Elaboração de um Protocolo para Análise do Processo de Implantação da Gestão de
Riscos Operacionais a partir da Experiência de Três Empresas de Classe Mundial
Autoria: Luciel Henrique de Oliveira, Luiz Carlos Di Serio, Luiz Marcelo Siegert Schuch,
Guilherme Silveira Martins
Resumo
No final de 2009 e início de 2010, a Toyota realizou o recall de mais de nove milhões
de veículos em todo o mundo para corrigir problemas de aceleração e de freio, potencialmente
perigosos. A empresa foi acusada de lentidão para investigar e acusar os problemas, e sofreu
repreensões públicas de Governos, inclusive no Brasil. Este caso foi citado na mídia como o
pior exemplo de gestão de crise na história da indústria automobilística, reduzindo em 20% o
preço das ações da empresa e causando bilhões de dólares em destruição de imagem e de
valor. Como uma empresa de classe mundial, sempre citada como referência em excelência
em qualidade de produtos e serviços pôde passar por uma situação como esta? A otimização
das cadeias de suprimentos, a interdependência das empresas e a formação de redes de
operações globais tornaram as empresas expostas a incertezas e riscos. O caso da Toyota
ilustra esta situação e mostra a vulnerabilidade das empresas, no contexto atual, aumentando
a necessidade de atenção a gestão de riscos e transformação organizacional. A literatura sobre
Enterprise Risk Management (ERM) é carente em análises sobre métodos avaliação de riscos
e há poucas descrições de casos como as empresas têm implementado estes sistemas e quais
seus resultados. Este trabalho visa contribuir com a metodologia de avaliação de riscos
operacionais, e apresenta um instrumento de análise (protocolo de pesquisa) que associa os
benefícios da gestão de riscos com o nível de transformação organizacional e pode ser
adaptado e aplicado em organizações de quaisquer portes e setores, para possibilitar a
identificação, classificação, análise e tratamento de seus principais riscos operacionais. O
protocolo envolve a análise do processo de implantação da gestão de riscos; a análise do
estágio atual do sistema de gestão de riscos e os impactos desta gestão. O instrumento
analítico foi configurado a partir da análise de documentos internos três empresas de classe
mundial, vencedoras do PNQ, e dos resultados das entrevistas com gestores de riscos destas
empresas. Envolvem o processo de implantação da gestão de riscos, considerando os fatores
facilitadores e complicadores, a análise do estágio atual e os impactos da gestão de riscos. O
protocolo foi configurado a partir da experiência das três empresas, e constitui um
instrumento de análise que associa os benefícios da gestão de riscos com o nível de
transformação organizacional e pode ser adaptado e aplicado em organizações de quaisquer
portes e setores. As principais contribuições do estudo estão na sistematização de conceitos e
na organização de um protocolo de análise de riscos baseado na experiência de três empresas
de classe mundial, considerando gestão dos riscos operacionais com foco na cadeia de
suprimentos. O estudo apresenta os fatores facilitadores e os fatores que podem colocar em
risco o sucesso desta iniciativa; e considera resultados que as empresas tem percebido na
implantação dos seus sistemas, proporcionando ferramenta para uma análise mais realista da
relação custo-benefício desta iniciativa.
1
1. Introdução
No final de 2009 e início de 2010, a Toyota realizou o recall de mais de nove milhões
de veículos em todo o mundo para corrigir problemas de aceleração e de freio, potencialmente
perigosos. A empresa foi acusada de lentidão para investigar e acusar os problemas, e sofreu
repreensões públicas de Governos, inclusive no Brasil. Este caso foi citado na mídia como o
pior exemplo de gestão de crise na história da indústria automobilística, reduzindo em 20% o
preço das ações da empresa e causando bilhões de dólares em destruição de imagem e de
valor. (BARTON, SHENKIR, WALTER, 2010).
Como uma empresa de classe mundial, sempre citada como referência em excelência
em qualidade de produtos e serviços pôde passar por uma situação como esta? A otimização
das cadeias de suprimentos, a interdependência das empresas e a formação de redes de
operações globais tornaram as empresas expostas a incertezas e riscos. O caso da Toyota
ilustra esta situação e mostra a vulnerabilidade das empresas, no contexto atual, aumentando
a necessidade de atenção a gestão de riscos e transformação organizacional.
Faz pouco tempo que a gestão de risco passou a fazer parte da agenda dos executivos,
mudando a percepção vigente de que esta disciplina era objeto de especialistas em seguros
(CAVINATO, 2004), mostrando que se trata de uma questão de sustentabilidade
organizacional (ANDERSON, ANDERSON, 2009). Em função da otimização das cadeias de
suprimentos, da maior interdependência das empresas com a evolução do lean manufacturing
e da formação de redes globais de suprimentos as empresas tornaram-se mais expostas a
diferentes tipos de incertezas e conseqüentemente a maiores riscos (HARLAND,
BRENCHLEY, WALKER, 2003).
O relatório Global Risks 2008, coloca entre os principais riscos da atualidade o risco
das cadeias de suprimentos, juntamente com os riscos provenientes do sistema financeiro,
segurança dos alimentos e os riscos relativos a disponibilidade e uso da energia. Criou-se o
Enterprise Risk Management (ERM), procurando ajudar as organizações a criar um programa
sustentável para o gerenciamento de riscos corporativos, auxiliando no desenvolvimento de
um roteiro prático, transferindo conhecimento e fornecendo treinamento para sua organização
(ANDERSON, ANDERSON, 2009; BEASLEY, BRANSON, HANCOCK, 2009).
Este trabalho parte de uma experiência prática desenvolvida em três organizações
vencedoras do PNQ (Prêmio Nacional da Qualidade), o qual inclui como requisito a
necessidade de identificar, classificar, analisar e tratar seus riscos empresariais mais
significativos. As empresas premiadas apresentam maturidade quanto ao desenvolvimento e
integração dos seus sistemas de gestão, o que permite uma avaliação mais completa dos
fatores propostos no presente estudo. Partindo de questionamentos do tipo “Como empresas
consideradas exemplos de gestão de classe mundial têm gerenciado seus riscos
organizacionais?” e “Como a gestão de riscos impacta a cultura e os resultados destas
organizações?”, foi desenvolvido um protocolo de análise para avaliação de riscos
operacionais, o qual já foi aplicado e testado empiricamente nas três organizações.
Este trabalho visa contribuir com a metodologia de avaliação de riscos operacionais,
e apresenta um instrumento de análise que associa os benefícios da gestão de riscos com o
nível de transformação organizacional e pode ser adaptado e aplicado em organizações de
quaisquer portes e setores, para possibilitar a identificação, classificação, análise e tratamento
de seus principais riscos operacionais.
1. Referencial Teórico
1.1. Gestão de Riscos
De acordo com o Committee of Sponsoring Organizations of the Treadway
Commission, COSO (2004) a gestão do risco empresarial deve ser um processo realizado
pelo conselho de administração, pela gestão e por outro pessoal, aplicado no ambiente
2
estratégico e ao longo da empresa, planejado para identificar acontecimentos que possam
afetar a entidade e gerir os riscos que se encontram dentro do risco aceitável, para
proporcionar uma segurança razoável em relação à realização dos objetivos da entidade.
Com base na definição anterior, alinhada com Cohen e Kunreuthwer (2006); Matook,
Lash e Tamaschke (2009), pode-se entender a gestão de riscos organizacionais como: um
processo (significa que tem um fim, não é um fim em si); realizado por pessoas (envolve
pessoas de todos os níveis de uma organização); aplicado à estratégia; aplicado ao longo da
empresa (em cada nível e unidade); planejado para identificar potenciais eventos que afetam
a organização e para gerir o risco dentro de níveis aceitáveis; uma garantia para a gestão e
para o conselho de administração das organizações; adaptado para a realização dos objetivos.
A gestão do risco empresarial proporciona às organizações uma melhoria da sua
capacidade para alinhar o risco aceitável com a estratégia organizacional. A gestão considera
o risco aceitável para a avaliação de estratégias alternativas e depois alinha os objetivos com a
estratégia adotada, desenvolvendo mecanismos para gerir os riscos relacionados. Além disso,
visa ainda aumentar a capacidade de gerir o risco e otimizar o retorno. Proporciona rigor para
identificar e selecionar as respostas alternativas ao risco: anulação, redução, partilha e
aceitação do risco. Proporciona metodologias e técnicas para a tomada de decisões e permite
minimizar as surpresas operacionais e os prejuízos. Permite identificar e gerir os riscos
transversais às organizações e proporciona uma resposta integrada para múltiplos riscos. A
disponibilidade de mais informação sobre os riscos permite uma gestão mais das necessidades
de capital e melhora a distribuição do capital. (GATES e HEXTER, 2006).
A gestão do risco empresarial não é um fim em sim mesma, mas um meio para
melhorar o processo de gestão risco empresarial, que está inter-relacionado com o controle da
empresa, proporcionando informação aos diretores sobre os riscos mais importantes e sobre a
forma como estão sendo gerenciados. Pode ajudar a empresa melhorar o seu desempenho, a
alcançar os alvos de rentabilidade e a prever a perda de recursos. Também ajuda a assegurar
relatórios eficazes e o cumprimento das leis e regulamentos, evitando prejudicar a sua
reputação, ajudando ainda a trilhar o caminho escolhido no planejamento estratégico e
evitando armadilhas e surpresas ao longo desse caminho.
Nas últimas décadas a área de operações experimentou um retorno como parte
fundamental da formulação estratégica. O artigo de Skinner (1969) propôs que a área de
manufatura fosse alçada a condição de participante do processo estratégico e não mais uma
função típica de especialistas e voltada para o dia a dia da fabricação. A estratégia de
operações ganhou espaço posicionando-se como um elo entre os requisitos de mercado e os
recursos operacionais (SLACK e LEWIS, 2002). Jutner et al (2003) propõem uma estrutura
de construtos para direcionar os estudos relacionados a gestão de riscos na cadeia de
suprimentos. Os autores concluem que o objetivo da gestão de risco na cadeia de suprimentos
seria identificar fontes potenciais de risco e implementar ações apropriadas para evitar ou
conter a vulnerabilidade da cadeia como um todo. Chorpra e Sodhi (2004) observam que as
empresas líderes mitigam os riscos construindo diferentes formas de reservas, incluindo:
estoques, excesso de capacidade, redundância de fornecedores e agilidade na resposta aos
eventos. Entretanto uma avaliação criteriosa deve ser feita na relação custo e benefício destas
alternativas visto que algumas estratégias propostas têm impacto direto no aumento de custos.
Uma vez que as organizações compreendam os riscos de suas cadeias de suprimentos podem
selecionar a abordagem geral de mitigação e estratégias específicas para suas condições
1.2. Modelos genéricos de gestão de risco
A Fundação Nacional da Qualidade (FNQ, 2010) apresenta em seu Modelo de
Excelência a necessidade de identificação dos riscos organizacionais e define risco como
sendo a combinação da probabilidade de ocorrência e da(s) conseqüência(s) de um
3
determinado evento não desejado. Define ainda risco empresarial como o risco à consecução
dos objetivos de uma organização, à luz das incertezas do mercado e do setor de atuação da
organização, do ambiente macroeconômico e dos próprios processos da organização.
O crescimento de escândalos corporativos juntamente com legislações como a
Sarbanes-Oxley Act of 2002, fez com que as empresas focalizassem mais seus esforços na
gestão de riscos. Alguns modelos podem ser encontrados no mercado com o objetivo de
direcionar o gerenciamento de risco de uma organização. A publicação do COSO (2004)
apresenta um modelo de ERM o qual leva em consideração aspectos estratégicos e de
operações associados ao gerenciamento de riscos (Figura 1). O principal objetivo da Lei
Sarbanes-Oxley foi recuperar a credibilidade do mercado de capitais, evitando a incidência de
novos erros, como os que contribuíram para a falência de grandes empresas dos EUA no final
da década de 1990 (ARNOLD, 2007; SANTOS e LEME, 2007).
A gestão do risco empresarial consiste em oito componentes inter-relacionados:
Ambiente interno; Cenário dos objetivos; Identificação dos eventos; Avaliação do risco;
Resposta ao risco; Atividades de controle; Informação e comunicação e Monitoramento. No
modelo COSO Report (2004) o controle interno é um processo realizado pelo conselho de
administração, pelos gerentes e pelos funcionários. É projetado para fornecer razoável
segurança em relação ao alcance dos objetivos das seguintes categorias: eficácia e eficiência
das operações, confiabilidade do relatório financeiro e conformidade com leis e regulamentos
aplicáveis. Já ERM (GATES e HEXTER, 2006; BARTON, SHENKIR e WALTER 2010) é
um processo realizado pelos diretores da organização, pelos gerentes e funcionários. Aplica-se
na criação ou elaboração da estratégia em toda a empresa. É projetado para identificar
potenciais eventos que possam afetar a organização gerenciando-os e adaptando-os ao "apetite
de riscos" da empresa, com razoável segurança.
As diferenças entre os dois sistemas são resultados de um processo evolutivo. Ambos
podem ser utilizados e combinados para melhor oferecer controle dos riscos de uma
corporação. Combinando os dois sistemas, é possível implementar um sistema de gestão de
riscos corporativos alinhado a um sistema de controles internos. Assim um cargo
relativamente novo nas organizações passa a ter papel relevante nesse processo: CRO (Chief
Risk Officer) ou Diretor de Riscos. Para que o gerenciamento de riscos corporativos tenha
eficácia, os gerentes de linha devem assumir responsabilidade primária e responder pelo
gerenciamento de riscos em suas respectivas áreas.
Figura 1: Framework integrado COSO ERM
Fonte: COSO (2004)
4
1.3. Avaliação da maturidade na gestão de riscos
Em 2007 o Instituto Brasileiro de Governança Corporativa (IBGC, 2007) publicou um
caderno denominado “Guia de Orientação para Gerenciamento dos Riscos Corporativos” o
qual foi elaborado a partir de diversas experiências de implantação em diversos setores.
Segundo o documento, a implantação de um sistema de gestão dos riscos é um processo de
longa duração que deve ser continuamente aprimorado, dinâmico, interativo e integrado ao
processo de planejamento estratégico da organização.
Para avaliar a maturidade na gestão de riscos, podem ser considerados clássicos
modelos acumulativos de prioridades competitivas para descrever as práticas gestão que
permitem obter vantagens em um grande número de variáveis, simultaneamente. Podem ser
citados modelos como o “cone de areia” (FERDOWS, DE MEYER, 1990), o modelo
diamante (PORTER, 1989), e o modelo de Venkatraman (1994).
O modelo “cone de areia” consiste em um modelo acumulativo das prioridades,
fazendo uma analogia com um cone de areia. As camadas de areia representariam os
programas de ação (relativos às prioridades) que seriam implementados gradativamente, de
forma a sedimentar cada prioridade antes de depositar a camada seguinte (FERDOWS, DE
MEYER, 1990; SLACK, CAHAMBERS, JOHNSTON,2009).
Segundo o Modelo do Diamante desenvolvido por Porter (1989), a competitividade de
uma empresa ou de um grupo de empresas é determinada por quatro fatores básicos que,
interagindo entre si, descrevem o ambiente no qual a empresa está inserida. Estes quatro
atributos explicam em grande parte porque as empresas inovam e se mantêm competitivas ao
longo do tempo. São eles: Condições de Fatores, Condições de Demanda, Indústrias
Correlatas e de Apoio, Estratégia, Estrutura e Rivalidade das Empresas (Ambiente
Empresarial). O modelo auxilia a compreender a competitividade empresarial, além de
localizar, determinar e analisar os fatores diretamente relacionados com ela.
Venkatraman (1994) apresenta um framework com os possíveis caminhos dentro de
uma organização em relação ao processo de implantação da Tecnologia da Informação. O
framework proposto (Figura 2) apresenta cinco estágios de transformação organizacional e
seus respectivos impactos, sendo tarefa da empresa determinar que tipo de transformação
pretende introduzir. A decisão por um determinado nível de transformação depende dos
custos incorridos e dos benefícios estimados.
Estágio
Característica
1.EXPLORAÇÃO
LOCALIZADA
Aumento das funcionalidades de TI focado em
áreas de alto valor
2.INTEGRAÇÃO
INTERNA
Alavancagem das competências de TI para
criar uma organização com maior grau de
integração e interconectividade
3. REDESENHO
DOS
PROCESSOS DE
NEGÓCIO
Redesenho de processos-chave para criar
competências para futuro e não apenas para
corrigir deficiências existentes
4.REDESENHO
DE REDES DE
NEGÓCIO
Articulação da lógica estratégica para
alavancar os diversos elos da cadeia a partir de
funcionalidades de TI, do aprendizado,
coordenação e controle com os parceiros
5.REDEFINIÇÃO
DO ESCOPO DO
NEGÓCIO
Redefinição do escopo de negócio
Desafio de gestão
- Identificação das áreas de valor
- foco na melhoria da performance
local
- foco nos processos de negócio
- comparação com best-in-class
- articulação dos processos de forma
pró-ativa
- desafios maiores que a simples
seleção de tecnologia
- visão de estratégia para a cadeia de
valor
- redefinição de critérios de
desempenho
- visão do negócio por meio dos interrelacionamentos das atividades internas
e externas
Figura 2: Características dos níveis de Transformação
Fonte: Adaptado de Venkatraman (1994).
5
2. Procedimentos Metodológicos
A pesquisa seguiu o modelo para estudos multicaso proposto por YIN (2005). O
contato foi iniciado com empresas ganhadoras e finalistas mais recentes do PNQ,
identificando-se aquelas em que a gestão de risco era uma prática adotada. O contato inicial
foi feito por meio do representante da empresa no banco de dados da FNQ (Fundação
Nacional da Qualidade) o qual indicou o principal responsável pela gestão de riscos da
empresa. Um dos pré-requisitos para a participação no estudo foi o fato da empresa estar
trabalhando com o tema “gestão de riscos”, ainda que em fase de estruturação. Esta premissa
buscou garantir que fosse possível a visualização, mesmo que preliminar, dos resultados
obtidos com a implantação do sistema de gestão de riscos.
Das empresas contatadas três se dispuseram a compartilhar suas informações e sua
experiência. A gestão de riscos envolve em muitos casos questões estratégicas da organização
dificultando o acesso a algumas informações e, em alguns casos, impediu a participação da
empresa no estudo. Este problema foi contornado com o acordo de sigilo em relação ao nome
das empresas participantes e ainda enviando-se previamente o roteiro de entrevista com os
temas principais a serem abordados.
Com base na revisão de literatura, foram considerados três aspectos que nortearam o
desenvolvimento das entrevistas, a análise dos resultados e a proposta do protocolo de
pesquisa: (1) Processo de implantação da gestão de riscos: fatores facilitadores e
complicadores da gestão de riscos na empresa. (2) Estágio atual do sistema de gestão de
riscos: governança do processo de gestão de riscos; o processo de identificação e análise de
riscos; o monitoramento dos riscos e gerenciamento de crises, o uso da tecnologia e
integração e se e como era feita a comunicação dos riscos aos stakeholders. (3) Impactos da
gestão de riscos: cultura organizacional quanto ao risco e o processo de e tomada de decisões
e os impactos nos resultados organizacionais.
Foram realizadas entrevistas semi-estruturadas utilizando-se um questionário com
seções voltadas a auxiliar no mapeamento do processo de implantação, do atual estágio dos
sistemas de gestão de riscos e dos resultados obtidos. Para cada um dos casos analisados
foram realizadas duas entrevistas junto ao principal executivo responsável pela gestão de risco
da organização. As entrevistas utilizaram o roteiro pré-estabelecido e foram realizadas nas
instalações da própria empresa partir de encontros previamente agendados. As entrevistas
tiveram duração média de 3 horas e cobriram todo o escopo previsto no roteiro.
Empresa A – Empresa brasileira, da área industrial, tradicional no setor em que atua. É um dos mais rentáveis
conglomerados empresariais privados do país, a partir de uma visão que reúne controle familiar, gestão
profissional de alto desempenho e parceria com o mercado de capitais. Sua trajetória tem sido marcada pela
capacidade de inovar, de assumir riscos e ousar na proposta de novos modelos de negócio e produtos, na busca
de soluções geradoras de valor para a organização e a sociedade.
Empresa B – Holding que atua através de subsidiárias dedicadas aos segmentos de produção, distribuição e
comercialização. Trata-se da maior companhia privada brasileira no setor em que atua. Trabalha com experiência
e conhecimento da atividade, desenvolvidos pela grande experiência e tradição de suas empresas.
Empresa C – Empresa industrial global diversificada, fornecendo produtos e serviços aos seus clientes em todo o
mundo. No Brasil, é a principal produtora e fornecedora das empresas industriais que demandam seus produtos.
Valendo-se da força e do expertise de uma empresa global, a empresa está comprometida com o fornecimento de
valor e inovação aos seus clientes. A empresa possui elevado nível de qualidade e de compromisso, oferecendo
marcas, produtos e soluções de comprovada excelência para seus clientes nos mercados sul-americanos.
Figura 3: Caracterização das empresas analisadas
Fonte: Elaborado pelos autores.
Para cada uma das questões propostas foi solicitado aos entrevistados que relatassem a
experiência da própria empresa. Ao final da resposta do entrevistado, para as questões onde
haviam fatores propostos foi solicitado que os entrevistados atribuíssem uma nota relacionada
ao grau em que concordavam com o respectivo fator ou ao grau em que adotavam
6
determinada prática. A entrevista não foi limitada aos fatores propostos deixando abertura
para os entrevistados proporem novos fatores. O objetivo desta abordagem foi o de se obter
um conjunto mínimo de fatores para futura comparação entre as empresas. As empresas
abordadas nesta pesquisa, caracterizadas na figura 3, não autorizaram a divulgação de seus
nomes, nem de detalhes que permitissem sua identificação. Tanto as entrevistas quanto as
demais coletas de dados foram realizadas pelos próprios autores. Além das entrevistas foram
utilizadas informações disponíveis no site das empresas, em atas de reunião, apresentações
internas sobre o tema, relatórios anuais e em documentos disponibilizados ao mercado (como
por exemplo, documentos enviados a SEC – Securities Exchange Comission para
comprovação do atendimento a Lei Sarbanes-Oxley).
4
Resultados e Discussão
A partir da análise de documentos internos das três empresas e dos resultados das
entrevistas foi possível elaborar um protocolo analítico genérico envolvendo o processo de
implantação da gestão de riscos, considerando os fatores facilitadores e complicadores, a
análise do estágio atual e os impactos da gestão de riscos. O protocolo apresentado foi
configurado a partir da experiência das três empresas, e constitui um instrumento de análise
que associa os benefícios da gestão de riscos com o nível de transformação organizacional e
pode ser adaptado e aplicado em organizações de quaisquer portes e setores.
4.1. Fatores facilitadores da gestão de risco
Foram identificados os principais aspectos considerados na análise dos fatores
facilitadores e complicadores da gestão de riscos (Figuras 4, 5 e 6).
1)
2)
3)
4)
5)
6)
7)
Apoio da liderança
Experiência anterior com sistemas de gestão
Equipe dedicada à implementação
Atuação de equipe multifuncional
Uso da norma ou de padrão de referência
Uso de consultoria especializada
Treinamentos específicos aos gerentes para desenvolver a competência de mapeamento de riscos.
Figura 4: Framework para análise dos fatores facilitadores da gestão de risco
Fonte: Resultados da pesquisa. Elaborado pelos autores.
A aplicação deste e dos demais frameworks apresentados foi feita solicitando aos
entrevistados que atribuíssem uma nota de 1 (pouco importante) a 5 (muito importante),
considerando sempre a experiência obtida durante a implantação de processos de gestão de
risco na empresa. Para permitir uma análise visual, os resultados podem ser plotados em um
“gráfico de teia”, como na figura 5, mostrando a média dos resultados obtidos nas entrevistas
para cada um dos fatores propostos, para uma das empresas analisadas.
Como não é objetivo deste artigo discutir os resultados da aplicação do protocolo
analítico, e sim descrever e explicar sua concepção e aplicação, não serão apresentados mais
resultados específicos, como os ilustrados na figura 5. Os resultados serão explorados pela
discussão dos fatores mais importantes observados nas três empresas, e que serviu de base
para a elaboração deste protocolo de análise.
A observação dos resultados mostra como fatores determinantes o apoio da liderança e
a implantação por meio de uma equipe multifuncional. O apoio da liderança é essencial para
mobilizar as pessoas, colocando o tema na agenda dos executivos. No caso da Empresa A este
fato fica claro pela inclusão do tema no programa de remuneração variável do Diretor e
Gerente Executivo de Finanças (líderes do processo de implantação) e também pela definição
de um plano de ação específico da área financeira dentro do planejamento estratégico. Os
entrevistados não consideraram relevante o uso de consultoria especializada para apoio ao
7
processo de implantação. Alegaram que as informações necessárias foram obtidas por meio da
participação em eventos sobre o tema e pelo uso do documento guia do COSO, o qual
estabelece as etapas necessárias para a implantação do modelo. Também a experiência
anterior com a implantação de sistemas de gestão não foi considerada como um fator
facilitador embora a empresa já tenha feito a implantação de diversos outros sistemas
(ISO9001, ISO14001, OHSAS18001, Modelo de Gestão da FNQ, SAP, entre outros).
a) apoio da liderança
5
g) treinamentos específicos aos
gerentes para desenvolver a
competência de mapeamento
de riscos.
4
3
b) experiência anterior com
sistemas de gestão
2
1
0
f) uso de consultoria
especializada
e) uso norma ou de padrão de referência
c) equipe dedicada
à implantação
d) atuação de equipe multifuncional
Figura 5 - Fatores facilitadores na implantação da gestão de riscos na Empresa A.
Fonte: Resultados da pesquisa. Elaborado pelos autores.
4.2. Fatores complicadores da gestão de risco
1)
2)
3)
4)
5)
6)
Falta de apoio da liderança
Dificuldade em visualizar resultados efetivos
Falta de conhecimento dos envolvidos quanto ao mapeamento de riscos
Falta de informações sobre probabilidade e impactos da ocorrência de eventos geradores de desvios
Longo processo de implantação
Cultura voltada à análise informal das alternativas e seus riscos.
Figura 6: Framework para análise dos fatores complicadores da gestão de risco
Fonte: Resultados da pesquisa. Elaborado pelos autores.
As respostas obtidas para as três empresas não indicaram nenhum dos fatores
propostos como tendo impacto relevante no processo de implantação do sistema de gestão de
riscos. Como no caso da Empresa A o apoio da liderança foi considerado efetivo este item
teve como conseqüência um valor baixo na avaliação dos entrevistados, embora todos
reconheçam ser um fator de muita importância. O fator gerador de maior dificuldade na
opinião dos entrevistados foi a relativa falta de conhecimento dos executivos quanto ao
processo de mapeamento de riscos. Esta dificuldade foi amenizada pela solicitação de que
cada executivo identificasse os fatores que lhe “tiravam o sono”, iniciando-se, a partir deste
ponto, a análise e detalhamento dos riscos.
4.3. Estágio atual do sistema de gestão de riscos
Cada uma das empresas optou por diferentes estruturas de implantação de seus
sistemas de gestão de risco. Enquanto na Empresa A, a opção foi pela designação de uma
equipe de implantação, constituindo um Subcomitê de Riscos com a atribuição de gerenciar o
processo, na Empresa B a opção foi a criação de uma Diretoria de Gestão de Riscos,
respondendo diretamente ao Presidente da Empresa. Na Empresa C, a decisão foi pela
definição de um responsável na unidade (Diretor de Projetos) com profundo conhecimento
das operações, já que este era o foco do mapeamento de riscos desta unidade no Brasil. A
8
literatura demonstra que são adotados diferentes modelos de implantação, seja na forma de
uma área específica, comitê ou designação de um responsável pelo processo (LIEBENBERG
e HOYT, 2003). Quanto aos fatores complicadores os resultados de campo mostram que o
fato que mais interfere negativamente no processo de implantação é o fato da falta de
conhecimento dos envolvidos sobre o mapeamento de riscos. Em relação a abrangência, tanto
as Empresas A e B afirmaram que os seus respectivos mapeamentos de risco tem como foco
a própria empresa, não sendo avaliados riscos na cadeia de suprimentos. Somente a Empresa
C faz uma análise dos riscos de seus fornecedores e clientes. Este fato está em linha com o
achado da pesquisa de Gates e Hexter (2006) que identificou que a gestão de riscos é iniciada
pelos riscos financeiros, seguidos dos estratégicos e operacionais.
4.3.1 Governança do processo
1) A Administração (ou equivalente) estabelece políticas de risco e obtém consenso com os demais níveis de
gestão sobre o apetite para risco.
2) A alta administração demonstra seu compromisso com a gestão de risco, deixando clara a sua importância
3) Critérios de aceitação de risco estão disponíveis aos executivos, visando nortear suas decisões
4) A coordenação central provê apoio às decisões estratégicas enfrentadas pela Administração, avaliando o
risco e as incertezas inerentes a cada situação.
5) Cada unidade ou setor relevante, bem como cada grupo de risco especializado, tem uma equipe ou comitê de
riscos ligada à coordenação central.
6) A coordenação central tem como missão obter padronização na gestão de risco entre as unidades e setores,
sendo medido esse grau de padronização
Figura 7: Framework para análise Governança da gestão de riscos
Fonte: Resultados da pesquisa. Elaborado pelos autores.
De acordo com a avaliação realizada pelo critérios da Figura 7, verificou-se que as
empresas B e C optaram pela estruturação de áreas específicas para governança do processo
de riscos, e a empresa A atribuiu a tarefa a um comitê multidisciplinar com a coordenação do
principal executivo de Finanças. O Guia de Orientação para Gerenciamento dos Riscos
Corporativos (IBGC, 2007) observa a tendência de criação de uma unidade responsável por
esta nova função, podendo ter a forma de uma área ou Comitê. Observa-se que, de maneira
geral a unidade operacional da Empresa C apresenta menor pontuação nos fatores do que as
outras duas empresas. Tal situação pode ser criada pelo fato de existir uma governança
corporativa mais distante, afastando a unidade das decisões e influência da alta administração.
A governança local neste caso atua somente como operacionalizadora da política corporativa,
portanto com uma atuação mais restrita.
4.3.2 Processo de identificação e análise de riscos
A gestão de riscos empresariais é um processo focado na identificação, medição,
definição de respostas e acompanhamento e controle, tanto dos potenciais eventos de risco
que possam afetar negativamente a estratégia e a operação como das ações implementadas
para mitigá-los. A partir da comparação das três empresas foi desenvolvida uma classificação
de riscos, separando-os em riscos estratégicos, operacionais e financeiros. Os eventos de risco
identificados são analisados do ponto de vista de seus impactos financeiros, sua probabilidade
e prazo de ocorrência. A figura 8 mostra a classificação adotada para os riscos e seus
subfatores.
Na Empresa A o processo de identificação dos riscos abrange somente a própria
empresa, não sendo feitas análises dos riscos de sua cadeia de suprimentos. As demais
consideram a cadeia. Como retratado no Guia de Orientação para Gerenciamento dos Riscos
Corporativos (IBGC, 2007): não uma classificação de riscos consensual e aplicável a todas as
organizações; a classificação deve ser desenvolvida de acordo com as características de cada
organização, contemplando as particularidades da sua indústria, mercado e setor de atuação.
9
Riscos Concorrenciais
Risco Organizacional
e de Gestão
Risco Político
Riscos de P&D
Risco de Imagem
Riscos Sócioambientais
Riscos de Projetos
Risco de Sistemas
Risco de Suprimentos
Riscos de Controle
Operacional
Riscos Comerciais
Risco de Logística
Riscos de Crédito
Riscos Regulatórios
Control & Compliance
FINANCEIROS
OPERACIONAIS
ESTRATÉGICOS
Foi identificado que cada empresa possui sua própria classificação de riscos e esta
diferença não é vista pelas empresas como fator relevante, sendo imprescindível, a existência
de uma classificação padrão para a organização. O tratamento dos riscos significativos tem
sido acompanhado pelas áreas de coordenação da gestão de risco em todas as empresas, sendo
este controle centralizado e até justificado pelo próprio fato de que os esforços são no sentido
de integrar os riscos e seus tratamentos.
Riscos de Mercado
Figura 8 – Exemplo de taxonomia ou classificação de riscos
Fonte: Resultados da pesquisa. Elaborado pelos autores.
A taxonomia proposta é um guia para ser adaptada a cada situação, mas a adoção de
uma ou outra classificação não é o ponto fundamental. A taxonomia mistura entre os riscos
estratégicos, riscos que poderiam ser classificados como operacionais e financeiros. O
raciocínio adotado para esta divisão leva em consideração que alguns eventos afetam a
capacidade da empresa realizar uma estratégia específica. Um exemplo poderia ser o fato da
empresa ter como objetivo ser a maior do setor. Neste caso, a possibilidade de fusão de
concorrentes se configuraria em um risco estratégico. Não fosse este vínculo com a estratégia,
este risco poderia ser classificado como um risco de mercado.
Fator de Análise
Escala
Impacto potencial no EBITDA
escala com 4 níveis
Prazo de ocorrência do evento
escala com 5 níveis
Probabilidade de ocorrência
baseada em julgamento
Descrição dos níveis
Baixo - impacto menor que 1%
Medio – impacto entre 1 e 3%
Alto – impacto entre 3 e 5%
Muito Alto - impacto maior que 5%
Imediato - inferior a 1 ano
Curto – de 1 a 3 anos
Médio – de 3 a 5 anos
Longo – de 5 a 7 anos
Remoto - superior a 7 anos
1 a 100%
Figura 9 – Fatores de priorização dos riscos
Fonte: Resultados da pesquisa. Elaborado pelos autores.
Os potenciais eventos adversos associados aos processos, podem ser submetidos a
uma avaliação qualitativa de relevância ( impacto e probabilidade) de cada risco identificado.
Os riscos identificados são tratados com planos preventivos para sua redução ou eliminação e
para os mais relevantes são estudados planos de contingência, observando uma priorização
prévia. Os planos são integrados aos demais planos de cada área e o responsável pela área de
10
riscos controla o calendário de eventos para a aplicação da metodologia e as atividades
citadas, bem como as melhorias desse processo gerencial. Os riscos podem ser priorizados de
acordo com os fatores descritos na Figura 9.
O Planejamento Estratégico é fundamental para a gestão dos riscos. É necessário avaliar
de que forma os Planos Plurianuais permitem analisar cenários, fazer a valoração dos projetos
por meio de um modelo de simulações e avaliações financeiras (valuation) com horizonte e
médio prazo, priorizar projetos com maior criação de valor e priorizar projetos com maior
criação de valor e verificar aderência das estratégias potenciais aos objetivos estratégicos de
longo prazo. Para cada um dos riscos identificados propõe-se a utilização o template
apresentado na figura 10, que considera o evento, a classificação, a área responsável, as
probabilidades de curto e médio prazo e o seu respectivo impacto. Para a ponderação final
devem ser utilizados apenas a probabilidade e o impacto de curto prazo (1 ano).
MAPEAMENTO DE RISCOS
EVENTO
Invasões de Terras
DESCRIÇÃO
NATUREZA
Categoria
Espécie
Invasões de terras por grupos e movimentos sociais, podendo
Operacional
provocar paralisação da produção, perda de patrimônio,
contingências ambientais e danos de imagem.
Suprimentos
RANKING
PondeÁREA RES- Prob.em
Prob. 2 a
Impacto
Impacto
ração
PONSÁVEL 1 ano
5 anos
RH / UNF
3
2
2
2
6
Figura 10 – Template para registro dos riscos identificados
Fonte: Resultados da pesquisa. Elaborado pelos autores.
Ainda para cada risco são listadas as ações existentes que atuam sobre o risco em
análise e eventuais planos de ação, sendo discriminado o tempo de folga existente para a
implantação e uma estimativa de orçamento para implantação das ações (Figura 11).
AÇÕES EXISTENTES
SIM /
NÃO
Sim
DESCRIÇÃO
PLANO DE AÇÃO
DESCRIÇÃO
Fortalecimento das relações institucionais, com
Monitoramento dos movimentos e mapeamento das áreas
identificação das autoridades responsáveis e meios de
de maior risco, com intensificação das atividades florestais. acesso, e manutenção das ações existentes. Manter pronto
o modelo de ação de reintegração de posse.
TEMPO DE
FOLGA
ORÇAMENTO
0
-
Figura 11 – Template para registro das ações para tratamento dos riscos
Fonte: Resultados da pesquisa. Elaborado pelos autores.
Para mensuração do estágio de maturidade do sistema de gestão de riscos nos aspectos
quantificação tratamento dos riscos propõe-se a utilização dos fatores descritos na Figura 12.
1) Há uma definição comum (taxonomia) de risco uma metodologia para calcular e relatar eventuais
exposições a risco
2) Os executivos de linha e pessoas de suporte são treinados para quantificar e relatar exposições.
3) As exposições são avaliadas por um Comitê ou equivalente, o qual define a necessidade de provisioná-las
contabilmente ou incluí-las nas projeções financeiras
4) As exposições consideradas significativas são tratadas por meio de projetos ou iniciativas reconhecidas pela
coordenação central
5) Os diversos tipos de risco aplicáveis à organização são avaliados, tratados e reportados conjuntamente de
forma que a Administração possa avaliar os impactos inter-relacionados.
6) Os controles internos utilizados para mitigar os riscos são mantidos em uma base de dados comum
Figura 12 – Framework para Quantificação e tratamento dos riscos
Fonte: Resultados da pesquisa. Elaborado pelos autores.
Um ponto que apareceu em menor grau para as três empresas avaliadas refere-se ao
treinamento. Isto decorre do fato que a gestão de riscos ainda está centralizada nestas
empresas na figura do coordenador do projeto, do Comitê ou do CRO (Chief Risk Officer), o
que se reflete em menor disseminação da metodologia e em conseqüência em um menor grau
de treinamento. Quando houve treinamento, este foi limitado a workshops sobre o tema,
11
onde foi apresentado o conceito genérico de riscos e repassada a instrução sobre como
preencher os templates, não se configurando portanto em um treinamento de longa duração.
Tanto os modelos do COSO quanto da ISO 31000 indicam como importante o
desenvolvimento de competências relacionadas à gestão de risco para o sucesso da iniciativa,
porém nas empresas avaliadas este item tem sido pouco desenvolvido, e deve ser avaliado.
4.3.3 Monitoramento dos riscos e gerenciamento de crises
Para avaliação do atual estágio de monitoramento dos riscos e gerenciamento de
crises, conforme os critérios descritos na Figura 13, deve-se também usar uma escala de 1 a
5, onde o valor 1 representa que a prática não está implantada e o valor 5 representa uma
prática bastante desenvolvida.
1) Os indicadores de risco são definidos através de metodologia comum, são monitorados através do sistema de
informações gerenciais e são utilizados para análise crítica pela Administração.
2) Os controles internos utilizados para mitigar os riscos são auditados periodicamente, visando determinar sua
eficácia
3) Existe um valor financeiro de exposição ao risco monitorado periodicamente
4) Há um sistema de planos de contingência para lidar com crises e prover continuidade aos negócios e
operações
5) Tanto as simulações de crises como as crises reais são transformadas em aprendizado para revisão dos
planos
Figura 13 – Framework para Monitoramento dos riscos e gerenciamento de crises
Fonte: Resultados da pesquisa. Elaborado pelos autores.
Os fatores relacionados ao monitoramento e gerenciamento de crises apresentaram
bastante dispersão entre as três empresas. O fator mais destacado para a Empresa B foi a
auditoria periódica dos controles, associada ao atendimento da Lei Sarbanes que exige uma
avaliação anual dos controles estabelecidos. No caso das empresas A e C o ponto mais
desenvolvido é o sistema de planos de contingência. Este item específico é inclusive o
principal foco do trabalho de gestão de riscos da unidade produtiva da Emrpesa C. Na
Empresa A são elaborados planos de contingência para os principais riscos, sendo esta uma
etapa prevista quando um determinado risco é classificado como prioritário. Além disso, o
Cash Flow at Risk e o Value at Risk são métricas constantemente monitoradas na Empresa A,
que entretanto considera somente riscos de mercado. Nenhuma das empresas avaliadas tem
praticado de maneira sistemática a simulação dos seus planos de contingência. Esta ainda é
uma iniciativa muito pouco desenvolvida, ocorrendo apenas eventualmente, fora de um
planejamento estruturado dentro do sistema de gestão de riscos.
Para cada um dos riscos identificados podem ser desenvolvidos planos de contingência
listando alternativas no caso da materialização do evento. Estes planos de contingência são
acionados assim que o indicador de controle (KRI – Key Risk Indicator) atingir o valor
estabelecido como Trigger, conforme a Figura 14.
PLANO DE CONTINGÊNCIA
PERDA
ALTERNATIVAS RESPONSÁVEL
(R$)
DESCRIÇÃO
Compra de novas
Recurso ao Judiciário para restituição
Depende
terras em áreas Cornacchioni (Rel.
da posse. Dependendo da gravidade,
da área
Institucionais)
de menor risco
possibilidade de gestão nos termos
invadida
ou de madeira.
da Política de Gestão de Crises.
PLANO DE CONTROLE
INDICADORES
KRI
Área invadida
Trigger
Qualquer área
Área de referência para
declaração de crise:
> 10 mil ha
Figura 14 – Template para plano de contingência e controle
Fonte: Resultados da pesquisa. Elaborado pelos autores.
O ponto mais frágil do sistema de gestão de riscos, e que deve ser avaliado, refere-se a
auditoria dos controles internos utilizados para gerenciar os riscos identificados. Outro ponto
que ainda não está completamente desenvolvido é o gerenciamento integrado dos indicadores
12
de risco. Esta gestão fica sob a responsabilidade de cada um dos responsáveis pelo risco,
porém não há uma consolidação periódica com o envio para a alta administração.
4.3.4 Uso de tecnologia e integração
As três empresas utilizam softwares na gestão de crédito (como o SAP) e gestão dos
riscos de mercado, não sendo identificado o uso de sistemas para a gestão dos riscos
operacionais. Todas as planilhas de identificação de riscos bem como os planos de ação e
contingência decorrentes encontram-se disponíveis em pastas de arquivos na rede de
computadores com acesso restrito aos analistas de riscos. Esta estrutura não permite o
acompanhamento progressivo da exposição aos riscos, com a evolução de cada um dos riscos,
dificultando a análise longitudinal dos dados. Por utilizar sistema integrados (ERPs) as
empresas apresentam critérios para controle dos riscos embutidos na parametrização do
próprio sistema, como por exemplo, o controle de alçadas de aprovação de determinadas
operações (crédito, devolução, pagamentos, etc.), cuja adequação também deve ser objeto de
análise. Nenhuma das empresas estudadas emprega sistemas ou ferramentas informatizadas
para gestão dos seus riscos. O padrão verificado foi o uso de planilhas com inserção manual
dos dados, sendo estas planilhas disponibilizadas na rede interna de computadores da empresa
(com restrição de acesso). Desta forma, paradoxalmente, apesar de utilizarem sistemas
integrados, as empresas parecem não estar se beneficiando das facilidades e recursos
computacionais disponíveis no mercado.
4.3.5 Comunicação dos riscos
Embora o processo envolvendo a identificação e análise dos riscos seja considerada
uma atividade restrita e sujeitas à assinatura de um acordo de confidencialidade pelos
envolvidos, as empresa adotaram a postura de comunicar seus principais riscos no seu
relatório de sustentabilidade. Normalmente estão sujeitas no longo prazo a riscos de mercado
relacionados à volatilidade de volume e preço de seus produtos em seus mercados de atuação,
em decorrência de variações nas capacidades de produção e demanda mundial e de oscilações
das taxas de câmbio relativas às principais moedas do mundo e das taxas de juros. A
comunicação interna dos riscos é considerada uma informação confidencial, e por isto de
circulação restrita aos membros do comitê de riscos e executivos do nível de diretoria. A
figura 15 apresenta os principais riscos que normalmente são divulgados nos relatórios de
sustentabilidade.
PREÇOS DE PRODUTOS
CONCORRENTES DE GRANDE PORTE E PRODUTOS IMPORTADOS
ATRASOS EM PROJETOS DE EXPANSÃO E/OU AUMENTO DOS INVESTIMENTOS INICIALMENTE
PROGRAMADOS
RISCOS ECONÔMICO-FINANCEIROS
SUFICIÊNCIA DA COBERTURA DE SEGURO PARA COBRIR PERDAS E ABRANGÊNCIA DOS
DANOS CAUSADOS
DEPENDÊNCIA DE TERCEIROS COMO FORNECEDORES
Figura 15 – Formas de divulgação de riscos
Fonte: Resultados da pesquisa. Elaborado pelos autores.
4.4 Impactos da gestão de riscos
4.4.1 Cultura e tomada de decisões
O protocolo de análise considera três aspectos para identificar o grau em que a gestão de
riscos altera a cultura da organização, conforme a Figura 16. As empresas avaliadas
encontram-se distantes de uma transformação cultural que represente uma mudança efetiva no
13
processo de tomada de decisão. Em todos os casos estudados a percepção é de que apenas
uma parte dos envolvidos tem incorporado a gestão de riscos no dia-a-dia da tomada de
decisões. A identificação dos riscos de maneira estruturada ainda é reativa e responde a
iniciativa da coordenação de gestão de riscos da organização.
1) Os riscos são identificados pelos executivos de forma proativa
2) Os riscos são mapeados tanto no planejamento estratégico, como nos projetos e no dia-a-dia das operações
3) Os executivos baseiam suas decisões de rotina nas análises de risco realizadas
Figura 16 – Framework para avaliação da cultura para gestão de riscos
Fonte: Resultados da pesquisa. Elaborado pelos autores.
Nas três empresas, ainda que os executivos que fazem parte do planejamento estratégico já
comecem a compreender o modelo de gestão de riscos e seus desdobramentos, em função de
serem processos recentes de implantação, a metodologia e os conceitos ainda não estão
completamente disseminados a todos os níveis, dificultando a transformação cultural
esperada. Os entrevistados relataram que o processo de implementação da gestão de riscos
corporativos tem criado uma maior “consciência” sobre o fato de que cada decisão traz
consigo novos riscos ou muda a configuração de riscos existentes. A maior mudança no atual
estágio de gestão de riscos das empresas estudadas está no processo de planejamento
estratégico, com uma melhoria do processo que passou a incorporar os principais riscos aos
quais as empresas estão expostas a partir das suas escolhas estratégicas.
4.4.2. Resultados organizacionais
O protocolo de análise considera treze aspectos para identificar a percepção dos
resultados obtidos com a gestão de risco, conforme a Figura 17.
1)
2)
3)
4)
5)
6)
7)
8)
9)
10)
11)
12)
13)
Capacidade de evitar a ocorrência de eventos que poderiam interromper as operações
Melhoria da gestão e prevenção de incidentes
Redução das perdas
Melhoria os resultados operacionais
Melhoria dos aspectos de governança corporativa
Aumento da confiança dos acionistas na empresa
Aumento da confiança das partes interessadas
Redução do valor pago a seguradoras
Redução das taxas de captação de recursos no mercado
Atendimento aos requisitos regulatórios e legais aplicáveis
Melhoria dos relatórios financeiros
Confiança e base rigorosa para a tomada de decisão
Melhoria da identificação de oportunidades e ameaças
Figura 17 – Framework para avaliação dos resultados do sistema de gestão de riscos
Fonte: Resultados da pesquisa. Elaborado pelos autores.
As empresas têm observado benefícios em praticamente todos os itens propostos,
entretanto a percepção mais forte é de que tratamento dos riscos contribuiu para que se
evitassem ocorrências e eventos que causariam a interrupção das operações. Este fato foi
bastante discutido com os representantes das empresas sendo identificado que raramente os
planos de contingência estabelecidos foram acionados. Um dos entrevistados alegou ser difícil
medir a eficácia do sistema de gestão de riscos fazendo uma comparação com a atuação de
um goleiro de futebol: “ninguém sabe quantas vezes um goleiro evitou o gol, mas sim
quantos gols ele sofreu”. Esta afirmação ilustra bem a dificuldade de se medir a eficácia dos
sistemas de gestão de riscos implementados, o que leva a uma avaliação qualitativa muito
mais do que quantitativa dos seus impactos.
14
Em paralelo com a questão dos resultados operacionais, as empresas também
reconhecem melhoria nos fatores de confiança dos acionistas, governança corporativa e em
menor grau o aumento de confiança das demais partes interessadas. Em relação a este último
fator o que as empresas reconhecem é que não existe uma divulgação efetiva para as partes
interessadas (governo, fornecedores, comunidades do entorno das unidades e sociedade em
geral) sobre o processo de gestão de riscos em curso. Em relação aos acionistas a divulgação é
efetiva sendo feito reporte do andamento dos projetos nos Conselhos de Administração e nos
sites corporativos, geralmente como conteúdo disponível nas áreas de relações com
investidores. A figura 18 resume os principais achados empíricos nas empresas analisadas a
partir da aplicação deste protocolo de pesquisa.
Outros pontos de destaque são a melhoria da identificação de oportunidades e ameaças
e o encorajamento de uma gestão mais pró-ativa. As empresas analisadas não percebem um
benefício evidente no valor pago a seguradoras, na melhoria de relatórios financeiros,
atendimento a requisitos legais e redução de taxas de captação de recursos no mercado. Foi
possível levantar nos casos individuais tanto as seguradoras quanto os financiadores levam em
consideração vários aspectos para a determinação dos valores de seguro e taxa de empréstimo
e a gestão de riscos estruturada é apenas um dos aspectos levados em consideração. A
explicação pode residir no fato dos sistemas de gestão de riscos estarem ainda em fase de
implantação não fornecendo segurança de que todos os riscos estejam mapeados e sob
controle. Na visão das empresas avaliadas praticamente em todos os fatores propostos existe
um grau razoável de concordância em relação à melhoria dos mesmos pela implantação da
gestão de riscos. Como não há como medir o grau de melhoria obtido, as empresas podem
estar apenas buscando uma legitimação dos seus processos e estrutura e menos interessadas
em uma melhoria efetiva de desempenho.
OBJETO DE ESTUDO
Motivadores
Fatores facilitadores
Fatores complicadores
Governança da gestão de
riscos
Identificação e análise dos
riscos
Monitoramento dos riscos
e gerenciamento de crises
Uso de tecnologia
CARACTERÍSTICAS PRINCIPAIS DOS ESTUDOS DE CASO
- identificado que a motivação para a gestão dos riscos é direcionada
principalmente pela demanda Alta Administração
- apoio da alta administração
- atuação de equipe multifuncional
-falta de conhecimento dos envolvidos quanto ao mapeamento de riscos
- longo processo de implantação
- demonstração de apoio inequívoca da alta administração
- atuação da coordenação central da gestão de riscos como órgão responsável
pela orientação e padronização
- maior desenvolvimento na identificação, análise e monitoramento dos riscos
financeiros
- taxonomia de riscos como etapa inicial do processo de implantação;
- processos de identificação e análise dos riscos iniciados por meio de
projetos-piloto
- aspectos de integração dos riscos ainda em fase de estruturação (report
consolidado para a Alta Administração e visão compartilhada dos controles)
- indicadores de risco ainda em desenvolvimento;
- auditorias dos controles e simulações dos planos de contingência realizadas
apenas parcialmente
- ausência de softwares para integração dos riscos (existência de sistemas
apenas para parte dos riscos)
Cultura para gestão de
riscos
- disseminação da cultura para gestão de riscos ainda em fase inicial
Resultados
organizacionais
- percepção de melhoria dos indicadores de resultado operacional
- encorajamento de postura mais pró-ativa e melhoria na identificação de
oportunidades e ameaças
- ausência da avaliação da gestão de risco sobre indicadores específicos de
desempenho (EBITDA, ROE, ROA)
Figura 18 – Síntese dos principais achados empíricos nas três empresas analisadas
Fonte: Resultados da Pesquisa. Elaborado pelos autores.
15
4.5. Modelo de maturidade na gestão de riscos
Conforme o modelo proposto por Venkatraman (1994), a análise dos casos estudados
no decurso deste trabalho sugeriria que as empresas A e B encontram-se mais alinhadas ao
estágio 2, de Integração Interna. Nestas duas empresas os esforços concentram-se
principalmente na consolidação dos riscos e na sua integração, muito embora em ambas
empresas tenha sido relatado que processos foram redesenhados a partir dos mapeamentos
iniciais realizados. Talvez corporativamente a empresa C já esteja em um estágio mais
avançado (transição para o Estágio 4) preocupando-se com as redes de negócio, mais
precisamente com sua cadeia de suprimentos, conforme apresentado na análise individual do
caso. Por último deve-se ressaltar que o modelo tem como objetivo alinhar as expectativas e
possibilitar as empresas fazerem escolhas mais conscientes, sendo possível que na prática em
alguns aspectos a empresa se coloque em um estágio e em outros aspectos esteja em estágios
diferentes. De forma análoga os modelos “cone de areia” e “diamante de Porter” poderiam ser
utilizados para analisar o nível de maturidade na gestão de riscos.
5. Considerações Finais
A análise dos três casos empíricos permitiu aplicar e aprimorar o protocolo
desenvolvido, constituindo em um instrumento de avaliação do processo de implantação de
um sistema de gerenciamento de riscos organizacionais, os fatores intervenientes
(facilitadores e complicadores) deste processo e os benefícios e resultados. O protocolo
apresentado é um instrumento de análise que pode ser aplicado em quaisquer organizações.
As principais contribuições do estudo para a academia estão na sistematização de
conceitos e na organização de um protocolo de análise de riscos baseado na experiência de
três empresas de classe mundial, considerando gestão dos riscos operacionais com foco na
cadeia de suprimentos. Do ponto de vista empírico, o estudo permite identificar diferentes
modelos de desenvolvimento da gestão de riscos em organizações com sistemas de gestão já
bastante evoluídos que, por este motivo, apresentam bastante experiência na condução deste
tipo de iniciativa; apresenta, na visão de empresas de classe mundial que estão implantando a
gestão de riscos, quais são os fatores facilitadores e quais são os fatores que podem colocar
em risco o sucesso desta iniciativa; e considera resultados que as empresas tem percebido na
implantação dos seus sistemas, proporcionando uma análise mais realista da relação custobenefício desta iniciativa.
As três empresas estudadas estão em fase inicial de amadurecimento dos seus sistemas
de gestão de riscos, o que pode ter limitado a percepção sobre as questões culturais envolvidas
no processo. Como a gestão de riscos ainda não atingiu todas as áreas da mesma forma, as
entrevistas foram limitadas aos participantes diretos do processo de implantação, introduzindo
assim um possível viés de resposta. Não foi permitido acesso aos riscos específicos e seus
respectivos tratamentos (mitigação, eliminação e transferência) não sendo possível avaliar em
que grau cada uma destas alternativas tem sido utilizada.
Para futuras pesquisas sugere-se a identificação ou proposição de métricas para
consolidação global dos riscos das organizações, a avaliação do impacto da implantação da
gestão de riscos na cultura organizacional e a avaliação da interferência da gestão de riscos
no processo de inovação. Além disso, sugere-se a avaliação da aderência do modelo proposto
em empresas com maior maturidade do seus sistema de gestão de riscos.
Referências
ANDERSON, Dan R., ANDERSON, Kenneth E. Sustainability Risk Management. Risk
Management and Insurance Review, 2009. Vol. 12, No. 1, pp.25-38
16
ARNOLD, Vicky et. al. The Unintended Consequences of Sarbanes-Oxley on Technology
Innovation and Supply Chain Integration. Journal of Emerging Technologies in
Accounting, 2007, Vol. 4. pp.103–121
BARTON, Thomas L. Barton, SHENKIR, William G. Shenkir, WALTER, Paul L. ERM after
the FinancialCri$i$. Financial Executive. April 2010. pp.18-22 Available in:
www.financialexecutives.org. Acess in 02/04/2010.
BEASLEY, Mark S., BRANSON, Bruce C., HANCOCK, Bonnie V. Take your risk
management system to the next level. Journal of Accountancy. September 2009. pp.28-32
Available in: www.iournalofaccountancy.com
CAVINATO, J. Supply Chain logistics risks: from de back room to the board room.
International Journal of Physical Distribution & Log. Manag., 2004, vol 34, issue 5.
CHOPRA, S. e SODHI, M. Managing Risk To Avoid Supply-Chain Breakdown. MIT Sloan
Management Review, Vol.46 n° 1. FALL 2004
COHEN, Morris A. Cohen, KUNREUTHER, Howard. Operations Risk Management:
Overview of Paul Kleindorfer’s Contribution. Production and Operations Management.
16(5), 2007. pp. 525–541.
COSO- Committee of Sponsoring Organizations of the Treadway Commission. Enterprise
Risk Management - Integrated Framework. Executive Summary. September 2004.
FERDOWS, K., DE MEYER, A. Lasting improvements in manufacturing performance: in
search of a new theory. Journal of Operation Management. v.9, n.2, Apr 1990.
FNQ. Fundação Nacional da Qualidade. Critérios de Excelência 2010. Disponível em
http://www.fnq.org.br
GATES, S. e HEXTER, E. The Strategic Benefits of Managing Risk. MIT. Sloan
Management Review. Vol 47, n°3, Spring, 2006.
GLOBAL RISK 2008. A Global Risk Network Report, 2008. Disponível em
http://www.weforum.org
HARLAND, C. , BRENCHLEY, R. e WALKER, H. Risk in supply networks. Journal of
Purchasing and Supply Management, 9, 2003
IBGC – Instituto Brasileiro de Governança Corporativa. http://www.ibgc.org.br. 2010.
JUTNER, U et al. Supply chain Risk Management: outlining an agenda for future research.
International Journal of Logistics: Res. and Applications. Vol 6, n°4, 2003.
LIEBENBEG, A. e HOYT, R. The determinants of enterprise risk management. Risk
Management and Insurance Review, 2003, Vol. 6, No. 1, 37-52
MATOOK, S.; LASCH, R.;TAMASCHKE, R. Supplier development with benchmarking as
part of a comprehensive supplier risk management Framework. International Journal of
Operations & Production Management. 2009. V.29 No. 3. pp. 241-267
PORTER, M. E. Estratégia Competitiva: técnicas para análise da indústria e da concorrência,
Rio de Janeiro: Campus, 1989.
SANTOS, L.A.A., LEMES, S. Desafios das empresas brasileiras na implantação da Lei
Sarbanes-Oxley. BASE – Revista de Administração e Contabilidade da Unisinos. 4(1):3746, janeiro/abril 2007
SKINNER, W. Manufactoring – missing link in corporate strategy. Harvard Business
Review, May-June 1969
SLACK, N., CHAMBERS, S., JOHSNTON, R. Administração da Produção. 3ª Ed. São
Paulo: Atlas. 2009.
SLACK, N; LEWIS, M. Operations Strategy. Prentice Hall, 2002.
VENKATRAMAN, N. IT – Enable business transformation: from automation to business
scope redefinition. Sloan Management Review, Winter, v.35, n.2, p.73-87, 1994.
YIN, R. Estudo de Caso – Planejamento e Métodos. Porto Alegre: Bookman, 3a ed, 2005.
17