Transformando
riscos em resultados
Como grandes empresas
utilizam a gestão de riscos
para impulsionar o desempenho
Nossa visão
de riscos
Resultados. Melhorias. Estratégias. Conhecimento.
Índice
Introdução
Introdução: gerenciando riscos para
melhorar o desempenho.............................. 1
Qual o diferencial das empresas
de melhor desempenho?............................. 5
Investimentos maciços feitos pelas empresas geralmente
não atendem às áreas mais estratégicas em relação a
riscos de negócio. Consequentemente, a alta administração
pode não perceber a gestão de riscos como um ponto
estratégico para a empresa.
Nosso estudo constatou que, enquanto a maior parte
das organizações executa elementos básicos da gestão
de riscos, as de melhor desempenho vão além.
A maturidade da gestão de riscos direciona
os resultados financeiros............................ 2
Nossa pesquisa sugere que empresas com práticas
de gestão de riscos mais maduras apresentaram os maiores
crescimentos em receita, EBITDA e EBITDA/EV.
O enfoque das empresas para promover
resultados com a gestão de riscos............... 4
As organizações atingem resultados a partir da gestão
de riscos de três maneiras inter-relacionadas: mitigação
de riscos, redução de custos e geração de valor.
Como grandes empresas
transformam riscos em resultados............... 6
Os resultados dos nossos estudos sugerem que cinco
componentes são essenciais para o processo de
transformação dos riscos e promoção da melhoria
do desempenho.
Potencializando a gestão de riscos para
melhoria da performance dos negócios...... 13
Empresas que tiverem êxito na transformação dos riscos
em resultados criarão vantagem competitiva.
Este é o momento para a alta administração avaliar
os atuais investimentos em gestão de riscos e discutir como
ir além do compliance, abordando questões que envolvam
valor estratégico para o negócio.
Gerenciando riscos
para melhorar
o desempenho
Os eventos ocorridos na última década, que vão desde os casos Enron e WorldCom
até a mais recente crise financeira mundial, mudaram significativamente a concepção
de risco por parte das organizações. Empresas ao redor do mundo investiram
intensamente em pessoal, processos e tecnologia para mitigar e controlar riscos
em seus negócios. Historicamente, esses investimentos em risco concentraram-se
principalmente nos controles financeiros e conformidade regulatória (compliance).
No entanto, esses investimentos não atingiam áreas consideradas estratégicas
do ponto de vista de riscos de negócio. Consequentemente, a alta administração
pode não ter percebido a gestão de riscos como uma função estratégica para
a empresa. A alta administração também não possuía confiança suficiente na
habilidade de identificar e responder aos riscos que podem impactar o desempenho
financeiro de sua organização.
“Em nosso ponto de
vista, as empresas com
práticas de risco mais
maduras apresentam
desempenho financeiro
melhor que aquelas
do mesmo porte. Nossa
experiência, pesquisas,
e estudos reforçam
essa perspectiva.”
Randall Miller
Líder Global de Assessoria em
Risco da Ernst & Young
Eis que surge uma questão estratégica: “As organizações com nível de maturidade
elevada em suas práticas de gestão de riscos apresentam desempenho financeiro
melhor que outras do mesmo porte e ramo de atuação?”.
De acordo com a nossa pesquisa e experiência, concluímos que “sim!”.
ii
1
A maturidade da gestão
de riscos direciona
os resultados financeiros
Sumário das principais descobertas
Utilizando uma pesquisa quantitativa realizada em âmbito global (baseada
em 576 entrevistas realizadas com empresas ao redor do mundo e na revisão
de mais de 2.750 relatórios financeiros), avaliamos o nível de maturidade
das práticas de gestão de riscos para então determinar uma relação positiva
entre a maturidade da gestão de riscos e o desempenho financeiro.
Nossa pesquisa sugere que uma maior maturidade na gestão de risco se traduz
em vantagem competitiva: observamos que empresas que adotaram práticas de gestão
de riscos mais maduras apresentaram os maiores crescimentos em receita, EBITDA
e EBITDA/EV.
• As empresas com melhor desempenho (Top-performers - do ponto de vista
de maturidade) implementaram, em média, duas vezes mais iniciativas
de gestão de riscos que aquelas com desempenho inferior.
• O desempenho financeiro está diretamente relacionado ao nível de integração
e coordenação entre as funções de risco, controle e conformidade (compliance).
20,.3%
Alto nível 20%
16,8%
Nível
intermediário 60%
8,3%
Os principais pontos identificados foram:
• Empresas inseridas no grupo de maturidade elevada (Top 20%)
geraram um EBITDA três vezes maior em relação às empresas inseridas
no grupo de maturidade inferior (Bottom 20%).
Taxa composta de crescimento anual 2004–11*
por nível de maturidade de risco
10,6%
Identificamos as principais práticas de gestão de riscos que diferenciaram
os vários níveis de maturidade e as organizamos em componentes de riscos
específicos.
• Uma efetiva utilização de tecnologia para sustentar a gestão de
riscos apresenta-se como a maior fraqueza ou oportunidade para a maioria
das organizações.
Baixo nível 20%
9,5%
7,4%
4,1%
2,5%
Receita
EBITDA
2,1%
EBITDA/EV
* acumulado no exercício de 2011 até 18 de novembro de 2011.
Seis perguntas direcionadas à alta administração
1. O que abrange o conceito de “gestão de riscos”? Essa é uma responsabilidade de funções específicas
ou atribuída à empresa como um todo?
2. A sua organização enxerga riscos como uma oportunidade ou uma ameaça?
3. A sua abordagem para riscos está voltada unicamente à conformidade (compliance)
ou contribui com valor estratégico que impulsiona o desempenho?
4. Qual a segurança que os riscos realmente relevantes estão sendo gerenciados?
5. Você sabe quais os riscos que, se bem gerenciados, levarão ao aumento do valor ou dos resultados
de sua organização?
6. Sua empresa está tirando o melhor proveito da gestão de riscos?
2
3
O enfoque das empresas
para promover resultados
com a gestão de riscos
Nossa experiência indica que as organizações atingem resultados a partir da gestão
de riscos de três maneiras inter-relacionadas. Algumas empresas concentram-se
na mitigação dos riscos de maneira geral, enquanto outras se concentram em eficiência,
reduzindo os custos gerais dos controles. Há ainda aquelas que focam na geração
de valor, por meio da combinação entre mitigação dos riscos e redução de custos.
Mitigação
dos riscos
Geração
de valor
Redução
de custos
Mitigação dos riscos
Os riscos de uma organização podem proliferar em um ritmo muito mais rápido
que a sua habilidade de fornecer a respectiva cobertura, ou resposta, aos riscos.
É necessário que as organizações possam identificar e abordar as principais
áreas de riscos, além de serem ágeis na solução das deficiências, por meio de:
Redução
de custos
• As organizações possuem comunicação aberta sobre riscos
• Existência de um método formal para a definição de níveis
• Avaliação efetiva dos riscos por todo o negócio e definição de papéis
e responsabilidades.
• A comunicação é transparente e oportuna, fornecendo
• Testes de stress são usados para validar a tolerância ao risco.
Para muitas organizações, identificar formas de otimizar custos nos diferentes
aspectos da organização continua sendo um fator crítico em meio à volatilidade
do ambiente econômico atual. As oportunidades para redução de custos
podem incluir:
• Implementação de um novo modelo de gestão de riscos para melhorar
significativamente a estrutura de custos.
• Simplificação ou eliminação de atividades de controle duplicadas.
Geração
de valor
envolvendo stakeholders externos.
às partes interessadas as informações relevantes
que transmitem as decisões e valores da organização.
aceitáveis de risco no âmbito da organização.
• A liderança da empresa implanta um programa eficaz
de gestão de riscos.
• O Conselho ou comitês de gestão desempenham papéis
• O planejamento e ciclos de reporte de riscos são
importantes e de liderança na definição dos objetivos
da gestão de riscos.
coordenados para que informações atuais sobre riscos
sejam incorporadas no planejamento do negócio.
• Adoção e implantação de uma estrutura de gestão
de riscos comum a toda a organização.
Melhoria de controles e processos
Transformando
Riscos em
Resultados
• Linhas de negócio estabelecem os principais indicadores
de risco (KRIs – Key Risk Indicators) que antecipam e definem
a gestão de riscos.
• Autoavaliação e outras ferramentas de reporte são
padronizadas por todo o negócio.
Otimização das funções de gestão de riscos
• Treinamentos relacionados à gestão de riscos
são incorporados às metas de desempenho individual.
• As ferramentas de monitoramento e reporte de riscos
são padronizadas por toda a organização.
• Tecnologia integrada facilita a gestão de riscos na
organização e elimina ou previne redundâncias ou falta
de cobertura.
• Aprimorar a eficiência por meio da automatização e monitoramento continuo
de processos.
Geração de valor
• As principais métricas de risco e controle são definidas
e atualizadas para abordar os impactos sobre os negócios.
• O sistema de reporte notifica todas as partes interessadas
afetadas por um determinado risco, e não apenas aquelas
relacionadas à função ou área em que o risco foi identificado.
Facilitar a gestão de riscos
Comunicar a cobertura de riscos
• Rastreamento, monitoramento e divulgação
são realizados regularmente utilizando softwares de GRC.
• As organizações discutem a estrutura de gestão
de riscos e controles em seus reportes anuais.
• A identificação e avaliação dos riscos são realizadas
regularmente utilizando softwares de GRC.
• As organizações compartilham informações sobre gestão
de riscos com seus clientes e demais interessados
por meio de instrumentos independentes de reporte.
Muitas organizações estão buscando maneiras de aplicar a gestão de riscos
e controles na melhoria do desempenho da empresa. As oportunidades podem incluir:
• Alcançar retornos superiores a partir de investimentos em gestão de riscos.
• Melhoria dos controles nos principais processos.
• Utilizar análises de dados para otimizar o portfólio de riscos e melhorar a tomada
de decisão.
• Utilizar economias oriundas da gestão de riscos para financiar iniciativas
corporativas estratégicas.
4
Incorporação da gestão de riscos
• Os controles são otimizados para promover eficácia,
reduzir custos e contribuir para um desempenho cada vez
melhor nos negócios.
• Aceitar os riscos certos para alcançar vantagem competitiva nos negócios.
Redução
de custos
Agenda do Risco: pesquisa envolvendo as principais práticas
• Investimento específico em riscos associados aos “objetivos estratégicos
da empresa”.
• Redução do custo dos controles por meio do uso aperfeiçoado de controles
automatizados.
Mitigação
dos riscos
As constatações de nosso estudo sugerem que estes componentes são essenciais para transformar o risco e impulsionar
a melhoria de desempenho da empresa.
Aprimorar a estratégia de riscos
Redução de custos
Geração
de valor
Nosso estudo constatou que, enquanto a maior parte das organizações executa elementos básicos da gestão de riscos, as
de melhor desempenho vão além. Observamos que práticas específicas de gestão de riscos, presentes de maneira consistente
nas empresas que registraram melhor desempenho (por exemplo, 20% das empresas com maturidade elevada em gestão de riscos),
não estavam presentes nas empresas que apresentaram baixa maturidade em gestão de riscos (empresas que compõem
os 20% do limite inferior). Essas práticas de gestão de riscos podem ser organizadas nas seguintes áreas de desafio, conforme
demonstrado no quadro abaixo.
• Identificação e entendimento dos “riscos relevantes”.
• Apresentação da efetividade da gestão de riscos aos investidores, analistas
e reguladores.
Mitigação
dos riscos
Qual o diferencial
das empresas de melhor
desempenho?
5
Agenda de RISCO: research study leading practices
Estratégia de melhoria do risco
Como grandes empresas
transformam riscos
em resultados
Melhoria de controles e processos
Aprimorar a estratégia de riscos
Expectativas
do Comitê de Auditoria
e da Administração
Melhorar a
estratégia
de riscos
Incorporar a
gestão de riscos
ao planejamento
Aplicação de uma
“ótica de riscos”
ao negócio
Iniciativas de negócios,
metas e estratégias
da empresa
Otimizar
as funções de
gestão de riscos
Aprimorar
controles
e processos
Ótica dos Resultados
Fortalecer a governança e supervisão de riscos
Definir a estratégia de riscos com responsabilidades
pela gestão de riscos nos níveis de conselho
e diretoria.
Integrar gestão de riscos e de desempenho
Incorporar ao planejamento e gestão
de desempenho do negócio uma abordagem
para avaliação e monitoria dos riscos
Resultados desejados
Valor: investir de forma
diferenciada na gestão
dos riscos relevantes,
visando à melhoria do
EBITDA; melhorar os
controles dos principais
processos de negócio.
Custo: reduzir em
aproximadamente 30%
o custo dos controles;
alavancar controles
automatizados
de maneira eficiente.
Coordenar as múltiplas funções de risco
Melhorar a cooperação entre as múltiplas funções
de risco para ampliar a cobertura, reduzir custos
e agregar valor ao negócio.
Risco: alinhar os riscos
à estratégia corporativa;
incorporar a cultura
de riscos por todo
o negócio e reduzir
redundâncias na gestão
dos riscos por meio da
integração e coordenação.
Melhorar o desempenho no nível do negócio
Propiciar que a organização efetue uma gestão
diferenciada dos principais riscos a partir
de processos e controles no nível do negócio.
Promover a gestão de riscos, comunicar a cobertura de riscos.
Funções tradicionais
de gestão de riscos
Transformando
risco em
resultado
Promoção da gestão de risco
Otimização da função da gestão de risco
Comunicação da cobertura de risco
Uma gestão de riscos efetiva começa nos níveis hierárquicos mais
altos e possui clareza a respeito da estratégia e governança de riscos.
As empresas que forem bem-sucedidas na transformação de riscos em resultados criarão uma vantagem competitiva por
meio da utilização eficiente de recursos escassos, da melhoria do processo decisório e da redução da exposição a eventos negativos.
Este é o momento para a alta administração adotar uma “ótica de risco” mais abrangente para o negócio.
Agenda de Riscos
Incorporação da gestão de risco
É essencial que exista adequada supervisão e responsabilidades
por parte dos membros do Conselho de Administração e da diretoria.
No nível gerencial, os executivos precisam desempenhar um papel
fundamental na avaliação e gestão dos riscos. Uma estrutura
aprimorada de governança, adequada comunicação e reporte à alta
administração resultam em maior visibilidade, atuação responsável
e transparência. Adicionalmente, a divulgação e supervisão
realizadas de forma eficaz são fundamentais para a melhoria
do processo decisório (tomada de decisões estratégicas).
A melhoria da estratégia de riscos possibilita que as empresas
sejam capazes de antecipar riscos de maneira eficiente. No entanto,
mesmo com a prática de uma estratégia preventiva mais robusta,
ainda há a possibilidade da ocorrência de eventos não previstos
que podem afetar o desempenho. Portanto, enquanto é fundamental
identificar proativamente as estratégias que visam mitigar os riscos,
antes mesmo da ocorrência de um evento, é igualmente importante
desenvolver estratégias de reação que possibilitem que a
organização reaja rapidamente caso um risco se materialize.
E s t u d o
d e
O que as empresas com alto
desempenho estão fazendo certo
Os resultados obtidos em nossa pesquisa e estudos
demonstram que as empresas que registraram
melhor desempenho adotam as seguintes práticas
de gestão de riscos:
• Comunicações abertas em ambos os sentidos no que
se refere ao risco incidente sobre stakeholders externos.
• Comunicação transparente e oportuna, fornecendo
aos stakeholders informações relevantes que transmitam
as decisões e os valores da organização.
• O conselho ou comitês desempenham um papel de
liderança na definição dos objetivos da gestão de riscos.
• Uma estrutura de gestão de riscos foi implantada
e adotada por toda a organização.
c a s o
Empresa classificada entre as 50 maiores do mundo utiliza a governança
de riscos para fortalecer a comunicação com stakeholders
Uma empresa de bens de consumo, classificada entre as 50 maiores do mundo, queria aumentar a transparência
e comunicação com seus stakeholders. Para tal, a empresa começou estabelecendo um Comitê de Riscos ligado ao Conselho
de Administração. Apesar de o Conselho em si agir como um Comitê de Riscos, nenhum dos integrantes do conselho
havia sido especificamente designado para tratar do tema riscos. Estabeleceram então um Comitê de Riscos no nível
da Diretoria Executiva e contrataram um Diretor de Riscos (CRO – Chief Risk Officer).
Em seguida, identificaram profissionais responsáveis por riscos no nível do negócio e operações, designados como Risk Champions.
Visando à melhoria da comunicação externa, a empresa desenvolveu uma estrutura de governança e reforçou a agenda de riscos
em geral por meio de:
• Alinhamento dos riscos à estratégia. Ocorre em diferentes níveis. O nível mais básico é o de inserir premissas adicionais
relacionadas ao planejamento estratégico em geral, o qual geralmente considera projeções para os próximos três a cinco anos.
A organização listou essas premissas adicionais, utilizando-se de três perguntas básicas para desenvolver um perfil de
risco e identificar riscos estratégicos: (1) O que precisa dar certo para atingirmos a nossa estratégia? (2) O que pode dar
errado? e (3) Como saberíamos?
Auditoria Interna, Controles Internos, Compliance, Gestão de Riscos,
Segurança da Informação, Jurídico, Tributário, Regulatório, Transações
Corporativas, SOX Compliance.
• Incorporação de princípios de risco no ciclo de planejamento da unidade de negócios. A organização fez as mesmas três
perguntas que a unidade de negócios enquanto reunia as previsões de 12 meses para identificar riscos operacionais.
O desenvolvimento de uma estrutura de governança de riscos também contemplou a definição do apetite ao risco
da organização, definição do universo de riscos, determinação de métodos para mensuração dos riscos e estabelecimento
da tecnologia adequada para auxiliar na gestão dos riscos.
“Quando se trata de desenvolvimento e execução de estratégia,
é importante que a gestão de riscos impulsione o desempenho
dos negócios - e não apenas proteja o negócio.”
Michael Herrinton
Líder de Riscos para as Américas
Ernst & Young LLP
6
As três perguntas feitas tanto no nível operacional como estratégico possibilitaram à organização documentar 80% dos riscos
que possuíam impacto sobre o desempenho. O estabelecimento de uma estrutura de governança de riscos, a identificação
de papéis e responsabilidades, e o desenvolvimento de um mandato e escopo para cada comitê de riscos contribuíram para
a melhoria da comunicação com os stakeholders internos.
Ao identificar os riscos estratégicos e operacionais que possuíam impacto sobre o desempenho da organização, e ao
estabelecer uma abordagem coordenada em relação aos riscos por todo o negócio, essa empresa de bens de consumo criou
subsídios para uma comunicação aberta e assertiva com os stakeholders externos quanto à sua estratégia de gestão de riscos,
fortalecendo relacionamentos e construindo mais confiança no mercado.
7
Agenda de RISCO: research study leading practices
Agenda de RISCO: research study leading practices
Estratégia de melhoria do risco
Melhoria de controles e processos
Incorporar a gestão de riscos
O risco de negócio é inerente a todo empreendimento. No
entanto, as organizações que incorporam práticas de gestão
de riscos ao planejamento dos negócios e à gestão do
desempenho possuem maior chance de alcançar êxito em
seus objetivos estratégicos e operacionais. As empresas que
registraram melhor desempenho entendem que os riscos
precisam ser incorporados como parte do DNA da organização.
Anos atrás, muitas organizações passaram a dar atenção
especial à mitigação de riscos e controle de custos,
com o intuito de evitar problemas para o negócio e proteger
a marca. Atualmente, mais e mais organizações concentram-se
em desenvolver estratégias de gestão de riscos que viabilizem
os negócios. Pela primeira vez, vemos claramente as
organizações identificarem as correlações existentes entre
as estratégias do negócio, de tecnologia e de riscos –
e como estas se encaixam.
E s t u d o
d e
Estratégia de melhoria do risco
Incorporação da gestão de risco
Transformando
risco em
resultado
Promoção da gestão de risco
Melhoria de controles e processos
Otimização da função da gestão de risco
Comunicação da cobertura de risco
O que as empresas com alto
desempenho estão fazendo certo
Os resultados obtidos em nossa pesquisa e estudos
demonstram que as empresas que registraram melhor
desempenho adotam as seguintes práticas de gestão de riscos:
• Existência de um método formal para a definição de níveis
aceitáveis de risco no âmbito da organização.
• Testes de stress são usados para validar a tolerância
ao risco.
• A liderança da empresa implanta um programa eficaz
de gestão de riscos.
• O planejamento e ciclos de reporte de riscos são
coordenados para que informações atuais sobre riscos
sejam incorporadas no planejamento do negócio.
c a s o
O valor de uma boa gestão de riscos
“Nós não compreendemos o valor de nossas iniciativas relacionadas à gestão de riscos”, reclamou o diretor de uma empresa.
“Elas custam caro, a implantação é lenta ao ponto de prejudicar nossa agilidade e existe uma confusão no Conselho em relação
aos relatórios que recebem. Simplesmente não conseguimos controlar as ações de cada um, nem tampouco a maneira e
a qualidade do que estão executando.” Por quê? Uma vez que a gestão de riscos não foi incorporada aos negócios, os papéis
e responsabilidades não foram, por sua vez, claramente definidos e não houve a devida coordenação entre as funções de risco.
Como resultado, a diretoria não consegue visualizar a saúde da organização do ponto de vista de risco.
O cliente então optou por se dedicar a incorporar a gestão de riscos aos negócios por meio do que se segue:
• Desenvolvimento de uma árvore de valores. A organização já havia identificado de 10 a 15 principais riscos, além
de já ter identificado os cinco principais indicadores de desempenho. No entanto, não ficou clara a relação entre os riscos
e os indicadores. A árvore de valores auxiliou a organização a relacionar os cinco principais indicadores de desempenho
aos principais riscos.
• Relacionando risco ao ciclo de planejamento estratégico. A organização já havia identificado seus principais riscos,
porém, ainda seria necessário dar o próximo passo e relacionar esses riscos ao ciclo de planejamento estratégico.
• Inserindo princípios de risco ao ciclo de planejamento do negócio. Ao relacionar o risco ao ciclo de planejamento
do negócio, a organização conseguiu priorizar e relacionar os principais riscos a suas operações.
• Revisão da agenda do capital. A organização dedicou muito tempo à redução do custo operacional, porém, o tema custo
do capital não foi abordado. O objetivo era alcançar eficiências da ordem de 15% a 20%. A organização revisou os
métodos de alocação de capital.
Otimização das funções
de gestão de riscos
À medida que uma organização cresce e se modifica,
suas atividades relacionadas a riscos, controles e conformidade
(compliance) geralmente se tornam fragmentadas, estruturadas
em silos e sem o devido alinhamento, fato que impacta
tanto a governança como os negócios em si. Frequentemente,
ocorrem múltiplas comunicações à administração e ao Conselho
que são duplicadas e geram confusão. E a falta de coordenação
entre as funções pode levar ao aumento de custos e fadiga
dos negócios.
Ao dar os passos seguintes, a organização pode reduzir sua
carga de riscos (sobreposição e redundância), diminuir os custos
totais, ampliar as coberturas e promover a eficiência:
• Alinhar mandato e escopo. O alinhamento das funções
de monitoramento e controle aos riscos mais significativos
para a empresa pode otimizar o valor das funções de gestão
de riscos das organizações.
• Coordenar infraestrutura e pessoas. A contínua avaliação
dos níveis de capacidade e deficiências, da consistência
de papéis e responsabilidades e do investimento
no desenvolvimento de talentos promove a eficiência.
Incorporação da gestão de risco
Transformando
risco em
resultado
Promoção da gestão de risco
Otimização da função da gestão de risco
Comunicação da cobertura de risco
O que as empresas com alto
desempenho estão fazendo certo
Os resultados obtidos em nossa pesquisa e estudos
demonstram que as empresas que registraram
melhor desempenho adotam as seguintes práticas
de gestão de riscos:
• Treinamentos sobre riscos são incorporados
ao desempenho (metas) de cada profissional.
• As ferramentas de monitoramento e reporte de riscos
são padronizadas por toda a organização.
• A tecnologia integrada proporciona a organização
gerir riscos e eliminar ou prevenir redundâncias e falta
de cobertura.
• As sobreposições e duplicações das atividades de risco
foram identificadas e estão sendo tratadas.
• Utilização de métodos e práticas consistentes. A aplicação
de uma abordagem disciplinada em relação à gestão de riscos
por toda a organização irá contribuir para que as funções
de risco “falem a mesma língua” ao se reportar ao Conselho.
• Implementar informações e tecnologias comuns. O
compartilhamento de ferramentas de informação e tecnologia
é essencial para o alinhamento dos principais riscos
de negócio e para dar visibilidade às atividades de gestão
de riscos em toda a organização.
“Muitos executivos não fazem ideia do retorno de seus
investimentos em gestão de riscos. Se disserem que o retorno é neutro,
eu lhes diria que não é bom o bastante.”
Jonathan Blackmore
Sócio de Assessoria em Risco – Europa,
Oriente Médio, Índia e África da Ernst & Young
• Incorporando os princípios de risco aos processos de M&A. A organização registrou crescimento por meio de
M&A e da expansão em mercados emergentes. Para maximizar o valor estratégico dessas iniciativas, o CRO (Chief Risk
Officer) incorporou princípios de risco a M&A e às atividades em mercados emergentes.
A organização também teve que mudar a abordagem ao risco por causa do Diretor Jurídico. O Diretor Jurídico observou
que o risco era uma questão que devia ser documentada — e que, uma vez por escrito, o risco se tornaria uma
responsabilidade. Ao criar uma ligação direta entre o risco e declarações formais enviadas ao mercado, a organização
conseguiu o tão almejado apoio do Diretor Jurídico na gestão de riscos.
8
9
Agenda de RISCO: research study leading practices
Estratégia de melhoria do risco
Incorporação da gestão de risco
Melhoria de controles e processos
E s t u d o
d e
c a s o
Empresa de grande porte do ramo farmacêutico cria plano de ação
para iniciativas de risco autofinanciadas
Cansados da situação em que se encontrava o ambiente de risco da organização, a alta administração de uma empresa
do ramo farmacêutico reuniu os líderes de cada função de risco – Auditoria Interna, SOX, Jurídico e Regulatório, Compliance
e ERM. Os executivos, então, listaram uma série de situações relacionadas à gestão de riscos em geral:
• Confusão com relação à cobertura de risco no âmbito do Conselho de Administração.
• Impacto sobre as unidades de negócios.
Melhoria de controles e processos
Apesar de as organizações entenderem a importância da
implantação de controles e processos com enfoque em risco,
muitas organizações ainda lutam para criar ambientes
de controle otimizados que equilibrem custo e risco.
Ao otimizar controles relacionados aos principais processos
de negócio, aproveitando controles automatizados em vez
de manuais, e monitorando continuamente controles e KPIs
críticos, as organizações podem melhorar o desempenho
e reduzir os custos com controles.
• Desenvolvimento de sete calendários de risco diferentes.
• Agenda das atividades de risco que não estão em linha com o “ritmo dos negócios”.
• Sobreposição de papéis e responsabilidades dentro das funções de gestão de riscos.
2. Revisão do direcionamento, escopo e processos para cada função, para identificar deficiências e sobreposições que
precisam ser resolvidas.
O que as empresas com alto
desempenho estão fazendo certo
Os resultados obtidos em nossa pesquisa e estudos
demonstram que as empresas que registraram
melhor desempenho adotam as seguintes práticas
de gestão de riscos:
• Os controles são otimizados para melhorar a eficácia,
reduzir custos e sustentar a melhoria do desempenho
dos negócios.
Eles, então, deram três dias para que seus líderes identificassem, em equipe, a situação atual, estabelecessem uma situação
futura e desenvolvessem um plano de ação com um retorno sobre investimento (ROI) que pudesse bancar todas as iniciativas
de risco futuras.
1. Criação de um único calendário de planejamento alinhado com o ciclo de negócios.
Comunicação da cobertura de risco
• A autoanálise e outras ferramentas de reporte são
padronizadas por todo o negócio.
• Deficiências no tratamento dos principais riscos.
Tendo em mente que não seria possível resolver tudo de uma vez, a equipe responsável pela área de risco desenvolveu
um plano de negócios que produziu melhorias rápidas para assuntos de menor complexidade, gerando retornos no curto
prazo. A equipe de riscos concentrou-se particularmente em seis ações específicas:
Promoção da gestão de risco
Otimização da função da gestão de risco
• As linhas de negócios estabelecem os principais
indicadores de risco (KRIs) que antecipam e modelam
a análise de risco.
• Falta de coordenação e comunicação no desenvolvimento de mais de 13 análises de risco segregadas.
Esse desafio estava acompanhado de um ultimato: caso não conseguissem retornar à diretoria com uma solução viável,
eles teriam que ser substituídos por líderes de risco que fossem capazes de fazê-lo. Individualmente, os executivos indicaram
que cada líder de risco receberia uma avaliação pelo esforço. No entanto, ao dedicarem muito tempo na construção
de estruturas segregadas em vez de se concentrarem em integrá-las, os líderes de risco foram reprovados em conjunto.
A organização havia reestruturado a área financeira, a cadeia de suprimentos e as operações da indústria. Seria então hora
de reestruturar a gestão de riscos.
Transformando
risco em
resultado
• As principais métricas de risco são estabelecidas
no âmbito do negócio.
E s t u d o
d e
c a s o
Empresa de bens de consumo classificada entre as 200 maiores do mundo
simplificou controles e custos
Uma empresa de bens de consumo classificada entres as 200 maiores do mundo constatou que o custo de seus controles
estava muito alto. A empresa contava com um ambiente demasiadamente controlado que estava prejudicando a capacidade
do Departamento Financeiro de reagir efetivamente às mudanças em um cenário competitivo. A empresa gostaria de atingir
uma redução de 50% no custo dos controles, o qual atingia a ordem de EUR 100 milhões.
Para alcançar esse objetivo, a empresa de bens de consumo implementou três grandes ideias:
3. Coordenação de análises de risco que estejam de acordo com as necessidades da maior parte das funções de risco,
reduzindo o número de análises de risco de 13 para duas.
1. Estabeleceu um Centro de Excelência global para controles (CCoE – Controls Center of Excellence) para direcionamento
e desenho de um conjunto de controles comum.
4. Adoção de uma estrutura, nomenclatura e universo de risco comum.
2. Adoção de controles desenvolvidos pelo CCoE, utilizando controles preventivos automatizados do SAP.
5. Desenvolvimento de estratégias de mitigação de risco.
3. Utilização de controles incorporados ao SAP para melhorar a confiança no ambiente de controles.
6. Utilização de ferramentas / tecnologia comuns para coletar e concentrar informações em um único repositório
de comum acesso a todas as funções de risco.
O CCoE global possibilitou à empresa automatizar mais de 90% dos controles preventivos e eliminar controles antigos,
duplicados e ineficazes. Ao utilizar o SAP, a empresa minimizou o uso de controles detectivos manuais, promovendo
um ambiente de controle mais eficiente, eficaz e com uso reduzido de papel. Por fim, ao aproveitar os controles incorporados
, a administração passou a receber garantia em tempo real de que o
ao SAP, assim como as ferramentas e
ambiente de controles estava funcionando de forma eficaz.
Além das seis ações acima mencionadas, a equipe de riscos concentrou-se na criação de uma visão única que eliminasse
a estrutura segregada em silos, melhorando a comunicação e a coordenação.
Como resultado do esforço empreendido, a equipe de riscos conseguiu criar uma visão única para riscos, concentrada nos
riscos mais relevantes, colocou menos pressão no negócio, criou maior agilidade e maior capacidade de resposta a questões
relacionadas ao risco, e foi autofinanciada.
“A consolidação de múltiplos controles e requisitos de compliance
em uma única estrutura sustentada pela tecnologia de GRC elimina
duplicidades e simplifica a conformidade – em alguns casos,
reduzindo o esforço pela metade.”
Bernie Wedge
Líder de TI para as Américas
Ernst & Young
10
11
The RISK Agenda: research study leading practices
Enhance risk strategy
Improve controls and processes
Facilitar a gestão de riscos Comunicar a cobertura aos riscos
A transição de um perfil “avesso ao risco” para um perfil
“preparado para o risco” pode exigir mudanças significativas.
As organizações irão precisar da atuação de um executivo
experiente, assim como do suporte dos níveis hierárquicos
mais altos, além de executivos que liderem com base
em exemplos. Fundamentalmente, a gestão de riscos requer
mudanças culturais no negócio. Compreende ainda mudar
as óticas pelas quais os líderes enxergam as decisões
por eles tomadas. Para auxiliar na transição dessa perspectiva
no âmbito da organização, os executivos podem fazer
as seguintes perguntas:
• Qual a nossa posição como negócio?
• Qual o nosso apetite para mudanças?
• Em que tipo de organização estamos inseridos?
As respostas para essas perguntas servem de base à tomada
decisões relacionadas à gestão de riscos. Como parte de
qualquer esforço de mudança, as organizações também terão
que se comunicar abertamente e frequentemente com
todos os stakeholders. Para maior confiança, as organizações
deveriam apresentar aos stakeholders os resultados
de verificações independentes realizadas por terceiros.
As organizações também devem alavancar suas tecnologias
visando obter o máximo de benefícios. Isso não significa
que as iniciativas de gestão de riscos devem ser lideradas
com base na tecnologia. Em vez disso, a tecnologia deve
ser um propulsor da mudança. As ferramentas de GRC
em uso atualmente são capazes de propiciar uma agenda
de riscos completa. Isso inclui minimizar redundâncias,
aprimorar a cobertura de riscos e controles automatizados.
Entretanto, as organizações precisam garantir que estratégias
de TI com foco em riscos estejam alinhadas com as estratégias
de riscos e de negócios (de forma ampla e consistente).
Embed risk management
Turning
risk into
results
Enable risk management
Optimize risk management functions
Communicate risk coverage
O que as empresas com alto
desempenho estão fazendo certo
Os resultados obtidos em nossa pesquisa e estudos
demonstram que as empresas que registraram
melhor desempenho adotam as seguintes práticas
de gestão de riscos:
• Rastreamento, monitoramento e divulgação são
regularmente realizados utilizando software de GRC.
• Painéis de risco (dashboards) são automatizados e
incluem indicadores de governança, risco e compliance.
• A identificação e a análise de riscos são realizadas
frequentemente utilizando software de GRC.
“Agora, mais do que nunca,
as organizações devem adotar
uma abordagem abrangente e
coordenada para governança, risco
e compliance. A tecnologia pode
desempenhar um papel importante
na promoção da mudança e na
identificação do ponto de equilíbrio
entre risco, custo e valor por
toda a empresa.”
Paul van Kessel
Líder Global de TI
Ernst & Young
Conclusão
Potencializando a gestão
de riscos para melhoria
da performance dos negócios
Os resultados de nossas pesquisas e estudos apoiam as experiências da Ernst & Young com nossos clientes que dão conta
que transformar riscos em resultados exige uma abordagem multifacetada:
• Aprimorar a estratégia de riscos. Uma gestão de riscos efetiva começa nos níveis hierárquicos mais altos e possui clareza
a respeito da estratégia e governança de riscos. É essencial que exista adequada supervisão e responsabilidades por parte
dos membros do Conselho e da diretoria. De igual importância é a necessidade de responsabilidade pelos riscos por toda a
organização. No nível gerencial, os executivos precisam desempenhar um papel fundamental na avaliação e gestão dos riscos.
• Incorporação da gestão de riscos. O risco é inerente a todo negócio, no entanto, as organizações que incorporam práticas
de gestão de riscos ao planejamento dos negócios e à gestão do desempenho possuem maior chance de alcançar objetivos
estratégicos e operacionais. A realização de uma avaliação de riscos em uma empresa pode auxiliar a priorizar e identificar
oportunidades de melhorias.
• Otimização das funções de gestão de riscos. Ao alinhar e coordenar atividades de gestão de riscos em todas as funções
de risco e compliance, a organização pode reduzir sua carga de riscos (sobreposição e redundância), diminuir os custos totais,
ampliar as coberturas e promover a eficiência.
• Melhoria de controles e processos. Ao otimizar controles relacionados aos principais processos de negócio, aproveitando
controles automatizados em vez de manuais e monitorando continuamente controles e KPIs críticos, as organizações podem
melhorar o desempenho e reduzir os custos com controles.
• Facilitar a gestão de riscos, comunicar a cobertura aos riscos. A transição de um perfil “avesso ao risco” para um perfil
“preparado para o risco” pode exigir mudanças significativas. As organizações irão precisar da atuação de um executivo
experiente, assim como o suporte dos níveis hierárquicos mais altos, além de executivos que liderem com base em exemplos.
Será necessário estabelecer uma comunicação aberta e frequente com todos os stakeholders e apresentar resultados
de verificações independentes realizadas por terceiros.
Criando vantagem competitiva
Nossas pesquisas e vasta experiência na prestação de serviços para empresas ao redor do mundo indicam que as empresas
que forem bem-sucedidas na transformação de riscos em resultados criarão vantagem competitiva. Esse é o momento para a alta
administração avaliar os atuais investimentos em gestão de riscos e discutir como ir além do compliance, abordando questões
que envolvam valor estratégico para o negócio – e a abordagem descrita neste estudo pode servir como um roteiro inestimável.
O risco está se tornando a quarta dimensão de um negócio.
As pessoas eram a primeira dimensão. O processo tornou-se a segunda
dimensão no auge da era da produção. A tecnologia em evolução
tornou-se a terceira dimensão. A incorporação do risco como
a quarta dimensão do negócio tem o potencial para transformar
significativamente a maneira pela qual as organizações relacionam
os riscos aos benefícios e recompensas.
12
13
Ernst & Young Terco
Contatos
Auditoria | Impostos | Transações Corporativas |
Assessoria | Middle Market | Governo | Serviços Financeiros
América do Sul e Brasil
Sobre a Ernst & Young
A Ernst & Young é líder global em serviços de Auditoria, Impostos,
Transações Corporativas e Assessoria. Em todo o mundo, nossos 152 mil
colaboradores estão unidos por valores pautados pela ética e pelo
compromisso constante com a qualidade. Nosso diferencial consiste em
ajudar nossos colaboradores, clientes e as comunidades com as quais
interagimos a atingir todo o seu potencial, em um mundo cada vez mais
integrado e competitivo.
No Brasil, a Ernst & Young Terco é a mais completa empresa de Auditoria
e Assessoria, com 4.100 profissionais que dão suporte e atendimento
a mais de 3.400 clientes de pequeno, médio e grande portes.
Em 2011, a Ernst & Young Terco foi escolhida como Apoiadora Oficial
dos Jogos Olímpicos Rio 2016 e fornecedora exclusiva de serviços
de Assessoria e Auditoria para o Comitê Organizador. O alinhamento
dos valores do Movimento Olímpico e da Ernst & Young Terco foi decisivo
nessa escolha.
www.ey.com.br
© 2012 EYGM Limited. Todos os direitos reservados.
Esta é uma publicação do Departamento de Marketing. A reprodução deste conteúdo,
na totalidade ou em parte, é permitida desde que citada a fonte.
Sobre o Serviço de Assessoria prestado
pela Ernst & Young
A relação entre risco e melhoria de desempenho é um desafio cada
vez mais complexo e crucial para as empresas, com o desempenho
dos negócios diretamente associado ao reconhecimento e gestão eficaz
do risco. Não importa se a sua ênfase está na transformação do negócio
ou em manter os resultados conquistados – ter os assessores certos
ao seu lado pode fazer toda a diferença. Nossos 20.000 profissionais
de assessoria formam uma das mais amplas redes de serviços profissionais
de assessoria do mundo, com equipes multidisciplinares experientes
que trabalham com os nossos clientes, oferecendo-lhes uma experiência
notavelmente eficaz e de qualidade superior. Adotamos metodologias
comprovadas e integradas para ajudar a sua empresa a alcançar
as suas prioridades estratégicas e fazer melhorias que sejam sustentáveis
a longo prazo. Entendemos que para atingir todo o seu potencial
como organização, são necessários serviços que venham como resposta
para questões específicas da sua empresa, dessa forma, colocamos
nossa ampla experiência no setor e profundos conhecimentos
da matéria ao seu dispor, de forma proativa e objetiva. Sobretudo,
assumimos compromisso de avaliar os ganhos e identificar em que pontos
a estratégia está agregando o valor que a sua empresa necessita.
É assim que a Ernst & Young faz diferença.
EYG no. AU1082
Esta publicação contém informações resumidas e, portanto, serve exclusivamente
para orientação geral e não pretende substituir a pesquisa detalhada ou o
exercício de julgamento profissional aplicáveis. Nem a EYGM Limited nem qualquer
outra firma membro da organização global Ernst & Young poderá aceitar qualquer
responsabilidade por perdas porventura resultantes da ação, ou falta de ação,
de qualquer indivíduo com base em qualquer material contido na presente publicação.
Para questões mais específicas, sugerimos consulta à assessoria adequada. Os pontos
de vista e as opiniões de terceiros apresentados nesta publicação não representam
necessariamente os pontos de vista e as opiniões da Ernst & Young. Outrossim,
eles deverão ser considerados no contexto da época em que foram expressos.
Antonio L. Vita • [email protected]
Tel: +55 11 2573 3708
Rio de Janeiro
José Carlos Costa Pinto • [email protected]
Tel: +55 21 3263 7132
Camila Mendes Ribeiro • [email protected]
Tel: +55 21 3263 7102
São Paulo
Rene Eduardo Martinez • [email protected]
Tel: +55 11 2573 3277
Juliana Ferreira Rodrigues Pereira • [email protected]
Tel: +55 11 2573 3619
Belo Horizonte
Charles Ferreira • [email protected]
Tel: +55 31 3232 2230
Marco Araujo • [email protected]
Tel: +55 31 3232 2100
Curitiba
José Ricardo de Oliveira • [email protected]
Tel: +55 41 3593 0703
Porto Alegre
Paulo Brazile • [email protected]
Tel: +55 51 3204 5591
Norte e Nordeste
Cristiane Amaral Teixeira • [email protected]
Tel: +55 81 3201 4807