Por Luciano Fantin: Este artigo trata da Gestão de Riscos Corporativos e de sua importância aumentada em momentos de crise.
A você que já conhece do que se trata ERM (Enterprise Risk Management), que numa tradução livre ao português é algo como “Gestão de Riscos Corporativos”, peço paciência.
Este texto pode ser básico, porém poderá lhe auxiliar a recordar alguns conceitos, e é sempre bom recordar e sedimentar conceitos. Por outro lado, você que ainda não conhece do assunto, poderá se interessar pelo tema, e querer aprofundá-lo depois.
Esta foi a intenção do autor: trazer maiores informações ao mercado brasileiro, com esta breve e simples contribuição técnico-conceitual, porém tentando permeá-la com a experiência do dia-a-dia, obtida nas organizações onde o autor trabalhou, seja como colaborador ou consultor.
1. ERM é mais um modismo?
ERM é uma poderosa ferramenta de gestão corporativa. Ao mesmo tempo em que o foco é na gestão de riscos, ela provê uma base mais segura para o exercício estratégico e acompanhamento de objetivos de negócio alinhando a cultura, recursos e processos organizacionais. O resultado é uma maior possibilidade na criação de valor ao acionista e demais partes interessadas.
Não, não é mais um modismo. Aliás, em se estudando a fundo o ERM, percebe-se que se trata fundamentalmente da adoção das “boas e velhas” práticas, sedimentadas nas academias e nas empresas de sucesso, exatamente contrárias aos modismos.
ERM é o “bom-senso” em estado d’arte.
Em momentos de calmaria, em que os mercados e a economia em geral estão relativamente tranquilos, já se faz importante a adoção de ferramentas de gestão adequadas, independentemente do segmento em que se atua. A adoção de uma sólida governança, de um bom processo de estruturação estratégica, com elaboração de objetivos de negócios factíveis, mas desafiadores, cercados por uma sólida base de aferição de desempenho e gestão de riscos, é necessária e altamente recomendável.
Quando nos vemos, porém, num ambiente hostil, como este da pandemia do coronavírus, com tantas incertezas cercando os mercados e a economia em geral, a adoção de ferramenta como ERM pode significar a diferença entre a continuidade e o desaparecimento do negócio. Tão simples assim.
2. Um pouco do desenvolvimento histórico
Originalmente formado em 1985, o COSO (“Committee of Sponsoring Organizations of the Treadway Commission” – EUA) é uma iniciativa conjunta de cinco organizações do setor privado com mais de 600 mil profissionais. Dedica-se a prover liderança de ideias por meio do desenvolvimento de processos e guias sobre ERM, controles internos e detecção de fraudes. Portanto, quando falarmos em ERM, há que se recordar que a origem se deu nessa importante iniciativa norte-americana, o COSO.
O mercado costuma associar ao COSO a “controles internos”, uma vez que é um padrão nascido no seio de entidades voltadas a contabilidade e finanças, predominantemente, e base técnica para auditores em geral.
Em 2004, houve a publicação da obra “Enterprise Risk Management – Integrated Framework” (tradução livre: “Gestão de Riscos Corporativos – Estrutura Integrada”), que se tornou uma referência em termos de metodologia de gestão integrada de riscos pelas organizações. Esse documento expandiu uma publicação anterior do COSO, de 1992, sobre controles internos, fornecendo um foco mais robusto e abrangente sobre risco da empresa e sua gestão. Embora não se destine e não substitua a estrutura de controles internos, incorpora a estrutura de controles internos dentro dele.
Mais recentemente, em junho de 2017, houve a atualização do documento ERM de 2004, denominado agora “Enterprise Risk Management – Integrating with Strategy and Performance” (tradução livre: “Gestão de Riscos Corporativos – Integrando Estratégia e Desempenho”). O mesmo destaca a importância de se levar em conta o risco em ambos, o processo de definição estratégica e na gestão de desempenho. Este é, portanto, o foco deste artigo.
3. O que ERM pode fazer por sua empresa
Como mencionado, quando pensamos em COSO, nos vêm à cabeça questões de auditoria, contabilidade e controles internos. ERM é muito mais que isso. Por meio da aplicação disciplinada, podemos afirmar que ERM:
- Afeta a criação de valor;
- Afeta a estratégia;
- É intimamente ligado ao negócio;
- Fortalece a governança;
- É estruturalmente ligado à gestão de desempenho;
- Incorpora conceitos de controles internos.
As premissas de ERM são básicas e nunca saem de moda:
- Toda empresa – com fins lucrativos, sem fins lucrativos ou governamental – existe para gerar valor;
- Todas as empresas enfrentam riscos na busca de valor. O valor de uma empresa é amplamente determinado pelas decisões que a direção toma – desde decisões gerais de estratégia até decisões cotidianas;
- O risco afeta a capacidade de uma organização de atingir sua estratégia e objetivos de negócios;
- O desafio para os gestores é determinar a quantidade de risco que a organização está preparada e capaz de aceitar.
Portanto, ERM se concentra na gestão de riscos para reduzir a probabilidade de ocorrência de um evento e no gerenciamento do impacto quando e se esse evento ocorrer.
4. Onde tudo começa
A integração de práticas de gestão de riscos corporativos em uma organização melhora a tomada de decisões em governança, estratégia, estabelecimento de objetivos e operações diárias. Ajuda a melhorar o desempenho, vinculando mais estreitamente a estratégia e os objetivos de negócios aos riscos.
Pois bem, ERM então parte do “princípio”.
No princípio, fez-se a missão, a visão e os valores da empresa. É este o ponto de partida que norteará os desdobramentos da aplicação de ERM na empresa, haja vista que a primeira declaração de apetite a riscos de qualquer organização está (ou deveria estar) contida na declaração de sua missão e de sua visão.
5. Definindo ERM
A definição de ERM não possui uma formulação simples. Parece-nos um pouco intrincada, se bem que não temos uma alternativa à altura para oferecer ao leitor, por isso vamos com essa mesma do COSO. A decompomos mais abaixo, de modo a facilitar a compreensão conceitual.
Definição de ERM:
“A cultura, recursos e atividades integradas com a definição estratégica e gestão de desempenho, nos quais as empresas se baseiam para gestão de riscos enquanto criam valor”.
Decompondo:
- Cultura: Pessoas, estabelecimento de missão, valores e visão; decisões de pessoas afetam o risco.
- Recursos: As empresas buscam várias vantagens competitivas para criar valor. ERM aumenta as habilidades necessárias para cumprir a missão e a visão da entidade e antecipa os desafios que podem impedir o sucesso organizacional. ERM ajuda na adaptação a mudanças.
- Integração com definição estratégica e desempenho: ERM se integra em alto nível organizacional com a definição da estratégia, entendimento da direção do perfil geral de riscos e das implicações de estratégias alternativas. Além disso, ERM se integra nas atividades do dia-a-dia.
- Gestão de riscos para estratégia e objetivos de negócios: as práticas bem desenhadas de ERM dão à direção e ao conselho de administração expectativas razoáveis que alcançarão as estratégias e os objetivos de negócios. Isso quer dizer que a empresa só tomará a quantidade de riscos adequada/que pode suportar.
- Conexão com valor: a empresa precisa gerir seu risco em relação à sua estratégia e objetivos de negócio.
De um modo esquemático, podemos demonstrar ERM da seguinte maneira:
É muito interessante notar que um dos pilares de ERM é a cultura organizacional. Nos vários anos de trabalho no mercado financeiro, tanto como colaborador das instituições onde trabalhei, ou mesmo consultor, pude aprender que o sucesso organizacional, em termos de desempenho e gestão de riscos, só foi tão bom quanto a qualidade das pessoas que ali estavam.
Parece uma afirmativa simples, mas pouco ou de nada adiantam sistemas sofisticados, processos bem descritos, declarações de missão, visão e valores devidamente penduradas nas entradas, se a cultura da empresa não está refletida de forma a alcançar, de fato, essas coisas.
6. Integração estratégica de ERM
As abordagens de integração da cultura, recursos e atividades com a definição estratégica e gestão de desempenho são assim propostas em ERM:
Cultura
- Implementar fóruns ou outros mecanismos para compartilhar informações, tomar decisões e identificar oportunidades.
- Incentivar as pessoas a escalar questões e preocupações sem medo de represálias.
- Esclarecer e comunicar papéis e responsabilidades para a consecução de objetivos estratégicos e de negócios, incluindo responsabilidades para o gerenciamento de riscos.
- Alinhar valores, comportamentos e tomadas de decisão com modelos de incentivos e remuneração.
- Desenvolver e compartilhar um forte entendimento do contexto de negócios e dos fatores de criação de valor.
Recursos
- A administração é capaz de tomar decisões apropriadas, dado seu apetite, perfil de risco da entidade e as mudanças no perfil que ocorrem ao longo do tempo.
- A organização contrata rotineiramente indivíduos capazes, com experiência relevante, que podem exercer julgamento e supervisão de acordo com suas responsabilidades.
- A organização tem acesso a indivíduos capazes, especialistas no assunto ou outros recursos técnicos para apoiar a tomada de decisões.
- Ao fazer os investimentos necessários em tecnologia ou outra infraestrutura, a direção considera as ferramentas necessárias para permitir responsabilidades de gerenciamento de riscos corporativos.
- Fornecedores, contratados e outros terceiros são considerados nas discussões de risco e desempenho.
Processos
- A definição de estratégia considera explicitamente o risco ao avaliar alternativas.
- A direção lida ativamente com os riscos na busca de suas metas de desempenho.
- As atividades são desenvolvidas para monitorar regular e consistentemente os resultados de desempenho e as mudanças no perfil de risco em toda a entidade.
- A direção é capaz de tomar decisões que estão alinhadas com a velocidade e o escopo das mudanças na entidade.
7. O que ERM não é
Muito bem, vimos o que ERM é, mas vale a pena reforçar o que não é, de modo a sedimentar o entendimento e esclarecer algumas interpretações errôneas de mercado:
- O ERM não é uma função ou departamento. É a cultura, os recursos e os processos que as organizações integram com o estabelecimento de estratégias e as aplicam quando realizam essa estratégia, com o objetivo de gerenciar riscos na criação, preservação e obtenção de valor, como vimos na definição acima.
- O ERM é mais do que uma lista de riscos. Requer mais do que fazer um inventário de todos os riscos dentro da organização. É mais amplo e inclui práticas adotadas pela gerência para gerenciar ativamente os riscos.
- O ERM vai além do controle interno. Também aborda outros tópicos como definição de estratégia, governança, comunicação com as partes interessadas e medição de desempenho. Seus princípios se aplicam a todos os níveis da organização e em todas as funções.
- O ERM não é uma lista de verificação (checklist). É um conjunto de princípios nos quais os processos podem ser construídos ou integrados para uma organização específica e é um sistema de monitoramento, aprendizado e melhoria de desempenho.
- ERM não cria a estratégia da entidade, mas informa a organização sobre os riscos associados às estratégias alternativas consideradas e, finalmente, à estratégia adotada.
8. Risco e retorno
A empresa precisa avaliar como a estratégia escolhida pode afetar o seu perfil de risco, especificamente os tipos e a quantidade de risco aos quais a organização está potencialmente exposta.
A avaliação de riscos para a estratégia e os objetivos de negócios exige que a empresa entenda a relação entre risco e desempenho (perfil de risco), como se pode depreender da figura a seguir, extraída de “Enterprise Risk Management lntegrating with Strategy and Performance”, junho de 2017, COSO.
Assim como no mundo financeiro, quanto maior o risco, maior deveria ser o retorno. Os objetivos de negócios que pressupõem níveis de desempenho mais robustos tendem a atrair também maiores riscos:
9. Os componentes e princípios de ERM
De modo estrutural, um programa de ERM parte de cinco elementos básicos, denominados “componentes”, que por sua vez apresentam vinte “princípios”, conforme pode-se depreender na figura abaixo, extraída de “Enterprise Risk Management lntegrating with Strategy and Performance”, junho de 2017, COSO:
Conforme apresentado acima, um dos pilares de ERM é a cultura organizacional. Dessa maneira, ERM destaca como seu componente básico, com cinco princípios a ele atrelado, o de “Governança e Cultura”.
10. Quais são as críticas ao ERM?
Existem muitas. Algumas válidas e coerentes, outras injustas. As principais, que encontramos na literatura passam pelo seguinte:
- Não se consegue criar uma visão integrada de riscos, como advoga o ERM, uma vez que há naturezas distintas que afetam, também de forma distinta, as organizações;
- Um programa de ERM é muito caro para ser implementado, em especial em empresas médias e pequenas;
- ERM não é garantia de sucesso, até porque há empresas que adotaram programas de ERM e que vieram a sucumbir a riscos;
- Apetite a riscos é um conceito por demais abstrato para ser aplicado de forma objetiva;
- ERM foca no negativo, não vê o positivo.
Nossa visão às referidas críticas:
De modo geral, há certamente maneiras de se criar uma visão integrada de riscos, como um portfólio, por meio do qual a empresa consegue ter uma visão consolidada de sua situação, inclusive em contraposição ao seu apetite a riscos.
Vamos aqui tomar como exemplo o conceito de Basileia aplicado a um banco. Os modelos numéricos existentes levam a uma alocação de capital (como se uma “reserva” fosse) para os ativos em risco, posições em juros e moedas, histórico de perdas operacionais, etc. de maneira a que os gestores e o regulador possam avaliar a suficiência no caso de perdas. Isso tem funcionado muito bem.
Programas de ERM não necessariamente passam por criação de estruturas novas, implementação de sistemas sofisticados, ou grandes investimentos. Ao contrário, acreditamos que deva ser um processo gradual, de pequenas mas poderosas mudanças organizacionais, iniciando-se em aspectos pertinentes à cultura e governança. A sofisticação posterior do modelo será então “financiada” pelos ganhos que já serão decorrentes dos passos iniciais e graduais.
Qualquer empresa que se veja diante de uma ferramenta que “garanta” sucesso deve sempre dar dois passos atrás. Não se trata de garantir sucesso com ERM, mas sim de garantir a aplicação disciplinada de ferramentas e abordagens que mitigarão (e muito) o risco de insucesso. Isso já é uma grade coisa.
O apetite a riscos á de fato conceito abstrato, ainda mais que passa pelo campo da ciência social, psicológica. Numa mesma organização, diante de uma mesma questão, haverá diversas respostas de graduação de um mesmo risco. Mas isso é natural e até esperado. O que conta é a percepção (e o apetite) a riscos dos gestores, em alinhamento aos acionistas e partes interessadas. Esse deve ser o aspecto prevalente, cuja disseminação por toda a organização deverá ser garantida. E, como vimos em muitas organizações, as pessoas que não se alinham à cultura organizacional (que é intimamente ligada à percepção de risco), acabam saindo. E, mais uma vez, nada de errado nisso. O apetite a riscos pode e deve ser mensurado objetiva e financeiramente.
Por último, nada mais positivo do que a missão e a visão de uma empresa que, como já vimos, incorpora aspectos de sua percepção e apetite a riscos. ERM, como suporte à definição estratégica que é, está absolutamente alinhado ao positivo, até porque ainda não encontramos uma empresa que descreva que sua missão é “fracassar”.
Por outro lado, temos consciência dos desafios da implantação de ERM em qualquer organização. Alguns dos desafios passam por:
- A “compra” da importância por toda alta administração (conselho e diretoria);
- Adaptação cultural;
- Adaptação a uma nova governança;
- Disciplina e persistência;
- Recursos humanos em posições de gestão;
- Projetos obtusos e “padronizados”, sem o devido cuidado com a natureza organizacional (as peculiaridades a serem respeitadas, que cada empresa possui).
Se você quiser saber mais sobre ERM, num treinamento e/ou como aplicá-lo em sua empresa, contate-nos.
Nota: A reprodução total ou parcial deste artigo é permitida, desde que citada a fonte.