Gestão de Riscos de Empresas

Por: Luíz Cláudio Caffagni

Atividades de produção, comercialização e prestação de serviços das mais variadas empresas estão expostas aos mais diversos fatores de riscos em maior ou menor magnitude por isso uma boa Gestão de Riscos Corporativos (GRC) é essencial.

Quando se pensa em risco, imagina-se logo a possibilidade de ocorrência de algo inesperado, ainda que previsível, que traga um efeito negativo à empresa.

A Gestão de Riscos Corporativos (GRC) resume-se a uma série de atividades e regras constituídas para que a organização tenha ciência dos riscos que está correndo, das respectivas magnitudes de perdas prováveis e de como monitorá-los e enfrentá-los.

Exemplos não faltam, desde antes da desvalorização do real em 2008 quando diversas companhias brasileiras se posicionaram de maneira especulativa no mercado de derivativos para travar uma taxa de câmbio mais atrativa, apostando que a taxa R$/US$ só cairia; passando por um pequeno produtor que tenha falido em função da crise hídrica que acometeu o estado de São Paulo entre 2014 e 2016; até os casos mais recentes dos acidentes com as barragens da Vale, Mariana (MG) e Brumadinho (MG).

As empresas também podem se deparar com muitos outros riscos “invisíveis”, como impactos ambientais, perdas de dados sigilosos, corrupções, conflitos de interesse, fraudes, entre outros.

Desse modo, a implementação de um programa estruturado e contínuo de Gestão de Riscos Corporativos (GRC) deve gerar, no longo prazo, gestão completa da exposição de riscos e maior estabilidade nos resultados, tornando-os previsíveis e confiáveis.

Tudo isso valoriza e perpetua a organização!

Entre novembro e dezembro de 2017 a KPMG efetuou pesquisa sobre o grau de maturidade da Gestão de Riscos em 204 companhias brasileiras, das quais 42% tinham mais de 3 mil funcionários e 45% faturavam anualmente mais de R$ 1 bi. O trabalho atribuiu às empresas pesquisadas 5 graus de maturidade de gestão de risco: fraca, sustentável, madura, integrada e avançada.

A pesquisa englobou os seguintes segmentos: agronegócio; alimentos e bebidas; automotivo; construção e imobiliário; educação; energia, recursos naturais e saneamento; infraestrutura; logística e distribuição; químico; saúde; serviços financeiros; TI e tecnologia; varejo; e outros.

Veja alguns resultados:

Resultado geral da maturidade da Gestão de Risco: 29% fraco, 27% sustentável, 40% maduro, 2% integrado e 2% avançado.
Obstáculos para implementação do GRC:
- • 65% – ausência de cultura de gestão de riscos;
- • 56% – existência de outras prioridades;
- • 52% – benefícios potenciais não são visíveis.

64% não possuem mensurado ou documentado seu próprio apetite ao risco.
34% não possuem comitê de auditoria e/ou de riscos.
38% dos executivos possuem algum ou baixo conhecimento de riscos.
62% dos respondentes possuem pouco ou nada sobre o entendimento do processo de gestão de riscos.
56% não considera gestão de riscos na avaliação de desempenho dos executivos.
67% não possuem base de dados de eventos de risco.
72% não possuem ferramentas de TI para gerenciamento de riscos.
76% não possuem plano de comunicação de gestão de riscos.

Como se vê nesse pequeno extrato dos resultados da pesquisa, existem muitas oportunidades para implantar ou aprimorar programas de GRC em pequenas, médias e grandes empresas.

Neste artigo trato dos caminhos para implantar o GRC, passando pela decisão inicial, planejamento de risco, execução, controle e avaliação.

Não existe receita única para implantar e manter um programa de GRC, cada companhia deve adaptar os conceitos fundamentais à realidade e à complexidade particular.

Na medida do possível deve ser criado um grupo com dedicação exclusiva e criação de metas realistas atreladas a bonificações preocupando-se, porém, com imparcialidade vs. conflitos de interesse.

1. Decisão de Implantação de Programa de Gestão de Riscos Corporativos

A primeira providência da alta administração da empresa é discutir, por um lado, os benefícios da estruturação da GRC, debatendo profundamente as hipóteses de estabilidade e previsibilidade de resultados em relação ao valor da organização, e por outro lado os custos de implantação e de manutenção do programa.

Para essa reflexão a alta gestão deve ter em mãos, de maneira preliminar, lista ranqueada dos principais riscos vs. severidade da empresa para auxiliar as análises do grau de desenvolvimento da estratégia, no que se refere aos recursos humanos, governança, processos, sistemas de TI etc.

Todos esses elementos debatidos ajudarão na avaliação da importância da GRC, da abrangência, do esforço, da quantidade de recursos investidos, do faseamento do programa e do tempo de implantação.

2. Criação de grupos de trabalho e de reuniões periódicas

À medida que a decisão de implantação do GRC se concretize é fundamental escolher funcionários que trabalham diretamente com riscos, trading, finanças, normas e auditoria, pois eles, mais do que a alta administração, conhecem os detalhes dos processos cotidianos.

2.1 GT de risco – áreas de risco, financeira, TI e comercial

Responsável por identificar detalhadamente e ranquear os riscos e os respectivos impactos; por propor ferramentas para administrar os riscos; por propor modelos de avaliação dos riscos mais importantes; e por desenhar sistema de gestão e controle de riscos e de processos.

2.2 GT de políticas – áreas de compliance e jurídica

Responsável pela criação de políticas de gestão de riscos, de hedge, de relacionamento com intermediários financeiros, de relatórios etc.

2.3 GT de controle e auditoria – áreas de controles internos e de auditoria

Responsável por sugerir modelo de controle e de auditoria.

2.4 Ponto focal – área responsável pela coordenação do programa e interlocução com a alta administração

A companhia deve formalizar os trabalhos do programa de GRC por meio de comunicação interna para os empregados, além da criação de regimentos internos dos grupos de trabalho, definindo composição, periodicidade de reuniões, pautas, atas e aprovações.

3. Planejamento de risco

Pode-se dizer que é a essência do GRC, pois dará suporte à sua estratégia de execução. O planejamento está dividido em: identificação e classificação dos riscos, avaliação dos riscos, instrumentos mitigadores e plano de ação.

O planejamento deve ser periodicamente revisitado e aprimorado conforme o programa amadurece.

3.1. Identificação e classificação dos riscos

Cada empresa está exposta a diversos riscos próprios e genéricos em maior ou menor intensidade. Duas empresas semelhantes podem ter diferentes sensibilidades em relação ao mesmo risco.

Essa identificação e classificação deve ser abrangente, tendo a finalidade de radiografar os riscos da empresa, tais como tipo, origem, como se manifestam, áreas que convivem com os riscos, além de listar os riscos que podem impactar os direcionamentos estratégicos.

Essa atividade deve ser periódica, uma vez que riscos ocultos podem inesperadamente se manifestar e surpreender a empresa.

A lista proposta abaixo, ainda que não exaustiva, organiza os tipos de riscos que o GT de riscos deve estudar detalhadamente:

Riscos externos

Risco de mercado (risco de preço): risco de variação de taxas (câmbio, juros e inflação), de preços de bens e serviços (como commodities, frete, armazenagem, tarifas etc.) e de basis.
Risco de crédito: risco de o devedor (ou garantidor) não honrar seu compromisso com a empresa.
Risco de liquidez de mercados: risco de diminuição da atividade financeira e comercial do mercado.
Riscos climáticos: seca, excesso de chuva etc.
Risco tributário, legal ou regulatório: riscos relacionados à mudança ou interpretação de leis e regulamentos.
Risco de concorrência: risco relacionado a ameaça para a empresa diante do crescimento da concorrência.
Risco disruptivo: risco do negócio ser fortemente abalado por alguma nova e inesperada tecnologia.
Risco de invasão hacker: risco de impacto ao bom funcionamento de sistemas, risco de perda de dados e de informações sigilosas.
Risco de roubo ou furto.
Risco de crise: risco com baixa probabilidade, mas com efeitos devastadores, como macroeconômicos, acidentes graves etc.

Riscos internos

Risco operacional: risco oriundo de operações realizadas incorretamente, geralmente erros humanos involuntários, como digitação, condução de máquinas, manuseio de ferramentas, entre outros.
Risco de fluxo de caixa: risco de erro ou incerteza na previsibilidade da falta ou excesso de caixa.
Risco de integridade de sistemas (pode ser risco externo no caso de fornecedor externo): risco de inconsistências de sistemas computacionais, como erro no código-fonte ou incompatibilidade de integrações.
Risco de perda de talentos: risco da incapacidade da empresa reter talentos.
Risco de vazamento de dados sigilosos: risco do compartilhamento de dados sigilosos fora do ambiente corporativo, incluindo a concorrência.
Risco moral e ético: risco relacionado à fraude, corrupção, favorecimento etc.

3.2. Avaliação dos riscos

Essa etapa vai estabelecer, em relação aos riscos mais relevantes, a exposição da empresa ou a parcela de determinado risco que se encontra descoberta.

Para não tornar o estudo muito extenuante sugere-se realizar a avaliação em duas etapas: (a) avaliação preliminar – estudo empírico com a finalidade de ranquear todos os riscos solicitados pela alta administração. (b) avaliação específica – estudos mais aprofundados dos riscos que tem potencial de gerar maiores perturbações.

Avaliação preliminar

Entre as diversas técnicas de avaliação preliminar sugere-se a criação de uma matriz de riscos para ranquear e estabelecer quais os riscos serão eleitos para realização de estudos mais aprofundados na etapa seguinte.

Pode-se utilizar modelo simples tridimensional para classificar os riscos nas seguintes dimensões: probabilidade, impacto e vulnerabilidade.

Desse modo, deve-se avaliar eventos de baixa ou alta probabilidade de ocorrência, baixo ou alto impacto para empresa e baixa ou alta vulnerabilidade. Determinado evento de risco pode ser provável e impactante, mas a empresa pode, naquele momento, não estar vulnerável. A figura 1 mostra o modelo proposto:

Figura 1: Modelo simplificado de ranqueamento de risco

Gráficos tridimensionais de probabilidade, impacto e vulnerabilidade com as somas dos quadrantes: 3, 4, 4, 5, 6, 7, 7 e 8.

Note na ilustração à esquerda da figura 1, que o modelo aqui proposto deu mais peso na dimensão “impacto” (baixo = 1 e alto = 4), mostrando que riscos com baixa probabilidade e vulnerabilidade, mas com alto impacto devem ter uma importância maior.

Nesse modelo, através da soma do nível de risco de cada quadrante, estabeleceram-se os seguintes níveis de severidade do risco: baixíssima, baixa, moderada, moderada-alta e alta, conforme o “cubo” à direita da figura 1 e numericamente ilustrado na tabela 1.

Tabela com a severidade de riscos, conforme a soma dos quadrantes da figura 1.

Os riscos com maiores pontuações devem ser estudados com mais profundidade e urgência, sendo que em uma primeira fase de implantação do GRC, considero ser importante avaliar todos os riscos a partir da pontuação 6, inclusive.

A tabela 2 exemplifica uma hipotética classificação de risco de mercado de uma companhia do agronegócio que utiliza farelo de soja e milho como matéria prima para produção de rações.

Tabela 2 – Exemplo de ranqueamento de riscos de mercado

Exemplo do ranqueamento de riscos de uma fábrica de ração.

Exemplo de justificativas (hipotéticas) das avaliações dos riscos da tabela 2:

Juros de investimentos: Representam as aplicações das economias da empresa no mercado financeiro. A empresa avaliou que como metade desses recursos está alocada em aplicações pré-fixadas e a outra metade em pós-fixadas para o mesmo prazo, entenderam que não estão muito vulneráveis a esse risco. Consideraram também que esse risco traria um impacto baixo, além de entenderem ser baixa a probabilidade de deslocamentos significativos.

Energia elétrica: Embora estejam vulneráveis, pois não possuem nenhuma proteção a essa exposição, a empresa considerou impacto baixo, uma vez que a participação da energia elétrica na matriz de custos é baixa, com baixa probabilidade de oscilação significativa de preços.

Dólar: A empresa considerou alta a probabilidade de alteração da taxa, bem como alta a sua vulnerabilidade, pois não se posicionam em derivativos. Mas, o impacto é baixo por não serem exportadores e dependerem de poucos insumos importados.

Juros de capital de giro: Além da empresa não necessitar de capital de giro, a probabilidade de uma alta na taxa de juros de recursos que a empresa pode vir a precisar foi considerada baixa. Porém, a alta administração considerou o impacto alto.

Farelo de soja: Nesse momento a empresa não se sente muito vulnerável a uma variação do preço do farelo de soja, uma vez que possui contrato de longo prazo com fornecedores com cláusulas de indexação parcial ao preço da ração. Considerou baixa probabilidade de ocorrência de variação de preços, embora causaria impacto significativo, caso fosse vulnerável.

Ração: A empresa considerou que uma queda no preço da ração causaria um grande impacto no negócio, além de se sentir vulnerável. Porém, considerou baixa a probabilidade dada a baixa volatilidade do preço da ração.

Frete: A empresa utiliza frete principalmente para transportar farelo de soja, milho e distribuir a ração produzida. A frota própria é pequena, dessa forma,

aumento no preço do frete impacta profundamente os custos. Avaliou que a probabilidade, a vulnerabilidade e o impacto são altos.

Milho: O milho é a principal matéria prima para produção de ração. Variações do preço do milho são frequentes, a volatilidade anual é acima de 20%. Desse modo, a alta gestão entendeu que variações de preços impactam fortemente a empresa que é muito vulnerável. Aumento nos preços do milho não são facilmente repassados para o preço da ração.

Note que o exercício acima levou em consideração somente os riscos de mercado, mas em uma situação real deve-se avaliar todos os riscos que recaem sobre a empresa.

Avaliação específica

Essa fase tem a finalidade de mostrar para empresa o potencial de perda em caso de ocorrência dos riscos mais relevantes. No exemplo hipotético da tabela 2 de riscos de mercado, conforme a avaliação preliminar, os riscos de variação do preço do milho, do frete, da ração, do farelo de soja e dos juros do capital de giro serão respectivamente os primeiros estudados e debatidos.

Para tanto, deve-se utilizar modelos estatísticos de medição de risco ou simulações de resultados baseadas em séries históricas ou criação de cenários. Todos os modelos e simulações devem ser documentados e apresentados para a alta gestão.

Um modelo muito utilizado para situações normais de mercado e que possui um grau de dificuldade de cálculo relativamente baixo é o modelo Value at Risk (VaR), que calcula o máximo de perda potencial de uma carteira de ativos, num determinado período de tempo e nível de confiança. Essa abordagem utiliza séries de preços históricos.

Todavia, para estimar perdas em situações de crise pode-se utilizar o modelo conhecido por stress testing, no qual são criados cenários com preços que se tornam mais voláteis em função de fortes perturbações do mercado.

3.3. Instrumentos mitigadores

Esse tópico tem a finalidade de justificar e descrever as diversas ferramentas que podem ser utilizadas para mitigar os riscos, tais como contratos derivativos, apólices de seguro, contratos comerciais de aquisição de insumos e de fornecimento de produtos, controles contra riscos operacionais, carregamento de estoques etc.

Ainda nesse tópico deve-se apontar algumas iniciativas que podem levar ao chamado hedge natural, como por exemplo estudar a possibilidade da tesouraria “casar” prazos no fluxo de caixa de ativos e passivos em dólar.

3.4. Planos de ação

Após a determinação dos riscos, das respectivas avaliações e das ferramentas mitigadoras, o planejamento de risco deve estabelecer plano de ação, com cronograma e metas.

Deve-se também mostrar o risco de se implementar a GRC em maiores ou menores prazo e profundidade.

4. Operações e controles

Deve-se elaborar a dinâmica operacional desde o momento de início da exposição, passando pela gestão das ferramentas e de relacionamento com intermediários, até o encerramento da exposição.

A descrição alcança também situações e períodos que as ferramentas de minimização de risco devem ser utilizadas, além do detalhamento do fluxo de atividades ligadas à mitigação de risco.

Como parte fundamental do programa de GRC deve-se construir métodos eficazes de controle das contratações e operações estabelecendo gatilhos para abertura e encerramento compulsório de operações, inclusive controlando limites, alçadas e conflitos de interesse dos responsáveis pela execução das posições.

A equipe de TI deve participar da montagem da dinâmica operacional e de controle, para que seja desenvolvido ou adquirido sistema para essas atividades.

5. Limites do programa

Depois da visualização conjunta dos riscos mais e menos severos, da descrição do processo operacional e de controle, a alta administração deve decidir os limites até os quais a companhia quer atuar.

O escopo do programa define os riscos que a empresa vai atuar e os objetivos da mitigação dos referidos riscos, além de apontar os riscos deixados de fora e se serão objeto do programa no futuro.

É imprescindível fundamentar e documentar quais os riscos que a empresa deseja correr, ou por considerar irrelevante ou por opção, porque “acredita que o provável retorno vale o risco”.

6. Políticas

As políticas estabelecem as regras da gestão de risco para todos os empregados, gestores, diretoria, conselheiros e acionistas. A área de compliance se baseará nas políticas e nos demais documentos do programa para estruturar suas atividades.

Devem ser criadas políticas gerais e específicas de acordo com decisão da alta gestão, entre elas podemos citar:

Política de gestão de risco: estabelece os princípios de gestão de risco seguidos pela companhia.
Política de hedge: estabelece limites, volumes e alçadas; instrumentos autorizados; relacionamento com o intermediário; etc.
Política de controle, acompanhamento e auditoria: estabelece reportes periódicos; modelo de controle; processo de auditoria; etc.
Código de ética: estabelece os princípios éticos que a companhia quer seguir juntamente com todo o corpo de empregados.

7. Monitoramento e avaliação

Outra fase importante é a criação de um processo de monitoramento do programa de gestão de riscos, com mensuração clara e objetiva de desempenho, e consequentemente de avaliação.

Através de relatórios de riscos e de controles, a alta gestão precisa ser informada periodicamente sobre o andamento do programa e dos resultados alcançados.

8. Documentação para suporte

A empresa deve reunir em área (on line) comum, interna e dedicada, as informações do programa de GRC e uma lista de documentos entre as quais destacam-se:

Regimentos internos e atas dos grupos de trabalho;
Descrição detalhada dos riscos;
Modelos utilizados para medição de riscos;
Descrição detalhada dos mitigadores;
Descrição do processo operacional da gestão de riscos;
Relatórios – gerais, específicos e suas periodicidades;
Modelo de obtenção de resultados para o hedging accounting; • Processo de implantação faseada;
Plano educacional; e
Políticas.

9. Considerações finais

A implantação de um programa de gestão de riscos, por mais simples que seja, sempre será positivo, pois cria hábito de entendimento e enfrentamento de riscos. Além disso, constrói entre os colaboradores uma cultura de descoberta e avaliação de riscos.

O contínuo crescimento e aprimoramento do GRC deve ser orgânico à medida que os riscos mais impactantes vão sendo modelados e tratados.

A tarefa não é fácil e muitas vezes negligenciada ou ignorada, pois a grande maioria acredita que a ocorrência de riscos e eventos indesejáveis, severos ou amenos, acontece só com os outros. Exemplos não faltam no Brasil e no mundo. Pense nisso!

Leituras Recomendadas

IBGC. Gerenciamento de Riscos Corporativos. 2017
INPI. Manual de Gestão de Risco do INPI – versão 1.0. Rio de Janeiro. 2018. 3. KPMG. Pesquisa Maturidade do Processo de Gestão de Riscos no Brasil – 1ª edição. 2018.
TCU. Modelos de Referência de Gestão Corporativa de Riscos. Link para o site do TCU.

Luíz Cláudio Caffagni é Especialista em Agronegócio

Matéria original em: https://www.linkedin.com/pulse/gest%25C3%25A3o-de-riscos-empresas-luiz-cl%25C3%25A1udio-caffagni/

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.