Gestão de Riscos de Empresas

Sombrero Seguros Gestão de Risco

Por: Luíz Cláudio Caffagni

Atividades de produção, comercialização e prestação de serviços das mais variadas  empresas estão expostas aos mais diversos fatores de riscos em maior ou menor  magnitude por isso uma boa Gestão de Riscos Corporativos (GRC) é essencial. 

Quando se pensa em risco, imagina-se logo a possibilidade de ocorrência de algo  inesperado, ainda que previsível, que traga um efeito negativo à empresa. 

A Gestão de Riscos Corporativos (GRC) resume-se a uma série de atividades e regras constituídas para que a organização tenha ciência dos riscos que está correndo, das  respectivas magnitudes de perdas prováveis e de como monitorá-los e enfrentá-los. 

Exemplos não faltam, desde antes da desvalorização do real em 2008 quando diversas  companhias brasileiras se posicionaram de maneira especulativa no mercado de  derivativos para travar uma taxa de câmbio mais atrativa, apostando que a taxa R$/US$  só cairia; passando por um pequeno produtor que tenha falido em função da crise  hídrica que acometeu o estado de São Paulo entre 2014 e 2016; até os casos mais  recentes dos acidentes com as barragens da Vale, Mariana (MG) e Brumadinho (MG). 

As empresas também podem se deparar com muitos outros riscos “invisíveis”, como  impactos ambientais, perdas de dados sigilosos, corrupções, conflitos de interesse, fraudes, entre outros. 

Desse modo, a implementação de um programa estruturado e contínuo de Gestão de Riscos Corporativos (GRC) deve  gerar, no longo prazo, gestão completa da exposição de riscos e maior estabilidade nos  resultados, tornando-os previsíveis e confiáveis. 

Tudo isso valoriza e perpetua a organização!

Entre novembro e dezembro de 2017 a KPMG efetuou pesquisa sobre o grau de  maturidade da Gestão de Riscos em 204 companhias brasileiras, das quais 42% tinham  mais de 3 mil funcionários e 45% faturavam anualmente mais de R$ 1 bi. O trabalho atribuiu às empresas pesquisadas 5 graus de maturidade de gestão de risco: fraca,  sustentável, madura, integrada e avançada

A pesquisa englobou os seguintes segmentos: agronegócio; alimentos e bebidas;  automotivo; construção e imobiliário; educação; energia, recursos naturais e saneamento; infraestrutura; logística e distribuição; químico; saúde; serviços  financeiros; TI e tecnologia; varejo; e outros. 

Veja alguns resultados: 

  • • Resultado geral da maturidade da Gestão de Risco: 29% fraco, 27% sustentável,  40% maduro, 2% integrado e 2% avançado. 
  • • Obstáculos para implementação do GRC:
    • • 65% – ausência de cultura de gestão de riscos;
    • • 56% – existência de outras prioridades;
    • • 52% – benefícios potenciais não são visíveis.
  • • 64% não possuem mensurado ou documentado seu próprio apetite ao risco.
  • • 34% não possuem comitê de auditoria e/ou de riscos
  • • 38% dos executivos possuem algum ou baixo conhecimento de riscos.
  • • 62% dos respondentes possuem pouco ou nada sobre o entendimento do processo de gestão de riscos
  • • 56% não considera gestão de riscos na avaliação de desempenho dos executivos.
  • • 67% não possuem base de dados de eventos de risco.
  • • 72% não possuem ferramentas de TI para gerenciamento de riscos.
  • • 76% não possuem plano de comunicação de gestão de riscos.

Como se vê nesse pequeno extrato dos resultados da pesquisa, existem muitas  oportunidades para implantar ou aprimorar programas de GRC em pequenas, médias e  grandes empresas. 

Neste artigo trato dos caminhos para implantar o GRC, passando pela decisão inicial,  planejamento de risco, execução, controle e avaliação. 

Não existe receita única para implantar e manter um programa de GRC, cada companhia  deve adaptar os conceitos fundamentais à realidade e à complexidade particular. 

Na medida do possível deve ser criado um grupo com dedicação exclusiva e criação de  metas realistas atreladas a bonificações preocupando-se, porém, com imparcialidade vs.  conflitos de interesse.

1. Decisão de Implantação de Programa de Gestão de Riscos Corporativos 

A primeira providência da alta administração da empresa é discutir, por um lado, os  benefícios da estruturação da GRC, debatendo profundamente as hipóteses de  estabilidade e previsibilidade de resultados em relação ao valor da organização, e por  outro lado os custos de implantação e de manutenção do programa. 

Para essa reflexão a alta gestão deve ter em mãos, de maneira preliminar, lista ranqueada dos principais riscos vs. severidade da empresa para auxiliar as análises do grau de desenvolvimento da estratégia, no que se refere aos recursos humanos,  governança, processos, sistemas de TI etc.

Todos esses elementos debatidos ajudarão na avaliação da importância da GRC, da  abrangência, do esforço, da quantidade de recursos investidos, do faseamento do  programa e do tempo de implantação. 

2. Criação de grupos de trabalho e de reuniões periódicas 

À medida que a decisão de implantação do GRC se concretize é fundamental escolher  funcionários que trabalham diretamente com riscos, trading, finanças, normas e  auditoria, pois eles, mais do que a alta administração, conhecem os detalhes dos  processos cotidianos. 

GT de risco – áreas de risco, financeira, TI e comercial 

Responsável por identificar detalhadamente e ranquear os riscos e os respectivos  impactos; por propor ferramentas para administrar os riscos; por propor modelos de avaliação dos riscos mais importantes; e por desenhar sistema de gestão e controle de  riscos e de processos. 

GT de políticas – áreas de compliance e jurídica 

Responsável pela criação de políticas de gestão de riscos, de hedge, de relacionamento  com intermediários financeiros, de relatórios etc. 

GT de controle e auditoria – áreas de controles internos e de auditoria

Responsável por sugerir modelo de controle e de auditoria. 

Ponto focal – área responsável pela coordenação do programa e interlocução com a alta administração. 

A companhia deve formalizar os trabalhos do programa de GRC por meio de comunicação interna para os empregados, além da criação de regimentos internos dos  grupos de trabalho, definindo composição, periodicidade de reuniões, pautas, atas e  aprovações. 

3. Planejamento de risco 

Pode-se dizer que é a essência do GRC, pois dará suporte à sua estratégia de execução. O planejamento está dividido em: identificação e classificação dos riscos, avaliação dos  riscos, instrumentos mitigadores e plano de ação. 

O planejamento deve ser periodicamente revisitado e aprimorado conforme o programa  amadurece.

  • • 3.1. Identificação e classificação dos riscos 

Cada empresa está exposta a diversos riscos próprios e genéricos em maior ou  menor intensidade. Duas empresas semelhantes podem ter diferentes  sensibilidades em relação ao mesmo risco. 

Essa identificação e classificação deve ser abrangente, tendo a finalidade de  radiografar os riscos da empresa, tais como tipo, origem, como se manifestam,  áreas que convivem com os riscos, além de listar os riscos que podem impactar  os direcionamentos estratégicos. 

Essa atividade deve ser periódica, uma vez que riscos ocultos podem inesperadamente se manifestar e surpreender a empresa. 

A lista proposta abaixo, ainda que não exaustiva, organiza os tipos de riscos que  o GT de riscos deve estudar detalhadamente: 

Riscos externos 

  • • Risco de mercado (risco de preço): risco de variação de taxas (câmbio, juros  e inflação), de preços de bens e serviços (como commodities, frete,  armazenagem, tarifas etc.) e de basis
  • • Risco de crédito: risco de o devedor (ou garantidor) não honrar seu  compromisso com a empresa. 
  • • Risco de liquidez de mercados: risco de diminuição da atividade financeira e comercial do mercado. 
  • • Riscos climáticos: seca, excesso de chuva etc. 
  • • Risco tributário, legal ou regulatório: riscos relacionados à mudança ou  interpretação de leis e regulamentos. 
  • • Risco de concorrência: risco relacionado a ameaça para a empresa diante do  crescimento da concorrência. 
  • • Risco disruptivo: risco do negócio ser fortemente abalado por alguma nova e  inesperada tecnologia. 
  • • Risco de invasão hacker: risco de impacto ao bom funcionamento de  sistemas, risco de perda de dados e de informações sigilosas.
  • • Risco de roubo ou furto
  • • Risco de crise: risco com baixa probabilidade, mas com efeitos devastadores,  como macroeconômicos, acidentes graves etc. 

Riscos internos 

  • • Risco operacional: risco oriundo de operações realizadas incorretamente,  geralmente erros humanos involuntários, como digitação, condução de  máquinas, manuseio de ferramentas, entre outros.
  • • Risco de fluxo de caixa: risco de erro ou incerteza na previsibilidade da falta  ou excesso de caixa. 
  • • Risco de integridade de sistemas (pode ser risco externo no caso de  fornecedor externo): risco de inconsistências de sistemas computacionais,  como erro no código-fonte ou incompatibilidade de integrações.
  • • Risco de perda de talentos: risco da incapacidade da empresa reter talentos.
  • • Risco de vazamento de dados sigilosos: risco do compartilhamento de dados  sigilosos fora do ambiente corporativo, incluindo a concorrência.
  • • Risco moral e ético: risco relacionado à fraude, corrupção, favorecimento etc.

 

  • • 3.2. Avaliação dos riscos 

Essa etapa vai estabelecer, em relação aos riscos mais relevantes, a exposição da  empresa ou a parcela de determinado risco que se encontra descoberta. 

Para não tornar o estudo muito extenuante sugere-se realizar a avaliação em  duas etapas: (a) avaliação preliminar – estudo empírico com a finalidade de ranquear todos os riscos solicitados pela alta administração. (b) avaliação  específica – estudos mais aprofundados dos riscos que tem potencial de gerar  maiores perturbações. 

Avaliação preliminar 

Entre as diversas técnicas de avaliação preliminar sugere-se a criação de uma  matriz de riscos para ranquear e estabelecer quais os riscos serão eleitos para  realização de estudos mais aprofundados na etapa seguinte. 

Pode-se utilizar modelo simples tridimensional para classificar os riscos nas seguintes dimensões: probabilidade, impacto e vulnerabilidade. 

Desse modo, deve-se avaliar eventos de baixa ou alta probabilidade de  ocorrência, baixo ou alto impacto para empresa e baixa ou alta vulnerabilidade.  Determinado evento de risco pode ser provável e impactante, mas a empresa pode, naquele momento, não estar vulnerável. A figura 1 mostra o modelo  proposto:

Figura 1: Modelo simplificado de ranqueamento de risco

Gráficos tridimensionais de probabilidade, impacto e vulnerabilidade com as somas dos quadrantes: 3, 4, 4, 5, 6, 7, 7 e 8.

Note na ilustração à esquerda da figura 1, que o modelo aqui proposto deu mais  peso na dimensão “impacto” (baixo = 1 e alto = 4), mostrando que riscos com  baixa probabilidade e vulnerabilidade, mas com alto impacto devem ter uma  importância maior. 

Nesse modelo, através da soma do nível de risco de cada quadrante, estabeleceram-se os seguintes níveis de severidade do risco: baixíssima, baixa,  moderada, moderada-alta e alta, conforme o “cubo” à direita da figura 1 e  numericamente ilustrado na tabela 1.

Tabela com a severidade de riscos, conforme a soma dos quadrantes da figura 1.

Os riscos com maiores pontuações devem ser estudados com mais profundidade  e urgência, sendo que em uma primeira fase de implantação do GRC, considero  ser importante avaliar todos os riscos a partir da pontuação 6, inclusive. 

A tabela 2 exemplifica uma hipotética classificação de risco de mercado de uma  companhia do agronegócio que utiliza farelo de soja e milho como matéria prima  para produção de rações. 

Tabela 2 – Exemplo de ranqueamento de riscos de mercado

Exemplo do ranqueamento de riscos de uma fábrica de ração.

Exemplo de justificativas (hipotéticas) das avaliações dos riscos da tabela 2: 

Juros de investimentos: Representam as aplicações das economias da empresa  no mercado financeiro. A empresa avaliou que como metade desses recursos  está alocada em aplicações pré-fixadas e a outra metade em pós-fixadas para o  mesmo prazo, entenderam que não estão muito vulneráveis a esse risco.  Consideraram também que esse risco traria um impacto baixo, além de  entenderem ser baixa a probabilidade de deslocamentos significativos. 

Energia elétrica: Embora estejam vulneráveis, pois não possuem nenhuma  proteção a essa exposição, a empresa considerou impacto baixo, uma vez que a  participação da energia elétrica na matriz de custos é baixa, com baixa  probabilidade de oscilação significativa de preços. 

Dólar: A empresa considerou alta a probabilidade de alteração da taxa, bem  como alta a sua vulnerabilidade, pois não se posicionam em derivativos. Mas, o  impacto é baixo por não serem exportadores e dependerem de poucos insumos  importados. 

Juros de capital de giro: Além da empresa não necessitar de capital de giro, a probabilidade de uma alta na taxa de juros de recursos que a empresa pode vir  a precisar foi considerada baixa. Porém, a alta administração considerou o  impacto alto. 

Farelo de soja: Nesse momento a empresa não se sente muito vulnerável a uma  variação do preço do farelo de soja, uma vez que possui contrato de longo prazo  com fornecedores com cláusulas de indexação parcial ao preço da ração.  Considerou baixa probabilidade de ocorrência de variação de preços, embora  causaria impacto significativo, caso fosse vulnerável. 

Ração: A empresa considerou que uma queda no preço da ração causaria um  grande impacto no negócio, além de se sentir vulnerável. Porém, considerou  baixa a probabilidade dada a baixa volatilidade do preço da ração. 

Frete: A empresa utiliza frete principalmente para transportar farelo de soja, milho e distribuir a ração produzida. A frota própria é pequena, dessa forma, 

aumento no preço do frete impacta profundamente os custos. Avaliou que a  probabilidade, a vulnerabilidade e o impacto são altos. 

Milho: O milho é a principal matéria prima para produção de ração. Variações do  preço do milho são frequentes, a volatilidade anual é acima de 20%. Desse modo,  a alta gestão entendeu que variações de preços impactam fortemente a empresa  que é muito vulnerável. Aumento nos preços do milho não são facilmente  repassados para o preço da ração. 

Note que o exercício acima levou em consideração somente os riscos de  mercado, mas em uma situação real deve-se avaliar todos os riscos que recaem  sobre a empresa. 

Avaliação específica 

Essa fase tem a finalidade de mostrar para empresa o potencial de perda em  caso de ocorrência dos riscos mais relevantes. No exemplo hipotético da tabela  2 de riscos de mercado, conforme a avaliação preliminar, os riscos de variação  do preço do milho, do frete, da ração, do farelo de soja e dos juros do capital de  giro serão respectivamente os primeiros estudados e debatidos. 

Para tanto, deve-se utilizar modelos estatísticos de medição de risco ou  simulações de resultados baseadas em séries históricas ou criação de cenários. Todos os modelos e simulações devem ser documentados e apresentados para  a alta gestão. 

Um modelo muito utilizado para situações normais de mercado e que possui um  grau de dificuldade de cálculo relativamente baixo é o modelo Value at Risk (VaR), que calcula o máximo de perda potencial de uma carteira de ativos, num  determinado período de tempo e nível de confiança. Essa abordagem utiliza  séries de preços históricos. 

Todavia, para estimar perdas em situações de crise pode-se utilizar o modelo conhecido por stress testing, no qual são criados cenários com preços que se  tornam mais voláteis em função de fortes perturbações do mercado.

 

  • • 3.3. Instrumentos mitigadores 

Esse tópico tem a finalidade de justificar e descrever as diversas ferramentas que  podem ser utilizadas para mitigar os riscos, tais como contratos derivativos,  apólices de seguro, contratos comerciais de aquisição de insumos e de  fornecimento de produtos, controles contra riscos operacionais, carregamento  de estoques etc.

Ainda nesse tópico deve-se apontar algumas iniciativas que podem levar ao  chamado hedge natural, como por exemplo estudar a possibilidade da tesouraria  “casar” prazos no fluxo de caixa de ativos e passivos em dólar.

 

  • • 3.4. Planos de ação 

Após a determinação dos riscos, das respectivas avaliações e das ferramentas  mitigadoras, o planejamento de risco deve estabelecer plano de ação, com  cronograma e metas. 

Deve-se também mostrar o risco de se implementar a GRC em maiores ou  menores prazo e profundidade.

 

4. Operações e controles 

Deve-se elaborar a dinâmica operacional desde o momento de início da exposição,  passando pela gestão das ferramentas e de relacionamento com intermediários, até o  encerramento da exposição. 

A descrição alcança também situações e períodos que as ferramentas de minimização  de risco devem ser utilizadas, além do detalhamento do fluxo de atividades ligadas à  mitigação de risco. 

Como parte fundamental do programa de GRC deve-se construir métodos eficazes de  controle das contratações e operações estabelecendo gatilhos para abertura e  encerramento compulsório de operações, inclusive controlando limites, alçadas e  conflitos de interesse dos responsáveis pela execução das posições. 

A equipe de TI deve participar da montagem da dinâmica operacional e de controle, para  que seja desenvolvido ou adquirido sistema para essas atividades. 

 

5. Limites do programa 

Depois da visualização conjunta dos riscos mais e menos severos, da descrição do  processo operacional e de controle, a alta administração deve decidir os limites até os  quais a companhia quer atuar. 

O escopo do programa define os riscos que a empresa vai atuar e os objetivos da mitigação dos referidos riscos, além de apontar os riscos deixados de fora e se serão  objeto do programa no futuro. 

É imprescindível fundamentar e documentar quais os riscos que a empresa deseja  correr, ou por considerar irrelevante ou por opção, porque “acredita que o provável  retorno vale o risco”.

 

6. Políticas 

As políticas estabelecem as regras da gestão de risco para todos os empregados,  gestores, diretoria, conselheiros e acionistas. A área de compliance se baseará nas  políticas e nos demais documentos do programa para estruturar suas atividades.  

Devem ser criadas políticas gerais e específicas de acordo com decisão da alta gestão,  entre elas podemos citar:

  • • Política de gestão de risco: estabelece os princípios de gestão de risco seguidos  pela companhia. 
  • • Política de hedge: estabelece limites, volumes e alçadas; instrumentos  autorizados; relacionamento com o intermediário; etc. 
  • • Política de controle, acompanhamento e auditoria: estabelece reportes  periódicos; modelo de controle; processo de auditoria; etc. 
  • • Código de ética: estabelece os princípios éticos que a companhia quer seguir  juntamente com todo o corpo de empregados. 

 

7. Monitoramento e avaliação 

Outra fase importante é a criação de um processo de monitoramento do programa de gestão de riscos, com  mensuração clara e objetiva de desempenho, e consequentemente de avaliação. 

Através de relatórios de riscos e de controles, a alta gestão precisa ser informada  periodicamente sobre o andamento do programa e dos resultados alcançados. 

 

8. Documentação para suporte 

A empresa deve reunir em área (on line) comum, interna e dedicada, as informações do  programa de GRC e uma lista de documentos entre as quais destacam-se: 

  • • Regimentos internos e atas dos grupos de trabalho; 
  • • Descrição detalhada dos riscos; 
  • • Modelos utilizados para medição de riscos; 
  • • Descrição detalhada dos mitigadores; 
  • • Descrição do processo operacional da gestão de riscos; 
  • • Relatórios – gerais, específicos e suas periodicidades; 
  • • Modelo de obtenção de resultados para o hedging accounting; Processo de implantação faseada; 
  • • Plano educacional; e 
  • • Políticas.

 

9. Considerações finais 

A implantação de um programa de gestão de riscos, por mais simples que seja, sempre  será positivo, pois cria hábito de entendimento e enfrentamento de riscos. Além disso,  constrói entre os colaboradores uma cultura de descoberta e avaliação de riscos.  

O contínuo crescimento e aprimoramento do GRC deve ser orgânico à medida que  os riscos mais impactantes vão sendo modelados e tratados. 

A tarefa não é fácil e muitas vezes negligenciada ou ignorada, pois a grande maioria  acredita que a ocorrência de riscos e eventos indesejáveis, severos ou amenos, acontece só com  os outros. Exemplos não faltam no Brasil e no mundo. Pense nisso!

 

Leituras Recomendadas 

  1. IBGC. Gerenciamento de Riscos Corporativos. 2017 
  2. INPI. Manual de Gestão de Risco do INPI – versão 1.0. Rio de Janeiro. 2018. 3. KPMG. Pesquisa Maturidade do Processo de Gestão de Riscos no Brasil – 1ª  edição. 2018. 
  3. TCU. Modelos de Referência de Gestão Corporativa de Riscos. Link para o site do  TCU.

 

Luíz Cláudio Caffagni é Especialista em Agronegócio

Matéria original em: https://www.linkedin.com/pulse/gest%25C3%25A3o-de-riscos-empresas-luiz-cl%25C3%25A1udio-caffagni/