3º Encontro de Conselheiros Painel 1 Gestão de riscos: em que ponto estamos, em que ponto queremos chegar Primeiro painel do 3º Encontro de Conselheiros discute papel do conselho na identificação e monitoramento dos riscos Tema muitas vezes negligenciado pelas organizações, a gestão de riscos começou a tomar maior relevância após a crise de 2008, originada nos Estados Unidos depois do estouro da bolha especulativa do mercado imobiliário. A situação gerou a paralização da oferta de crédito e queda na produção industrial, que afetou a economia dos países ao redor do mundo, movimento recorrente de um cenário de globalização. O primeiro painel do 3º Encontro de Conselheiros usou este exemplo para ilustrar a importância do monitoramento dos riscos internos e externos e qual o papel do conselho de administração neste processo. Moderadora do painel, Sandra Guerra, presidente do Conselho de Administração do IBGC, explorou que a gestão de riscos é um dos processos da Governança Corporativa e deve ser acompanhada pelo conselho de administração. Questionado sobre quais seriam os elementos essenciais que devem estar na pauta do conselho em relação a gestão de riscos, Carlos Rocca, sócio diretor da CFO Consulting, definiu-os em dois grupos: os elementos externos e os internos. “O conselho deve examinar e avaliar quais são os riscos externos como tecnologia, de marca, regulação e tributação, entre outros. Os dois últimos podem, inclusive, mudar todos os rumos da empresa”, elencou. Já no âmbito interno, o especialista defende que deve haver qualidade na gestão de riscos. Para ele, cabe exclusivamente ao conselho avaliar as ameaças estratégicas da empresa e definir a prioridade de seu monitoramento na gestão de riscos, porém o acompanhamento destes riscos deve ser uma função compartilhada entre conselho e gestão. “Deve haver controle de riscos em departamentos e processos, pois o risco da empresa é o que ameaça o valor da organização. Quando um executivo toma uma decisão está fazendo uma escolha de risco”, afirmou. Rocca ainda disse que as organizações devem ter a cultura de risco e avaliar permanentemente a qualidade dos processos. Métricas Com larga experiência em instituições financeiras, Sérgio Ribeiro da Costa Werlang, assessor da presidência da Fundação Getúlio Vargas, sugeriu que a Declaração do Apetite de Risco, que consiste em um conjunto de 20 a 30 métricas, seja usada para que haja uma mensuração e acompanhamento dos riscos que foram definidos como estratégicos pelo conselho. Estas métricas devem ser monitoradas pelo Comitê Executivo, composto por profissionais de alto nível. As métricas são divididas em grandes grupos: capitalização (rating), liquidez (funding e ativos), mix de negócios (atuação em diversos segmentos) e os riscos soft como por exemplo risco cibernético, conduta, consumidor, fornecedor. Segundo ele, que foi diretor executivo do Itaú Unibanco Holding S.A., responsável pela área de Risco e Finanças, cabe ao conselho de administração avaliar de 7 a 10 métricas da Declaração do Apetite de Risco. “Os executivos são responsáveis por mostrar esta seleção de maneira extremamente visual aos conselheiros para que os mesmos possam tomar decisões rápidas e estratégicas com base na prioridade”, explicou Werlang. Ele completou dizendo que a responsabilidade de acompanhamento destes riscos também cabe a cada área da organização, é um esforço conjunto. André Vitória complementou e disse que por mais que a gestão esteja envolvida, o acompanhamento é “de cima para baixo”. “O conselho que decide o que será medido, mas as áreas de negócios levam o que deve ser priorizado com a escolha dessas 7 a 10 métricas”, contextualizou André Vitória, diretor corporativo de Riscos, Compliance e Controles Internos do Grupo Pão de Açúcar (GPA). Ele ainda ressaltou que as empresas que estão começando a mapear seus riscos dependem inteiramente da gestão, que irá mapear os riscos de cada área para depois levar ao conselho de administração. “Tem todo um trabalho feito pela gestão para depois se chegar à maturidade no conselho de administração. Se começa sempre por uma visão holística, para depois ir para os indicadores”, ressaltou. Risco X Estratégia Embora, muitas vezes, não sejam analisados de forma isolada, os riscos já estão inseridos no planejamento estratégico das organizações, que embasa as atividades das organizações e às vezes tem validade de longuíssimo prazo. Por isso, Vitória alerta: “O risco não é tratado de maneira formal no planejamento estratégico, mas ele está lá”. Como exemplo, o especialista citou a matriz ou análise Swot, usada na formulação da estratégia das empresas. Nela, são mensuradas forças (Strenghts), fraquezas (Weaknesses), oportunidades (Opportunities) e ameaças (Threats) da organização, com esta ferramenta é possível avaliar os riscos e utilizá-los no planejamento estratégico. Para Rocca, a mensuração dos riscos no longo prazo é vista como uma questão delicada. “Até que ponto o mercado avalia os riscos de cada setor e como irá avaliar estas áreas no futuro?”, questionou. Para ele, o cenário de longo prazo e as conjunturas econômicas são altamente mutáveis e difíceis de prever. Como exemplo, o economista citou a queda abrupta do preço do petróleo, que surpreendeu muitas organizações produtoras, visto que a expectativa do preço da matéria prima sempre foi de valorização. “Por isso as organizações têm de ter velocidade para agir em situações inusitadas. O assunto riscos, fazendo parte da agenda traz uma reação melhor. Temos de nos antecipar aos riscos”, complementou Vitória. Estrutura Organizacional Também está a cargo do conselho de administração pensar como a gestão de riscos será monitorada dentro da organização. O mais comum, de acordo com André Vitório, é que seja criada uma área de riscos que tem o tema mais estruturado. Esta área deve identificar os riscos, passar as informações para uma área de controles internos que mitiga estes riscos levantados e, por sua vez, passa a responsabilidade de supervisão para a área de compliance, que deve garantir o funcionamento das normas e controles por todas as áreas da empresa. Werlang ressalta que na área financeira o processo é parecido e tem três etapas de controle: controle na área comercial inicial com a liberação de crédito limitada; área de controles internos e compliance e, por fim, auditoria. “A melhor maneira de ganhar sinergia entre as áreas é a implementação de processos. Tudo tem de estar baseado em processos, eles são o elo entre todas as áreas envolvidas”, comentou Vitória, que teve sua fala complementada por Rocca: “Sempre que os processos são definidos surge uma semântica única, afinal os processos devem ser únicos para serem mensurados. O risco pode ser qualificado, sim”. Diversidade no conselho Levando em consideração a quantidade de assuntos a serem analisados pelo colegiado, é importante que a informação seja passada de forma clara a todos os conselheiros. A comunicação feita com base nos princípios da Governança Corporativa de transparência, equidade, prestação de contas e responsabilidade corporativa otimiza as reuniões do conselho e ajuda na tomada de decisão. Esse é o posicionamento de Rocca. “As reuniões do conselho são um desafio de comunicação. O colegiado deve ser composto por pessoas de várias áreas, porque às vezes há uma preocupação de alguns conselheiros com a produção de relatórios muito específicos e detalhados, que não são compreendidos pelos seus colegas”, explicou ele após citar que a maioria dos conselhos é composto por pessoas com formação jurídica ou financeira. Segundo ele, esta falha de comunicação afeta o desempenho do órgão, que acaba com um volume muito grande de números e pouca informação. Riscos Cibernéticos Tendo participado recentemente do evento Global Cyber Summit, organizado pelo Global Network of Director Institutes (GNDI), em Washington, Guerra levantou a necessidade de o conselho de administração discutir o risco cibernético ao qual as organizações estão sujeitas. “O risco cibernético é um risco do negócio, corporativo. Ele não fica na caixa da área de Tecnologia da Informação (TI), está ligado à estratégia. Toda a atividade da empresa deve estar atenta ao risco cibernético e suas consequências”, alertou. Para Werlang, a auditoria interna deve ser encarregada por mensurar os riscos advindos da tecnologia, encontrados por meio de relatórios internos. “Os backups também são essenciais, se um sistema falhar, outro entra”, complementou o especialista.