Elaboração de um Protocolo para Análise do Processo de Implantação da Gestão de Riscos Operacionais a partir da Experiência de Três Empresas de Classe Mundial Autoria: Luciel Henrique de Oliveira, Luiz Carlos Di Serio, Luiz Marcelo Siegert Schuch, Guilherme Silveira Martins Resumo No final de 2009 e início de 2010, a Toyota realizou o recall de mais de nove milhões de veículos em todo o mundo para corrigir problemas de aceleração e de freio, potencialmente perigosos. A empresa foi acusada de lentidão para investigar e acusar os problemas, e sofreu repreensões públicas de Governos, inclusive no Brasil. Este caso foi citado na mídia como o pior exemplo de gestão de crise na história da indústria automobilística, reduzindo em 20% o preço das ações da empresa e causando bilhões de dólares em destruição de imagem e de valor. Como uma empresa de classe mundial, sempre citada como referência em excelência em qualidade de produtos e serviços pôde passar por uma situação como esta? A otimização das cadeias de suprimentos, a interdependência das empresas e a formação de redes de operações globais tornaram as empresas expostas a incertezas e riscos. O caso da Toyota ilustra esta situação e mostra a vulnerabilidade das empresas, no contexto atual, aumentando a necessidade de atenção a gestão de riscos e transformação organizacional. A literatura sobre Enterprise Risk Management (ERM) é carente em análises sobre métodos avaliação de riscos e há poucas descrições de casos como as empresas têm implementado estes sistemas e quais seus resultados. Este trabalho visa contribuir com a metodologia de avaliação de riscos operacionais, e apresenta um instrumento de análise (protocolo de pesquisa) que associa os benefícios da gestão de riscos com o nível de transformação organizacional e pode ser adaptado e aplicado em organizações de quaisquer portes e setores, para possibilitar a identificação, classificação, análise e tratamento de seus principais riscos operacionais. O protocolo envolve a análise do processo de implantação da gestão de riscos; a análise do estágio atual do sistema de gestão de riscos e os impactos desta gestão. O instrumento analítico foi configurado a partir da análise de documentos internos três empresas de classe mundial, vencedoras do PNQ, e dos resultados das entrevistas com gestores de riscos destas empresas. Envolvem o processo de implantação da gestão de riscos, considerando os fatores facilitadores e complicadores, a análise do estágio atual e os impactos da gestão de riscos. O protocolo foi configurado a partir da experiência das três empresas, e constitui um instrumento de análise que associa os benefícios da gestão de riscos com o nível de transformação organizacional e pode ser adaptado e aplicado em organizações de quaisquer portes e setores. As principais contribuições do estudo estão na sistematização de conceitos e na organização de um protocolo de análise de riscos baseado na experiência de três empresas de classe mundial, considerando gestão dos riscos operacionais com foco na cadeia de suprimentos. O estudo apresenta os fatores facilitadores e os fatores que podem colocar em risco o sucesso desta iniciativa; e considera resultados que as empresas tem percebido na implantação dos seus sistemas, proporcionando ferramenta para uma análise mais realista da relação custo-benefício desta iniciativa. 1 1. Introdução No final de 2009 e início de 2010, a Toyota realizou o recall de mais de nove milhões de veículos em todo o mundo para corrigir problemas de aceleração e de freio, potencialmente perigosos. A empresa foi acusada de lentidão para investigar e acusar os problemas, e sofreu repreensões públicas de Governos, inclusive no Brasil. Este caso foi citado na mídia como o pior exemplo de gestão de crise na história da indústria automobilística, reduzindo em 20% o preço das ações da empresa e causando bilhões de dólares em destruição de imagem e de valor. (BARTON, SHENKIR, WALTER, 2010). Como uma empresa de classe mundial, sempre citada como referência em excelência em qualidade de produtos e serviços pôde passar por uma situação como esta? A otimização das cadeias de suprimentos, a interdependência das empresas e a formação de redes de operações globais tornaram as empresas expostas a incertezas e riscos. O caso da Toyota ilustra esta situação e mostra a vulnerabilidade das empresas, no contexto atual, aumentando a necessidade de atenção a gestão de riscos e transformação organizacional. Faz pouco tempo que a gestão de risco passou a fazer parte da agenda dos executivos, mudando a percepção vigente de que esta disciplina era objeto de especialistas em seguros (CAVINATO, 2004), mostrando que se trata de uma questão de sustentabilidade organizacional (ANDERSON, ANDERSON, 2009). Em função da otimização das cadeias de suprimentos, da maior interdependência das empresas com a evolução do lean manufacturing e da formação de redes globais de suprimentos as empresas tornaram-se mais expostas a diferentes tipos de incertezas e conseqüentemente a maiores riscos (HARLAND, BRENCHLEY, WALKER, 2003). O relatório Global Risks 2008, coloca entre os principais riscos da atualidade o risco das cadeias de suprimentos, juntamente com os riscos provenientes do sistema financeiro, segurança dos alimentos e os riscos relativos a disponibilidade e uso da energia. Criou-se o Enterprise Risk Management (ERM), procurando ajudar as organizações a criar um programa sustentável para o gerenciamento de riscos corporativos, auxiliando no desenvolvimento de um roteiro prático, transferindo conhecimento e fornecendo treinamento para sua organização (ANDERSON, ANDERSON, 2009; BEASLEY, BRANSON, HANCOCK, 2009). Este trabalho parte de uma experiência prática desenvolvida em três organizações vencedoras do PNQ (Prêmio Nacional da Qualidade), o qual inclui como requisito a necessidade de identificar, classificar, analisar e tratar seus riscos empresariais mais significativos. As empresas premiadas apresentam maturidade quanto ao desenvolvimento e integração dos seus sistemas de gestão, o que permite uma avaliação mais completa dos fatores propostos no presente estudo. Partindo de questionamentos do tipo “Como empresas consideradas exemplos de gestão de classe mundial têm gerenciado seus riscos organizacionais?” e “Como a gestão de riscos impacta a cultura e os resultados destas organizações?”, foi desenvolvido um protocolo de análise para avaliação de riscos operacionais, o qual já foi aplicado e testado empiricamente nas três organizações. Este trabalho visa contribuir com a metodologia de avaliação de riscos operacionais, e apresenta um instrumento de análise que associa os benefícios da gestão de riscos com o nível de transformação organizacional e pode ser adaptado e aplicado em organizações de quaisquer portes e setores, para possibilitar a identificação, classificação, análise e tratamento de seus principais riscos operacionais. 1. Referencial Teórico 1.1. Gestão de Riscos De acordo com o Committee of Sponsoring Organizations of the Treadway Commission, COSO (2004) a gestão do risco empresarial deve ser um processo realizado pelo conselho de administração, pela gestão e por outro pessoal, aplicado no ambiente 2 estratégico e ao longo da empresa, planejado para identificar acontecimentos que possam afetar a entidade e gerir os riscos que se encontram dentro do risco aceitável, para proporcionar uma segurança razoável em relação à realização dos objetivos da entidade. Com base na definição anterior, alinhada com Cohen e Kunreuthwer (2006); Matook, Lash e Tamaschke (2009), pode-se entender a gestão de riscos organizacionais como: um processo (significa que tem um fim, não é um fim em si); realizado por pessoas (envolve pessoas de todos os níveis de uma organização); aplicado à estratégia; aplicado ao longo da empresa (em cada nível e unidade); planejado para identificar potenciais eventos que afetam a organização e para gerir o risco dentro de níveis aceitáveis; uma garantia para a gestão e para o conselho de administração das organizações; adaptado para a realização dos objetivos. A gestão do risco empresarial proporciona às organizações uma melhoria da sua capacidade para alinhar o risco aceitável com a estratégia organizacional. A gestão considera o risco aceitável para a avaliação de estratégias alternativas e depois alinha os objetivos com a estratégia adotada, desenvolvendo mecanismos para gerir os riscos relacionados. Além disso, visa ainda aumentar a capacidade de gerir o risco e otimizar o retorno. Proporciona rigor para identificar e selecionar as respostas alternativas ao risco: anulação, redução, partilha e aceitação do risco. Proporciona metodologias e técnicas para a tomada de decisões e permite minimizar as surpresas operacionais e os prejuízos. Permite identificar e gerir os riscos transversais às organizações e proporciona uma resposta integrada para múltiplos riscos. A disponibilidade de mais informação sobre os riscos permite uma gestão mais das necessidades de capital e melhora a distribuição do capital. (GATES e HEXTER, 2006). A gestão do risco empresarial não é um fim em sim mesma, mas um meio para melhorar o processo de gestão risco empresarial, que está inter-relacionado com o controle da empresa, proporcionando informação aos diretores sobre os riscos mais importantes e sobre a forma como estão sendo gerenciados. Pode ajudar a empresa melhorar o seu desempenho, a alcançar os alvos de rentabilidade e a prever a perda de recursos. Também ajuda a assegurar relatórios eficazes e o cumprimento das leis e regulamentos, evitando prejudicar a sua reputação, ajudando ainda a trilhar o caminho escolhido no planejamento estratégico e evitando armadilhas e surpresas ao longo desse caminho. Nas últimas décadas a área de operações experimentou um retorno como parte fundamental da formulação estratégica. O artigo de Skinner (1969) propôs que a área de manufatura fosse alçada a condição de participante do processo estratégico e não mais uma função típica de especialistas e voltada para o dia a dia da fabricação. A estratégia de operações ganhou espaço posicionando-se como um elo entre os requisitos de mercado e os recursos operacionais (SLACK e LEWIS, 2002). Jutner et al (2003) propõem uma estrutura de construtos para direcionar os estudos relacionados a gestão de riscos na cadeia de suprimentos. Os autores concluem que o objetivo da gestão de risco na cadeia de suprimentos seria identificar fontes potenciais de risco e implementar ações apropriadas para evitar ou conter a vulnerabilidade da cadeia como um todo. Chorpra e Sodhi (2004) observam que as empresas líderes mitigam os riscos construindo diferentes formas de reservas, incluindo: estoques, excesso de capacidade, redundância de fornecedores e agilidade na resposta aos eventos. Entretanto uma avaliação criteriosa deve ser feita na relação custo e benefício destas alternativas visto que algumas estratégias propostas têm impacto direto no aumento de custos. Uma vez que as organizações compreendam os riscos de suas cadeias de suprimentos podem selecionar a abordagem geral de mitigação e estratégias específicas para suas condições 1.2. Modelos genéricos de gestão de risco A Fundação Nacional da Qualidade (FNQ, 2010) apresenta em seu Modelo de Excelência a necessidade de identificação dos riscos organizacionais e define risco como sendo a combinação da probabilidade de ocorrência e da(s) conseqüência(s) de um 3 determinado evento não desejado. Define ainda risco empresarial como o risco à consecução dos objetivos de uma organização, à luz das incertezas do mercado e do setor de atuação da organização, do ambiente macroeconômico e dos próprios processos da organização. O crescimento de escândalos corporativos juntamente com legislações como a Sarbanes-Oxley Act of 2002, fez com que as empresas focalizassem mais seus esforços na gestão de riscos. Alguns modelos podem ser encontrados no mercado com o objetivo de direcionar o gerenciamento de risco de uma organização. A publicação do COSO (2004) apresenta um modelo de ERM o qual leva em consideração aspectos estratégicos e de operações associados ao gerenciamento de riscos (Figura 1). O principal objetivo da Lei Sarbanes-Oxley foi recuperar a credibilidade do mercado de capitais, evitando a incidência de novos erros, como os que contribuíram para a falência de grandes empresas dos EUA no final da década de 1990 (ARNOLD, 2007; SANTOS e LEME, 2007). A gestão do risco empresarial consiste em oito componentes inter-relacionados: Ambiente interno; Cenário dos objetivos; Identificação dos eventos; Avaliação do risco; Resposta ao risco; Atividades de controle; Informação e comunicação e Monitoramento. No modelo COSO Report (2004) o controle interno é um processo realizado pelo conselho de administração, pelos gerentes e pelos funcionários. É projetado para fornecer razoável segurança em relação ao alcance dos objetivos das seguintes categorias: eficácia e eficiência das operações, confiabilidade do relatório financeiro e conformidade com leis e regulamentos aplicáveis. Já ERM (GATES e HEXTER, 2006; BARTON, SHENKIR e WALTER 2010) é um processo realizado pelos diretores da organização, pelos gerentes e funcionários. Aplica-se na criação ou elaboração da estratégia em toda a empresa. É projetado para identificar potenciais eventos que possam afetar a organização gerenciando-os e adaptando-os ao "apetite de riscos" da empresa, com razoável segurança. As diferenças entre os dois sistemas são resultados de um processo evolutivo. Ambos podem ser utilizados e combinados para melhor oferecer controle dos riscos de uma corporação. Combinando os dois sistemas, é possível implementar um sistema de gestão de riscos corporativos alinhado a um sistema de controles internos. Assim um cargo relativamente novo nas organizações passa a ter papel relevante nesse processo: CRO (Chief Risk Officer) ou Diretor de Riscos. Para que o gerenciamento de riscos corporativos tenha eficácia, os gerentes de linha devem assumir responsabilidade primária e responder pelo gerenciamento de riscos em suas respectivas áreas. Figura 1: Framework integrado COSO ERM Fonte: COSO (2004) 4 1.3. Avaliação da maturidade na gestão de riscos Em 2007 o Instituto Brasileiro de Governança Corporativa (IBGC, 2007) publicou um caderno denominado “Guia de Orientação para Gerenciamento dos Riscos Corporativos” o qual foi elaborado a partir de diversas experiências de implantação em diversos setores. Segundo o documento, a implantação de um sistema de gestão dos riscos é um processo de longa duração que deve ser continuamente aprimorado, dinâmico, interativo e integrado ao processo de planejamento estratégico da organização. Para avaliar a maturidade na gestão de riscos, podem ser considerados clássicos modelos acumulativos de prioridades competitivas para descrever as práticas gestão que permitem obter vantagens em um grande número de variáveis, simultaneamente. Podem ser citados modelos como o “cone de areia” (FERDOWS, DE MEYER, 1990), o modelo diamante (PORTER, 1989), e o modelo de Venkatraman (1994). O modelo “cone de areia” consiste em um modelo acumulativo das prioridades, fazendo uma analogia com um cone de areia. As camadas de areia representariam os programas de ação (relativos às prioridades) que seriam implementados gradativamente, de forma a sedimentar cada prioridade antes de depositar a camada seguinte (FERDOWS, DE MEYER, 1990; SLACK, CAHAMBERS, JOHNSTON,2009). Segundo o Modelo do Diamante desenvolvido por Porter (1989), a competitividade de uma empresa ou de um grupo de empresas é determinada por quatro fatores básicos que, interagindo entre si, descrevem o ambiente no qual a empresa está inserida. Estes quatro atributos explicam em grande parte porque as empresas inovam e se mantêm competitivas ao longo do tempo. São eles: Condições de Fatores, Condições de Demanda, Indústrias Correlatas e de Apoio, Estratégia, Estrutura e Rivalidade das Empresas (Ambiente Empresarial). O modelo auxilia a compreender a competitividade empresarial, além de localizar, determinar e analisar os fatores diretamente relacionados com ela. Venkatraman (1994) apresenta um framework com os possíveis caminhos dentro de uma organização em relação ao processo de implantação da Tecnologia da Informação. O framework proposto (Figura 2) apresenta cinco estágios de transformação organizacional e seus respectivos impactos, sendo tarefa da empresa determinar que tipo de transformação pretende introduzir. A decisão por um determinado nível de transformação depende dos custos incorridos e dos benefícios estimados. Estágio Característica 1.EXPLORAÇÃO LOCALIZADA Aumento das funcionalidades de TI focado em áreas de alto valor 2.INTEGRAÇÃO INTERNA Alavancagem das competências de TI para criar uma organização com maior grau de integração e interconectividade 3. REDESENHO DOS PROCESSOS DE NEGÓCIO Redesenho de processos-chave para criar competências para futuro e não apenas para corrigir deficiências existentes 4.REDESENHO DE REDES DE NEGÓCIO Articulação da lógica estratégica para alavancar os diversos elos da cadeia a partir de funcionalidades de TI, do aprendizado, coordenação e controle com os parceiros 5.REDEFINIÇÃO DO ESCOPO DO NEGÓCIO Redefinição do escopo de negócio Desafio de gestão - Identificação das áreas de valor - foco na melhoria da performance local - foco nos processos de negócio - comparação com best-in-class - articulação dos processos de forma pró-ativa - desafios maiores que a simples seleção de tecnologia - visão de estratégia para a cadeia de valor - redefinição de critérios de desempenho - visão do negócio por meio dos interrelacionamentos das atividades internas e externas Figura 2: Características dos níveis de Transformação Fonte: Adaptado de Venkatraman (1994). 5 2. Procedimentos Metodológicos A pesquisa seguiu o modelo para estudos multicaso proposto por YIN (2005). O contato foi iniciado com empresas ganhadoras e finalistas mais recentes do PNQ, identificando-se aquelas em que a gestão de risco era uma prática adotada. O contato inicial foi feito por meio do representante da empresa no banco de dados da FNQ (Fundação Nacional da Qualidade) o qual indicou o principal responsável pela gestão de riscos da empresa. Um dos pré-requisitos para a participação no estudo foi o fato da empresa estar trabalhando com o tema “gestão de riscos”, ainda que em fase de estruturação. Esta premissa buscou garantir que fosse possível a visualização, mesmo que preliminar, dos resultados obtidos com a implantação do sistema de gestão de riscos. Das empresas contatadas três se dispuseram a compartilhar suas informações e sua experiência. A gestão de riscos envolve em muitos casos questões estratégicas da organização dificultando o acesso a algumas informações e, em alguns casos, impediu a participação da empresa no estudo. Este problema foi contornado com o acordo de sigilo em relação ao nome das empresas participantes e ainda enviando-se previamente o roteiro de entrevista com os temas principais a serem abordados. Com base na revisão de literatura, foram considerados três aspectos que nortearam o desenvolvimento das entrevistas, a análise dos resultados e a proposta do protocolo de pesquisa: (1) Processo de implantação da gestão de riscos: fatores facilitadores e complicadores da gestão de riscos na empresa. (2) Estágio atual do sistema de gestão de riscos: governança do processo de gestão de riscos; o processo de identificação e análise de riscos; o monitoramento dos riscos e gerenciamento de crises, o uso da tecnologia e integração e se e como era feita a comunicação dos riscos aos stakeholders. (3) Impactos da gestão de riscos: cultura organizacional quanto ao risco e o processo de e tomada de decisões e os impactos nos resultados organizacionais. Foram realizadas entrevistas semi-estruturadas utilizando-se um questionário com seções voltadas a auxiliar no mapeamento do processo de implantação, do atual estágio dos sistemas de gestão de riscos e dos resultados obtidos. Para cada um dos casos analisados foram realizadas duas entrevistas junto ao principal executivo responsável pela gestão de risco da organização. As entrevistas utilizaram o roteiro pré-estabelecido e foram realizadas nas instalações da própria empresa partir de encontros previamente agendados. As entrevistas tiveram duração média de 3 horas e cobriram todo o escopo previsto no roteiro. Empresa A – Empresa brasileira, da área industrial, tradicional no setor em que atua. É um dos mais rentáveis conglomerados empresariais privados do país, a partir de uma visão que reúne controle familiar, gestão profissional de alto desempenho e parceria com o mercado de capitais. Sua trajetória tem sido marcada pela capacidade de inovar, de assumir riscos e ousar na proposta de novos modelos de negócio e produtos, na busca de soluções geradoras de valor para a organização e a sociedade. Empresa B – Holding que atua através de subsidiárias dedicadas aos segmentos de produção, distribuição e comercialização. Trata-se da maior companhia privada brasileira no setor em que atua. Trabalha com experiência e conhecimento da atividade, desenvolvidos pela grande experiência e tradição de suas empresas. Empresa C – Empresa industrial global diversificada, fornecendo produtos e serviços aos seus clientes em todo o mundo. No Brasil, é a principal produtora e fornecedora das empresas industriais que demandam seus produtos. Valendo-se da força e do expertise de uma empresa global, a empresa está comprometida com o fornecimento de valor e inovação aos seus clientes. A empresa possui elevado nível de qualidade e de compromisso, oferecendo marcas, produtos e soluções de comprovada excelência para seus clientes nos mercados sul-americanos. Figura 3: Caracterização das empresas analisadas Fonte: Elaborado pelos autores. Para cada uma das questões propostas foi solicitado aos entrevistados que relatassem a experiência da própria empresa. Ao final da resposta do entrevistado, para as questões onde haviam fatores propostos foi solicitado que os entrevistados atribuíssem uma nota relacionada ao grau em que concordavam com o respectivo fator ou ao grau em que adotavam 6 determinada prática. A entrevista não foi limitada aos fatores propostos deixando abertura para os entrevistados proporem novos fatores. O objetivo desta abordagem foi o de se obter um conjunto mínimo de fatores para futura comparação entre as empresas. As empresas abordadas nesta pesquisa, caracterizadas na figura 3, não autorizaram a divulgação de seus nomes, nem de detalhes que permitissem sua identificação. Tanto as entrevistas quanto as demais coletas de dados foram realizadas pelos próprios autores. Além das entrevistas foram utilizadas informações disponíveis no site das empresas, em atas de reunião, apresentações internas sobre o tema, relatórios anuais e em documentos disponibilizados ao mercado (como por exemplo, documentos enviados a SEC – Securities Exchange Comission para comprovação do atendimento a Lei Sarbanes-Oxley). 4 Resultados e Discussão A partir da análise de documentos internos das três empresas e dos resultados das entrevistas foi possível elaborar um protocolo analítico genérico envolvendo o processo de implantação da gestão de riscos, considerando os fatores facilitadores e complicadores, a análise do estágio atual e os impactos da gestão de riscos. O protocolo apresentado foi configurado a partir da experiência das três empresas, e constitui um instrumento de análise que associa os benefícios da gestão de riscos com o nível de transformação organizacional e pode ser adaptado e aplicado em organizações de quaisquer portes e setores. 4.1. Fatores facilitadores da gestão de risco Foram identificados os principais aspectos considerados na análise dos fatores facilitadores e complicadores da gestão de riscos (Figuras 4, 5 e 6). 1) 2) 3) 4) 5) 6) 7) Apoio da liderança Experiência anterior com sistemas de gestão Equipe dedicada à implementação Atuação de equipe multifuncional Uso da norma ou de padrão de referência Uso de consultoria especializada Treinamentos específicos aos gerentes para desenvolver a competência de mapeamento de riscos. Figura 4: Framework para análise dos fatores facilitadores da gestão de risco Fonte: Resultados da pesquisa. Elaborado pelos autores. A aplicação deste e dos demais frameworks apresentados foi feita solicitando aos entrevistados que atribuíssem uma nota de 1 (pouco importante) a 5 (muito importante), considerando sempre a experiência obtida durante a implantação de processos de gestão de risco na empresa. Para permitir uma análise visual, os resultados podem ser plotados em um “gráfico de teia”, como na figura 5, mostrando a média dos resultados obtidos nas entrevistas para cada um dos fatores propostos, para uma das empresas analisadas. Como não é objetivo deste artigo discutir os resultados da aplicação do protocolo analítico, e sim descrever e explicar sua concepção e aplicação, não serão apresentados mais resultados específicos, como os ilustrados na figura 5. Os resultados serão explorados pela discussão dos fatores mais importantes observados nas três empresas, e que serviu de base para a elaboração deste protocolo de análise. A observação dos resultados mostra como fatores determinantes o apoio da liderança e a implantação por meio de uma equipe multifuncional. O apoio da liderança é essencial para mobilizar as pessoas, colocando o tema na agenda dos executivos. No caso da Empresa A este fato fica claro pela inclusão do tema no programa de remuneração variável do Diretor e Gerente Executivo de Finanças (líderes do processo de implantação) e também pela definição de um plano de ação específico da área financeira dentro do planejamento estratégico. Os entrevistados não consideraram relevante o uso de consultoria especializada para apoio ao 7 processo de implantação. Alegaram que as informações necessárias foram obtidas por meio da participação em eventos sobre o tema e pelo uso do documento guia do COSO, o qual estabelece as etapas necessárias para a implantação do modelo. Também a experiência anterior com a implantação de sistemas de gestão não foi considerada como um fator facilitador embora a empresa já tenha feito a implantação de diversos outros sistemas (ISO9001, ISO14001, OHSAS18001, Modelo de Gestão da FNQ, SAP, entre outros). a) apoio da liderança 5 g) treinamentos específicos aos gerentes para desenvolver a competência de mapeamento de riscos. 4 3 b) experiência anterior com sistemas de gestão 2 1 0 f) uso de consultoria especializada e) uso norma ou de padrão de referência c) equipe dedicada à implantação d) atuação de equipe multifuncional Figura 5 - Fatores facilitadores na implantação da gestão de riscos na Empresa A. Fonte: Resultados da pesquisa. Elaborado pelos autores. 4.2. Fatores complicadores da gestão de risco 1) 2) 3) 4) 5) 6) Falta de apoio da liderança Dificuldade em visualizar resultados efetivos Falta de conhecimento dos envolvidos quanto ao mapeamento de riscos Falta de informações sobre probabilidade e impactos da ocorrência de eventos geradores de desvios Longo processo de implantação Cultura voltada à análise informal das alternativas e seus riscos. Figura 6: Framework para análise dos fatores complicadores da gestão de risco Fonte: Resultados da pesquisa. Elaborado pelos autores. As respostas obtidas para as três empresas não indicaram nenhum dos fatores propostos como tendo impacto relevante no processo de implantação do sistema de gestão de riscos. Como no caso da Empresa A o apoio da liderança foi considerado efetivo este item teve como conseqüência um valor baixo na avaliação dos entrevistados, embora todos reconheçam ser um fator de muita importância. O fator gerador de maior dificuldade na opinião dos entrevistados foi a relativa falta de conhecimento dos executivos quanto ao processo de mapeamento de riscos. Esta dificuldade foi amenizada pela solicitação de que cada executivo identificasse os fatores que lhe “tiravam o sono”, iniciando-se, a partir deste ponto, a análise e detalhamento dos riscos. 4.3. Estágio atual do sistema de gestão de riscos Cada uma das empresas optou por diferentes estruturas de implantação de seus sistemas de gestão de risco. Enquanto na Empresa A, a opção foi pela designação de uma equipe de implantação, constituindo um Subcomitê de Riscos com a atribuição de gerenciar o processo, na Empresa B a opção foi a criação de uma Diretoria de Gestão de Riscos, respondendo diretamente ao Presidente da Empresa. Na Empresa C, a decisão foi pela definição de um responsável na unidade (Diretor de Projetos) com profundo conhecimento das operações, já que este era o foco do mapeamento de riscos desta unidade no Brasil. A 8 literatura demonstra que são adotados diferentes modelos de implantação, seja na forma de uma área específica, comitê ou designação de um responsável pelo processo (LIEBENBERG e HOYT, 2003). Quanto aos fatores complicadores os resultados de campo mostram que o fato que mais interfere negativamente no processo de implantação é o fato da falta de conhecimento dos envolvidos sobre o mapeamento de riscos. Em relação a abrangência, tanto as Empresas A e B afirmaram que os seus respectivos mapeamentos de risco tem como foco a própria empresa, não sendo avaliados riscos na cadeia de suprimentos. Somente a Empresa C faz uma análise dos riscos de seus fornecedores e clientes. Este fato está em linha com o achado da pesquisa de Gates e Hexter (2006) que identificou que a gestão de riscos é iniciada pelos riscos financeiros, seguidos dos estratégicos e operacionais. 4.3.1 Governança do processo 1) A Administração (ou equivalente) estabelece políticas de risco e obtém consenso com os demais níveis de gestão sobre o apetite para risco. 2) A alta administração demonstra seu compromisso com a gestão de risco, deixando clara a sua importância 3) Critérios de aceitação de risco estão disponíveis aos executivos, visando nortear suas decisões 4) A coordenação central provê apoio às decisões estratégicas enfrentadas pela Administração, avaliando o risco e as incertezas inerentes a cada situação. 5) Cada unidade ou setor relevante, bem como cada grupo de risco especializado, tem uma equipe ou comitê de riscos ligada à coordenação central. 6) A coordenação central tem como missão obter padronização na gestão de risco entre as unidades e setores, sendo medido esse grau de padronização Figura 7: Framework para análise Governança da gestão de riscos Fonte: Resultados da pesquisa. Elaborado pelos autores. De acordo com a avaliação realizada pelo critérios da Figura 7, verificou-se que as empresas B e C optaram pela estruturação de áreas específicas para governança do processo de riscos, e a empresa A atribuiu a tarefa a um comitê multidisciplinar com a coordenação do principal executivo de Finanças. O Guia de Orientação para Gerenciamento dos Riscos Corporativos (IBGC, 2007) observa a tendência de criação de uma unidade responsável por esta nova função, podendo ter a forma de uma área ou Comitê. Observa-se que, de maneira geral a unidade operacional da Empresa C apresenta menor pontuação nos fatores do que as outras duas empresas. Tal situação pode ser criada pelo fato de existir uma governança corporativa mais distante, afastando a unidade das decisões e influência da alta administração. A governança local neste caso atua somente como operacionalizadora da política corporativa, portanto com uma atuação mais restrita. 4.3.2 Processo de identificação e análise de riscos A gestão de riscos empresariais é um processo focado na identificação, medição, definição de respostas e acompanhamento e controle, tanto dos potenciais eventos de risco que possam afetar negativamente a estratégia e a operação como das ações implementadas para mitigá-los. A partir da comparação das três empresas foi desenvolvida uma classificação de riscos, separando-os em riscos estratégicos, operacionais e financeiros. Os eventos de risco identificados são analisados do ponto de vista de seus impactos financeiros, sua probabilidade e prazo de ocorrência. A figura 8 mostra a classificação adotada para os riscos e seus subfatores. Na Empresa A o processo de identificação dos riscos abrange somente a própria empresa, não sendo feitas análises dos riscos de sua cadeia de suprimentos. As demais consideram a cadeia. Como retratado no Guia de Orientação para Gerenciamento dos Riscos Corporativos (IBGC, 2007): não uma classificação de riscos consensual e aplicável a todas as organizações; a classificação deve ser desenvolvida de acordo com as características de cada organização, contemplando as particularidades da sua indústria, mercado e setor de atuação. 9 Riscos Concorrenciais Risco Organizacional e de Gestão Risco Político Riscos de P&D Risco de Imagem Riscos Sócioambientais Riscos de Projetos Risco de Sistemas Risco de Suprimentos Riscos de Controle Operacional Riscos Comerciais Risco de Logística Riscos de Crédito Riscos Regulatórios Control & Compliance FINANCEIROS OPERACIONAIS ESTRATÉGICOS Foi identificado que cada empresa possui sua própria classificação de riscos e esta diferença não é vista pelas empresas como fator relevante, sendo imprescindível, a existência de uma classificação padrão para a organização. O tratamento dos riscos significativos tem sido acompanhado pelas áreas de coordenação da gestão de risco em todas as empresas, sendo este controle centralizado e até justificado pelo próprio fato de que os esforços são no sentido de integrar os riscos e seus tratamentos. Riscos de Mercado Figura 8 – Exemplo de taxonomia ou classificação de riscos Fonte: Resultados da pesquisa. Elaborado pelos autores. A taxonomia proposta é um guia para ser adaptada a cada situação, mas a adoção de uma ou outra classificação não é o ponto fundamental. A taxonomia mistura entre os riscos estratégicos, riscos que poderiam ser classificados como operacionais e financeiros. O raciocínio adotado para esta divisão leva em consideração que alguns eventos afetam a capacidade da empresa realizar uma estratégia específica. Um exemplo poderia ser o fato da empresa ter como objetivo ser a maior do setor. Neste caso, a possibilidade de fusão de concorrentes se configuraria em um risco estratégico. Não fosse este vínculo com a estratégia, este risco poderia ser classificado como um risco de mercado. Fator de Análise Escala Impacto potencial no EBITDA escala com 4 níveis Prazo de ocorrência do evento escala com 5 níveis Probabilidade de ocorrência baseada em julgamento Descrição dos níveis Baixo - impacto menor que 1% Medio – impacto entre 1 e 3% Alto – impacto entre 3 e 5% Muito Alto - impacto maior que 5% Imediato - inferior a 1 ano Curto – de 1 a 3 anos Médio – de 3 a 5 anos Longo – de 5 a 7 anos Remoto - superior a 7 anos 1 a 100% Figura 9 – Fatores de priorização dos riscos Fonte: Resultados da pesquisa. Elaborado pelos autores. Os potenciais eventos adversos associados aos processos, podem ser submetidos a uma avaliação qualitativa de relevância ( impacto e probabilidade) de cada risco identificado. Os riscos identificados são tratados com planos preventivos para sua redução ou eliminação e para os mais relevantes são estudados planos de contingência, observando uma priorização prévia. Os planos são integrados aos demais planos de cada área e o responsável pela área de 10 riscos controla o calendário de eventos para a aplicação da metodologia e as atividades citadas, bem como as melhorias desse processo gerencial. Os riscos podem ser priorizados de acordo com os fatores descritos na Figura 9. O Planejamento Estratégico é fundamental para a gestão dos riscos. É necessário avaliar de que forma os Planos Plurianuais permitem analisar cenários, fazer a valoração dos projetos por meio de um modelo de simulações e avaliações financeiras (valuation) com horizonte e médio prazo, priorizar projetos com maior criação de valor e priorizar projetos com maior criação de valor e verificar aderência das estratégias potenciais aos objetivos estratégicos de longo prazo. Para cada um dos riscos identificados propõe-se a utilização o template apresentado na figura 10, que considera o evento, a classificação, a área responsável, as probabilidades de curto e médio prazo e o seu respectivo impacto. Para a ponderação final devem ser utilizados apenas a probabilidade e o impacto de curto prazo (1 ano). MAPEAMENTO DE RISCOS EVENTO Invasões de Terras DESCRIÇÃO NATUREZA Categoria Espécie Invasões de terras por grupos e movimentos sociais, podendo Operacional provocar paralisação da produção, perda de patrimônio, contingências ambientais e danos de imagem. Suprimentos RANKING PondeÁREA RES- Prob.em Prob. 2 a Impacto Impacto ração PONSÁVEL 1 ano 5 anos RH / UNF 3 2 2 2 6 Figura 10 – Template para registro dos riscos identificados Fonte: Resultados da pesquisa. Elaborado pelos autores. Ainda para cada risco são listadas as ações existentes que atuam sobre o risco em análise e eventuais planos de ação, sendo discriminado o tempo de folga existente para a implantação e uma estimativa de orçamento para implantação das ações (Figura 11). AÇÕES EXISTENTES SIM / NÃO Sim DESCRIÇÃO PLANO DE AÇÃO DESCRIÇÃO Fortalecimento das relações institucionais, com Monitoramento dos movimentos e mapeamento das áreas identificação das autoridades responsáveis e meios de de maior risco, com intensificação das atividades florestais. acesso, e manutenção das ações existentes. Manter pronto o modelo de ação de reintegração de posse. TEMPO DE FOLGA ORÇAMENTO 0 - Figura 11 – Template para registro das ações para tratamento dos riscos Fonte: Resultados da pesquisa. Elaborado pelos autores. Para mensuração do estágio de maturidade do sistema de gestão de riscos nos aspectos quantificação tratamento dos riscos propõe-se a utilização dos fatores descritos na Figura 12. 1) Há uma definição comum (taxonomia) de risco uma metodologia para calcular e relatar eventuais exposições a risco 2) Os executivos de linha e pessoas de suporte são treinados para quantificar e relatar exposições. 3) As exposições são avaliadas por um Comitê ou equivalente, o qual define a necessidade de provisioná-las contabilmente ou incluí-las nas projeções financeiras 4) As exposições consideradas significativas são tratadas por meio de projetos ou iniciativas reconhecidas pela coordenação central 5) Os diversos tipos de risco aplicáveis à organização são avaliados, tratados e reportados conjuntamente de forma que a Administração possa avaliar os impactos inter-relacionados. 6) Os controles internos utilizados para mitigar os riscos são mantidos em uma base de dados comum Figura 12 – Framework para Quantificação e tratamento dos riscos Fonte: Resultados da pesquisa. Elaborado pelos autores. Um ponto que apareceu em menor grau para as três empresas avaliadas refere-se ao treinamento. Isto decorre do fato que a gestão de riscos ainda está centralizada nestas empresas na figura do coordenador do projeto, do Comitê ou do CRO (Chief Risk Officer), o que se reflete em menor disseminação da metodologia e em conseqüência em um menor grau de treinamento. Quando houve treinamento, este foi limitado a workshops sobre o tema, 11 onde foi apresentado o conceito genérico de riscos e repassada a instrução sobre como preencher os templates, não se configurando portanto em um treinamento de longa duração. Tanto os modelos do COSO quanto da ISO 31000 indicam como importante o desenvolvimento de competências relacionadas à gestão de risco para o sucesso da iniciativa, porém nas empresas avaliadas este item tem sido pouco desenvolvido, e deve ser avaliado. 4.3.3 Monitoramento dos riscos e gerenciamento de crises Para avaliação do atual estágio de monitoramento dos riscos e gerenciamento de crises, conforme os critérios descritos na Figura 13, deve-se também usar uma escala de 1 a 5, onde o valor 1 representa que a prática não está implantada e o valor 5 representa uma prática bastante desenvolvida. 1) Os indicadores de risco são definidos através de metodologia comum, são monitorados através do sistema de informações gerenciais e são utilizados para análise crítica pela Administração. 2) Os controles internos utilizados para mitigar os riscos são auditados periodicamente, visando determinar sua eficácia 3) Existe um valor financeiro de exposição ao risco monitorado periodicamente 4) Há um sistema de planos de contingência para lidar com crises e prover continuidade aos negócios e operações 5) Tanto as simulações de crises como as crises reais são transformadas em aprendizado para revisão dos planos Figura 13 – Framework para Monitoramento dos riscos e gerenciamento de crises Fonte: Resultados da pesquisa. Elaborado pelos autores. Os fatores relacionados ao monitoramento e gerenciamento de crises apresentaram bastante dispersão entre as três empresas. O fator mais destacado para a Empresa B foi a auditoria periódica dos controles, associada ao atendimento da Lei Sarbanes que exige uma avaliação anual dos controles estabelecidos. No caso das empresas A e C o ponto mais desenvolvido é o sistema de planos de contingência. Este item específico é inclusive o principal foco do trabalho de gestão de riscos da unidade produtiva da Emrpesa C. Na Empresa A são elaborados planos de contingência para os principais riscos, sendo esta uma etapa prevista quando um determinado risco é classificado como prioritário. Além disso, o Cash Flow at Risk e o Value at Risk são métricas constantemente monitoradas na Empresa A, que entretanto considera somente riscos de mercado. Nenhuma das empresas avaliadas tem praticado de maneira sistemática a simulação dos seus planos de contingência. Esta ainda é uma iniciativa muito pouco desenvolvida, ocorrendo apenas eventualmente, fora de um planejamento estruturado dentro do sistema de gestão de riscos. Para cada um dos riscos identificados podem ser desenvolvidos planos de contingência listando alternativas no caso da materialização do evento. Estes planos de contingência são acionados assim que o indicador de controle (KRI – Key Risk Indicator) atingir o valor estabelecido como Trigger, conforme a Figura 14. PLANO DE CONTINGÊNCIA PERDA ALTERNATIVAS RESPONSÁVEL (R$) DESCRIÇÃO Compra de novas Recurso ao Judiciário para restituição Depende terras em áreas Cornacchioni (Rel. da posse. Dependendo da gravidade, da área Institucionais) de menor risco possibilidade de gestão nos termos invadida ou de madeira. da Política de Gestão de Crises. PLANO DE CONTROLE INDICADORES KRI Área invadida Trigger Qualquer área Área de referência para declaração de crise: > 10 mil ha Figura 14 – Template para plano de contingência e controle Fonte: Resultados da pesquisa. Elaborado pelos autores. O ponto mais frágil do sistema de gestão de riscos, e que deve ser avaliado, refere-se a auditoria dos controles internos utilizados para gerenciar os riscos identificados. Outro ponto que ainda não está completamente desenvolvido é o gerenciamento integrado dos indicadores 12 de risco. Esta gestão fica sob a responsabilidade de cada um dos responsáveis pelo risco, porém não há uma consolidação periódica com o envio para a alta administração. 4.3.4 Uso de tecnologia e integração As três empresas utilizam softwares na gestão de crédito (como o SAP) e gestão dos riscos de mercado, não sendo identificado o uso de sistemas para a gestão dos riscos operacionais. Todas as planilhas de identificação de riscos bem como os planos de ação e contingência decorrentes encontram-se disponíveis em pastas de arquivos na rede de computadores com acesso restrito aos analistas de riscos. Esta estrutura não permite o acompanhamento progressivo da exposição aos riscos, com a evolução de cada um dos riscos, dificultando a análise longitudinal dos dados. Por utilizar sistema integrados (ERPs) as empresas apresentam critérios para controle dos riscos embutidos na parametrização do próprio sistema, como por exemplo, o controle de alçadas de aprovação de determinadas operações (crédito, devolução, pagamentos, etc.), cuja adequação também deve ser objeto de análise. Nenhuma das empresas estudadas emprega sistemas ou ferramentas informatizadas para gestão dos seus riscos. O padrão verificado foi o uso de planilhas com inserção manual dos dados, sendo estas planilhas disponibilizadas na rede interna de computadores da empresa (com restrição de acesso). Desta forma, paradoxalmente, apesar de utilizarem sistemas integrados, as empresas parecem não estar se beneficiando das facilidades e recursos computacionais disponíveis no mercado. 4.3.5 Comunicação dos riscos Embora o processo envolvendo a identificação e análise dos riscos seja considerada uma atividade restrita e sujeitas à assinatura de um acordo de confidencialidade pelos envolvidos, as empresa adotaram a postura de comunicar seus principais riscos no seu relatório de sustentabilidade. Normalmente estão sujeitas no longo prazo a riscos de mercado relacionados à volatilidade de volume e preço de seus produtos em seus mercados de atuação, em decorrência de variações nas capacidades de produção e demanda mundial e de oscilações das taxas de câmbio relativas às principais moedas do mundo e das taxas de juros. A comunicação interna dos riscos é considerada uma informação confidencial, e por isto de circulação restrita aos membros do comitê de riscos e executivos do nível de diretoria. A figura 15 apresenta os principais riscos que normalmente são divulgados nos relatórios de sustentabilidade. PREÇOS DE PRODUTOS CONCORRENTES DE GRANDE PORTE E PRODUTOS IMPORTADOS ATRASOS EM PROJETOS DE EXPANSÃO E/OU AUMENTO DOS INVESTIMENTOS INICIALMENTE PROGRAMADOS RISCOS ECONÔMICO-FINANCEIROS SUFICIÊNCIA DA COBERTURA DE SEGURO PARA COBRIR PERDAS E ABRANGÊNCIA DOS DANOS CAUSADOS DEPENDÊNCIA DE TERCEIROS COMO FORNECEDORES Figura 15 – Formas de divulgação de riscos Fonte: Resultados da pesquisa. Elaborado pelos autores. 4.4 Impactos da gestão de riscos 4.4.1 Cultura e tomada de decisões O protocolo de análise considera três aspectos para identificar o grau em que a gestão de riscos altera a cultura da organização, conforme a Figura 16. As empresas avaliadas encontram-se distantes de uma transformação cultural que represente uma mudança efetiva no 13 processo de tomada de decisão. Em todos os casos estudados a percepção é de que apenas uma parte dos envolvidos tem incorporado a gestão de riscos no dia-a-dia da tomada de decisões. A identificação dos riscos de maneira estruturada ainda é reativa e responde a iniciativa da coordenação de gestão de riscos da organização. 1) Os riscos são identificados pelos executivos de forma proativa 2) Os riscos são mapeados tanto no planejamento estratégico, como nos projetos e no dia-a-dia das operações 3) Os executivos baseiam suas decisões de rotina nas análises de risco realizadas Figura 16 – Framework para avaliação da cultura para gestão de riscos Fonte: Resultados da pesquisa. Elaborado pelos autores. Nas três empresas, ainda que os executivos que fazem parte do planejamento estratégico já comecem a compreender o modelo de gestão de riscos e seus desdobramentos, em função de serem processos recentes de implantação, a metodologia e os conceitos ainda não estão completamente disseminados a todos os níveis, dificultando a transformação cultural esperada. Os entrevistados relataram que o processo de implementação da gestão de riscos corporativos tem criado uma maior “consciência” sobre o fato de que cada decisão traz consigo novos riscos ou muda a configuração de riscos existentes. A maior mudança no atual estágio de gestão de riscos das empresas estudadas está no processo de planejamento estratégico, com uma melhoria do processo que passou a incorporar os principais riscos aos quais as empresas estão expostas a partir das suas escolhas estratégicas. 4.4.2. Resultados organizacionais O protocolo de análise considera treze aspectos para identificar a percepção dos resultados obtidos com a gestão de risco, conforme a Figura 17. 1) 2) 3) 4) 5) 6) 7) 8) 9) 10) 11) 12) 13) Capacidade de evitar a ocorrência de eventos que poderiam interromper as operações Melhoria da gestão e prevenção de incidentes Redução das perdas Melhoria os resultados operacionais Melhoria dos aspectos de governança corporativa Aumento da confiança dos acionistas na empresa Aumento da confiança das partes interessadas Redução do valor pago a seguradoras Redução das taxas de captação de recursos no mercado Atendimento aos requisitos regulatórios e legais aplicáveis Melhoria dos relatórios financeiros Confiança e base rigorosa para a tomada de decisão Melhoria da identificação de oportunidades e ameaças Figura 17 – Framework para avaliação dos resultados do sistema de gestão de riscos Fonte: Resultados da pesquisa. Elaborado pelos autores. As empresas têm observado benefícios em praticamente todos os itens propostos, entretanto a percepção mais forte é de que tratamento dos riscos contribuiu para que se evitassem ocorrências e eventos que causariam a interrupção das operações. Este fato foi bastante discutido com os representantes das empresas sendo identificado que raramente os planos de contingência estabelecidos foram acionados. Um dos entrevistados alegou ser difícil medir a eficácia do sistema de gestão de riscos fazendo uma comparação com a atuação de um goleiro de futebol: “ninguém sabe quantas vezes um goleiro evitou o gol, mas sim quantos gols ele sofreu”. Esta afirmação ilustra bem a dificuldade de se medir a eficácia dos sistemas de gestão de riscos implementados, o que leva a uma avaliação qualitativa muito mais do que quantitativa dos seus impactos. 14 Em paralelo com a questão dos resultados operacionais, as empresas também reconhecem melhoria nos fatores de confiança dos acionistas, governança corporativa e em menor grau o aumento de confiança das demais partes interessadas. Em relação a este último fator o que as empresas reconhecem é que não existe uma divulgação efetiva para as partes interessadas (governo, fornecedores, comunidades do entorno das unidades e sociedade em geral) sobre o processo de gestão de riscos em curso. Em relação aos acionistas a divulgação é efetiva sendo feito reporte do andamento dos projetos nos Conselhos de Administração e nos sites corporativos, geralmente como conteúdo disponível nas áreas de relações com investidores. A figura 18 resume os principais achados empíricos nas empresas analisadas a partir da aplicação deste protocolo de pesquisa. Outros pontos de destaque são a melhoria da identificação de oportunidades e ameaças e o encorajamento de uma gestão mais pró-ativa. As empresas analisadas não percebem um benefício evidente no valor pago a seguradoras, na melhoria de relatórios financeiros, atendimento a requisitos legais e redução de taxas de captação de recursos no mercado. Foi possível levantar nos casos individuais tanto as seguradoras quanto os financiadores levam em consideração vários aspectos para a determinação dos valores de seguro e taxa de empréstimo e a gestão de riscos estruturada é apenas um dos aspectos levados em consideração. A explicação pode residir no fato dos sistemas de gestão de riscos estarem ainda em fase de implantação não fornecendo segurança de que todos os riscos estejam mapeados e sob controle. Na visão das empresas avaliadas praticamente em todos os fatores propostos existe um grau razoável de concordância em relação à melhoria dos mesmos pela implantação da gestão de riscos. Como não há como medir o grau de melhoria obtido, as empresas podem estar apenas buscando uma legitimação dos seus processos e estrutura e menos interessadas em uma melhoria efetiva de desempenho. OBJETO DE ESTUDO Motivadores Fatores facilitadores Fatores complicadores Governança da gestão de riscos Identificação e análise dos riscos Monitoramento dos riscos e gerenciamento de crises Uso de tecnologia CARACTERÍSTICAS PRINCIPAIS DOS ESTUDOS DE CASO - identificado que a motivação para a gestão dos riscos é direcionada principalmente pela demanda Alta Administração - apoio da alta administração - atuação de equipe multifuncional -falta de conhecimento dos envolvidos quanto ao mapeamento de riscos - longo processo de implantação - demonstração de apoio inequívoca da alta administração - atuação da coordenação central da gestão de riscos como órgão responsável pela orientação e padronização - maior desenvolvimento na identificação, análise e monitoramento dos riscos financeiros - taxonomia de riscos como etapa inicial do processo de implantação; - processos de identificação e análise dos riscos iniciados por meio de projetos-piloto - aspectos de integração dos riscos ainda em fase de estruturação (report consolidado para a Alta Administração e visão compartilhada dos controles) - indicadores de risco ainda em desenvolvimento; - auditorias dos controles e simulações dos planos de contingência realizadas apenas parcialmente - ausência de softwares para integração dos riscos (existência de sistemas apenas para parte dos riscos) Cultura para gestão de riscos - disseminação da cultura para gestão de riscos ainda em fase inicial Resultados organizacionais - percepção de melhoria dos indicadores de resultado operacional - encorajamento de postura mais pró-ativa e melhoria na identificação de oportunidades e ameaças - ausência da avaliação da gestão de risco sobre indicadores específicos de desempenho (EBITDA, ROE, ROA) Figura 18 – Síntese dos principais achados empíricos nas três empresas analisadas Fonte: Resultados da Pesquisa. Elaborado pelos autores. 15 4.5. Modelo de maturidade na gestão de riscos Conforme o modelo proposto por Venkatraman (1994), a análise dos casos estudados no decurso deste trabalho sugeriria que as empresas A e B encontram-se mais alinhadas ao estágio 2, de Integração Interna. Nestas duas empresas os esforços concentram-se principalmente na consolidação dos riscos e na sua integração, muito embora em ambas empresas tenha sido relatado que processos foram redesenhados a partir dos mapeamentos iniciais realizados. Talvez corporativamente a empresa C já esteja em um estágio mais avançado (transição para o Estágio 4) preocupando-se com as redes de negócio, mais precisamente com sua cadeia de suprimentos, conforme apresentado na análise individual do caso. Por último deve-se ressaltar que o modelo tem como objetivo alinhar as expectativas e possibilitar as empresas fazerem escolhas mais conscientes, sendo possível que na prática em alguns aspectos a empresa se coloque em um estágio e em outros aspectos esteja em estágios diferentes. De forma análoga os modelos “cone de areia” e “diamante de Porter” poderiam ser utilizados para analisar o nível de maturidade na gestão de riscos. 5. Considerações Finais A análise dos três casos empíricos permitiu aplicar e aprimorar o protocolo desenvolvido, constituindo em um instrumento de avaliação do processo de implantação de um sistema de gerenciamento de riscos organizacionais, os fatores intervenientes (facilitadores e complicadores) deste processo e os benefícios e resultados. O protocolo apresentado é um instrumento de análise que pode ser aplicado em quaisquer organizações. As principais contribuições do estudo para a academia estão na sistematização de conceitos e na organização de um protocolo de análise de riscos baseado na experiência de três empresas de classe mundial, considerando gestão dos riscos operacionais com foco na cadeia de suprimentos. Do ponto de vista empírico, o estudo permite identificar diferentes modelos de desenvolvimento da gestão de riscos em organizações com sistemas de gestão já bastante evoluídos que, por este motivo, apresentam bastante experiência na condução deste tipo de iniciativa; apresenta, na visão de empresas de classe mundial que estão implantando a gestão de riscos, quais são os fatores facilitadores e quais são os fatores que podem colocar em risco o sucesso desta iniciativa; e considera resultados que as empresas tem percebido na implantação dos seus sistemas, proporcionando uma análise mais realista da relação custobenefício desta iniciativa. As três empresas estudadas estão em fase inicial de amadurecimento dos seus sistemas de gestão de riscos, o que pode ter limitado a percepção sobre as questões culturais envolvidas no processo. Como a gestão de riscos ainda não atingiu todas as áreas da mesma forma, as entrevistas foram limitadas aos participantes diretos do processo de implantação, introduzindo assim um possível viés de resposta. Não foi permitido acesso aos riscos específicos e seus respectivos tratamentos (mitigação, eliminação e transferência) não sendo possível avaliar em que grau cada uma destas alternativas tem sido utilizada. Para futuras pesquisas sugere-se a identificação ou proposição de métricas para consolidação global dos riscos das organizações, a avaliação do impacto da implantação da gestão de riscos na cultura organizacional e a avaliação da interferência da gestão de riscos no processo de inovação. Além disso, sugere-se a avaliação da aderência do modelo proposto em empresas com maior maturidade do seus sistema de gestão de riscos. Referências ANDERSON, Dan R., ANDERSON, Kenneth E. Sustainability Risk Management. Risk Management and Insurance Review, 2009. Vol. 12, No. 1, pp.25-38 16 ARNOLD, Vicky et. al. The Unintended Consequences of Sarbanes-Oxley on Technology Innovation and Supply Chain Integration. Journal of Emerging Technologies in Accounting, 2007, Vol. 4. pp.103–121 BARTON, Thomas L. Barton, SHENKIR, William G. Shenkir, WALTER, Paul L. ERM after the FinancialCri$i$. Financial Executive. April 2010. pp.18-22 Available in: www.financialexecutives.org. Acess in 02/04/2010. BEASLEY, Mark S., BRANSON, Bruce C., HANCOCK, Bonnie V. Take your risk management system to the next level. Journal of Accountancy. September 2009. pp.28-32 Available in: www.iournalofaccountancy.com CAVINATO, J. Supply Chain logistics risks: from de back room to the board room. International Journal of Physical Distribution & Log. Manag., 2004, vol 34, issue 5. CHOPRA, S. e SODHI, M. Managing Risk To Avoid Supply-Chain Breakdown. MIT Sloan Management Review, Vol.46 n° 1. FALL 2004 COHEN, Morris A. Cohen, KUNREUTHER, Howard. Operations Risk Management: Overview of Paul Kleindorfer’s Contribution. Production and Operations Management. 16(5), 2007. pp. 525–541. COSO- Committee of Sponsoring Organizations of the Treadway Commission. Enterprise Risk Management - Integrated Framework. Executive Summary. September 2004. FERDOWS, K., DE MEYER, A. Lasting improvements in manufacturing performance: in search of a new theory. Journal of Operation Management. v.9, n.2, Apr 1990. FNQ. Fundação Nacional da Qualidade. Critérios de Excelência 2010. Disponível em http://www.fnq.org.br GATES, S. e HEXTER, E. The Strategic Benefits of Managing Risk. MIT. Sloan Management Review. Vol 47, n°3, Spring, 2006. GLOBAL RISK 2008. A Global Risk Network Report, 2008. Disponível em http://www.weforum.org HARLAND, C. , BRENCHLEY, R. e WALKER, H. Risk in supply networks. Journal of Purchasing and Supply Management, 9, 2003 IBGC – Instituto Brasileiro de Governança Corporativa. http://www.ibgc.org.br. 2010. JUTNER, U et al. Supply chain Risk Management: outlining an agenda for future research. International Journal of Logistics: Res. and Applications. Vol 6, n°4, 2003. LIEBENBEG, A. e HOYT, R. The determinants of enterprise risk management. Risk Management and Insurance Review, 2003, Vol. 6, No. 1, 37-52 MATOOK, S.; LASCH, R.;TAMASCHKE, R. Supplier development with benchmarking as part of a comprehensive supplier risk management Framework. International Journal of Operations & Production Management. 2009. V.29 No. 3. pp. 241-267 PORTER, M. E. Estratégia Competitiva: técnicas para análise da indústria e da concorrência, Rio de Janeiro: Campus, 1989. SANTOS, L.A.A., LEMES, S. Desafios das empresas brasileiras na implantação da Lei Sarbanes-Oxley. BASE – Revista de Administração e Contabilidade da Unisinos. 4(1):3746, janeiro/abril 2007 SKINNER, W. Manufactoring – missing link in corporate strategy. Harvard Business Review, May-June 1969 SLACK, N., CHAMBERS, S., JOHSNTON, R. Administração da Produção. 3ª Ed. São Paulo: Atlas. 2009. SLACK, N; LEWIS, M. Operations Strategy. Prentice Hall, 2002. VENKATRAMAN, N. IT – Enable business transformation: from automation to business scope redefinition. Sloan Management Review, Winter, v.35, n.2, p.73-87, 1994. YIN, R. Estudo de Caso – Planejamento e Métodos. Porto Alegre: Bookman, 3a ed, 2005. 17