Nos últimos anos foram desenvolvidos modelos eficazes para o gerenciamento dos riscos nas instituições financeiras. Entretanto, existe nas empresas não-financeiras uma série de outros riscos, igualmente importantes, cuja percepção e gestão não foram ainda suficientemente explorados (SANTOS, 2002).
Por outro lado, o desenvolvimento do setor financeiro tem levado as demais empresas a lançarem um olhar mais atento às suas estratégias de gestão de riscos operacionais, uma vez que qualquer tipo de negócio deve possuir alguma forma de controle interno (AERTS, 2001). Porém, essa percepção é ainda incipiente, pois, conforme observa Harmantzis (2003), muitas organizações não atentam de incluir os custos com esse tipo de risco e seus controles no preço final do produto.
Culp (2001) sugeriu que o que separa as empresas não-financeiras de uma consciência maior dos riscos operacionais é, em grande parte, uma barreira cultural. Ele estabeleceu, então, cinco estágios de evolução da gestão dos riscos operacionais, partindo desde uma situação de referências tradicionais, ou seja, onde existe apenas um tratamento informal da gestão de riscos operacionais, até um completo amadurecimento da empresa para o assunto, incluindo a definição dos limites gerais de exposição, medições padronizadas, emissão periódica de relatórios, além da utilização de ferramentas qualitativas de controle, como as estruturas de controle interno e auditoria interna. Estes estágios de evolução da gestão dos riscos operacionais, conforme o pesquisador, estão sintetizados no Quadro 2, a seguir.
Fase Situação Evidências
1 Tratamento mais informal de riscos operacionais que uma empresa pode apresentar.
a) Não existem pessoas ou processo envolvidos diretamente com os riscos operacionais;
b) análise reativa.
2 Consciência de que os riscos operacionais devem ser explicitamente abordados.
a) Riscos operacionais abordados de forma setorizada;
b) equipes isoladas, sem cruzamento de informações;
c) controles segregados em ilhas ou departamentos.
3 Riscos operacionais tratados de maneira explícita e formal.
a) Acompanha os riscos operacionais, ainda que não utilize bases quantitativas; b) existem indicadores previamente definidos;
c) abordagens dos riscos com foco nas estratégias de negócio.
4 Utilização de modelo de gestão de riscos operacionais.
a) Sistema quantitativo de medição de riscos;
b) administradores com visão articulada dos riscos;
c) existência de cargo de Gerente de Risco.
5 Amadurecimento da empresa para a integração dos riscos operacionais.
a) Ferramentas qualitativas de controles; b) definição de limites de exposição aos riscos operacionais;
c) medições padronizadas;
d) emissão periódica de relatórios; e) integração entre os setores.
Quadro 2: Estágios da gestão de riscos operacionais. Fonte: Elaborado pelo autor com base em Culp, 2001.
A International Organization for Standardization (ISO) avaliou que a diversidade cultural gerava uma série de normas distintas e até conflitantes sobre o assunto, envolvendo conceitos e terminologias diferentes. Percebeu- se, então, a necessidade de se criar um padrão que reunisse não apenas os documentos, mas também as práticas da gestão dos riscos operacionais das empresas. Surgiu, assim, a primeira norma internacional da história sobre gestão de riscos, denominada ISO 31000 - Risk Management – principles and guidelines on implementation. A norma, divulgada em 2008 e oficializada no
ano seguinte, foi destinada a organizações de todos os tipos, portes e atividades. (ISO, 2008, FERNANDEZ,2009).
A ISO 31000 é uma abordagem genérica, não específica a nenhuma indústria ou setor, que fornece orientações sobre a gestão de risco de maneira transparente, confiável e sob qualquer escopo e contexto. Seu propósito não se destina para fins de certificação, mas busca permitir que a organização: incentive uma gestão proativa e não apenas reativa; tenha ciência da necessidade de identificar e tratar os riscos em toda a empresa; aperfeiçoe a identificação de oportunidades e ameaças; atenda as exigências legais e regulamentares e as normas internacionais; melhore o reporte das informações financeiras e a confiança dos stakeholders; amplie a governança corporativa; estabeleça uma base confiável para a tomada de decisão e para o planejamento; melhore os controles internos; utilize com eficiência os recursos alocados para o tratamento dos riscos; aumente a eficácia e a eficiência operacionais; melhore as políticas de saúde, segurança e meio ambiente; melhore a prevenção de perdas e a gestão de incidentes; minimize as perdas; incremente a aprendizagem corporativa, e melhore a resiliência organizacional (ISO, 2008).
O projeto e a implantação da gestão de riscos propostos pela ISO 31000 dependerá das diferentes necessidades de cada empresa, dos seus objetivos, produtos e procedimentos operacionais específicos. Entretanto, três grandes pilares norteiam todas elas: os princípios, o modelo e o processo de gestão de riscos adotados. A relação entre os pilares é mostrada na Figura 4, a seguir.
Figura 4: Princípios, modelo e processo de gestão de riscos conforme ISO 31000. Fonte: Adaptada pelo autor a partir de modelo existente em ISO, 2008.
A coluna “Princípios” descreve as possibilidades da gestão de riscos nas empresas. É com base nessas premissas que os valores serão agregados aos processos corporativos (FERNANDEZ, 2009).
Para ter sucesso, a gestão de riscos deve contar com um modelo que forneça os fundamentos e a estrutura que irão incorporá-lo em toda a organização, incluindo todos os níveis. O modelo deve assegurar que as informações sobre riscos sejam devidamente comunicadas e utilizadas para a tomada de decisões em todos as áreas da empresa. Esta, alíás, deve adaptar os componentes propostos às suas necessidades específicas, e não tomá-los como um sistema de controle geral e acabado (ISO, 2008).
O processo de gerenciamento de riscos deve ser uma parte integrante da gestão, ser incorporado na cultura e nas práticas e adaptado para o negócio da empresa. A fase de comunicação e consulta abrange todas as demais, lidando com informações tanto internas como externas. O seu propósito é
PRINCÍPIOS: A gestão de riscos: - cria valor;
- é parte integrante dos processos empresariais; - é parte do processo decisório; - aborda explicitamente a incerteza; - é baseada na melhor informação disponível; - é alinhada aos contextos internos e externos; - leva em consideração fatores humanos e culturais; - é transparente e inclusiva; - é dinâmica, interativa e receptiva a mudanças; - busca a melhoria e o aprimoramento da organização. MODELO: PROCESSO: MANDATO E COMPROMISSO DESENHO DO MODELO M E L HO RIA CO NT ÍNUA IM P L ANT A ÇÃO MONITORAMENTO E REVISÃO COMUNICAÇÃO E CONSULTA E S T AB E L E CIM E NT O DO CO NT E X T O AV AL IAÇ ÃO DE RIS CO S T RAT AME NT O DO S R IS C O S MONITORAMENTO E REVISÃO
assegurar que os responsáveis e as partes interessadas compreendam porque as decisões são tomadas e porque determinadas ações são necessárias. O estabelecimento do contexto envolve entender os fatores e as variáveis externas, incluindo recursos, tendências, políticas, bem como as relações com as partes interessadas externas, suas percepções, valores e cultura, e as dimensões internas, objetivos estratégicos, cultura organizacional e procedimentos. Define-se aqui as metas, as responsabilidades e o apetite ou a aversão ao risco que a empresa propõe aceitar. A fase de avaliação de riscos abrange a identificação, medição e análise dos riscos, relacionando os perigos que determinado processo, setor ou toda a empresa está exposta. O passo seguinte é o tratamento dado aos riscos residuais apontados. Caso não sejam tolerados, escolhe-se a melhor opção para minimizá-los, bem como a expectativa da eficácia do tratamento. A última fase, monitoramento e revisão, busca a checagem e o aperfeiçoamento do processo, devendo ser planejada antecipadamente e os responsáveis pelas ações claramente definidos. Pode ocorrer periodicamente ou apenas em resposta a determinado fato. Entretanto, a sua abordagem deve propiciar a aprendizagem com os eventos e a detecção de mudanças e tendências nos contextos interno e externo, incluindo aí a possibilidade de surgimento de novos riscos (ISO, 2008, BRASILIANO, 2009).
Em síntese, a ISO 31000 busca harmonizar entendimentos e padronizar boas práticas e abordagens, de modo a possibilitar a implantação da gestão de riscos em qualquer organização empresarial. A grande vantagem é que a norma não concorre com outras orientações já existentes, estando alinhada, por exemplo, ao modelo integrado de Gestão de Riscos Empresariais – ERM. Assim como outras normas tornaram-se referências em suas áreas específicas, a ISO 9000 para a Qualidade Total, a ISO 14000 para o Meio Ambiente e a ISO 27000 para a Segurança da Informação, a ISO 31000 tem todas as condições de se tornar referência para a gestão de riscos (BASTOS, 2009, BRASILIANO, 2009).
2.4.5.1 Gestão de Riscos Operacionais em pequenas e médias empresas
Não é apenas a ISO 31000 que prega a adoção da gestão dos riscos operacionais para empresas de todos os tamanhos. O Código das Melhores
Práticas de Governança Corporativa, por exemplo, recomenda que “os
princípios e práticas da boa Governança Corporativa aplicam-se a qualquer tipo de organização, independente de porte, natureza jurídica ou tipo de controle” (IBGC, 2009, p.15).
Conforme observou Baraldi (2005), as pequenas e médias empresas possuem objetivos estratégicos semelhantes às demais organizações, estando suscetíveis aos mesmos riscos. Entretanto, tais empresas ainda não dão a devida importância ao assunto. Observa-se que elas carecem de estruturas de recursos materiais e humanos para empreender uma gestão de riscos adequada, preocupando-se, quando muito, com as demonstrações financeiras, notadamente o fluxo de caixa. Conforme o SEBRAE (2007), a gestão empresarial deficiente é um dos fatores responsáveis pelo elevado índice de mortalidade nas organizações empresariais de menor porte.
Souza (2002) afirma que a maioria dos administradores das pequenas e médias empresas acredita que os problemas organizacionais ocorrem preponderantemente por descuido dos empregados e, ao invés de gerenciar os riscos operacionais, preferem recorrer a castigos ou a programas de recompensa para fazer com que as pessoas fiquem mais “cuidadosas”. Nesses casos, segundo o mesmo autor, procedimentos gerenciais equivocados são adotados e geralmente a improvisação assume o lugar do planejamento.
Com relação às ferramentas mais elaboradas de controle, Attie (2007) sustenta que as empresas de pequeno porte devem dispor de uma estrutura mínima de auditoria interna, mesmo que esta seja composta por um único funcionário, o qual poderia acumular funções de planejamento. Já as organizações de médio porte devem contar com um supervisor ou gerente de riscos. Entretanto, o autor alerta para o fato de que em empresas de menor porte geralmente não há trabalho suficiente para a existência de uma equipe
em tempo integral e a gestão de riscos, quando existente, muitas vezes é atribuída juntamente com outras tarefas operacionais, comprometendo a sua independência.
Todas estas deficiências estratégicas não apenas elevam os riscos, mas reduzem também o aproveitamento das oportunidades surgidas, sendo causadoras de uma grande quantidade de fracassos nas pequenas e médias empresas (BARALDI, 2005).
2.4.5.2 Gestão de Riscos Operacionais em empresas no Brasil
Quando comparada a padrões internacionais, percebe-se que a gestão de riscos ainda está sendo descoberta pelas empresas brasileiras (LEITE, 2008). Baraldi (2005) concorda com esse ponto de vista ao afirmar que, no Brasil, a cultura de gerenciar riscos e oportunidades não está ainda tão arraigada, e que os conceitos carecem de uniformidade e atualização.
Alguns estudos realizados nos últimos anos corroboram esses entendimentos.
A pesquisa denominada “Auditoria Interna no Brasil” (DELOITTE, 2007), realizada com 283 executivos de 20 estados brasileiros, revelou que a alta administração não percebe que um bom gerenciamento de riscos pode contribuir para a redução de custos e para a otimização de receitas. Enquanto a diminuição dos custos, como consequência das ações, é citada por apenas 7% dos entrevistados, a elevação das receitas nem sequer é lembrada.
Em outro estudo, realizado com a iniciativa privada no Brasil, foram revelados resultados semelhantes (CICCO, 2007). Participaram executivos de 136 empresas, dos quais 94% concordaram que a gestão de riscos seria fundamental para que os objetivos estratégicos fossem alcançados. Entretanto, apenas 38% admitiram existir uma definição única de risco em toda a empresa. O índice é praticamente o mesmo quando se perguntou se os objetivos da gestão de riscos estavam claramente definidos. Por outro lado, os riscos
operacionais foram espontaneamente apontados entre os mais comuns por 75% dos pesquisados. Foram citadas, na opinião dos consultados, as principais barreiras para a implantação de uma gestão de riscos eficaz: pouca conscientização e desconhecimento do assunto por parte dos empresários, falta de pessoal especializado, cultura interna resistente, excesso de níveis hierárquicos, burocracia e lentidão na tomada de decisões.
Finalmente, a pesquisa periódica “Executive Quiz”, do Korn/Ferry Institute, realizada em julho de 2010 com integrantes de conselhos de administração de empresas em mais de 65 países, inclusive o Brasil, revelou que, em desequilíbrio com a média mundial, apenas 13% dos brasileiros pesquisados apontam a existência de um gerente de risco em suas organizações, destes, 60% atribuem à gestão de riscos uma responsabilidade direta do presidente. De qualquer maneira, percebeu-se que as corporações brasileiras, embora sem uma cultura ou estrutura adequada, já se preocupam em buscar talentos que possuam habilidades relacionadas à gestão de riscos (CANAL EXECUTIVO, 2010).
Cicco (2007) admite que há um longo caminho a ser percorrido até que as empresas brasileiras possam contar com processos bem estruturados e sistematicamente implantados para gerenciar os riscos de forma eficiente. Cagan (2001) lembra, porém, que se trata de um processo evolutivo, que requer esforço dedicado para se estabelecer um novo paradigma cultural. Por outro lado, conclui ele, o que realmente importa, tanto do ponto de vista do negócio como da regulamentação, é começar.
2.4.5.3 Gestão de Riscos Operacionais em indústrias de transformação
Os riscos operacionais são mais facilmente percebidos no ambiente industrial, pois um equipamento quebrado ou a ocorrência de um acidente são prontamente identificados (GUSTAFSSON, 2008). Mas, apesar da grande quantidade de riscos a que estão expostas, muitas indústrias de transformação ainda consomem bastante tempo em atividade de “apagar incêndios”, ou seja,
só passam a se preocupar com os problemas depois que eles ocorrem (SLACK, 1993). A complexidade e o dinamismo, próprias da atividade industrial, contribuem ainda mais para que os administradores não percebam a totalidade dos riscos presentes no ambiente fabril (SILVA e PORTO, 2009).
Apenas nas últimas quatro décadas é que a indústria de transformação vem se dedicando a um conjunto maior de ameaças a que está exposta, por meio de abordagens comumente chamadas “prevenção de perdas”. Contribuiu para isso o rápido crescimento observado na segunda metade do século XX, tanto do ponto de vista do tamanho das plantas industriais, como da complexidade dos processos e do volume de produtos fabricados. Outro fator não menos importante foi a conscientização do público quanto aos perigos que as atividades industriais podem trazer para as pessoas e para o meio ambiente, além das constantes mudanças de legislação que impõem limites de atuação cada vez mais estreitos (SOUZA, 2002; MANNAN e LEES, 2004).
Entretanto, os estudos nessa área têm se voltado preponderantemente para disciplinas como “segurança no trabalho”, onde os riscos estão muito ligados à ocorrência de acidentes. Por exemplo, o Manual de Análise de Riscos
Industriais, elaborado pela Fundação Estadual de Proteção Ambiental Henrique
Roessler – RS, assegura que “os principais resultados de uma análise de riscos são a identificação de cenários de acidentes” (FEPAM, 2001, p.2).
Por sua vez, o “Controle Total de Perdas”, proposto pelo canadense John A. Fletcher ainda na década de 1970, lança um olhar mais abrangente sobre todas as falhas que possam interromper o processo de produção, buscando identificar as causas efetivas ou primárias dos problemas. Porém, pouco se ocupa com os perigos não relacionados diretamente ao processo produtivo. Dessa forma, dificulta o cruzamento de informações e a análise de eventos externos, além de comprometer a abordagem proativa dos riscos (ALBERTON, 1996; SOUZA, 2002; MANNAN e LEES, 2004).
Segundo Mannan e Lees (2004), a variedade de perigos e a vulnerabilidade das indústrias a eles são hoje de tal forma, que somente o gerenciamento de riscos é capaz de mantê-los em patamares aceitáveis. Assim, a revisão sistemática de todas as ameaças começa a tornar-se prática
normal no dia-a-dia das indústrias, fazendo com que ferramentas como governança corporativa, controle interno e auditoria interna apareçam cada vez mais em seus processos.
No Brasil a situação não é diferente. No segundo semestre de 2003, a KPMG realizou a terceira pesquisa sobre gerenciamento de riscos e governança corporativa no Brasil (KPMG, 2004). O extenso trabalho envolveu 2.000 empresas, das quais três quartos eram indústrias, de maneira que o resultado final foi fortemente influenciado por este setor.
O estudo concluiu que 82% das empresas pesquisadas consideram os benefícios da governança corporativa. Entretanto, apenas 9% a classificam como ação prioritária. As maiores dificuldades apontadas foram a resistência cultural e os custos de implantação.
Outro ponto levantado foi que o gerenciamento de riscos, antes visto com maior ceticismo, atualmente já é encarado como uma forma de condução dos negócios. Das organizações pesquisadas, 46% possuem departamento específico para a gestão de riscos, os quais buscam conhecer antecipadamente os potenciais problemas, de diversas origens, para poder utilizá-los estrategicamente.
O interesse por auditoria interna cresceu principalmente após o advento da SOX, de maneira que 82% dos pesquisados informaram dispor de alguma estrutura desse tipo em suas empresas.
Finalmente, os riscos operacionais (processos, controle interno, Tecnologia da Informação - TI, nova legislação) figuraram em segundo lugar na preocupação dos entrevistados, atrás dos riscos de mercado (produtos substitutos, novos concorrentes, novos produtos, preços), mas à frente dos riscos de crédito (taxa de juros, política de câmbio, finanças).
A pesquisa concluiu que, após um período de menor preocupação com os controles internos, motivado principalmente pela visão distorcida de que softwares padronizados poderiam dar conta da gestão de riscos, o interesse pelo ambiente de controle foi restabelecido, de sorte que as empresas brasileiras, principalmente as indústrias, estão cada vez mais preocupadas com
os riscos operacionais. Os órgãos reguladores, ao adotar e atualizar leis e regras de atuação, têm também contribuído para a melhoria observada.
Com o aprofundamento dos estudos e das práticas, a indústria brasileira tenderá a adotar políticas preventivas, passando de um comportamento meramente reativo para proativo, adotando ações não apenas de correção, mas também de antecipação (SOUZA, 2002).