UNIVERSIDADE CANDIDO MENDES
PÓS-GRADUAÇÃO “LATO SENSU”
INSTITUTO A VEZ DO MESTRE
GESTÃO DE RISCO E COMPLIANCE – VALORES AGREGADOS A
GOVERNANÇA CORPORATIVA NO MERCADO FINANCEIRO
Por: Ana Claudia Sobral de Sousa
Orientador
Profª. Ana Claudia Morrissy
Rio de Janeiro Outubro/2012
UNIVERSIDADE CANDIDO MENDES
PÓS-GRADUAÇÃO “LATO SENSU”
INSTITUTO A VEZ DO MESTRE
GESTÃO DE RISCO E COMPLIANCE – VALORES AGREGADOS A
GOVERNANÇA CORPORATIVA NO MERCADO FINANCEIRO
Apresentação de monografia à Universidade Candido Mendes como requisito parcial para obtenção do grau de especialista em Gestão Empresarial.
AGRADECIMENTOS
... aos meus pais, José Alberto e Ascenção da Conceição, pela dedicação intensa, pela boa educação e pelo apoio incondicional. A minha professora e orientadora Ana Claudia Morrissy, pelo apoio, preocupação com a formação dos alunos, pela compreensão e atenção dispensada aos seus orientandos.
A todos da equipe da Divisão de Conformidade da BBDTVM pelo material, pelos esclarecimentos e pelo conhecimento que adquiri através das discussões acerca do tema deste trabalho.
A todos aqueles professores, amigos e funcionários que, de alguma maneira, contribuíram para minha formação.
DEDICATÓRIA
...dedico este trabalho a minha querida filha Amanda, pela compreensão nos momentos que me fiz ausente e por serem meus companheiros de todas as horas.
RESUMO
O presente Trabalho de Conclusão de Curso tem como objetivo apresentar um estudo sobre a Gestão de Riscos e de Compliance, com foco no Valor que estas Atividades agregam para a Governança Corporativa, não só o Valor Financeiro, como também o Legal e de Imagem, evidenciando a sua importância, uma vez que estas ferramentas se tornaram indispensáveis, e em alguns segmentos obrigatórias, na Gestão Empresarial. Diante do elevado grau de importância que o processo de Gerenciamento de Riscos e a Atividade de Compliance têm dentro da Gestão de uma Organização, esta pesquisa apresentará as principais atividades que as envolvem, bem como o seu resultado nas organizações inseridas no Mercado Financeiro. Assim sendo, para alcançar tal objetivo, procurou-se caracterizar os elementos risco, Compliance e governança, bem como ressaltar suas principais características, e abordar as normas e os procedimentos que melhor atendem as exigências do mercado, governo, agências reguladoras e clientes além da necessidade de mitigar os prováveis resultados negativos, descrevendo seu planejamento, seus programas, as opções de controles, e, por último, destacar a influência na gestão empresarial. A partir desse estudo, foi possível identificar que o gerenciamento de risco e de Compliance estão encaixados dentro do contexto maior de Governança Corporativa. Uma vez que estas funções estejam bem estruturadas e sejam eficientes dentro de uma organização, fica claramente definido o grau de importância que representam, a fim de diminuir o potencial de perdas e garantir no mercado um diferencial bastante significativo e positivo.
PALAVRAS - CHAVE: Governança Corporativa, Análise de Riscos e Gestão de Compliance.
METODOLOGIA
A metodologia utilizada no desenvolvimento deste trabalho foi principalmente através de pesquisa bibliográfica tanto em livros quanto em revistas acadêmicas da área, além de textos e artigos disponíveis na internet.
Com base em estudos bibliográficos e de pesquisa que apontaram a necessidade cada vez maior em aprimorar as etapas como identificar, classificar, mensurar, mitigar, acompanhar e gerir os riscos inerentes as empresas, principalmente do mercado financeiro, independente do seu porte, além de verificar se estas atendem a novas regulamentações e padrões necessários para estar em Compliance, percebemos o aumento significativo da sua importância ao longo destes últimos anos, conforme apresentado no material do estudo citado, principalmente dos autores MANZI, Vanessa Alessi e CANDELORO, Ana Paula P.
SUMÁRIO
INTRODUÇÃO 08
CAPÍTULO I - Conceito de Compliance e da Função de Compliance 10
CAPÍTULO II - Conceito de Risco 13
CAPÍTULO III - Definição dos Principais Tipos de Risco 15
CAPÍTULO IV - Os Objetivos Estratégicos, As Fases e/ou Etapas e As Nor-
mas acerca da Gestão de Riscos 23
CAPÍTULO V - A Importância de Gerenciar Riscos 37
CAPÍTULO VI - A Influência da Atividade de Compliance para a Governança
Corporativa 40
CONCLUSÃO 44
BIBLIOGRAFIA 47
INTRODUÇÃO
“É perdoável ser derrotado, mas nunca surpreendido !!”
(FREDERICO, O Grande)
O Risco, por ser um elemento de incerteza, é a condição que cria ou aumenta o potencial de perdas, representando, portanto, uma forte ameaça a qualquer Empresa, fazendo com que o processo de seu Gerenciamento tenha um elevado grau de importância na Gestão de uma Organização. O conhecimento dos riscos e um sistema de controles internos eficaz são componentes de extrema importância para o sucesso de qualquer organização e para uma Gestão de Compliance eficaz.
Há riscos relacionados com os negócios recorrentes e com as novas oportunidades de negócios, no ambiente empresarial, como o lançamento de um produto, com geração de custos sem a certeza de retorno adequado, ou a entrada em novos mercados sem familiaridade com as estruturas política, econômica e empresarial que lhe são inerentes (ANTUNES, 1998).
Riscos relacionados a questões operacionais, de conformidade e de outra natureza, com implicações diferenciadas, também existem no ambiente empresarial. É importante que a relevância dos riscos de natureza estratégica na alocação de recursos para seu gerenciamento (em geral, escassos) seja conhecida. Problemas de conformidade, como por exemplo, com a legislação; ou operacionais, como por exemplo, uma falha no processo produtivo por problemas de sistemas ou de logística; podem colocar em risco o sucesso de uma área estratégica e, consequentemente, o sucesso de uma corporação (ANTUNES, 1998).
Ciente deste cenário de potencial de perdas, a direção das organizações de todos os segmentos de mercado, sabem da importância em mitigar riscos corporativos, bem como admite-se a impossibilidade de controlar eventos adversos,
tais como riscos inerentes ao negócio. Por isso, medidas preventivas e contingenciais são fundamentais para suportá-los a fim de minimizar os prováveis resultados negativos decorrentes do seu impacto nos negócios.
O Processo de Gerenciamento de Riscos também é tido como investimento em Prevenção de Perdas para uma empresa, e em um mercado competitivo resultado da grande expansão do comércio globalizado as empresas necessitam cada vez mais deste investimento, que elimina e reduz, efetivamente, a maioria dos riscos acidentais.
Sabendo-se que, quando adequadamente identificados e gerenciados, através de pesquisas e suporte especializado, os riscos de o empreendimento não ser bem-sucedido podem ser reduzidos significativamente, e o sucesso não somente ocorrer, mas gerar, ainda, substancial vantagem competitiva. Todavia, há riscos que simplesmente não devem ser assumidos quando não totalmente gerenciáveis ou se não houver recursos para tanto. Como por exemplo, construir ou operar uma planta industrial com risco de explosão de 50%, ou até menos, é inadmissível. O resultado da divulgação desse fato gera imagem negativa, risco de perda de funcionários e interdição legal, com conseqüentes efeitos adversos na reputação e nos negócios (ANTUNES, 1998).
A abertura da economia brasileira, a globalização e os grandes fluxos financeiros entre os consumidores e produtores de petróleo constituem um novo tempo – oportuno para se debater Compliance (MANZI, 2008).
CAPÍTULO I
CONCEITO DE COMPLIANCE
O termo Compliance origina-se do verbo em inglês to comply, que significa cumprir, executar, satisfazer, realizar algo imposto. Compliance é o ato de cumprir, de estar em conformidade e executar regulamentos internos e externos, buscando mitigar o risco vinculado à reputação e as regulamentações legais aplicáveis ao negócio, Código de Ética e Políticas da Instituição.
1.1 – Visão Histórica de Compliance
1950 – Prudential Securities, advogados deveriam acompanhar a legislação e monitorar atividades de valores mobiliários. Era de Compliance
1960 – SEC passa a insistir na contratação de Compliance Officers para: - Criar procedimentos Internos de Controles
- Treinar Pessoas
- Monitorar cumprimento dos procedimentos
1970 – Desenvolvimento do Mercado de Opções, Metodologias de Corporate Finance, Chinese Walls, Insider Trading etc.
1975 – É criado o Comitê de Supervisão Bancária da Basiléia.
Composto inicialmente por representantes dos bancos centrais dos países do G10
1980 – Compliance se expande para as atividades financeiras no mercado Americano.
1988 – Primeiro Acordo de Capitais da Basiléia.
1992 – Elaboração do “Regulamento Modelo sobre Delitos de Lavagem Relacionados com o Tráfico Ilícito de Drogas e Outros Delitos Graves”.
1997 – Basiléia – 25 princípios para uma Supervisão Bancária Eficaz. Destaque para o 14º princípio que dá origem aos 13 princípios
Era dos Controles Internos
1998 – Basiléia – 13 princípios para uma Supervisão Bancária Eficaz. Ênfase na necessidade de Controles Internos. Brasil: Lei 9613 (tipifica o crime de lavagem de dinheiro e cria o COAF) Resolução 2554 (dispões sobre a implantação e a implementação do Sistema de Controles Internos. Início dos estudos sobre o Basiléia II
2000 – Criação do GAFISUD – Organização intergovernamental com o objetivo de atuar na Prevenção à Lavagem de Dinheiro
12 Bancos Internacionais se reúnem na Suíça – Wolfsberg Group
2002 – Congresso Americano publica “Sarbanes-Oxley Act”, empresas registradas na SEC: deveriam adotar as melhores práticas contábeis, determina a independência da Auditoria e cria o Comitê de Auditoria. Brasil: Resolução 3056 altera a 2554, dispondo sobre a atividade de Auditoria para Controles Internos
1.2 – Função de Compliance
Assegurar, em conjunto com as demais áreas, a adequação, fortalecimento e o funcionamento do sistema de Controles Internos da Instituição, procurando mitigar os riscos de acordo com a complexidade de seus negócios, bem como, disseminar a cultura de controles para assegurar o cumprimento de leis e regulamentos existentes.
1.2.1 – Risco de Compliance
Risco legal ou de sanções regulatórias, de perda financeira ou perda de reputação que uma instituição pode sofrer como resultado de falhas no cumprimento de leis, regulamentações, códigos de conduta e das boas práticas bancárias.
1.2.2 – Etapas da Gestão do Risco de Compliance
Mitigação do risco de sanções regulatórias e risco de perda reputação.
1.2.3 – Atuação do Compliance nas Instituições
• Conformidade com leis, normas e políticas internas
• Adequação das normas externas com as normas internas • Participação na aprovação de novos produtos ou processos • Atuação junto às áreas de negócio – Consultivo
• Reporte dos riscos de Compliance para Alta Administração • Disseminar altos padrões éticos
• Fortalecer a cultura de controles internos
CAPÍTULO II
CONCEITO DE RISCO
Risco difere de perigo. Perigo é a origem da perda. Exemplo: incêndio é um perigo, o risco são as condições de armazenagem, carga de incêndio, cultura de funcionários, entre outras. A violência urbana é um perigo, a concretização dela depende das condições.
Para melhor compreender o que é risco precisamos estabelecer a distinção entre incerteza e risco. Sempre que não sabemos ao certo o que vai ocorrer no futuro temos incerteza. O risco é a parcela de incerteza para qual damos importância, porque afeta o bem-estar das pessoas.
O conceito de risco permite abordagens em diversas dimensões, como por exemplo, o simples fato de uma atividade existir, abre a possibilidade da ocorrência de eventos ou combinação deles, cujas consequências constituem oportunidades para obter vantagens ou então ameaças ao sucesso.
Pretende-se neste capítulo alcançar uma consistência de conceito de risco sobre o ponto de vista de uma organização, bem como sua caracterização e a exposição a ele.
O Risco pode ser conceituado como uma expectativa de perda expressada como a probabilidade de que uma ameaça em particular poderá explorar uma vulnerabilidade com um possível prejuízo, ou até mesmo, como uma medida da incerteza associada aos retornos esperados de investimentos.
Ainda assim, o Risco não é ruim por definição, na verdade ele é essencial para o progresso e as falhas decorrentes são parte de um processo de aprendizado.
2.1 – Caracterização de Risco
Uma empresa está sujeita a uma grande diversidade de riscos durante a condução de seus negócios e conhecê-los é fundamental, já que aqueles aos quais está exposta e que não sabe reconhecer são os que se revelam mais contundentes.
O risco pode ser definido como a combinação entre a probabilidade de ocorrência de um evento e suas consequências.
Em qualquer tipo de empreendimento há a possibilidade de eventos e consequências que se constituem em oportunidades de benefícios ou em ameaças ao sucesso.
A gestão de risco está cada vez mais relacionada tanto aos aspectos positivos quanto negativos do risco. Portanto, esse padrão considera essas duas perspectivas do risco.
Geralmente, se considera que as consequências são apenas negativas e que, portanto, a gestão de um risco deve estar focada na prevenção e mitigação desse dano.
2.2 – Exposição ao Risco
As mudanças no ambiente financeiro mundial, tais como a integração entre os mercados por meio do processo de globalização, o surgimento de novas transações e produtos, o aumento da sofisticação tecnológica e as novas regulamentações tornaram as atividades e os processos financeiros e seus riscos cada vez mais complexos.
Adicionalmente, as lições originadas dos desastres financeiros, contribuíram para a evidenciação da necessidade principal de gestão de riscos na indústria mundial.
Esses fatores influenciaram para que os órgãos reguladores e as instituições financeiras investissem na gestão dos riscos, visando o fortalecimento da saúde financeira dos bancos e a prevenção contra os efeitos prejudiciais ao sistema financeiro.
Para ficar alinhado a essa perspectiva, se faz necessário o investimento no aperfeiçoamento contínuo do processo e das práticas de gestão de riscos, em consonância com os referenciais internacionais de mercado e com as Normas mais recentes, tanto no Mercado Financeiro quanto em todos os Mercados dos demais segmentos.
CAPÍTULO III
DEFINIÇÃO DOS PRINCIPAIS TIPOS DE RISCO
Uma organização, seja de qual ramo for, estará sempre exposta a algum tipo de risco, enquanto corre pela busca de resultados, porém, a sua habilidade em atrair estes resultados positivos, são determinados pela qualidade da gestão desse risco.
A seguir, identificaremos os principais tipos de risco relacionados ao estudo da mensuração e gestão de risco: de mercado, de liquidez, de crédito, País, operacional, legal e de imagem.
3.1 – Risco de Mercado
O risco de mercado é o potencial de oscilação dos valores de um ativo durante um período de tempo. É representado pelos desvios – volatilidade – em relação ao resultado esperado.
Os riscos de mercado surgem porque as empresas mantêm no mercado, posições ativas e passivas que nem sempre coincidem em termos de vencimento, indexadores e moedas. As mudanças de preços dos ativos e dos passivos financeiros, que oscilam por natureza, uns mais, outros menos, impactam o risco de mercado.
3.2 – Risco de Liquidez
O risco de liquidez decorre da possibilidade de ocorrer incapacidade de honrar os compromissos assumidos, resultante de desequilíbrio de caixa gerado pelo descasamento dos prazos de vencimentos das operações ativas e passivas.
Uma instituição é considerada sem liquidez se os seus passivos tornarem-se exigíveis antes da realização de ativos ou da obtenção de funding¹ suficiente para
suprir as necessidades financeiras, seja por má administração dos prazos, seja por inadimplência de devedores.
Os riscos de liquidez podem ser divididos em: risco de liquidez de mercado/produto e risco de liquidez de fluxo de caixa/obtenção de recursos.
3.2.1 – Risco de Liquidez de Mercado/Produto
Surge quando uma operação não pode ser conduzida pelos preços de mercado prevalecentes, devido à atividade insuficiente no mercado.
O volume negociado é muito importante. Teoricamente, qualquer mercado pode assimilar qualquer negociação, dependendo apenas do nível de preço.
Este risco de liquidez pode ser difícil de ser quantificado, podendo variar de acordo com as condições de mercado, e pode ser administrado por meio do estabelecimento de limites em determinados mercados ou produtos e também por meio de diversificação.
3.2.2 – Risco de Liquidez de Fluxo de Caixa/Obtenção de Recursos
É a impossibilidade de cumprir as obrigações relativas ao fluxo de caixa que pode forçar a liquidação antecipada de contratos, transformando as perdas escriturais em perdas reais.
O risco de obtenção de recursos pode ser controlado através do planejamento adequado das necessidades, que podem ser administradas pela limitação dos intervalos entre os fluxos de caixa e também por meio de diversificação.
Estudar o volume negociado em cada mercado ao qual estamos expostos irá dizer até quanto podemos comprar ou vender de um artigo ou contrato, sem causar um forte movimentode preço.
3.3 – Risco de Crédito
Medida numérica da incerteza relacionada ao recebimento de um valor contratado/compromissado, a ser pago por um tomador de um empréstimo, contraparte de um contrato ou emissor de um título, descontadas as expectativas de recuperação e realização de garantias.
Decorre das possibilidades de perdas resultantes das operações que geram desembolso temporário de recursos ou das operações que geram recursos a serem recebidos em datas futuras.
Esse tipo de risco refere-se ao possível não recebimento dos recursos a que se tem direito ou ao seu recebimento fora do prazo e/ou das condições pactuadas.
3.4 – Risco País
Consiste no grau de confiança que o mercado mundial deposita em um determinado país em relação à sua capacidade de honrar seus compromissos externos.
É utilizado para avaliação de países e representado pela circunstância de o país devedor ficar impossibilitado de honrar seus compromissos na moeda em que a transação foi originada.
Esse risco ocorre quando o governo ou autoridade dominante impossibilita a liberação, transferência, conversibilidade ou qualquer outra forma de câmbio ou troca de moeda local por outra moeda que tenha curso livre nos principais mercados mundiais.
As agências de rating² realizam a medição do risco país. São internacionalmente reconhecidas e aceitas pela comunidade mundial de negócios. Empregam técnicas de avaliação modernas e atuais, sendo que seu julgamento é sólido e desprovido de quaisquer conflitos de interesses, representando uma ferramenta de análise fundamental e necessária aos investidores.
O risco operacional pode ser definido como uma medida numérica da incerteza dos retornos de uma instituição caso seus sistemas, práticas e medidas de controle não sejam capazes de resistir a falhas humanas, no processamento ou controle das operações, danos à infra estrutura de suporte, utilização indevida de modelos matemáticos ou produtos, alterações no ambiente dos negócios, ou a situações adversas de mercado.
Esse tipo de risco resulta em perda inesperada para a organização ou para seu cliente.
As principais sub-áreas do risco operacional são:
3.5.1 - Risco de Overload
Este pode ser definido como o risco de perdas por sobrecargas nos sistemas elétrico, telefônico, de processamento de dados, etc. Exemplos: 1) Sistemas não operacionais em agências bancárias por acúmulo de informação nos canais de comunicação com a central de atendimento; 2) Linhas telefônicas constantemente ocupadas.
3.5.2 - Risco de Obsolescência
Este pode ser definido como o risco de perdas pela não substituição frequente dos equipamentos e softwares antigos. Exemplos: 1) Versões atualizadas de softwares não compatíveis com hardware antigo; 2) Impossibilidade de integrar sistemas computacionais desenvolvidos em versões de software diferentes.
Este pode ser definido como o risco de perdas pelo fato de informações não poderem ser recebidas, processadas, armazenadas e transmitidas em tempo hábil e de forma confiável. Exemplos: 1) Situações onde informações consolidadas sobre exposição de um banco não podem ser obtidas em tempo hábil para análise; 2) Impossibilidade de prestar informações precisas em determinados horários devido à atualização de bancos de dados ocorrer por processamento em batch.
3.5.4 - Risco de Equipamento
Este pode ser definido como o risco de perdas por falhas nos equipamentos elétricos, de processamento e transmissão de dados, telefônicos, de segurança, etc. Exemplos: 1) Redes de micros contaminados por vírus; 2) Discos rígidos danificados; 3) Telefonia não operacional por falta de reparos.
3.5.5 - Risco de Erro Não Intencional
Este pode ser definido como o risco de perdas em decorrência de equívoco, omissão, distração ou negligência de funcionários. Exemplos: 1) Mau atendimento de correntistas (má vontade, falta de informação, etc.); 2) Posicionamento da tesouraria no mercado contrário ao especificado pelo Comitê de Investimentos.
3.5.6 - Risco de Fraudes
Este pode ser definido como o risco de perdas em decorrência de comportamentos fraudulentos (adulteração de controles, descumprimento intencional de normas da empresa, desvio de valores, divulgação de informações erradas, etc.). Exemplos: 1) Desvio de dinheiro de agência bancária; 2) Aceitação de “incentivos” de clientes para conceder crédito em valores mais elevados.
Este pode ser definido como o risco de perdas pelo fato de funcionários desempenharem tarefas sem qualificação profissional apropriada à função. Exemplos: 1) Uso de estratégias de hedge com derivativos sem conhecimento por parte do operador das limitações desta; 2) Iniciar operações em mercados “sofisticados” sem contar com equipes devidamente preparadas.
3.5.8 - Risco de Produtos & Serviços
Este pode ser definido como o risco de perdas em decorrência da venda de produtos ou prestação de serviços ocorrer de forma indevida ou sem atender às necessidades e demandas de clientes. Exemplos são dados por: 1) Envio de cartões de crédito sem consulta prévia ao cliente; 2) Recomendar a clientes de perfil conservador o investimento em fundos de derivativos alavancados diante de um bom desempenho no passado recente destes mesmos fundos.
3.5.9 - Risco de Regulamentação
Este pode ser definido como o risco de perdas em decorrência de alterações, impropriedades ou inexistência de normas para controles internos ou externos.
3.5.10 - Risco de Modelagem
Este pode ser definido como o risco de perdas pelo desenvolvimento, utilização ou interpretação incorreta dos resultados fornecidos por modelos, incluindo a utilização de dados incorretos. Exemplos: 1) Utilizar software comprado de terceiros sem conhecimento de suas limitações; 2) Utilizar modelos matemáticos sem conhecimento de suas hipóteses simplificadoras.
Este pode ser definido como o risco de perdas por depender de poucos produtos, clientes e/ou mercados. Exemplos: 1) Bancos que só operem financiando clientes de determinado segmento (por exemplo, setor automotivo, crédito a lojistas, etc.).
3.5.12 - Risco de Catástrofe
Este pode ser definido como o risco de perdas devido a catástrofes (naturais ou não). Exemplos: 1) Desastres naturais (enchentes) que dificultem a operação diária da instituição ou de áreas críticas como centros de processamento, de telecomunicações, etc. 2) Destruição do patrimônio da instituição por desastres que abalem a estrutura civil de prédios (colisão de aviões, etc.), incêndios, etc.
3.5.13 - Risco de Segurança
Este pode ser definido como o risco de perdas devido a problemas de segurança patrimonial e empresarial. Exemplos: Assalto; Seqüestros; Sabotagem.
3.6 – Risco Legal
Decorre do potencial de questionamento jurídico sobre a execução dos contratos, processos judiciais ou sentenças contrárias ou adversas que possam causar perdas que afetem os processos operacionais na organização.
Configuram riscos legais:
♦ insuficiência de documentação;
♦ falta de capacidade ou de autoridade da contraparte; ♦ incerteza legal;
♦ incapacidade de se implementar uma cobrança devido à quebra ou insolvência na contraparte.
3.7 – Risco de Imagem
É o risco de perdas em decorrência de alterações da reputação junto a clientes, concorrentes, órgãos governamentais.
Uma das causas que mais influencia esse tipo de risco consiste na publicidade negativa, verídica ou não, em relação à condução dos negócios da organização.
São exemplos de risco de imagem:
♦ os boatos sobre a saúde de uma instituição financeira, desencadeando corrida para saques;
♦ negociações de investimento alavancadas com perdas elevadas durante períodos de crise;
♦ envolvimento da organização em processos de lavagem de dinheiro e remessas de divisas ilegais.
CAPÍTULO IV
OS OBJETIVOS ESTRATÉGICOS, AS FASES E/OU ETAPAS
E AS NORMAS ACERCA DA GESTÃO DE RISCOS
4.1 – Os Objetivos Estratégicos da Gestão de Riscos
A premissa inerente ao gerenciamento de riscos corporativos é que toda organização existe para gerar valor às partes interessadas. Todas as organizações enfrentam incertezas, e o desafio de seus administradores é determinar até que ponto aceitar essa incerteza, assim como definir como essa incerteza pode interferir no esforço para gerar valor às partes interessadas.
Incertezas representam riscos e oportunidades, com potencial para destruir ou agregar valor. O gerenciamento de riscos corporativos possibilita aos administradores tratar com eficácia as incertezas, bem como os riscos e as oportunidades a elas associadas, a fim de melhorar a capacidade de gerar valor.
O valor é maximizado quando a organização estabelece estratégias e objetivos para alcançar o equilíbrio ideal entre as metas de crescimento e de retorno de investimentos e os riscos a elas associados, e para explorar os seus recursos com eficácia e eficiência na busca dos objetivos da organização. Os objetivos estratégicos do gerenciamento de riscos corporativos, segundo as premissas da Metodologia COSO são:
♦ Alinhar o apetite a risco com a estratégia adotada – os administradores avaliam o apetite a risco da organização ao analisar as estratégias, definindo os objetivos a elas relacionados e desenvolvendo mecanismos para gerenciar esses riscos.
♦ Fortalecer as decisões em resposta aos riscos – o gerenciamento de riscos corporativos possibilita o rigor na identificação e na seleção de alternativas de respostas aos riscos – como evitar, reduzir, compartilhar e aceitar os riscos.
♦ Reduzir as surpresas e prejuízos operacionais – as organizações adquirem melhor capacidade para identificar eventos em potencial e
estabelecer respostas a estes, reduzindo surpresas e custos ou prejuízos associados.
♦ Identificar e administrar riscos múltiplos e entre empreendimentos – toda organização enfrenta uma gama de riscos que podem afetar diferentes áreas da organização. A gestão de riscos corporativos possibilita uma resposta eficaz a impactos inter relacionados e, também, respostas integradas aos diversos riscos.
♦ Aproveitar oportunidades – pelo fato de considerar todos os eventos em potencial, a organização posiciona-se para identificar e aproveitar as oportunidades de forma proativa.
♦ Otimizar o capital – a obtenção de informações adequadas a respeito de riscos possibilita à administração conduzir uma avaliação eficaz das necessidades de capital como um todo e aprimorar a alocação desse capital.
Essas qualidades, inerentes ao gerenciamento de riscos corporativos ajudam os administradores a atingir as metas de desempenho e de lucratividade da organização, e evitam a perda de recursos. O gerenciamento de riscos corporativos contribui para assegurar comunicação eficaz e o cumprimento de leis e regulamentos, bem como evitar danos à reputação da organização e suas conseqüências. Em suma, o gerenciamento de riscos corporativos ajuda a organização a atingir seus objetivos e a evitar os perigos e surpresas em seu percurso.
4.1.1 - Eventos – Riscos e Oportunidades
Os eventos podem gerar impacto tanto negativo quanto positivo ou ambos. Os que geram impacto negativo representam riscos que podem impedir a criação de valor ou mesmo destruir o valor existente. Os de impacto positivo podem contrabalançar os de impacto negativo ou podem representar oportunidades, que por sua vez representam a possibilidade de um evento ocorrer e influenciar favoravelmente a realização dos objetivos, apoiando a criação ou a preservação de valor. A direção da organização canaliza as oportunidades para seus processos de
elaboração de estratégias ou objetivos, formulando planos que visam ao aproveitamento destes.
4.1.2 - Definição de Gerenciamento de Riscos Corporativos
O gerenciamento de riscos corporativos trata de riscos e oportunidades que afetam a criação ou a preservação de valor, sendo definido da seguinte forma:
O gerenciamento de riscos corporativos é um processo conduzido em uma organização pelo conselho de administração, diretoria e demais empregados, aplicado no estabelecimento de estratégias, formuladas para identificar em toda a organização eventos em potencial, capazes de afetá-la, e administrar os riscos de modo a mantê-los compatível com o apetite a risco da organização e possibilitar garantia razoável do cumprimento dos seus objetivos.
Essa definição reflete certos conceitos fundamentais. O gerenciamento de riscos corporativos é:
♦ um processo contínuo e que flui através da organização;
♦ conduzido pelos profissionais em todos os níveis da organização; ♦ aplicado à definição das estratégias;
♦ aplicado em toda a organização, em todos os níveis e unidades, e inclui a formação de uma visão de portfólio de todos os riscos a que ela está exposta;
♦ formulado para identificar eventos em potencial, cuja ocorrência poderá afetar a organização, e para administrar os riscos de acordo com seu apetite a risco;
♦ capaz de propiciar garantia razoável para o conselho de administração e a diretoria executiva de uma organização;
♦ orientado para a realização de objetivos em uma ou mais categorias distintas, mas dependentes.
Essa definição é intencionalmente ampla e adota conceitos fundamentais sobre a forma como as empresas e outras organizações administram riscos, possibilitando uma base para sua aplicação em organizações, indústrias e setores. O gerenciamento de riscos corporativos orienta seu enfoque diretamente para o
cumprimento dos objetivos estabelecidos por uma organização específica e fornece parâmetros para definir a eficácia desse gerenciamento de riscos.
4.1.3 – Realização de Objetivos
Com base na missão ou visão estabelecida por uma organização, a administração estabelece os planos principais, seleciona as estratégias e determina o alinhamento dos objetivos nos níveis da organização.
Essa estrutura de gerenciamento de riscos corporativos é orientada a fim de alcançar os objetivos de uma organização e são classificados em quatro categorias:
♦ Estratégicos – metas gerais, alinhadas com o que suportem à sua missão.
♦ Operações – utilização eficaz e eficiente dos recursos. ♦ Comunicação – confiabilidade de relatórios.
♦ Conformidade – cumprimento de leis e regulamentos aplicáveis.
Essa classificação possibilita um enfoque nos aspectos distintos do gerenciamento de riscos de uma organização. Apesar de essas categorias serem distintas, elas se inter-relacionam, uma vez que determinado objetivo pode ser classificado em mais de uma categoria, tratam de necessidades diferentes da organização e podem permanecer sob a responsabilidade direta de diferentes executivos. Essa classificação também permite diferenciar o que pode ser esperado de cada categoria de objetivos. A salvaguarda dos recursos, outra categoria utilizada por algumas organizações, também é descrita.
Em razão do fato dos objetivos relacionados com a confiabilidade e relatórios e o cumprimento de leis e regulamentos estarem sob controle da organização, pode-se esperar que o gerenciamento de riscos corporativos forneça uma garantia razoável em relação ao atendimento desses objetivos. Entretanto, a realização de objetivos estratégicos e operacionais está sujeita à ação de eventos externos nem sempre sob o controle da organização; da mesma forma, em relação a esses objetivos, o gerenciamento de riscos corporativos é capaz de propiciar uma garantia razoável que a diretoria executiva e o conselho de administração, na função
de supervisão, serão informados, no momento adequado, o quanto a organização está avançando na direção do atendimento dos objetivos.
4.1.4 – Componentes do Gerenciamento de Riscos Corporativos
O gerenciamento de riscos corporativos é constituído de oito componentes inter-relacionados, pela qual a administração gerência a organização, e estão integrados com o processo de gestão. Esses componentes são as fases e/ou etapas da Gestão de Riscos descritas no próximo subcapítulo.
4.2 – As Fases e/ou Etapas da Gestão de Riscos
4.2.1 - Ambiente Interno
O ambiente interno compreende o tom de uma organização e fornece a base pela qual os riscos são identificados e abordados pelo seu pessoal, inclusive a filosofia de gerenciamento de riscos, o apetite a risco, a integridade e os valores éticos, além do ambiente em que estes estão.
4.2.2 - Fixação de Objetivos
Os objetivos devem existir antes que a administração possa identificar os eventos em potencial que poderão afetar a sua realização. O gerenciamento de riscos corporativos assegura que a administração disponha de um processo implementado para estabelecer os objetivos que propiciem suporte e estejam alinhados com a missão da organização e sejam compatíveis com o seu apetite a riscos.
4.2.3 - Identificação de Eventos
Os eventos internos e externos que influenciam o cumprimento dos objetivos de uma organização devem ser identificados e classificados entre riscos e oportunidades. Essas oportunidades são canalizadas para os processos de estabelecimento de estratégias da administração ou de seus objetivos.
4.2.4 - Avaliação de Riscos
Os riscos são analisados, considerando-se a sua probabilidade e o impacto como base para determinar o modo pelo qual deverão ser administrados. Esses riscos são avaliados quanto à sua condição de inerentes e residuais.
A análise de riscos estruturada possui dois parâmetros claros a serem estudados:
♦ saber qual a chance, a probabilidade, dos perigos virem a acontecer, frente a condição existente – risco;
♦ calcular o impacto, seja ele operacional como financeiro.
Com estes dois critérios bem definidos podemos calcular a Perda Esperada, que é a probabilidade do risco vir a acontecer versus seu impacto financeiro.
A perda esperada é a fotografia de cada risco nas matrizes de monitoramento, pois representa o patamar máximo de investimento a ser realizado pela empresa na mitigação de seu risco. Os métodos de análise de riscos podem ser divididos em duas categorias: métodos objetivos (quantitativos) e métodos subjetivos (qualitativos).
♦ Avaliação de Risco Quantitativa - O objetivo das avaliações de risco quantitativas é tentar calcular valores numéricos objetivos para cada um dos componentes coletados durante as fases de análise de custo/benefício e de avaliação de risco. Por exemplo, você pode estimar o valor real de cada ativo de negócios em termos do custo de substituição, do custo associado à perda de produtividade, do custo representado pela reputação da marca e outros valores comerciais
diretos ou indiretos. Você deverá usar a mesma objetividade ao calcular o custo de exposição do ativo, o custo dos controles e todos os outros valores identificados durante o processo de gerenciamento de riscos. ♦ Avaliação de Risco Qualitativa - A diferença entre a avaliação de risco
qualitativa e a avaliação de risco quantitativa é que, na avaliação qualitativa, você não tenta atribuir valores financeiros fixos aos ativos, às perdas esperadas e ao custo de controles. Em vez disso, você tenta calcular valores relativos. A análise de risco é geralmente conduzida utilizando uma combinação de questionários e workshops colaborativos envolvendo pessoas de diversos grupos na organização, como especialistas em segurança, gerentes e gestores das áreas da empresa e usuários de ativos de negócios. Em seguida, tentam reconhecer as ameaças enfrentadas por cada ativo, e tentam imaginar quais tipos de vulnerabilidades poderiam ser explorados por tais ameaças no futuro. Por fim, os resultados são apresentados à gerência para serem levados em conta durante a análise de custo/benefício.
A Microsoft, em seu Guia de Gerenciamento de Riscos, enfatiza que deve haver uma declaração estruturada do risco, também sob os dois aspectos: Impacto e Probabilidade. Conforme diagrama abaixo:
4.2.5 - Resposta a Risco
A administração escolhe as respostas aos riscos - evitando, aceitando, reduzindo ou compartilhando – desenvolvendo uma série de medidas para alinhar os riscos com a tolerância e com o apetite a risco.
Impacto
Probabilidade
4.2.6 - Atividades de Controle
Políticas e procedimentos são estabelecidos e implementados para assegurar que as respostas aos riscos sejam executadas com eficácia.
4.2.7 - Informações e Comunicações
As informações relevantes são identificadas, colhidas e comunicadas de forma e no prazo que permitam que cumpram suas responsabilidades. A comunicação eficaz também ocorre em um sentido mais amplo, fluindo em todos os níveis da organização.
4.2.8 – Monitoramento
A integridade da gestão de riscos corporativos é monitorada e são feitas as modificações necessárias. O monitoramento é realizado através de atividades gerenciais contínuas ou avaliações independentes ou de ambas as formas.
A rigor, o gerenciamento de riscos corporativos não é um processo em série pelo qual um componente afeta apenas o próximo. É um processo multidirecional e interativo segundo o qual quase todos os componentes influenciam os outros.
♦ Relacionamento entre Objetivos e Componentes:
Existe um relacionamento direto entre os objetivos, que uma organização empenha-se em alcançar, e os componentes do gerenciamento de riscos corporativos, que representam aquilo que é necessário para o seu alcance. Esse relacionamento é apresentado em uma matriz tridimensional em forma de cubo.
As quatro categorias de objetivos (estratégicos, operacionais, de comunicação e conformidade) estão representadas nas colunas verticais. Os oito componentes nas linhas horizontais e as unidades de uma organização na terceira dimensão. Essa representação ilustra a capacidade de manter o enfoque na totalidade do gerenciamento de riscos de uma organização, ou na categoria de objetivos, componentes, unidade da organização ou qualquer um dos subconjuntos.
A determinação do grau de eficácia do gerenciamento de riscos corporativos de uma organização corresponde ao julgamento decorrente da avaliação da presença e da eficácia do funcionamento dos oito componentes. Desse modo, os componentes também são critérios para o gerenciamento eficaz de riscos corporativos. Para que os componentes possam estar presentes e funcionar adequadamente, não poderá haver fraquezas significantes, e os riscos necessitam ser enquadrados no apetite a risco da organização.
Quando se constata que o gerenciamento de riscos corporativos é eficaz em cada uma das quatro categorias de objetivos, isso significa que o conselho de administração e a diretoria executiva terão garantia razoável de que entenderam até que ponto, os objetivos estratégicos e operacionais não estão realmente sendo alcançados, o sistema de comunicação da empresa é confiável, e todas as leis e regulamentos cabíveis estão sendo observados.
Os oito componentes não funcionarão de forma idêntica em todas as organizações. A sua aplicação em organizações de pequeno e médio portes, por exemplo, poderá ser menos formal e menos estruturada. Não obstante, as pequenas organizações podem apresentar um gerenciamento de riscos eficaz, desde que cada um de seus componentes esteja presente e funcionando adequadamente.
O processo de avaliação de riscos compreende uma metodologia a ser aplicada para a percepção do risco inerente a cada operação. Considerando a necessidade de aperfeiçoamento contínuo desses critérios, haverá uma melhora na compreensão relativa da vulnerabilidade correspondente a cada processo além de propiciar a oportunidade de melhoria nos controles internos e a anulação ou redução do risco identificado.
O Método Avançado de análise e Resposta aos Riscos Corporativos – é formado por elementos alinhados com a Futura Norma ISO 31000. Os elementos
principais do processo estão integrados no ciclo do PDCA (Plan, Do, Check e Action).
4.3 – As Normas da Gestão de Riscos
Neste subcapítulo iremos estudar das Normas que foram criadas especificamente para atender as necessidades da Gestão de Riscos. São elas as normas COSO e a ISO 31000.
O objetivo do COSO³ (Comittee of Sponsoring Organizations of the Treadway Commission), norma criada em 1992, é o controle interno, ou seja, elaborar um processo para garantir, com razoável certeza, que sejam atingidos os objetivos das empresas.
Para gerar uma norma universal que englobasse os diferentes conceitos de gestão de riscos, foi criada, em 2009, a norma ISO 31000 “General Guidelines for principles and implementation of risk management” 4. A partir de sua criação foi
de atuação da organização. Seu o objetivo é lidar com a incerteza que pode afetar os objetivos empresariais.
Quando falamos em COSO estamos falando de Controle Interno, que compreende o plano da organização e o conjunto coordenado de métodos e medidas, adotados pela empresa, para: proteger seu patrimônio, verificar a exatidão e a fidedignidade de seus dados contábeis, promover a eficiência operacional e encorajar a adesão à política traçada pela administração.
Um dos objetivos é buscar através da norma, a eficiência e eficácia operacional. Aqui esta categoria está relacionada com os objetivos básicos da entidade, inclusive com os objetivos e metas de desempenho e rentabilidade, bem como a segurança e qualidade dos ativos.
Outro ponto da norma é a confiança nos registros contábeis e financeiros, pois, toda transações devem ser registradas e todos os registros devem refletir transações reais, consignadas pelos valores e enquadramento corretos. A empresa, também, deve buscar a conformidade com as leis e normativos aplicáveis à entidade e sua área de atuação.
Pelo COSO, o Controle Interno é um processo constituído de componentes, que estão inter-relacionados e presentes em si.
Já a norma ISO 31000 foi criada com o objetivo de ser uma norma genérica de gerenciamento de riscos, aplicável em qualquer tipo de organização independente do tamanho e ramo de atividade. Sua metodologia visa identificar e analisar os riscos e os cenários que serão enfrentados. A norma pode ser aplicada a vários tipos de riscos, por exemplo: financeiro, operacional, de saúde, de projeto, de meio ambiente, de informação, de segurança empresarial, entre outros. A norma serve para fazer com que as empresas não tratem os riscos de forma isolada, de modo que possa haver um estudo de impactos cruzados entre as diversas áreas da organização.
Assim sendo, a norma 31000 visa estabelecer uma linguagem comum e padronizar as melhores práticas, para assim, criar a convergência, ou seja, a norma visa a criação de uma gestão integrada dos riscos das diferentes áreas de uma organização. Cada risco levantado deve se atrelar ao fator de risco - onde a ferramenta acaba sendo escolhida pela empresa. Enquanto o processo de gestão de riscos segundo a norma COSO é constituído de 8 componentes, já descritos
³Comitê das Organizações Patrocinadoras.
4
anteriormente, o processo de gestão de riscos da norma 31000 é dividido em sete etapas:
• Comunicação e consulta: é importante desenvolver um plano de comunicação com as partes internas e externas envolvidas, logo no primeiro estágio do processo. A comunicação envolve diálogo entre as partes, tendo como foco a consulta e não somente a comunicação de via única. A comunicação, interna e externa, eficaz é importante para que os responsáveis pela implementação da gestão de riscos e os investidores compreendam quais são as decisões tomadas e por que determinadas ações são necessárias;
• Contexto: é o ambiente no qual a organização está inserida, compreendendo os tipos: estratégico; organizacional; de gestão de riscos; de critérios (qual metodologia será utilizada); de estrutura e de variáveis incontroláveis;
• Identificação dos riscos e perigos: para se ter uma visão efetiva dos riscos e de seus fatores, existe a necessidade de se realizar uma avaliação das condições de segurança da empresa. Após conhecer o contexto em que a organização está inserida, é possível definir quais os riscos que devem ser estudados. A identificação deve incluir todos os perigos, estejam ou não sob o controle da Unidade de negócio. O objetivo é gerar uma lista abrangente de eventos que possam afetar a organização. Após identificar os riscos, a organização deve identificar quais são seus fatores de risco;
• Análise de riscos: verifica o grau de criticidade dos riscos através de sua probabilidade de ocorrência e impacto na organização. Aqui usamos critérios prospectivos, pois os critérios projetivos não levam em conta o contexto atual em que a organização está inserida;
• Avaliação de riscos: calculamos o grau de probabilidade através da fórmula GP= fator de riscos (FR) x exposição (E). Após obtermos o Grau de Probabilidade e seu impacto é possível criar uma matriz de vulnerabilidade para cada risco;
• Tratamento dos riscos: dependendo do risco, a organização poderá, através de sua avaliação e análise, reter, reduzir, transferir, explorar ou
até mesmo evitar o risco. Assim, a organização cria planos de ação com o objetivo de propor soluções possíveis para mitigar os riscos e reduzir suas consequências;
• Monitoramento: serve para acompanhar se as medidas do Plano de Ação estão surtindo o efeito desejado e para verificar o nível de riscos identificados através de seus fatores de riscos.
Levando em conta o framework de cada norma:
Apesar de existirem semelhanças entre as normas ISO 31000 e COSO - como a identificação de riscos x identificação de eventos, análise de riscos x avaliação de riscos, monitoramento e comunicação -, o foco de cada uma é diferente. A norma 31000 tem um processo com foco principal no risco que afeta a empresa, com o objetivo de mitigá-los, assumi-los ou evitá-los. Já a norma COSO tem um processo com foco principal no controle, para garantir a eficiência e eficácia do monitoramento das atividades que irão tratar os riscos.
A ISO 31000 busca integrar todo o processo de gestão de riscos da empresa, mudando os conceitos tradicionais que prevêem a atuação independente de cada área. Em seu framework, a norma recomenda que todas as áreas da empresa interajam com um mesmo objetivo. Para isso, traz uma linguagem comum, ou seja, a definição de uma metodologia igual para todas as áreas.
Além de abordar uma visão diferenciada, a norma terá aplicabilidade em diversos tipos de riscos. Ela também insere em seu contexto as oportunidades para o negócio. Outro ponto relevante na ISO 31000 é a recomendação em considerar sempre os fatores humanos.
CAPÍTULO V
A IMPORTÂNCIA DE GERENCIAR RISCOS
“A idéia revolucionária que define a fronteira entre os tempos modernos e o passado é o domínio do risco: a noção de que o futuro é mais do que um capricho dos deuses e de que homens e mulheres não são passivos ante a natureza. Até seres humanos descobrirem como transpor essa fronteira, o futuro era um espelho do passado ou o domínio obscuro de oráculos e adivinhos que detinham o monopólio sobre o conhecimento dos eventos previstos.” (BERNSTEIN, 1997, p.1).
A administração das empresas deve identificar os eventos em potencial que, caso ocorram, afetarão a organização. Devem também determinar se esses representam oportunidades ou se podem ter algum efeito adverso, na sua capacidade de implementar adequadamente a estratégia e alcançar os objetivos.
Eventos de impacto negativo representam riscos que exigem avaliação e resposta da administração. Os eventos de impacto positivo representam oportunidades que são canalizadas de volta aos processos de fixação das estratégias e dos objetivos. Ao identificar eventos, a administração considera uma variedade de fatores internos e externos que podem dar origem a riscos e a oportunidades no contexto de toda a organização.
Uma infinidade de fatores externos e internos impulsiona os eventos, que afetam a implementação da estratégia e o cumprimento dos objetivos. Como parte do gerenciamento de riscos corporativos, a administração deve reconhecer a importância de compreender esses fatores e o tipo de evento que pode emanar deles.
A gerência de riscos têm se tornado um assunto de suma importância no meio empresarial, pois a conscientização da administração dos riscos potenciais é hoje uma questão de competitividade e sobrevivência, além disso, a gerência de riscos é também vista como peça fundamental para que a instituição possa navegar
em mares mais tranquilos, pode ser definida como sendo a função, dentro do contexto empresarial, que visa a proteção dos recursos humanos, materiais e financeiros desta, quer através da eliminação, redução ou financiamento dos riscos, conforme seja financeiramente mais viável.
A percepção de que as consequências irreversíveis podem afetar o meio ambiente, que os recursos não são ilimitados e que, do ponto de vista financeiro, o impacto pelas perdas das vidas e bens tangíveis e intangíveis da empresa, nunca mais se recuperam, tem exigido maior preocupação e responsabilidade dos gestores.
A administração eficaz de riscos direciona as ações no sentido de eliminar riscos desnecessários. Os vários instrumentos disponíveis são utilizados visando um gerenciamento com níveis mais adequados de confiança.
Quando dirige uma organização, independente do tamanho, o gestor deve estar preocupado em gerenciar bem os assuntos mais importantes. O gestor pode assegurar-se contra certos riscos atribuindo procedimentos de controle para o risco não virar realidade. É possível que a implantação de controles não seja a única resposta da administração aos riscos. Depois de identificados certos riscos, pode decidir por não tomar nenhuma ação específica considerando os possíveis efeitos desses riscos como “aceitáveis”. Outros, o gestor não irá aceitar. Então deverá adotar medidas para minimizar/ mitigar o risco. Existem outros riscos que, mesmo adotados todos os procedimentos que podem ser aplicados, ainda vão continuar existindo: risco residual. Importante então é concentrar os esforços na redução desses riscos, ou seja, minimizá-los ao máximo controlando adequadamente as causas e reduzindo a possibilidade de que se materializem, evitando, os seus efeitos (ATTIE, 2000; BOCAYÚVA, 1999; ALMEIDA, 2003).
Portanto, o risco é entendido como um potencial de perda, ou seja, o grande objetivo de se avaliar os riscos é ser pró-ativo e preventivo, o que não quer dizer que os riscos serão completamente exterminados (ATTIE, 2000; BOCAYÚVA, 1999; ALMEIDA, 2003).
Quando se administra e gerencia riscos, o retorno pode ser definido como o aumento do capital investido ou aplicado. As incertezas quanto a esses retornos podem ser mensuradas por meio de estimativas de probabilidades de eventos futuros.
Uma eficiente e eficaz gestão de riscos corporativos tem por finalidade garantir a sustentabilidade no presente e futuro dos negócios e necessita de sólida estrutura de políticas de Gestão de Riscos.
Dentro deste enfoque, o entendimento de risco corporativo começou a tomar um outro corpo dentro das organizações. Embora o risco acompanhe o homem e seja inerente à sua natureza, as organizações começaram a observar e sentir que nem todos os riscos são iguais. O que existe quando se faz uma viagem de avião, não é igual à realidade de uma dona de casa nas suas tarefas domésticas, nem à situação de um navegante solitário que cruza o Atlântico. A era da crença excessiva na racionalidade gerencial parece ter chegado ao fim. Hoje, sabe-se que o mundo organizacional é mais complexo e ambíguo do que se pensava. A atuação gerencial convive com a imprevisibilidade e com a ambigüidade; sendo que um dos elementos principais dessa convivência é ter que tomar decisões baseadas em informações incompletas e/ou em constante mudança.
Num cenário onde as mudanças são velozes, as instabilidades permanentes e a imprevisibilidade alta, a formulação de estratégias organizacionais já não pode combinar com métodos tradicionais de projeção e análise.
CAPÍTULO VI
A INFLUÊNCIA DA ATIVIDADE DE COMPLIANCE PARA A
GOVERNANÇA CORPORATIVA
As vantagens do Gerenciamento dos Riscos estão na redução dos custos e riscos trabalhistas, na participação intensa da continuidade dos negócios organizacionais (presente/futuro).
Através de avaliações periódicas, o Gerenciamento de Riscos participa efetivamente da melhoria da qualidade organizacional da empresa, minimizando situações de “não conformidade” (descumprimento de especificações fixadas em normas e manuais da qualidade e visa aperfeiçoar as práticas (processos e resultados) assegurando assim metas e resultados planejados e ainda obtém total segurança quanto ao sigilo das informações.
Mais do que mitigar riscos (internos ou externos) e buscar a redução de danos à organização em situação de incidentes, sejam de ordem econômica, natural ou até um incêndio, os executivos devem pensar em caminhos e ações que garantam a continuidade de operação da corporação. As iniciativas de desenvolvimento de políticas estruturadas e eficazes de gestão de riscos devem atender toda a empresa e possibilitar a criação de diretrizes mais claras sobre quais medidas a companhia adotará.
A importância de uma política de gerenciamento de riscos permanente, que fiscalize todas as áreas de negócios da organização se dá como um processo de conhecimento e reconhecimento da alma da corporação.
A Governança Corporativa é o sistema que assegura aos sócios-proprietários o governo estratégico da empresa e o efetivo controle da diretoria executiva que visa a aumentar a probabilidade dos fornecedores de recursos garantirem para si o retorno sobre seu investimento, por meio de um conjunto de mecanismos no qual se inclui o Conselho de Administração.
A Governança Corporativa nasceu e evoluiu da equidade, transparência e responsabilidade pelos resultados – sustentabilidade.
Um dos pilares da Governança Corporativa é a Atividade de Compliance, pois é através da Implementação da Cultura de Compliance dentro de uma Instituição que alcançamos a Mitigação do risco atrelado à reputação através da Disseminação de Elevados padrões éticos (Credibilidade e transparência) aliado a Mitigação do risco regulatório com o Fortalecimento dos controles internos (Conformidade).
Os principais desafios de Compliance são:
• Monitoramento eficiente baseado em risco de Compliance • Trabalho focado na gestão integrada de riscos da instituição • Necessidade de sistemas que auxiliem na função de Compliance
• Desenvolvimento de um trabalho cada vez mais próximo da área de Negócios. Para isso, os profissionais desta área estão aumentando e muito seus conhecimentos de negócio e produtos
6.2 –A Tomada de Decisão
O modelo de decisão é um molde para escolher a alternativa a ser objetivada, ou seja, para que a empresa atinja seus objetivos já planejados, e para que surta efeito, tem que ser levado em consideração a racionalidade e o esforço do tomador de decisão. Para Guerreiro (1996), "O modelo de decisão deve ser específico para cada natureza de evento e corresponder ao processo decisório lógico utilizado pelo gestor, o qual norteia a escolha das alternativas".
O processo de tomada de decisão pode ser caracterizado pela sequência lógica dos eventos, podendo percorrer as seguintes etapas:
♦ O reconhecimento do problema; ♦ Obtenção dos fatos;
♦ Definir as alternativas de solução dos problemas; ♦ Avaliar e classificar as alternativas de solução;
♦ Validação da decisão tomada.
Existem ainda tipos de modelos de decisão que são:
♦ Simulação, onde o tomador de decisões pode viajar em possíveis alternativas formuladas e avaliadas futuramente;
♦ Otimização, que são feitas através de estudos matemáticos e estatísticos, para se chegar a uma única alternativa; e
♦ Heurísticos, que eliminam as alternativas menos prováveis por meio de rotinas computadorizadas, para encontrar a solução ideal.
A informação é um recurso utilizado pelo gestor para alcançar os objetivos de uma empresa, utilizando-a de forma eficiente e eficaz. Tem características como relevância, custo-beneficio e a flexibilidade de adaptação ao usuário. Portanto, cada informação fornecida ao gestor para tomada de decisão deve ser processada e analisada cuidadosamente para que um fluxo muito grande de informações não atrapalhe na tomada de decisões.
Não se pode falar do processo de gestão (planejamento, execução e controle) sem mencionar os sistemas de informação, que são base de qualquer processo que envolva a Contabilidade, pois é por meio da informação que os gestores avaliam e identificam as oportunidades e as ameaças que rondam o ambiente de uma empresa.
O sistema de informações gerenciais alimenta a base de dados dos gestores para que tomem as decisões, para isso, deve-se filtrar e analisar as informações existentes, assim quanto melhor possa se encaixar uma informação dentro da necessidade do gestor, melhor será a decisão a ser tomada. E essas informações devem ser precisas e na frequência correta.
As práticas de Governança Corporativa, as atividades de Gestão de Riscos e as de Compliance não são novas. Governança Corporativa, Gestão de Riscos e Compliance sempre foram preocupações fundamentais de instituições financeiras e de seus líderes. O que é novo é uma percepção emergente de integrar esses conceitos que, quando aplicados holisticamente dentro de uma instituição financeira, podem agregar valor significativo e oferecer vantagem competitiva.
A nova visão de Compliance é uma visão cujo enfoque não é somente nas leis e regulamentações, mas nas normas, nas políticas internas e nas expectativas do stakeholder5
, e que contemple o Compliance como um agregador de valor para a instituição financeira, e não como uma função.
5
CONCLUSÃO
Os escândalos cada vez mais expostos pela mídia de fraude e corrupção despertaram a necessidade de se controlar, fiscalizar e auditar de uma forma mais abrangente as organizações.
Estudiosos de economia, finanças, contabilidade e administração começaram a dedicar mais atenção na “Avaliação de Riscos” diante dessa realidade e a atuação das auditorias internas começou a se transformar, conforme apresentamos no trabalho.
Essa atitude não significa que os riscos serão eliminados e extintos. Por mais métodos de controle que se adote sempre haverá um risco residual. Importante então é concentrar os esforços na redução desses riscos, ou seja, minimizá-los ao máximo controlando adequadamente as causas e reduzindo a possibilidade de que se materializem, evitando, os seus efeitos.
A qualidade dos controles internos é uma forte medida de valor das organizações.
Com o advento da globalização, a ênfase conferida aos controles internos nas organizações é cada vez maior, pois reflete o nível de controle e conhecimento que a administração tem sobre as operações e processos da organização, impactando conseqüentemente a sua eficiência e o seu valor de mercado. Conseqüentemente, os administradores se interessam cada vez mais pelo exercício da boa governança e da transparência.
O maior efeito dos bons controles internos é que eles proporcionam a normalidade do ambiente, necessária para a organização florescer. Muitas vezes o benefício da existência de bons controles é subjacente, invisível, até o imprevisto acontecer. A garantia da normalidade é uma prioridade para fazer negócios, além de assegurar que as coisas certas sejam feitas como devem, cada vez melhor.
Muitas histórias de insucesso poderiam ter tido final diferente talvez, se os controles internos fossem mais adequados.
O uso de controles organizacionais alia-se à própria gestão do negócio, pois os instrumentos dessa prática, colocados à disposição dos administradores das empresas, facilitam sobremaneira a tomada de decisões, dada a sua abrangência.
Os controles internos contribuem para a salvaguarda dos ativos das empresas, para o desenvolvimento dos negócios e, conseqüentemente, para o resultado das operações, agregando valor à entidade.
Os estudos realizados para o trabalho resultaram na convicção da importância de se gerir uma organização focando nos fatores de risco presentes nas atividades, processos, programas. É uma forma de se obter maior conforto de que as atividades estão sendo desenvolvidas com atenção aos pontos que podem sujeitar a organização a maiores riscos de não se concretizarem os objetivos programados.
Governança Corporativa é o sistema pelo qual as sociedades são dirigidas e monitoradas, envolvendo os relacionamentos entre acionistas/cotistas, conselho de administração, diretoria, auditoria independente e conselho fiscal. As boas práticas de governança corporativa têm a finalidade de aumentar o valor da sociedade, facilitar seu acesso ao capital e contribuir para a sua perenidade, Compliance é um dos pilares da Governança Corporativa.
A integração desses conceitos vem sendo vista como uma grande oportunidade dirigida para evitar consequências negativas. Hoje em dia, a habilidade de lidar com o futuro é, no mínimo, tão importante quanto direcionar a oportunidade da integração desses conceitos. As atividades de Compliance necessitam ser mais previdentes e pró-ativas. Muitos são os benefícios de se integrar as práticas de Governança Corporativa, de Gestão de Riscos e Compliance.
BIBLIOGRAFIA
1 - ALMEIDA, Marcelo Cavalcanti. Auditoria: um curso normal e completo. 6. ed. São Paulo: Atlas, 2003.
2 - ANTUNES, Jerônimo. Contribuição ao estudo da avaliação de risco e controles internos na auditoria de demonstrações contábeis no Brasil. São Paulo: editora Faculdade de Economia, 1998.
3 - ATTIE, Willian. Auditoria: conceitos e aplicações. 3. ed. São Paulo: Atlas, 2000.
4 - BERNSTEIN, Peter L. Desafio dos Deuses: A Fascinante história do Risco.8a edição, Rio de Janeiro: Campus, 1997, p.1
5 - BOCAYUVA, Luiz Gustavo Almeida. Matriz de Risco para Auditoria Integral. 1999. 100f. Monografia (conclusão de curso) – Fundação Getúlio Vargas, Escola de Administração Pública, Brasília.
6 - MANZI, Vanessa Alessi. Compliance no Brasil: Consolidação e perspectivas. São Paulo: Saint Paul, 2008.
ÍNDICE
FOLHA DE ROSTO 02 AGRADECIMENTO 03 DEDICATÓRIA 04 RESUMO 05 METODOLOGIA 06 SUMÁRIO 07 INTRODUÇÃO 08 CAPÍTULO I CONCEITO DE RISCO 10 1.1 – Caracterização de Risco 10 1.2 – Exposição ao Risco 11 CAPÍTULO IIDEFINIÇÃO DOS PRINCIPAIS TIPOS DE RISCO 12
2.1 – Risco de Mercado 12
2.2 – Risco de Liquidez 12
2.2.1 – Risco de Liquidez de Mercado/Produto 13
2.2.2 – Risco de Liquidez de Fluxo de Caixa/Obtenção de Recursos 13
2.3 – Risco de Crédito 14
2.4 – Risco País 14
2.5 – Risco Operacional 15
2.5.1 – Risco de Overload 15
2.5.2 – Risco de Obsolescência 15
2.5.3 – Risco de Presteza e Confiabilidade 16
2.5.4 – Risco de Equipamento 16
2.5.5 – Risco de Erro Não Intencional 16
2.5.6 – Risco de Fraudes 16
2.5.7 – Risco de Qualificação 17
2.5.8 – Risco de Produtos & Serviços 17
