3º Encontro de Conselheiros
Painel 1
Gestão de riscos: em que ponto estamos, em que ponto queremos
chegar
Primeiro painel do 3º Encontro de Conselheiros discute papel do conselho na
identificação e monitoramento dos riscos
Tema muitas vezes negligenciado pelas organizações, a gestão de riscos começou a
tomar maior relevância após a crise de 2008, originada nos Estados Unidos depois do
estouro da bolha especulativa do mercado imobiliário. A situação gerou a paralização
da oferta de crédito e queda na produção industrial, que afetou a economia dos países
ao redor do mundo, movimento recorrente de um cenário de globalização. O primeiro
painel do 3º Encontro de Conselheiros usou este exemplo para ilustrar a importância do
monitoramento dos riscos internos e externos e qual o papel do conselho de
administração neste processo.
Moderadora do painel, Sandra Guerra, presidente do Conselho de Administração do
IBGC, explorou que a gestão de riscos é um dos processos da Governança Corporativa
e deve ser acompanhada pelo conselho de administração.
Questionado sobre quais seriam os elementos essenciais que devem estar na pauta do
conselho em relação a gestão de riscos, Carlos Rocca, sócio diretor da CFO Consulting,
definiu-os em dois grupos: os elementos externos e os internos. “O conselho deve
examinar e avaliar quais são os riscos externos como tecnologia, de marca, regulação
e tributação, entre outros. Os dois últimos podem, inclusive, mudar todos os rumos da
empresa”, elencou.
Já no âmbito interno, o especialista defende que deve haver qualidade na gestão de
riscos. Para ele, cabe exclusivamente ao conselho avaliar as ameaças estratégicas da
empresa e definir a prioridade de seu monitoramento na gestão de riscos, porém o
acompanhamento destes riscos deve ser uma função compartilhada entre conselho e
gestão.
“Deve haver controle de riscos em departamentos e processos, pois o risco da empresa
é o que ameaça o valor da organização. Quando um executivo toma uma decisão está
fazendo uma escolha de risco”, afirmou. Rocca ainda disse que as organizações devem
ter a cultura de risco e avaliar permanentemente a qualidade dos processos.
Métricas
Com larga experiência em instituições financeiras, Sérgio Ribeiro da Costa Werlang,
assessor da presidência da Fundação Getúlio Vargas, sugeriu que a Declaração do
Apetite de Risco, que consiste em um conjunto de 20 a 30 métricas, seja usada para
que haja uma mensuração e acompanhamento dos riscos que foram definidos como
estratégicos pelo conselho. Estas métricas devem ser monitoradas pelo Comitê
Executivo, composto por profissionais de alto nível.
As métricas são divididas em grandes grupos: capitalização (rating), liquidez (funding
e ativos), mix de negócios (atuação em diversos segmentos) e os riscos soft como por
exemplo risco cibernético, conduta, consumidor, fornecedor.
Segundo ele, que foi diretor executivo do Itaú Unibanco Holding S.A., responsável pela
área de Risco e Finanças, cabe ao conselho de administração avaliar de 7 a 10 métricas
da Declaração do Apetite de Risco. “Os executivos são responsáveis por mostrar esta
seleção de maneira extremamente visual aos conselheiros para que os mesmos possam
tomar decisões rápidas e estratégicas com base na prioridade”, explicou Werlang.
Ele completou dizendo que a responsabilidade de acompanhamento destes riscos
também cabe a cada área da organização, é um esforço conjunto. André Vitória
complementou e disse que por mais que a gestão esteja envolvida, o acompanhamento
é “de cima para baixo”.
“O conselho que decide o que será medido, mas as áreas de negócios levam o que deve
ser priorizado com a escolha dessas 7 a 10 métricas”, contextualizou André Vitória,
diretor corporativo de Riscos, Compliance e Controles Internos do Grupo Pão de Açúcar
(GPA). Ele ainda ressaltou que as empresas que estão começando a mapear seus riscos
dependem inteiramente da gestão, que irá mapear os riscos de cada área para depois
levar ao conselho de administração.
“Tem todo um trabalho feito pela gestão para depois se chegar à maturidade no
conselho de administração. Se começa sempre por uma visão holística, para depois ir
para os indicadores”, ressaltou.
Risco X Estratégia
Embora, muitas vezes, não sejam analisados de forma isolada, os riscos já estão
inseridos no planejamento estratégico das organizações, que embasa as atividades das
organizações e às vezes tem validade de longuíssimo prazo. Por isso, Vitória alerta: “O
risco não é tratado de maneira formal no planejamento estratégico, mas ele está lá”.
Como exemplo, o especialista citou a matriz ou análise Swot, usada na formulação da
estratégia das empresas. Nela, são mensuradas forças (Strenghts), fraquezas
(Weaknesses), oportunidades (Opportunities) e ameaças (Threats) da organização, com
esta ferramenta é possível avaliar os riscos e utilizá-los no planejamento estratégico.
Para Rocca, a mensuração dos riscos no longo prazo é vista como uma questão delicada.
“Até que ponto o mercado avalia os riscos de cada setor e como irá avaliar estas áreas
no futuro?”, questionou. Para ele, o cenário de longo prazo e as conjunturas econômicas
são altamente mutáveis e difíceis de prever. Como exemplo, o economista citou a queda
abrupta do preço do petróleo, que surpreendeu muitas organizações produtoras, visto
que a expectativa do preço da matéria prima sempre foi de valorização.
“Por isso as organizações têm de ter velocidade para agir em situações inusitadas. O
assunto riscos, fazendo parte da agenda traz uma reação melhor. Temos de nos
antecipar aos riscos”, complementou Vitória.
Estrutura Organizacional
Também está a cargo do conselho de administração pensar como a gestão de riscos
será monitorada dentro da organização. O mais comum, de acordo com André Vitório,
é que seja criada uma área de riscos que tem o tema mais estruturado. Esta área deve
identificar os riscos, passar as informações para uma área de controles internos que
mitiga estes riscos levantados e, por sua vez, passa a responsabilidade de supervisão
para a área de compliance, que deve garantir o funcionamento das normas e controles
por todas as áreas da empresa.
Werlang ressalta que na área financeira o processo é parecido e tem três etapas de
controle: controle na área comercial inicial com a liberação de crédito limitada; área de
controles internos e compliance e, por fim, auditoria.
“A melhor maneira de ganhar sinergia entre as áreas é a implementação de processos.
Tudo tem de estar baseado em processos, eles são o elo entre todas as áreas
envolvidas”, comentou Vitória, que teve sua fala complementada por Rocca: “Sempre
que os processos são definidos surge uma semântica única, afinal os processos devem
ser únicos para serem mensurados. O risco pode ser qualificado, sim”.
Diversidade no conselho
Levando em consideração a quantidade de assuntos a serem analisados pelo colegiado,
é importante que a informação seja passada de forma clara a todos os conselheiros. A
comunicação feita com base nos princípios da Governança Corporativa de transparência,
equidade, prestação de contas e responsabilidade corporativa otimiza as reuniões do
conselho e ajuda na tomada de decisão. Esse é o posicionamento de Rocca.
“As reuniões do conselho são um desafio de comunicação. O colegiado deve ser
composto por pessoas de várias áreas, porque às vezes há uma preocupação de alguns
conselheiros com a produção de relatórios muito específicos e detalhados, que não são
compreendidos pelos seus colegas”, explicou ele após citar que a maioria dos conselhos
é composto por pessoas com formação jurídica ou financeira.
Segundo ele, esta falha de comunicação afeta o desempenho do órgão, que acaba com
um volume muito grande de números e pouca informação.
Riscos Cibernéticos
Tendo participado recentemente do evento Global Cyber Summit, organizado pelo
Global Network of Director Institutes (GNDI), em Washington, Guerra levantou a
necessidade de o conselho de administração discutir o risco cibernético ao qual as
organizações estão sujeitas.
“O risco cibernético é um risco do negócio, corporativo. Ele não fica na caixa da área de
Tecnologia da Informação (TI), está ligado à estratégia. Toda a atividade da empresa
deve estar atenta ao risco cibernético e suas consequências”, alertou.
Para Werlang, a auditoria interna deve ser encarregada por mensurar os riscos advindos
da tecnologia, encontrados por meio de relatórios internos. “Os backups também são
essenciais, se um sistema falhar, outro entra”, complementou o especialista.