GESTÃO DE RISCOS EMPRESARIAIS– EVOLUI OU É TUDO COMO ANTES?

Home > Blog > GESTÃO DE RISCOS EMPRESARIAIS– EVOLUI OU É TUDO COMO ANTES?

GESTÃO DE RISCOS EMPRESARIAIS– EVOLUI OU É TUDO COMO ANTES?

GESTÃO DE RISCOS EMPRESARIAIS– EVOLUI OU É TUDO COMO ANTES?

 

Paulo Baraldi

www.riskatrisk.com.br

 

A gestão de riscos empresariais (GRE ou ERM – enterprise risk management) tem evoluído ou continua como anteriormente?  Ou o ERM de 2017 é igual, melhor ou pior que o ERM de 2004?

A resposta pode depender de alguns fatores ou formas de se avaliar, caso a caso, o que tem ocorrido na gestão das empresas e os eventos de natureza externa que a tem afetado em distintas proporções nos últimos anos, e com cada vez maior velocidade.

Vamos dar uma abordagem, sujeita a quaisquer críticas, e mais, porque em gestão de empresas não há métodos ou melhores práticas únicas. Mas pode fazer pensar, e levar a outras visões de cada um de nós, que tem o ERM como uma das bases para seus trabalhos e suas profissões. O que, por sinal, a gestão de riscos é requisito crítico para todos: investidores e credores da empresa, conselheiros (e seus comitês), presidente e todos os diretores, auditores internos e independentes e todos os demais profissionais da empresa. Pois riscos afetam a realização de objetivos (estratégicos e operacionais), e todas as empresas os têm e logo, devem ser gerenciados com competência e habilidade na sua efetiva aplicação.

Uma das abordagens para tentar facilitar o entendimento poderia ser de alguns cenários. E numa sequência de cenários, tirar algumas inferências face aos ERMs, se evolui ou pouca coisa tem mudado.

 

Cenário 1 – Como a empresa é (ou deveria ser) medida pelos stakeholders (conselheiros de administração, gestão, investidores, credores, etc.)?

 

A empresa cria valor ao crescer seu patrimônio líquido contábil com lucros, e os distribui como dividendos. E continua a crescer. Essas informações estão em demonstrações financeiras internas e/ou publicadas que apresentam resultados e dados passados. Os especialistas em mercado de capitais procuram estabelecer, por alguns meios, os dados futuros dessa empresa, com base em projeções de lucro operacional (e/ou caixa operacional) trazidos a valor presente (isto de uma forma bem simples, para entendimento). E assim ter um patrimônio ao valor de mercado. Por isso mesmo que por este método, é baseado, também (há outros fatores), o valor que as empresas são negociadas. Geralmente, este valor do patrimônio líquido a mercado é maior que o patrimônio contábil face a alguns ativos intangíveis não reconhecidos contabilmente. Mas voltemos às demonstrações financeiras contábeis (DFs), que são fundamentais, também, nesse processo de mostrar o que a empresa é. Por isso, as DFs devem ter controles internos efetivos e são auditadas ou examinadas por especialistas para atingir um objetivo de ERM 2004 – DFs confiáveis.

 

Cenário 2 – Logo, vamos focar no objetivo de DFs confiáveis, certo?

 

As DFs são estruturadas por saldos de contas relevantes (contas a receber, estoques, contas a pagar, empréstimos, etc.) que resultam de determinados processos operacionais ou ciclos de vendas (e um pouco de marketing); de compras (ou procurement, apesar de distintas abrangências conceituais e de escopo); de produção; de logística, etc.

Como o objetivo é “ser confiável”, o foco dos especialistas (controladoria, gestão de riscos, auditoria interna, auditoria independente) é na eficácia, ou melhor, nos objetivos da eficácia. E eficácia, por definição de Peter Drucker, é fazer a coisa certa; ou seja, fazer as DFs certas. Logo o foco é nos objetivos de eficácia, como: exatidão, totalidade, autorização, integridade e avaliação (há mais). E o ERM de 2004, com esse propósito, deve focar nos riscos sobre os objetivos de eficácia. Ou seja, os riscos de operações e informações erradas, incompletas, omissas, não aprovadas e nem autorizadas e avaliadas de forma errada para os objetivos acima. Logo deve haver controles sobre estes riscos para proteger as informações oriundas de cada um dos processos (ciclos) que irão gerar os saldos das DFs: contas a receber, receitas e recebimentos para o ciclo de vendas; contas a pagar, estoques, custos e despesas e pagamentos para o ciclo de compras; e assim por diante.

O ERM neste cenário deve (ou deveria) ser feito com base nos conceitos e abordagens do ERM de 2004, que foca em DFs confiáveis, em operações eficazes (e eficientes) e em compliance. O compliance, como é uma aderência às normas internas (políticas, procedimentos, etc. de cada um dos processos de gestão) e às normas externas (leis, regulamentos, etc.) é, na sua integridade, focado na eficácia, também. Ou seja, cumprir as normas internas e leis de forma certa.

Um exemplo de uma figura bem simples sobre o acima, como foco nas 3 Linhas de Defesa, poderia ser:

Uma explicação sumária do acima.

– Governança, comitês e suporte direto da 3ª LD (linha de defesa) – Auditoria Interna – de um modo geral as empresas tem uma estrutura de conselheiros de administração assessorada por comitês e com o suporte direto de uma auditoria interna. Tanto o ERM de 2004 como o de 2017 já deixavam claro, até mesmo por exigências da SEC (CVM americana) e do BACEN/SUSEP e por recomendações da CVM, que um conselho de administração deve ser assessorado por comitê de auditoria. E, principalmente, o conselho com uma enorme carga de responsabilidades legais e regulamentares para supervisionar uma gestão que atua diariamente. Entretanto, ocorrem uma incongruência e altíssimo riscos aos conselheiros e comitê. O conselho normalmente tem uma reunião mensal e o comitê idem ou com até menor frequência. E como podem, com este escopo de atividades, supervisionar as ações da gestão. Daí, para evitar escândalos financeiros e os altíssimos riscos, a empresa deve ter uma estruturada e competente auditoria interna ligada diretamente ao conselho e/ou ao comitê de auditoria, para monitorar as ações (não poucas) da gestão. E passar os resultados dos seus trabalhos em reuniões mensais aos comitês e/ou conselhos. Sem essa estruturação, os conselheiros (e comitê) correm um enorme risco de reputação, financeiro e mesmo de continuidade de suas atividades como conselheiros. Logo a auditoria interna deve monitorar, também, todo o ambiente da gestão, 1ª, 2ª linhas de defesas e das respectivas DFs e suas informações críticas. E mais uma razão da importância da auditoria interna: a CVM não considera a auditoria independentes (que certifica as DFs), como integrante do controle interno da empresa; mas a auditoria interna sim. Mas ainda estamos abordando a eficácia das DFs e é importante, sem dúvida. Mesmo considerando que a auditoria interna foca, também, nas operações eficazes e eficientes (mas vejo o eficiente mais abaixo).

– Gestão (presidente e principais diretores) – estes comandam as ações e são os responsáveis finais das DFs confiáveis. E para isso têm o suporte das áreas da 1ª linha de defesa (diretores e estrutura para fazer funcionar as funções acima); e das áreas da 2ª linha de defesa (demais funções de suporte da 1ª linha de defesa e em alguns casos operam também como 1ª linha de defesa nas suas próprias funções estratégicas). Apesar de que, em alguns casos, a gestão não valoriza devidamente a auditoria interna.

– Processos – a figura acima demonstra uma visão de processos das áreas que se enquadram nas 1ª e 2ª linhas de defesa e que vão resultar nos saldos das DFs versus orçamentos, ações de melhorias, etc. como acima comentado. Logo, os riscos devem ser gerenciados com controles que visam realizar os objetivos de eficácia dos processos que geram, principalmente, as DFs contábeis. Esta é a visão prevalente há dezenas de anos, com base até, nas metodologias e normas profissionais de empresas de auditoria independente.

– O acima é a aplicação que tem prevalecido com base no ERM de 2004, muito fortemente influenciado pelo COSO de Controles Internos Integrados de 2013. Ainda que mencionam e incluam estratégias, mas que não vingaram na prática, para boa parte das empresas.

– E, sem dúvida, controles internos sobre os riscos desses processos integrais (ERM de 2004) devem ser aplicados, pois podem, também, ser a base para a proteção de valor da empresa. Porém, como iremos exemplificar abaixo, podem estar sendo aplicados de uma forma não razoável, pois podem desperdiçar recursos e reduzir desempenho, criação e proteção de valor. Mas lembramos, se feitos com alguns comentários a seguir, seria o desejável.

 

Cenário 3 – Mas a empresa é medida pelos donos e pelo mercado com base somente no Cenário 2?

 

Não. Mas o que faltaria? Uma forma de responder seria, tudo bem, temos que ter as DFs corretas, através de controles efetivos sobre os riscos das informações não eficazes (erradas). Mas isso somente não é suficiente. O tão relevante deveria ser, também, o desempenho que empresa deve apresentar (de forma certa, certo!). Aqui poderiam entrar com algumas abordagens, como a da eficiência, da estratégia, da causa e efeito, e de algumas outras. Mas o foco na eficiência e na estratégia já estão no ERM de 2004! De fato, estão, mas não vingaram como esperado. Sem dúvida, determinadas empresas, através de consultores e especialistas em gestão estratégica e demais métodos de gestão, têm considerado o desempenho. Mas todas consideram o desempenho de alguma forma!  Mas a forma como fazer o mais eficiente é que pega. E eficiente seria, numa definição de Drucker, fazer certo a coisa; ou fazer certo (eficiente) a coisa (o bom desempenho), preferivelmente, a coisa certa (desempenho sem erros). Fazer certo poderia ficar também mais facilmente entendido como, focar em objetivos de eficiência, principalmente os estratégicos, através de projetos que criem valor para clientes que poderão causar bons desempenhos para a empresa.

E por que não vingaram os objetivos de estabelecimento de estratégias e de operações eficientes do ERM de 2004? Não vingaram, talvez em boa parte das empresas, porque, ainda o foco de alguns especialistas que mais consideram ERM, esteja muito mais concentrado na eficácia (requerimentos legais, regulatórios e normativos) do que nos demais objetivos de estratégia e de eficiência na busca do melhor desempenho.

E esses mesmos especialistas com avaliações constantes que fazem das empresas e do mercado, nos últimos anos concluíram que deveriam também dar uma ênfase muito maior na estratégia e na eficiência, pois estas causam o melhor desempenho. Lógico, sem se esquecer do cumprimento dos objetivos de eficácia. E daí surgiu o ERM de 2017, que ainda não está bem compreendido por alguns especialistas que acreditam que nada mudou ou se mudou, mudou muito pouco.

Um exemplo de uma figura bem simples sobre o acima, como foco nas 3 Linhas de Defesa, poderia ser:

Uma explicação sumária do acima.

– Governança, comitês e suporte da 3ª linha de defesa – auditoria interna; e gestão (presidente e principais diretores) – ver acima a explicação sumária.

Iniciativa estratégica – é um projeto que envolve multifunções ou multiáreas ou multilinhas de defesa e com a liderança do presidente ou de um diretor executivo de determinada área. A iniciativa estratégica pode ser dividida em demais iniciativas e/ou cascateadas em metas operacionais de áreas, equipes e pessoas. E cada projeto é gerenciado e consolidado no orçamento global. Logo deve ter entradas e saídas de caixa ou receitas e custos (e despesas), investimentos (em recursos, etc.), financiamentos e seus riscos e controles (preferencialmente quantificados) sobre todos os componentes. Ter calculado seu ROI ou melhor, seu fluxo de caixa descontado como medição de desempenho, etc.

– Logo, é uma visão de projetos (em adição a visão de processos) conduzidos pelas 1ª, 2ª linhas de defesas, monitoradas e supervisionadas pela auditoria interna em suporte ao conselho (e comitês). Dessa forma, os riscos deveriam ser gerenciados, também, com controles que visam realizar os objetivos estratégicos e metas operacionais, com foco no bom desempenho e para criação, proteção, realização e crescimento de valor da empresa.

– O acima é a aplicação do estágio principal da gestão (e todas as demais linhas de defesa e da governança) que deveria prevalecer no ERM de 2017. O foco primeiro estaria nas iniciativas estratégicas e no orçamento e metas operacionais e demais ações de gestão na tomada de decisões.

– As iniciativas estratégicas podem ter alguns prismas.

– O principal ramo das iniciativas é com foco em valorizar os clientes para cada vez mais crescer as operações. Estas iniciativas (foco nos clientes) obrigam e direcionam a criação de demais iniciativas para suportá-la, em excelência operacional, em melhorias de sistemas (tecnologia e informações) e em capacitações de pessoas para levar avante o que deve ser priorizado.

– Um outro prisma são iniciativas com foco nos objetivos de continuidade da empresa, como, por exemplo, gestão de objetivos continuidade dos negócios (gestão de crises, recuperação dos negócios, gestão de cisnes negros, etc.); gestão de atividades antifraudes (DFs fraudulentas, desvio de ativos, corrupção e cyber crime); gestão de inovações; gestão de demais eventos críticos do ramo de negócios (ambiental, etc.); gestão do objetivo da ótima reputação, que decorreria também de falhas na gestão de todos os anteriores e de alguns mais.

 

Afinal, o ERM 2017 é igual, melhor ou pior do que o ERM de 2004?

 

Algumas inferências que podem ser retiradas dos cenários acima.

– O ERM de 2004 concentra o foco nos objetivos de eficácia, ou seja, fazer a coisa (as DFs ou as informações financeiras e não financeiras) certa (confiáveis). Pois, de fato, a empresa e o mercado precisam ter as informações certas. Se serão mais ou menos elaboradas com eficiência ou com amarração e consistência aos objetivos estratégicos, não importa muito, quando se foca apenas na eficácia. O desempenho que viesse, quanto melhor, mais desejável. O desempenho, para quem seguia estritamente o ERM de 2004, era coisa de estrategistas e da alta gestão. É logico que este raciocínio é para uma média global de empresas, mas que é representativa e entendida pelos especialistas do hemisfério norte que decidiram revisar este ERM de 2004.

– A eficácia é imprescindível, pois não adianta, como já dito, ser eficiente para fazer a coisa (as DFs, por exemplo) errada.  Porém, focar somente nos objetivos de eficácia de processos ou mesmo em alguns poucos objetivos de eficiência operacional podem ser insuficientes. Porque podem causar perdas, como por exemplo:

– O foco forte na eficácia faz com que o esforço e tempo das pessoas (caros) e a quantidade e qualidade os outros recursos (também muito onerosos) fiquem gastos naquele objetivo de eficácia de um processo, independentemente de ser estratégico ou não. Enfim, controlam-se e monitoram-se processos completos e seus subprocessos ou atividades que pouco podem contribuir para a criação e proteção de valor da empresa.

– Regra geral, o objetivo de eficácia (e de compliance) é nas informações passadas. E riscos de informações passadas é importante, mas, insuficiente. E os caríssimos recursos das pessoas e demais, são pouco focados no desempenho com eficiência no que é importante pela estratégia e no que pode acontecer em termos de riscos sobre objetivos que serão buscados. E fica claro que, mesmo com bom desempenho, empresas que têm este desequilíbrio, tem ralos de perda ou destruição de valor algo até consideráveis. E poderiam ter bem mais melhores desempenhos ou bem menos piores desempenhos.

– O foco na eficiência, de fato, nos objetivos estratégicos, priorizará os projetos (que integram processos de distintas áreas e linhas de defesa), e que estariam voltados a reagir, ou melhor, prever as mudanças cada vez mais contundentes e velozes dos agentes externos. E mudanças externas causam impactos relevantes nas estratégias internas, e daí ações ágeis devem ser feitas (planejamento estratégico engessado para um ano ou mais pode ser coisa do passado e muito prejudicial na sua empresa). E dessa forma, evitar a destruição do valor da empresa em futuro que pode ser cada vez mais próximo. E assim, manter a perenidade da empresa, com a valorização dos clientes e estes retribuírem valorizando a empresa.

– E claro fica que o foco na estratégia e metas operacionais alinhadas, orienta a gestão competente. E que a gestão competente se complementa com o foco no que deve fazer de eficaz no que é prioritário. E não fazer o eficaz pelo eficaz. E não gerenciar riscos pelos riscos, só pensando em riscos, normalmente uma quantidade grande ou enorme de riscos relacionados em mapas de riscos. Uma tremenda perda de recursos aplicados e um volume grande de informações que causam mais ineficiência (às vezes facilitados por softwares que “controlam tudo”!).

 

E ter o ERM com foco nos objetivos estratégicos (cascateados às metas operacionais) e no desempenho (ERM de 2017) traz benefícios, como resumimos o que está no caderno do COSO que o publicou. Resumimos alguns desses benefícios com algumas adaptações na tradução, pois o COSO foca, ainda, mais no risco, enquanto entendemos em focar nos objetivos e riscos respectivos, apenas por uma questão de definição de riscos:

– Aumento da gama de oportunidades – dá importância às mudanças externas que podem ocorrer, principalmente relacionadas aos objetivos de valorizar os clientes. Pois assim, iniciativas estratégias irão fluir com foco no valor das empresas.  E já trabalhar nos objetivos e gerenciar (controlar) os potenciais riscos que poderão ocorrer nas iniciativas estratégicas que deverão ser feitas.

– Redução de surpresas negativas (com resultados e vantagens positivos) – para todas as iniciativas estratégicas (seus objetivos e metas), deve haver uma metodologia de ERM de identificação de riscos e assim ter

as respostas (controles) aos riscos que serão mais adequadas também. Exemplo, o fornecedor que tem a iniciativa estratégica diferenciada com o seu cliente em fornecer as matérias primas just in time. Este fornecedor deve revisar todos os riscos (mas antes, os objetivos e metas) dos subprocessos de entrega de produtos para evitar atrasos (expedição, rotas, frota, trânsito, etc). E assim fazer com clareza sua negociação e a gestão desses riscos previamente combinada com o cliente de forma a atender às suas necessidades com os riscos definidos e melhor gerenciados.

– Identificação de riscos de forma integrada e global – riscos originam-se em distintas situações e podem afetar distintos objetivos em distintas áreas e segmentos de negócios. O sentido holístico da gestão de objetivos e de riscos permite identificar e gerenciar os objetivos e riscos de forma integrada. E mais, com foco no futuro e não apenas no já ocorrido.

– Redução de variação de desempenho (tolerância aos riscos) – A prática de se orientar por estratégias que serão executadas, obriga a prática de os responsáveis (gestão e demais linhas de defesa, supervisionadas pelos conselheiros, principalmente através de capacitada auditoria interna) trabalharem com a melhor previsão e reduzir a maior volatilidade de desempenho futuro.

– Melhorar a utilização de recursos – ver exemplo acima ao potencial desperdício de recursos onerosos quando a gestão e conselheiros não se orientam com base nos objetivos estratégicos.

 

Algumas considerações semifinais (em ERM e demais métodos de gestão, nada é, afinal, final)

 

Afinal, sabendo que nada é final e conclusivo como melhor prática em gestão de empresas, podemos considerar, sob todos os riscos aplicáveis, que o ERM 2017 conduz o gestor, conselheiros, auditores internos e demais linhas de defesa a se orientarem e priorizarem suas ações com base na estratégia e com foco no desempenho para criar, proteger, realizar e crescer o valor da empresa.

E o ERM 2004 e o COSO de controles internos integrados de 2013 devem ser aplicados nos processos que sejam priorizados e se tornarem relevantes conforme o norte estratégico da empresa. Que é mutável, com a dinâmica do mercado cada vez mais acelerada.

Para tanto recomendo a leitura do livro Riscos Estratégicos & Desempenho – Como gerenciar estratégias, operações e criar valor na empresa – para conselheiros de administração e seus comitês, gestores, auditores internos e demais profissionais de empresas. Este livro foca na integração de métodos e frameworks de estratégias (planejamento e execução), ERM 2017, suportados pelo COSO de 2013 sobre controles internos integrados (este mais focado na estrutura do ERM 2004, no que for aproveitável). E apresenta os objetivos de eficiência (alguns) e vários exemplos de iniciativas estratégicas e sua gestão.

 

Uma outra consideração.  Ainda os reguladores (SEC, CVM, BACEN, etc.) têm o foco nos controles internos integrados (como parte integrante da SOX, no caso da SEC). E mesmo, na CVM, o foco está em evolução, pois considera os riscos nos objetivos de eficácia na elaboração e divulgação das DFs (com base na supervisão baseada em riscos). E no formulário de referência, que tem apresentado, por esforço da CVM, uma evolução na questão dos tópicos de riscos. Primeiro enfatizaram os riscos de mercado (talvez devido aos desastres causados pelos derivativos anos atrás em empresas abertas). Mais recentemente estão enfatizando também os riscos de conformidade ou de compliance. Isto face aos escândalos da corrupção em determinadas empresas.

Esperamos que os reguladores mencionados irão (acreditamos) em futuro próximo, concluírem que o melhor desempenho das empresas depende fortemente de estratégias bem planejadas e bem executadas e gerenciadas. Com atenção constante nos agentes externos de mudanças. Pois esta nova visão é que, mais fortemente, poderá criar ou destruir valor dos investidores, os quais são os que são protegidos pelos reguladores.