de riscos –
É hora de agir
As oito prioridades em gerenciamento
de risco para os executivos
kpmg.com/BR
Em colaboração com a EIU - Economist Intelligence Unit
Introdução
Maiores ameaças
Retorno sobre o
investimento
Avaliar a
exposição
ao risco
Definir o apetite
a risco
Conclusão
As três linhas
de defesa
Barreiras à
convergência
Frágeis estruturas
de incentivo
Introdução
O que esperar do gerenciamento de riscos –
É hora de agir
As oito prioridades em gerenciamento de risco para executivos
Com a atividade econômica ainda contraída pelas dificuldades financeiras nas principais economias, espera-se em 2013 que o crescimento econômico global seja apenas um pouco melhor do que foi em 2012, bem abaixo dos níveis que precederam a recessão. A expectativa é melhor para os países emergentes: a Economist Intelligence Unit (EIU) prevê um crescimento de 5,7% em países não pertencentes à OCDE
(Organização para a Cooperação e Desenvolvimento Econômico), percentual três vezes maior do que o crescimento dos membros da OCDE, de 1,4%. Ainda assim, os mercados emergentes também enfrentam desafios enquanto os políticos ensejam dinâmicas mais sustentáveis de crescimento face à estagnação da demanda em mercados mais maduros, que ainda respondem por mais de 60% da economia global medidos em dólares americanos, de acordo com a EIU. As economias desenvolvidas irão enfrentar ambientes regulatórios mais complexos no rescaldo da crise financeira, ao passo que aproveitar as oportunidades nos países emergentes exige que as empresas compreendam estes novos mercados e respondam às ameaças que suscitam. O gerenciamento de risco, portanto, continua no topo da agenda corporativa no mundo todo.
Uma nova dinâmica está surgindo: ocorre um aumento sensível na complexidade e na incerteza que ronda as organizações à medida que elas buscam meios inovadores para crescer em novos
mercados, enfrentando forte concorrência e ampliando substancialmente os investimentos em tecnologia. No entanto, esses desafios estão crescendo mais rapidamente do que a capacidade da maioria das organizações de gerenciá-los com agilidade, conhecimento e com uma cultura atenta e adaptável ao risco. Assim, esta diferença está aumentando e estamos diante de um momento decisivo, que justifica aumentar a capacidade de dominar e otimizar riscos. As expectativas dos stakeholders sobre sofisticadas estruturas de gerenciamento de riscos nas empresas continuam a crescer, e em um ritmo que estas organizações não têm conseguido acompanhar.
Em dezembro de 2012, a EIU conduziu uma pesquisa mundial, patrocinada pela KPMG International, com mais de 1.000 dos mais altos executivos, para analisar como as empresas estão integrando uma abordagem holística de governança, risco e compliance (GRC - Governance, Risk & Compliance), que perpasse toda a empresa. Os principais resultados da pesquisa foram:
1. O gerenciamento de riscos é visto como um elemento crucial para o negócio da empresa; no entanto, as organizações precisam melhorar o modo como medem o quanto o gerenciamento de riscos traz de retorno sobre o seu investimento e como comunicam seu processo, seu valor e sua efetividade aos stakeholders. 2. Avaliar a exposição ao risco em toda a organização
3. Os altos executivos vêem o gerenciamento de risco como fator crítico, mas poucas organizações definem o seu apetite ao risco;
4. A pressão regulatória e as mudanças no ambiente regulatório representam a maior ameaça para os entrevistados; a instabilidade político-econômica global é vista como principal cenário de risco;
5. Os entrevistados acreditam que as unidades de negócios são mais aptas do que uma área de
gerenciamento de riscos, de compliance ou a auditoria interna para a avaliação e gerenciamento de riscos; 6. A falta de talentos profissionais e/ou expertise tem impedido a convergência das funções de risco e de controle;
7. Estruturas de incentivo frágeis impedem tomadas de decisão baseadas no risco;
8. Investimentos para melhorar a gestão do risco continuarão a crescer nos próximos três anos.
A pesquisa incluiu respostas de 1.092 altos executivos ao redor do mundo. Deles, 28% são CEOs, 18% CFOs e 7% membros de conselhos de administração. Os demais executivos entrevistados atuam em áreas como operações, jurídico, tecnologia, compliance e auditoria interna. A amostra reúne respondentes da América do Norte (25%), Europa Ocidental (23%) e Ásia/Pacífico (23%), além da América Latina (15%) e o Oriente Médio (13%). Mais da metade (54%) das
empresas dos entrevistados tem receita anual de US$ 500 milhões ou mais; 37% têm receita igual ou maior que US$ 1 bilhão e 14% têm receita acima US$ 10 bilhões. A pesquisa se concentra principalmente em cinco setores, que juntos representam mais de três quartos dos entrevistados: Serviços Financeiros (17%); Tecnologia, Mídia e Telecomunicações (16%); indústria em geral (15%); Healthcare (15%); e Energia e Recursos Naturais (14%).
O questionário foi centrado em torno de áreas prioritárias para avaliar a evolução do GRC: (a) operacionalização/ integração do programa de gerenciamento de riscos e sua conexão com a estratégia organizacional, (b) definição precisa do perfil de risco, (c) definição clara de funções e responsabilidades na estrutura das “três linhas de defesa”, (d) convergência de funções de controle e de risco em toda a organização, (e) maior agregação e análise dos dados a fim de se ter uma perspectiva ampla sobre os riscos, que abranja toda a organização, (f) aumento da transparência com melhoria dos relatórios e de outras ferramentas de comunicação, e (g) adaptação ao ambiente regulatório em evolução.
Retorno sobre o investimento
1. O gerenciamento de riscos é visto como um elemento crucial para o negócio da
empresa; no entanto, as organizações precisam melhorar o modo como medem
o quanto o gerenciamento de riscos traz de retorno sobre o seu investimento e
como comunicam seu processo, seu valor e sua efetividade aos stakeholders.
Quase a metade (47%) dos executivos indicou que ogerenciamento de riscos é essencial para agregar valor aos negócios em geral, e outros 34% citam melhorias ocasionais para a empresa como resultado de um gerenciamento de riscos (ver gráfico 1).
Diferentes métodos são aplicados para medir o retorno do investimento em gerenciamento de riscos, embora 28% das organizações não se utilizem de nenhuma forma de
medição (ver gráfico 2). Além disso, menos de metade (44%) acredita que a organização é eficaz em promover o entendimento do seu programa de gerenciamento de riscos aos seus stakeholders (ver gráfico 3). Parece haver, portanto, uma oportunidade para as organizações gerarem mais valor a partir de seus esforços em gerenciamento de riscos aplicando formas mais
eficientes de mensuração e comunicação dos resultados.
Avaliar as exposições de risco
2. Avaliar a exposição ao risco em toda a organização ainda é um grande desafio
para executivos.
Desde o início da crise financeira, a maioria dos setores tem feito algumas melhorias nos seus sistemas, com o objetivo de agregar dados sobre riscos. Hoje, quase a metade (48%) dos executivos diz que a sua atividade de gerenciamento de riscos executa um processo de avaliação de risco da base ao topo no mínimo
anualmente, um terço (34%) diz que todas as funções de risco e de controle estão alinhadas para garantir um perfil completo de risco; e 38% dizem que a empresa utiliza um processo de autoavaliação de riscos e controles. Ainda assim, um em cinco (20%) relata que sua organização não tem nenhum processo de agregação de riscos. E, embora grande parte dos entrevistados avalie a maturidade de seus programas de gerenciamento de riscos como sendo bastante alta em relação aos concorrentes, a quantificação/ agregação dos riscos é mais mal avaliada do que outros aspectos da gestão de risco. Somente 38% afirmam que a sua organização está mais avançada do que as de seus pares neste item, em comparação com 48% no item “avaliação de risco”, e 45% no item “governança do risco”.
A tecnologia é uma ferramenta importante para o sucesso da integração do gerenciamento de risco por toda a organização. De fato, cerca de três quartos dos executivos pesquisados consideram a tecnologia como um fator chave para o gerenciamento de riscos, classificando-a como muito importante (51%) ou crítico (23%). Os entrevistados vêem os desafios técnicos como um obstáculo menor para a coleta e análise de dados para o gerenciamento de riscos quando comparado à dificuldade em se compreender a complexidade da exposição a riscos. Ao se elencar os três desafios principais, a dificuldade no entendimento de toda a exposição ao risco, no nível global corporativo, é o mais citado (47%); este mesmo problema no nível das unidades de negócios é citado por um número similar de entrevistados (44%). A diversidade de plataformas de TI é a única barreira técnica incluída entre os três principais obstáculos por mais de um terço (41%) dos entrevistados.
Definir o apetite a risco
3. Os altos executivos vêem o gerenciamento de risco como fator crítico, mas poucas
organizações definem o seu apetite ao risco.
Maiores ameaças
4. A pressão regulatória e as mudanças no ambiente regulatório representam a maior
ameaça para os entrevistados; a instabilidade político-econômica global é vista
como principal cenário de risco.
Quase todos os executivos reconhecem o
gerenciamento de riscos como sendo um elemento importante para o sucesso geral dos negócios da sua organização. A maioria (86%) dos entrevistados da pesquisa afirmou que as considerações relacionadas ao gerenciamento de riscos são em certa medida contempladas no processo de planejamento estratégico (ver o gráfico 4). As organizações mais sofisticadas levam em conta tais aspectos regularmente na tomada de decisões estratégicas, articulando a perspectiva sobre riscos à perspectiva sobre o crescimento da empresa.
Pressões e/ou mudanças no ambiente regulatório foram classificadas como o risco mais elevado, com 46% dos entrevistados indicando que elas representam a maior ameaça, seguida pelo risco à reputação de modo geral (41%), risco de crédito/mercado/liquidez (34%) e risco geopolítico (32%) (ver gráfico 6). A crise econômica e instabilidade geopolítica no nível global foram citadas como o principal cenário de risco que todos os setores enfrentam, com a exceção de Healthcare, que classificou este cenário como segunda maior ameaça, atrás de uma acentuada redução nos gastos com saúde. Pode-se argumentar que a Saúde é um setor com grandes oportunidades de crescimento em todo o mundo, na medida em que os governos enfrentam os desafios do envelhecimento da população e do aumento das doenças crônicas, e as classes
No entanto, apenas um em cada cinco (19%) dos
entrevistados afirma que a sua organização desenvolveu e formalizou o seu apetite ao risco, enquanto quase um quarto (22%) afirmou que a sua formalização está sendo elaborada. Cerca de 40% dizem que houve a formalização, mas até o momento não foi comunicada para toda a organização e 19% afirmam que a organização ainda não lida com esta questão (ver gráfico 5). Embora se tenham registrado alguns progressos, as organizações terão de aumentar os seus esforços no sentido de desenvolver ferramentas criativas para a tomada de decisões, que incluem o desenvolvimento de formas de medir e reportar o apetite ao risco.
emergentes demandam um gasto maior com serviços privados em Healthcare. O desafio para as empresas do setor é navegar por diferentes regras e regulamentos, que, em alguns casos, mudam radicalmente, e enfrentar também a pressão dos governos por contenção de gastos.
O Setor Financeiro e o de Energia e Recursos Naturais são dois outros nos quais as pressões regulatórias geram preocupação especial. Na esteira do colapso econômico global, os reguladores receberam um novo mandato: considerar como a atuação das empresas destes setores afeta os mercados em todo o mundo. E os executivos hoje estão plenamente cientes que a instabilidade em uma parte do mundo pode ter um profundo impacto sobre seus negócios locais e no exterior.
As pressões regulatórias e por parte do governo são os maiores riscos que ameaça o meu setor:
Serviços financeiros Healthcare
Energia e recursos naturais Indústria em geral
Tecnologia, mídia e telecomunicações Outros setores 59% 50% 53% 23% 33% 46% Serviços financeiros Healthcare
Energia e recursos naturais Indústria em geral
Tecnologia, mídia e telecomunicações Outros setores 66% 36% 69% 81% 49% 69%
A crise econômica global/instabilidade geopolítica é o cenário de risco que representa a maior ameaça para o meu setor
Três linhas de defesa
5. Os entrevistados acreditam que as unidades de negócios são mais aptas do que
uma área de gerenciamento de riscos, de compliance ou a auditoria interna para a
avaliação e gerenciamento de riscos.
Os entrevistados avaliam como sendo boa a capacidade de suas organizações de identificar, avaliar e gerenciar os riscos atuais e emergentes no contexto das “três linhas de defesa” do gerenciamento de risco corporativo. A primeira linha de defesa -as unidades de negócios - , é considerada a mais forte, com 79% e 75%, respectivamente,
afirmando que a sua organização é eficaz na identificação/ avaliação dos riscos e no seu gerenciamento neste nível. As proporções caem para 74% e 73%, respectivamente, quando é analisada a segunda linha de defesa, que corresponde às funções de Gerenciamento de Riscos e
de Compliance, e para cerca de dois terços no caso da terceira linha de defesa, que é a auditoria interna. Estas constatações apresentam um contraste em relação à abordagem do GRC, segundo a qual a segunda linha (funções de Gerenciamento de Riscos e Compliance) e a terceira linha de defesa (auditoria interna) deveriam ser igualmente hábeis na identificação, avaliação e
gerenciamento de riscos. Logo, existem oportunidades de se articular estas três linhas de defesa e assim aumentar as capacidades de identificação, priorização, medição e comunicação dos riscos.
Barreiras à convergência
6. A falta de talentos profissionais e/ou expertise tem impedido a convergência das
funções de risco e de controle.
Frágeis estruturas de incentivo
7. Estruturas de incentivo frágeis impedem tomadas de decisão baseadas no risco.
Investimento na gestão de risco
8. Investimentos para melhorar a gestão do risco continuarão a crescer nos próximos
três anos.
Na opinião de mais de 50% dos entrevistados, a principal razão para a convergência das funções de risco e de controle é reduzir a exposição da organização aos riscos; outro motivo, citado por 37% dos executivos, é melhorar a performance (ver gráfico 7).
No processo de convergência entre as funções de risco e de controle as organizações enfrentam uma série de obstáculos e os entrevistados foram solicitados a
Embora a maior parte dos entrevistados afirme que suas empresas têm programas de gerenciamento de risco relativamente maduros em comparação com os seus pares, a relação entre o gerenciamento de risco e a remuneração dos funcionários é fraca. Os entrevistados reconhecem que não se faz o suficiente para motivar os gerentes a utilizar efetivamente uma abordagem de riscos nas tomadas de decisão. A ausência de uma base de remuneração que premie o foco no gerenciamento de
No ambiente de negócios de hoje, cada vez mais complexo, a maioria das empresas estão investindo em gerenciamento de risco. Dois terços (65%) dos entrevistados informam que a porcentagem das receitas
nomear os três principais. A falta de talentos profissionais /expertise é a principal barreira, citada por 42% dos entrevistados, seguida pela complexidade do processo de convergência (36%), e a existência de prioridades mais importantes (33%). Todas as outras barreiras são consideradas menos relevantes, sendo citadas por menos de um terço dos entrevistados (ver gráfico 8). Notadamente, a falta de recursos financeiros é a barreira menos importante, com 19%.
risco é vista como uma fraqueza significativa por 33% dos entrevistados. Cerca de 40% dos entrevistados afirmam que a sua organização estabelece um elo informal entre o gerenciamento de risco e a remuneração dos seus profissionais e 38% afirmam que há uma relação formal entre estes fatores. A despeito de como se caracteriza esta relação, seja formal ou informal, menos da metade dos executivos consideram o vínculo “forte” e quase um quarto (22%) afirma que não há vínculo algum.
investida em gerenciamento de risco hoje é maior do que há três anos e um número similar de entrevistados (66%) espera um aumento ao longo dos próximos três anos (ver gráficos 9 e 10).
Conclusão
Gerenciar riscos, em um cenário de estagnação da economia global e de pressão regulatória acentuada, representa hoje enormes desafios para os executivos. Apesar das melhorias realizadas nos últimos anos, as expectativas dos stakeholders continuam a crescer, exigindo um nível maior de sofisticação. Para enfrentar este desafio, as empresas deverão melhorar as suas capacidades de gerenciar riscos para endereçar os
assuntos abordados nesta pesquisa. Isto exigirá um maior envolvimento e a liderança dos seus executivos para atender às demandas do mercado com relação aos aspectos de governança, riscos e compliance. O resultado completo e as análises da pesquisa que serviu de base para este Sumário Executivo, oferecem mais detalhes de como envolver governança, riscos e compliance, imediatamente e no longo prazo.
para a sua organização?
Gráfico 2: Como você mede o retorno sobre o investimento (ROI) do seu programa de gerenciamento de riscos?
É essencial para agregar valor para o nosso negócio de forma global. Ele pode ocasionalmente nos ajudar a melhorar a forma como fazemos negócios. A sua contribuição para a nossa organização, de uma forma geral, é apenas marginal.
Ele não contribui para nosso negócio.
Utilizamos medidores quantitativos para avaliar o programa de gerenciamento de riscos (por ex.: custos de capital, custos com hedge ou seguro etc.)
Não temos nenhum mecanismo para medir o ROI do programa de gerenciamento de risco.
Realizamos testes de stress nos principais processos e operações (core business) com relação a cenários específicos.
Nós nos baseamos nas agências de classificação de risco (rating agencies) para avaliar o nosso programa de gerenciamento de riscos.
Nós revisamos as situações ou eventos de risco passados para avaliar a efetividade da atuação do gerenciamento de risco.
47%
34%
Gráfico 3: Com que efetividade a sua organização é capaz de promover o entendimento do seu programa de riscos aos seus stakeholders?
Gráfico 4: Com que frequência as considerações relacionadas ao gerenciamento de riscos são contempladas nas decisões de planejamento estratégico de sua organização?
Com frequência, em todas as decisões/sessões de planejamento estratégico.
Frequentemente, na maioria das decisões/sessões de planejamento estratégico.
Pelo menos, anualmente, na sessão de planejamento estratégico. Raramente, apenas em decisões/sessões importantes de planejamento estratégico.
Não sei/O grau em que as unidades de negócios se utilizam de tais considerações no planejamento estratégico varia bastante.
A maioria dos entrevistados da pesquisa disse que as considerações relativas ao gerenciamento de risco são, até certo ponto, contempladas nas decisões de planejamento estratégico. Os stakeholders têm um excelente entendimento do nosso programa Os stakeholders têm um bom entendimento do nosso programa Os stakeholders têm um entendimento razoável de nosso programa Os stakeholders têm um fraco entendimento do nosso programa Os stakeholders têm um entendimento bastante fraco do nosso programa
Menos da metade dos entrevistados acredita que a organização é eficaz em promover o entendimento do seu programa de riscos aos seus stakeholders .
44%
39%
86%
27%
20%
11% 3%Documentalmente formalizado e implementado.
Está em processo de elaboração. Comunicado entre os responsáveis
pelo gerenciamento de risco, mas não à organização como um todo.
Pressão regulatória/ mudanças no ambiente regulatório Governança e qualidade da informação
Riscos legais Infraestrutura da TI Mídia social Desastres naturais Mudanças climáticas Risco à reputação Risco de crédito/
mercado/liquidez (e.g., crise na zona Risco geopolítico do Euro) Problemas na cadeia de suprimentos Segurança da informação/fraudes em TI Estabilidade da TI Elaborado documentalmente mas não foi comunicado ou a sua comunicação foi vetada.
Não é formalizado.
Gráfico 5: A organização formaliza o seu apetite ao risco?
Gráfico 6: Quais dos assuntos a seguir, representam a maior ameaça para a sua indústria de atuação?
46%
13%
12%
11%
9%
9%
7%
Gráfico 7: Qual dos fatores abaixo tem a maior influência sobre o interesse da sua organização em promover a convergência das suas funções de risco e de controle (isto é, das responsabilidades de gerenciamento de risco em todas as linhas de defesa)?
Nenhum - não estamos interessados na convergência entre as funções de risco e de controle
Foco crescente na responsabilidade social corporativa Motivação para reduzir custos
Foco crescente em governança endereçado pelos stakeholders internos e externos Desejo em agilizar a tomada de decisões
Necessidade de responder a uma intervenção regulatória Necessidade de enfrentar a complexidade geral dos negócios Desejo de evitar escândalos de ordem ética e reputacional Motivação para melhorar o desempenho corporativo Desejo de reduzir a exposição da organização aos riscos
Gráfico 8: Qual dos seguintes itens você considera os obstáculos mais significativos para uma maior convergência entre as funções de risco e de controle na sua organização?
Falta de talentos profissionais /expertise Custo do processo de convergência Complexidade do processo de convergência Resistência às mudanças no âmbito do Conselho de Administração e da Diretoria Executiva Existência de prioridades mais relevantes Estrutura de TI inadequada
Falta de clareza em relação aos benefícios potenciais
Falta de recursos financeiros
Dispersão geográfica da nossa organização
Gráfico 9: Como o nível de investimento em gerenciamento de riscos (como um percentual da receita) na sua organização hoje se compara com o de três anos atrás?
Gráfico 10: Que mudança você prevê no nível de investimento em gerenciamento de riscos (como um percentual da receita) na sua organização ao longo dos próximos três anos?
Substancialmente maior Um pouco maior Nenhuma mudança Um pouco menor Substancialmente menor
Dois terços dos entrevistados indicam que o percentual das receitas investidas no gerenciamento de riscos é mais elevada hoje do que há três anos
65%
Irá aumentar substancialmente
Irá aumentar, mas não de forma substancial Irá se manter o mesmo
Irá diminuir, mas não de forma substancial Irá diminuir substancialmente
Dois terços dos entrevistados esperam um aumento nos próximos três anos
66%
47%
18%
29%
4% 2%51%
30%
3%15%
1%Todas as informações apresentadas neste documento são de natureza genérica e não têm por finalidade abordar as circunstâncias de uma pessoa ou entidade específica. Embora tenhamos nos empenhado em prestar informações precisas e atualizadas, não há garantia de sua exatidão na data em que forem recebidas nem de que tal exatidão permanecerá no futuro. Essas informações não devem servir de base para se empreenderem ações sem orientação profissional qualificada, precedida de um exame minucioso da situação em pauta.
© 2013 KPMG Auditores Independentes, uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil. O nome KPMG, o logotipo e “cutting through complexity” são marcas registradas ou comerciais da KPMG International. Conteúdo traduzido para a língua portuguesa da publicação “Expectations of Risk Management Outpacing Capabilities – It’s Time For Action” em inglês”. KPMG
André Coutinho
Sócio
Riscos Estratégicos, Operacionais e de Projetos
Eduardo Cipullo
Sócio
Riscos na Tecnologia da Informação
Diogo Dias
Sócio
Riscos de Fraude
Eduardo Baptista
Sócio
Riscos Contábeis e de Demonstrações Financeiras
Sidney Ito
Sócio