um ponto em que os lucros ficam praticamente zerados. g) Sua empresa para de crescer Quando as vendas atingem estagnação, o impacto é imediato e doloroso, tais como novos talentos começam a sair da empresa e ou novas iniciativas são paralisadas. Cada um dos riscos listados acima podem, simplesmente, exterminar o negócio da empresa. Isso acontece porque os riscos são ou menos desprezados ou ignorados pela gestão, que, ou partem do princípio que a estratégia da empresa e os riscos que a ameaçam são responsabilidade única e exclusiva da direção, ou que esses tipos de riscos não irão ocorrer em suas empresas. 2.3.6 riscOs de liquidez e/Ou atuarial Esse tipo de risco é específico a Fundos de Pensão, empresas de Previdência Privada. É decorrente da possibili- dade de perdas por inadequação dos níveis de contribuição necessárias à manutenção dessas disponibilidades ao longo do tempo, da especificação deficiente dos planos de benefícios e seus reflexos nas provisões técnicas exigidas. Exemplos: Interpretação indevida de regulamentos ou critérios que subsidiam o cálculo das provisões técnicas; es- pecificação inadequada dos planos de benefícios e das premissas atuariais; avaliação atuarial inadequada motivada pela inconsistência na base de informações; adoção de premissas e hipóteses que não confirmem, ou que se revelem pouco aderentes ao grupo de participantes ou, ainda, do uso de metodologias que se mostrem inadequadas; dife- renças temporais entre fluxos de caixa gerados pelos ativos e passivos que implicam a falta de recursos para honrar obrigações, forçando a transformação de um ativo em caixa. IN TE LI G ÊN C IA E M R IS C O S G ES TÃ O I N TE G R A D A E M R IS C O S C O R P O R AT IV O S 38 As categorizações de riscos mais comuns, como benchmarking de mercado são: estratégico, operacional, financeiro e legal. Essas quatro categorias devem possuir vasos comunicantes entre elas, visando não ficar com uma visão limi- tada e ou segregada dos riscos. 2.4 iNtercONectividade eNtre riscOs 2.4.1 cONceitO de iNtercONectividade O relatório de Riscos Globais de 2014 salienta como os riscos globais não apenas são interconectados, mas tam- bém possuem impactos sistêmicos. Para gerir os riscos corporativos eficientemente e construir a resiliência aos seus impactos, esforços melhores são necessários para entender, medir e prever a evolução das interdependências (INTERCONECTIVIDADE) entre os riscos, suplementando as ferramentas tradicionais de gestão de riscos com novos conceitos projetados para ambientes incertos. Se os riscos não forem eficazmente abordados e interpretados, os pre- juízos serão ampliados de forma geométrica e em todas as disciplinas. Podemos citar como exemplo a crise fianceira de 2007/2008, onde os impactos políticos, econômicos e sociais foram de longo alcance, de forma sistêmica e de uma capilaridade avassaladora. A natureza sistêmica dos riscos corporativos pede por uma visão estratégica holística dentro da corporação. Assim como sistemas de finanças, supply-chains, saúde e energia, a Internet e o ambiente se tornam mais complexos e inter- dependentes e seus níveis de resiliência determinam se eles se tornam o baluarte da estabilidade ou amplificadores de choques em cascata. Fortalecer a resiliência requer a superação de desafios de ação coletivos através do entendi- mento dos vasos comunicantes entre riscos. Podemos citar o terremoto e tsunami no Japão em 2011, onde quebrou toda a cadeia logística das empresas automobilísticas ao redor do mundo. Depois do terremoto de 11 de março, nas fábricas automobilísticas japonesas, mais de 500.000 veículos deixaram de ser fabricados e as perdas chegaram a bilhões, segundo especialistas do setor. “A China teria perdido no final de abril 25.000 veículos; a Europa, 55.000; e a IN TE LI G ÊN C IA E M R IS C O S G ES TÃ O I N TE G R A D A E M R IS C O S C O R P O R AT IV O S 39 América do Norte, 68.000”, estima Carlos da Silva, analista da Global Insight, contatado pela AFP. A maior montadora do mundo de automóveis, a japonesa Toyota, anunciou redução de 50% e 70% de sua produção na China até 3 de junho de 2011. Os problemas na cadeia de abastecimento de componentes eletrônicos e materiais plásticos custaram à Toyota uma perda produtiva de mais de meio milhão de unidades em todo o mundo até junho de 2011. O conceito de “just in Time” ficou exposto, sendo revisado em função da interdependência. Desta maneira não basta mais somente utilizar a Matriz de Riscos, cruzando probabilidade e impacto, pois esta avaliação fornece a criticidade dos riscos, dentro de suas disciplinas. É importante, mas não mais só isso! Há neces- sidade do entendimento da dinâmica entre riscos, ou seja, da Motricidade entre eles. Quais riscos possuem força e capacidade de influenciar outros riscos. A partir daí podemos enxergar a verdadeira interconectividade entre riscos. Sem o estudo da interconectividade, realizando o estudo somente por disciplina e/ou por categoria de riscos, a em- presa e seus gestores correm sérios riscos de não enxergarem os riscos sistêmicos. Risco sistêmico, segundo Goldin e Mariathasan, da Princeton University, é o risco de “colapsos em um sistema inteiro, oposto ao colapso de partes e componentes individuais”. Os riscos sistêmicos são caracterizados por: - Pontos de ruptura modestos, combinando indiretamente para produzir grandes falhas; - Contágio ou compartilhamento de risco, como uma perda que desencadeia uma reação de outras; - Sistemas sendo incapazes de recuperar o equilíbrio depois de um choque. Este estudo começou na década de 1960 com o cientista Edward Lorenz, cientista do MIT – Massachusetts Institute of Technology, que na década conduzia pesquisas sobre previsão do tempo. Descobriu variações imperceptíveis nos valores da pressão e temperatura, que combinadas geravam efeitos massivos em questões de dias nas previsões do tempo. É dele a famosa pergunta: “Pode o bater das asas de uma borboleta no Brasil causar um tornado no Texas?” O famoso efeito borboleta! Portanto o risco sistêmico está relacionado à sensibilidade de pequenas variações nas condições iniciais de um sistema, que se desenvolvem e se combinam, produzindo um enorme efeito no sistema como um todo. Ações IN TE LI G ÊN C IA E M R IS C O S G ES TÃ O I N TE G R A D A E M R IS C O S C O R P O R AT IV O S 40 inconsequentes, desconexas e de pouca importância nas partes de um processo podem combinar e ocasionar impac- tos massivos nos processos das empresas ou no modelo de negócio. 2.4.2 criticidade e mOtricidade de riscOs O Relatório de Riscos Globais de 2018 mais uma vez salienta a importância de elaborar o estudo das conexões entre riscos, ou seja, de entender as influências entre riscos. O que um risco influência em outro? Qual é a motricidade dos riscos no contexto geral do quadro? O que o relatório sugere, desde 2009, é que não só façamos o estudo da Matriz de Risco de Probabilidade e Impacto que identifica a criticidade do risco. IN TE LI G ÊN C IA E M R IS C O S G ES TÃ O I N TE G R A D A E M R IS C O S C O R P O R AT IV O S 41 Probabilidade Im pa ct o Os 10 principais riscos em termos de Probabilidade Categorias Os 10 principais riscos em termos de Impacto Armas de destruição em massa Eventos climáticos extremos Desastres naturais Falha na mitigação e adaptação à mudança climática Crises hídricas Ataques Cibernéticos Crise alimentar Perda de biodiversidade e colapso do ecossistema Migração involuntária em larga escala Propagação dedoenças infecciosas Eventos climáticos extremos Desastres naturais Ataques Cibernéticos Fraude ou roubo de dados Falha na mitigação e adaptação à mudança climática Migração involuntária em larga escala Desastres ambientais causados pelo homem Ataques terroristas Comércio ilícito Bolhas de ativos na economia 1 2 3 4 5 6 7 8 9 10 1 2 3 4 5 6 7 8 9 10 5.0 1.0 5.0 área plotada 3.40 média média 3.48 2.5 3.0 4.0 4.5 3.0 3.5 4.0 DeflaçãoInflação incontrolável Consequências adversas dos avanços tecnológicos Econômico Geopolítico Ambiental Societal Tecnológico Figura I: A Paisagem de Riscos Globais 2018 Fonte: World Economic Forum Global Risks Perception Survey 2017–2018. Nota: Os entrevistados foram convidados a avaliar a probabilidade do risco global individual em uma escala de 1 a 5, 1 representando um risco que é muito pouco provável e 5 um risco que é muito provável que ocorra. Eles também avaliam o impacto em cada risco global em uma escala de 1 a 5 (1: impacto mínimo, 2: impacto menor, 3: impacto moderado, 4: impacto severo e 5: impacto catastrófico). Consulte o Apêndice B para obter mais detalhes. Para garantir a legibilidade, os nomes dos riscos globais são abreviados; consulte o Apêndice A para obter o nome completo e a descrição. Armas de destruição em massa Eventos climáticos extremos Desastres naturais Falha na mitigação e adaptação à mudança climática Crises hídricas Ataques Cibernéticos Perda de biodiversidade e colapso do ecossistemaCrise alimentar Migração involuntária em larga escala Desastres ambientais causados pelo homem Conflito interestadualPropagação de doenças infecciosas Informação crítica da repartição da infraestrutura Profunda instabilidade social Falha de governança nacional Ataques terroristasCrises fiscais Falha na governança regional ou global Desemprego ou subemprego Bolhas de ativos na economia Colapso ou crise de estado Fraude ou roubo de dados Falha na infraestrutura crítica Choque de preços de energia Falha no mecanismoou instituição financeira Falha no planejamento urbano Comércio ilícito Figura 7 – Matriz de Probabilidade x Impacto | Fonte: Global Risk Report 2018 IN TE LI G ÊN C IA E M R IS C O S G ES TÃ O I N TE G R A D A E M R IS C O S C O R P O R AT IV O S 42 A matriz anterior demonstra quais riscos são mais críticos, quais são mais severos. Ou seja, a Matriz de Criticidade prioriza o tratamento frente a criticidade do seu impacto e probabilidade de seu acontecimento. Este estudo não demonstra a interconectividade entre riscos. O estudo das conexões entre riscos nos dá uma visão do risco sistêmico. Portanto podemos concluir que a influência de um risco não crítico pode, às vezes, ser estratégico, dentro de um de- terminado contexto. Dentro desta ótica é imperioso que o gestor passe então a enxergar a motricidade e as conexões entre os riscos. IN TE LI G ÊN C IA E M R IS C O S G ES TÃ O I N TE G R A D A E M R IS C O S C O R P O R AT IV O S 43 Trend Interconnection Map Mudança da paisagem da governança internacional Inflação incontrolável Fraude ou roubo de dados Bolhas de ativos na economia Deflação Falha no mecanismo ou instituição financeira Falha na infraestrutura crítica Crises fiscaisComércio ilícito Choque de preços de energia Eventos climáticos extremos Perda de biodiversidade e colapso do ecossistema Desastres naturaisDesastres ambientais causados pelo homem Falha de governança nacional Falha na governança regional ou global Conflito interestadual Ataque terrorista colapso ou crise de estado Armas de destruição em massa Falha no planejamento urbano Crise alimentar Migração involuntária em larga escala Profunda instabilidade social Propagação de doenças infecciosas Consequências adversas dos avanços tecnológicosInformação crítica da repartição da infraestrutura Ataques Cibernéticos Aumento da mobilidade geográfica Riscos Econômicos Riscos Geopolíticos Riscos Ambientais Riscos Societais Riscos Tecnológicos Número e força das conexões ("grau ponderado") Riscos Tendências Número e força das conexões ("grau ponderado") Figura II: Mapa de Interligações de Riscos e Tendências 2018 Fonte: World Economic Forum Global Risks Perception Survey 2017–2018. Nota: Os entrevistados foram solicitados a selecionar as três tendências mais importantes na formação do desenvolvimento global nos próximos 10 anos. Para cada uma das três tendências identificadas, os entrevistados foram convidados a selecionar os riscos mais fortemente orientados por essas tendências. Consulte o Apêndice B para obter mais detalhes. Para garantir a legibilidade, os nomes dos riscos globais são abreviados; consulte o Apêndice A para obter o nome completo e a descrição. Mudanças climáticas Crescimento de doenças crônicas Aumento do sentimento nacional Ambiente de degradação Poder de mudançaFalha na mitigação e adaptação à mudança climáticaCrises hídricas Aumento da urbanização Desemprego ou subemprego Aumento da polarização das sociedades Crescimento da classe média nas economias emergentes Aumento da renda e da disparidade de riqueza Aumento da dependência cibernética Envelhecimento da população Figura 8 – Riscos Interconectados Globais | Fonte: Global Risk Report 2018 IN TE LI G ÊN C IA E M R IS C O S G ES TÃ O I N TE G R A D A E M R IS C O S C O R P O R AT IV O S 44 Risk Interconnection Map Bolhas de ativos na economia Deflação Falha no mecanismo ou instituição financeira Falha na infraestrutura crítica Crises fiscais Desemprego ou subemprego Consequências adversas dos avanços tecnológicos Comércio ilícito Choque de preços de energia Inflação incontrolável Eventos climáticos extremos Falha na mitigação e adaptação à mudança climática Perda de biodiversidade e colapso do ecossistema Desastres naturais Desastres ambientais causados pelo homem Falha de governança nacional Falha na governança regional ou global Conflito interestadual Ataques terroristas Colapso ou crise de estado Armas de destruição em massa Crise alimentar migração involuntária em larga escala Propagação de doenças infecciosas Crises hídricas Informação crítica da repartição da infraestrutura Ataques Cibernéticos Fraude ou roubo de dados Número e força das conexões ("grau ponderado") Figura III: Mapa de Interligações dos Riscos Globais 2018 Profunda instabilidade social Falha no planejamento urbano Riscos Econômicos Riscos Geopolíticos Riscos Ambientais Riscos Societais Riscos Tecnológicos Fonte: World Economic Forum Global Risks Perception Survey 2017–2018. Nota: Os entrevistados foram convidados a identificar entre três e seis pares de riscos globais que eles acreditam serem mais interconectados. Consulte o Apêndice B para obter mais detalhes. Para garantir a legibilidade, os nomes dos riscos globais são abreviados; consulte o Apêndice A para obter o nome completo e a descrição. Figura 9 – Riscos Sistêmicos – Motricidade | Fonte: Global Risk Report 2018 IN TE LI G ÊN C IA E M R IS C O S G ES TÃ O I N TE G R A D A E M R IS C O S C O R P O R AT IV O S 45 As matrizes das figuras 8 e 9 demonstram as interconectividades entre os riscos, salientando os riscos de maior motricidade, maior influência de um risco sobre o outro. Nós da Brasiliano INTERISK trabalhamos com a Interconectividade entre Riscos já alguns anos, visando entender esta dinâmica. Utilizamos para isso a Metodologia trazida da construção de cenários prospectivos, a Matriz de Impac- tos Cruzados – MIC, adaptada da metodologia do Cenarista francês Michael Godet que tem como base o Teorema de Bayes, Probabilidades Condicionantes. No nosso Processo de Gestão de Riscos, esta ferramenta será descrita com maior detalhe, mas de forma geral a técnica de impactos cruzados identifica os riscos consideradosmotrizes e de ligação, ou seja, aqueles que possuem maior influência entre os demais. No terceiro quadrante da matriz, aponta quais são os riscos dependentes, aqueles que dependem dos motrizes e dos de ligação para que venham a se concretizar, e aponta no quarto quadrante quais são os riscos considerados in- dependentes, aqueles que não possuem canal de comunicação com os demais riscos (não quer dizer que não sejam críticos ou importantes no contexto). Ressaltamos que a MIC identifica a motricidade dos riscos e não sua criticidade. Ponto importante é a aplicação da ferramenta. Não se pode aplicar esta ferramenta em qualquer tipo de estudo, mas sim para estudos de riscos estratégicos e/ou riscos críticos entre disciplinas. O objetivo é enxergar quais riscos são os influenciadores e utilizar os fatores de riscos de um único risco, identificando quais fatores de riscos são os mais motrizes e precisam ser tratados com a implantação de controles. Com o objetivo de priorizar os riscos, tratar quais riscos são relevantes para a empresa, nós da Brasiliano INTERIK através de uma metodologia inédita, cruzamos a Matriz de Risco, que nos fornece a criticidade de cada um dos riscos plotados na matriz, com a Matriz de Impacto Cruzado, que nos fornece a motricidade e a dinâmica entre os riscos. O resultado deste cruzamento é a Matriz de Priorização de Riscos. A configuração da Matriz de Priorização é um conceito próprio da Brasiliano INTERISK, podendo ser modificada, de acordo com os critérios dos gestores. A Matriz de Impacto Cruzado (MIC) é responsável por identificar a motricidade, o nível de influência de um risco sobre o outro. Na MIC a seguir temos 2 riscos motrizes e 2 riscos de ligação considerados como influenciadores, 7 riscos como dependentes e 4 riscos independentes. IN TE LI G ÊN C IA E M R IS C O S G ES TÃ O I N TE G R A D A E M R IS C O S C O R P O R AT IV O S 46 Dependência (D) 11.00 - 16.00 16.01 - 21.00 21.01 - 26.00 26.01 - 31.00 31.01 - 36.00 36.01 - 41.00 M o tr ic id a d e ( M ) 35.67 - 39.00 R.90 R.91 R.99 32.33 - 35.67 29.00 - 32.33 R.98 25.68 - 29.00 R.86 R.92 R.89 R.93 R.94 22.34 - 25.67 R.95 R.97 R.100 19.00 - 22.33 R.96 R.88 R.87 2 Quadrante I Riscos de Ligação 2 Quadrante II Riscos Motrizes 7 Quadrante III Riscos Dependentes 4 Quadrante IV Riscos Independentes Todos15 Figura 10 – Matriz de Impacto Cruzado A Matriz de Riscos identifica a criticidade de cada risco. Observe que na figura 11, a seguir, o Risco R.91 se encontra no quadrante amarelo, com impacto moderado e probabilidade média, sendo considerado gerenciável e não havendo tratamento para ele. Os riscos R.90 e R.99 estão plotados no quadrante laranja, com impacto severo e probabilidade média, sua criticidade é mediana e até possui plano de ação, porém não é prioritário. Mas se observarmos a MIC (figura 10) vamos identificar que os riscos R.90, R.91 e R.99 são riscos motrizes e de ligação, portanto riscos influenciadores. IN TE LI G ÊN C IA E M R IS C O S G ES TÃ O I N TE G R A D A E M R IS C O S C O R P O R AT IV O S 47 Impacto/Consequência MUITO LEVE 1 LEVE 2 MODERADO 3 SEVERO 4 MASSIVO 5 P ro b a b il id a d e ELEVADA 5 MUITO ALTA 4 R.97 ALTA 3 R.87 R.93 R.94 R.95 R.98 R.100 MÉDIA 2 R. 91 R.88 R.89 R.90 R.92 R.96 R.99 BAIXA 1 R. 96 R.85 R.86 1 1 8 7 17 Figura 11 – Matriz de Riscos Já a Matriz de Priorização, onde foram colocados da direita para a esquerda os quadrantes da Matriz de Risco e de cima para baixo os quadrantes da Matriz de Impacto Cruzado. Optamos em colocar todos os riscos motrizes no qua- drante vermelho, tendo em vista que eles são os maiores influenciadores. Ou seja, não adianta tratar um risco crítico que é dependente, pois a fonte de risco, seu influenciador, continuará agindo sobre ele de forma que não iríamos na causa e sim na consequência. Da mesma forma, os riscos de ligação posicionados no quadrante vermelho e laranja, também possuem prioridade no tratamento. IN TE LI G ÊN C IA E M R IS C O S G ES TÃ O I N TE G R A D A E M R IS C O S C O R P O R AT IV O S 48 Criticidade dos Riscos IV - Quadrante Verde III - Quadrante Amarelo II - Quadrante Laranja I - Quadrante Vermelho M o tr ic id a d e d o s R is co s Motriz R.91 R.90 Ligação R.99 R.98 Dependente R.88 R.89 R.87 R.93 R.94 R.97 R.100 Independente R.96 R.86 R.92 R.95 1 3 8 4 16 Figura 12 – Matriz de Priorização Na matriz de Priorização de Riscos (Figura 12), os riscos plotados no quadrante vermelho formam a primeira priorida- de para o tratamento e os posicionados no quadrante laranja a segunda prioridade. Vejam como muda a ótica de priorização, se fossemos somente olhar a Matriz de Riscos, deixaríamos de estar tratan- do três riscos considerados influenciadores, mesmo com ações sendo operacionalizadas em outros riscos, a empresa estaria ainda exposta, pois a fonte geradora continuaria ativa. IN TE LI G ÊN C IA E M R IS C O S G ES TÃ O I N TE G R A D A E M R IS C O S C O R P O R AT IV O S 49 Com a Matriz de Priorização, o gestor consegue visualizar os riscos que são realmente relevantes para a organização, pois seleciona, de forma cruzada os críticos (Probabilidade x Impactos) e sistêmicos (Motrizes x Dependentes). Esta ferramenta é inédita em processos de gestão de riscos, pois faz com que os gestores entendam, sob uma ótica de criticidade e sistêmica, os riscos realmente importantes para a sua empresa. Isto faz com que a organização tenha maior assertividade nas suas tomadas de decisões. . 50 3. A GESTÃO DE RISCOS CORPORATIVOS E OS OBJETIVOS ESTRATÉGICOS DA ORGANIZAÇÃO 3.1 ObjetivOs dO gereNciameNtO de riscOs cOrpOrativOs A premissa inerente ao gerenciamento de riscos corporativos é que toda organização existe para gerar valor às par- tes interessadas. Todas as organizações enfrentam incertezas, e o desafio de seus administradores é determinar até que ponto aceitar essa incerteza, assim como definir como essa incerteza pode interferir no esforço para gerar valor às partes interessadas. Incertezas representam riscos e oportunidades, com potencial para destruir ou agregar valor. O gerenciamento de riscos corporativos possibilita aos administradores tratar com eficácia as incertezas, bem como os riscos e as oportu- nidades a elas associadas, a fim de melhorar a capacidade de gerar valor. IN TE LI G ÊN C IA E M R IS C O S G ES TÃ O I N TE G R A D A E M R IS C O S C O R P O R AT IV O S 51 O valor é maximizado quando a organização estabelece estratégias e objetivos para alcançar o equilíbrio ideal entre as metas de crescimento e de retorno de investimentos e os riscos a elas associados, e para explorar os seus recur- sos com eficácia e eficiência na busca dos objetivos da organização. Os objetivos estratégicos do gerenciamento de ris- cos corporativos, segundo as premissas do COSO II, publicado em 2004, ainda válidos, apesar da revisão 2017, são: 1. Alinhar o apetite a risco com a estratégia adotada – os administradores avaliam o apetite a risco da organização ao analisar as estratégias, definindo os objetivos a elas relacionados e desenvolvendo mecanismos para gerenciar esses riscos. 2. Fortalecer as decisões em resposta aos riscos – o gerenciamento de riscos corporativos possibilita o rigor na identificação e na seleção de alternativas de respostas aos riscos – como evitar, reduzir, compartilhar e aceitar os riscos. 3. Reduzir as surpresas e prejuízos operacionais – as organizações adquirem melhor capacidade para identificar eventos em potencial e estabelecer respostas a estes, reduzindo surpresas e custos ou prejuízos associados. 4. Identificar e administrar riscos múltiplos e entre empreendimentos – toda organização enfrenta uma gama de riscos que podem afetar diferentes áreas da organização.
Compartilhar