Padrões quantitativos e qualitativos têm sido propostos para a gestão dos riscos operacionais. Esta última abordagem envolve boas práticas no campo operacional e especificam diretrizes para a avaliação da qualidade de
processo e de controle. Os estudos nesta área estão bem mais avançados. Entretanto, a abordagem quantitativa se faz igualmente importante, uma vez que o volume de capital alocado para proteção dos eventos de perdas, muitas vezes exigido por órgãos reguladores, é também estimado com base em avaliações objetivas (MARSHALL, 2002).
2.4.4.1 Abordagem Quantitativa
Algumas instituições perceberam que os custos de investigar e corrigir problemas relativos a determinados eventos de perda superavam os possíveis prejuízos decorrentes deles (BCBS, 1998). Surgiu, assim, a necessidade de se estabelecer modelos econômicos racionais para auxiliar o aporte de capital adequado (POWER, 2003).
Uma técnica sugerida foi o Value at Risk, ou VaR, que é a máxima perda esperada para um evento, com determinada probabilidade, dentro de um certo período de tempo (HARMANTZIS, 2003). Entretanto, como os principais fatores requeridos são os dados históricos, esta não se mostrou uma solução satisfatória para os riscos operacionais (THINKFN, 2010). Como foi visto, a primeira dificuldade relativa a esse tipo de risco é a obtenção de dados (BCBS, 1998, NETTER e POULSEN, 2003), pois quanto menor a frequência, mais informações serão necessárias. Por exemplo, eventos de elevado risco e baixa probabilidade, como calamidades naturais, epidemias ou desastres econômicos, possuem frequências tão baixas que exigiriam várias décadas de dados para validar as hipóteses (THINKFN, 2010). Como a gravidade do evento costuma ser inversamente proporcional à sua frequência, o cálculo seria impossível. Em suma, a probabilidade por si só não importa. Ela pode ser muito pequena, mas suas consequências não. Um evento por século, por exemplo, pode arruinar um negócio (TALEB & PILPEL, 2007).
O Comitê da Basiléia, após realizar levantamento junto a grandes bancos, concluiu que eles tendiam a aplicar 20% do seu capital social para se precaver contra riscos operacionais, o que não era um procedimento
adequado, considerando que cada banco muito provavelmente definia os seus riscos de maneira diferente (GOODHART, 2001) e, também, que a relação entre tamanho da empresa e capital alocado não é linear (ISDA, 2000). Para incluir estes riscos no cálculo do Índice de Basiléia, o acordo conhecido por Basiléia II (BCBS, 2004) definiu três modelos possíveis para se medir os riscos operacionais em instituições financeiras. O primeiro deles é o Método do Indicador Básico (Basic Indicator Approach), que exige uma proporção direta, definida em 15%, sobre a receita bruta. Esta medição carrega a vantagem da simplicidade, porém, não considera os diferentes graus de riscos entre os diferentes tipos de negócios realizados (GOODHART, 2001). Wilson (2001), inclusive, considera que a dependência do cálculo a um único número pode constituir, por si só, outro risco operacional. O segundo modelo é o Método Padronizado (Standardised Approach), o qual é calculado mediante a soma dos riscos individualizados dos diferentes negócios da instituição. Apesar de representar ainda uma ferramenta simples, consegue refletir a variação dos riscos envolvidos. A mais completa opção, porém, é a Mensuração Interna/Avançada (Internal/Advanced Measurement Approach), onde são usadas informações históricas de perdas internas, categorizadas segundo uma prévia classificação e coletadas nas diversas linhas do negócio (BCBS, 2004, BRITO, 2007). Assim, as instituições poderão disponibilizar mais ou menos capital para cobrir estes riscos, dependendo da sofisticação do modelo adotado (CAGAN, 2001).
Entretanto, medir o risco operacional não é o mesmo que gerenciar. Ou seja, quantificar o que é possível e negligenciar o resto não é uma prática recomendável, fazendo-se necessário integrar os modelos de capital com outras técnicas de gestão (CAGAN, 2001). A quantificação, portanto, é uma ferramenta de gerenciamento de risco, mas não a única (POWER, 2003). O próprio Comitê da Basiléia já havia admitido que a análise dos fatores de riscos devesse considerar as avaliações qualitativas (BCBS, 1998), de maneira que o modelo de Mensuração Interna/Avançada, estabelecido no Basiléia II, explicitou definitivamente esta condição (BCBS, 2004).
Cabe ressaltar que os métodos quantitativos aqui descritos buscam definir capital regulatório para as chamadas perdas inesperadas, como falhas, fraudes, etc. As perdas esperadas, ou seja, aquelas decorrentes do próprio risco do negócio, devem ser explicitamente orçadas e cobertas pelas receitas contínuas da empresa, não requerendo, teoricamente, de gestão adicional de risco (MARSHALL, 2002). Além dessas, porém, existem as perdas catastróficas, eventos raros com grande potencial de dano, os quais só podem ser reduzidos por meio de controles internos ou por contratação de seguro, quando possível (CAGAN, 2001, HARMANTZIS, 2003, POWER, 2003).
Curiosamente, o evento raro muitas vezes só acontece porque, pela lógica usual, não deveria ocorrer (TALEB & PILPEL, 2007). Como exemplo, Power (2003) retoma o caso Barings, o qual denomina de “paradigma do funcionário desonesto.” O autor concorda com Jameson (2001) ao afirmar que, mesmo se já estivesse sob as regras de alocação de capital, dificilmente o Barings teria se salvado. Cagan (2001) esclarece que os riscos envolvendo as ações do funcionário desonesto foram considerados menores e conclui que o fato demonstra que certos riscos podem facilmente cruzar as fronteiras conceituais.
Por todas estas questões, cada vez mais se requerem modelos de gestão de riscos operacionais que combinem abordagens quantitativas e qualitativas, de tal modo que as medições sejam feitas também em palavras e não apenas em números (WILSON, 2001).
2.4.4.2 Abordagem Qualitativa
Os escândalos financeiros ocorridos a partir do final do século passado, envolvendo empresas consideradas modelos de corporações, como Enron, WorldCom, entre outras, acabaram revelando malícias na gestão empresarial, as chamadas “maquiagens financeiras”, que vai desde a manipulação de resultados a falsificação de registros, passando por tráfico de influência e abuso de poder (PEREIRA, 2008).
Estes eventos abalaram particularmente o mercado de capitais americano, cujo governo, em um esforço para recuperar a credibilidade dos investidores, aprovou uma nova lei para regular o setor.
A Lei Sarbanes-Oxley, Sarbox ou SOX, elaborada pelo senador americano Paul Sarbanes e pelo deputado federal Michael Oxley, foi promulgada pelo Congresso dos Estados Unidos em janeiro de 2002 e assinada pelo então presidente George Bush no dia 30 de julho daquele ano. Esta Lei, aplicada às empresas norte-americanas de capital aberto e às estrangeiras com ações negociadas naquele mercado, é bastante extensa e concentra o foco na boa governança corporativa e na transparência das informações financeiras. Os executivos de tais organizações tornaram-se explicitamente responsáveis pela probidade, profundidade e precisão das informações divulgadas, não mais se aceitando a alegação de desconhecimento dos fatos quando da descoberta de uma irregularidade (OLIVEIRA, 2006, SANTOS e LEMES, 2007).
A SOX possui onze títulos gerais que tratam dos seguintes temas: criação do Comitê de Auditoria, para fiscalizar o processo de auditoria; princípios para auditoria externa e definição de regras de atuação do auditor interno, incluindo independência, comportamento e restrições; responsabilidades corporativas dos administradores, inclusive com relação à implantação e manutenção do controle interno; aprimoramento das divulgações financeiras, de maneira que guardem coerência com as normas definidas pela Securities Exchange Comission – SEC (órgão similar à brasileira Comissão de Valores Mobiliários – CVM); conflito de interesse do analista de mercado, com a criação de código de conduta para o profissional; competências para censura de profissionais do mercado por parte da SEC; exigência de elaboração de estudos e relatórios sobre fatos relevantes, reforçando as regras estipuladas; responsabilização corporativa e criminal por fraudes, com sanções aplicáveis inclusive para os casos de destruição, falsificação e alteração de documentos; responsabilização criminal da alta administração por “crimes do colarinho branco”; exigência de assinatura do executivo chefe na declaração de imposto de renda da empresa, e enquadramento como crime para fraudes corporativas
e adulterações, indicando as respectivas penalidades (USA CONGRESS, 2002).
As empresas brasileiras, exceto aquelas que tenham ações negociadas na bolsa de valores americana, não estão obrigadas ao cumprimento da SOX. Entretanto, uma razão para as companhias abertas brasileiras adotarem a SOX é que muitas regras ali contidas já estão em vigor no Brasil, via Leis 6.404/1976 e 10.303/2001 (BRASIL, 1976, BRASIL, 2001), e por meio das Recomendações da CVM sobre Governança Corporativa (CVM, 2002).
Por outro lado, a aderência a esta norma por qualquer empresa pode ser muito bem vista por acionistas ou proprietários e pelo próprio mercado, uma vez que os processos internos serão aperfeiçoados e haverá, consequentemente, maior transparência e credibilidade nas demonstrações financeiras apresentadas (OLIVEIRA, 2006). Pesquisas realizadas nos Estados Unidos indicam que a divulgação das informações referentes à confiabilidade das informações financeiras, incluindo os adequados procedimentos de emissão de relatórios (Seções 302 e 404 da SOX), tem influenciado o preço das ações das empresas. Ou seja, as organizações que apresentam deficiências nos controles internos tendem a sofrer desvalorização de seus títulos imediatamente após a publicação dos informes. Estas pesquisas sugerem não apenas que a real situação das empresas era desconhecida antes da divulgação dos relatórios, mas também que os investidores levam em conta esses comunicados no momento da aplicação dos seus capitais (BENEISH, BILLINGS e HODDER, 2007, FRANCO, GUAN e LU, 2005).
Assim, a implantação da SOX já é vista como uma forma de agregar valor à empresa e não apenas como um custo ou uma obrigação. As contribuições dadas não somente às práticas de governança corporativa, mas também às estruturas de Controles Internos e de Auditoria Interna, têm transformado estas ferramentas de gestão em instrumentos geradores de vantagem competitiva (OLIVEIRA, 2006).
2.4.4.2.1 Governança Corporativa
A preocupação com as boas práticas de gestão teve início após a grande crise da Bolsa de Valores de Nova Iorque em 1929. Cinco anos depois foi criada a Securities Exchange Comission – SEC e as diretrizes da
governança corporativa foram tomando forma. Entretanto, o primeiro código publicado ocorreu somente em 1992 no Reino Unido, pela iniciativa da Bolsa de Valores de Londres, dando origem ao The Cadbury Report (BANCO DO BRASIL, 2007).
A Lei Sarbanes-Oxley, como foi relatado, propôs questões relativas a governança corporativa, buscando explicitar as responsabilidades dos executivos ao tomarem conhecimento e divulgarem informações relevantes ao mercado (LELIS e MARIO, 2009).
No Brasil, as práticas de governança corporativas tiveram início com as Leis das S/A (Leis 6.404/1976 e 10.303/2001) e das Recomendações da CVM sobre Governança Corporativa. Coube ao IBGC (Instituto Brasileiro de
Governança Corporativa), fundado em 1995, a elaboração do Código das
Melhores Práticas de Governança Corporativa (BANCO DO BRASIL, 2007). O Código do IBGC, já em sua quarta edição, define governança corporativa como “o sistema pelo qual as organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre proprietários, Conselho de Administração, Diretoria e órgãos de controle” (IBGC, 2009, p.19).
O citado documento estabelece, ainda, os quatro princípios básicos da governança corporativa: transparência, para gerar clima de confiança nas relações internas e externas da empresa; equidade, caracterizada pelo tratamento justo e não discriminatório com nenhuma das partes interessadas no negócio; prestação de contas, de maneira que os responsáveis assumam integralmente as consequências de seus atos ou omissões, e responsabilidade corporativa, onde a sustentabilidade e longevidade das organizações sejam
buscadas, respeitando, porém, considerações de ordem social e ambiental na definição das estratégias negociais (IBGC, 2009).
Se por um lado os administradores já não têm condições de supervisionar pessoalmente todas as atividades das empresas (LELIS e MARIO, 2009), Culp (2002) assegura que um dos fatores determinantes para um processo de boa governança corporativa é a independência entre as áreas que assumem riscos e as que controlam. Assim, as atividades de controles internos passaram a ser elemento fundamental de tais práticas (IIA, 2009).
2.4.4.2.2 Controle Interno
Os escândalos financeiros verificados a partir da década 1990 deixaram patente a existência de falhas envolvendo a governança corporativa, indicando a necessidade de aperfeiçoamento dos controles internos (MARSHALL, 2002), os quais, apesar de já utilizados, não se mostravam eficazes (BARALDI, 2005).
Em 1992, o Committee of Sponsoring Organizations of the Treadway
Commission – COSO – publicou um importante relatório intitulado Internal Control – Integrated Framework (Controle Interno – Estrutura Integrada), no
qual desenvolveu uma estrutura de respostas às necessidades dos executivos para que eles pudessem melhor controlar os processos das suas empresas e que os objetivos organizacionais fossem assegurados.
De acordo com a metodologia COSO (1994), controle interno é um processo desenvolvido para garantir, com razoável certeza, que sejam atingidos os objetivos da empresa, mais precisamente nas seguintes categorias: eficiência e eficácia operacionais, confiança nos registros financeiros e cumprimento das leis e regulamentos aplicáveis.
Em 2001 o COSO, juntamente com a Pricewaterhouse Coopers, iniciou um projeto buscando desenvolver uma estratégia de gestão de riscos que fosse de fácil e imediata utilização pelas organizações. Três anos depois surgiu o relatório denominado Enterprise Risk Management - Integrated Framework
(Gestão de Riscos Empresariais – Estrutura Integrada). Conforme Ratcliffe e
Landes (2009), este modelo tornou-se amplamente utilizado nos Estados Unidos e foi aceito, com adaptação ou não, por muitos países e empresas ao redor do mundo.
Os objetivos gerais da gestão de riscos corporativos, segundo o modelo COSO (2004), são: alinhar o apetite de risco com a estratégia da empresa; fortalecer as decisões tomadas em resposta aos riscos; identificar e administrar os múltiplos riscos empresariais, integrando, inclusive, os riscos de diferentes áreas; aproveitar as oportunidades e otimizar a distribuição do capital. Estes objetivos estão inseridos dentro de uma estrutura de gestão de riscos definida em quatro categorias: Estratégico, metas gerais alinhadas à missão da empresa; Operações, uso eficaz e eficiente dos recursos; Comunicação, confiabilidade dos relatórios, e Conformidade, conformidade com leis e regulamentos aplicáveis. São categorias distintas, mas que se inter-relacionam, de maneira que um objetivo específico pode recair em mais de uma categoria.
O gerenciamento de riscos corporativos possui, ainda, oito componentes também inter-relacionados que a administração da empresa deve considerar no processo de gestão: Ambiente Interno, Fixação de Objetivos, Identificação de Eventos, Avaliação de Riscos, Resposta a Risco, Atividades de Controle, Informações e Comunicações e Monitoramento.
Entretanto, a gestão de riscos corporativos não é um processo em série onde um elemento influencia apenas o seguinte, mas um processo multidirecional integrado onde todos interagem uns com os outros. Ou seja, as categorias de objetivos, que é o que a empresa deseja atingir, e os componentes da gestão de risco, que é o necessário para se atingir as metas, interagem entre si envolvendo as diversas áreas da empresa, como subsidiárias, unidades de negócio, divisões, etc. Esta relação é apresentada em uma matriz tridimensional em forma de cubo, onde cada lado representa uma dimensão: objetivos, componentes e unidades da organização (Vide Figura 2).
Figura 2: Matriz COSO. Fonte: COSO, 2004.
É importante citar que os oitos componentes da gestão de risco não funcionam de maneira idêntica nas diversas organizações. Em empresas de porte médio ou pequeno, por exemplo, o modelo aplicado pode ser menos formal e menos estruturado, muito embora todos os componentes possam estar funcionando adequadamente e contribuindo para uma gestão eficaz dos riscos (COSO, 2004).
A premissa básica é que cada empresa existe para gerar valor para seus stakeholders. Entretanto, o desafio maior dos administradores não é identificar como ela se esforça para criar valor, mas determinar quanto risco ela está preparada para suportar. Assim, o controle interno é parte fundamental da gestão de riscos corporativos (COSO, 2004) e não, ao contrário do que muitos ainda pensam, um mero empecilho burocrático (DARYUS, 2010).
Aerts (2001), no entanto, critica o modelo COSO afirmando que ele não é muito útil para resolver, na prática, o problema da gestão dos riscos operacionais. O pesquisador levanta duas questões fundamentais. Em primeiro lugar, os componentes de riscos seriam muito específicos, com o foco voltado somente para aqueles itens, de maneira que o ambiente restante da empresa, também exposto a riscos, pode passar despercebido. O segundo ponto é com relação à resposta para seguinte pergunta: quem deve ser o responsável pela
gestão do risco operacional? Aerts entende que a metodologia COSO pode
criar a falsa impressão de que o gerente de risco é o único responsável pela gestão de riscos de toda a empresa. Na verdade, continua ele, muitos riscos
operacionais têm origem no menor nível das unidades operacionais, devendo, portanto, ser gerenciado também pelas pessoas responsáveis por estas tarefas e de forma descentralizada.
Assim, como aperfeiçoamento aos modelos já apresentados, Aerts propõe que a gestão de riscos operacionais deve fluir através de três camadas de controle, formando uma estrutura única que perpasse por todos os níveis da organização. A primeira camada envolveria a linha de frente, a base operacional que constitui a força motriz do negócio e que lida com os riscos diariamente. A segunda camada seria a equipe de controles internos propriamente dita. Ou seja, abrangeria as pessoas responsáveis em verificar se os riscos estão sendo administrados conforme a estratégia da empresa, cabendo a elas, ainda, desenvolver ferramentas adequadas para este monitoramento. A terceira e última camada seria a auditoria interna, responsável basicamente por avaliar se os mecanismos de controles existem, se são adotados e se são suficientes para mitigar os riscos. Esta instância, enfim, é que daria garantias para a alta administração de que tudo está funcionando conforme o planejado. O modelo representando as três camadas de controle, propostas por Aerts, é mostrado na Figura 3, a seguir.
Figura 3: As três camadas de controle.
Fonte: Elaborada pelo autor conforme modelo proposto por Aerts, 2001.
Às vezes imagina-se que o controle interno é sinônimo de auditoria interna. Trata-se de uma idéia totalmente equivocada (ATTIE, 2007), pois esta jamais poderá funcionar como um apoio àquela, em uma espécie de trabalho de parceria (Aerts, 2001). Faz-se necessário, portanto, deixar clara a sua função no processo.
2.4.4.2.3 Auditoria Interna
A origem da auditoria interna perde-se na antiguidade. Conta-se que o imperador persa Dario I, por volta do ano 500 a.C., expandiu o seu domínio por grandes áreas territoriais. Em cada província distante ele instalou um governador, chamado “sátrapa”. Mas, como controlar as ações desses administradores de tão longe? A solução foi construir um eficiente sistema de estradas interligadas, que cortavam todo o Império, e criar um grupo de funcionários especiais para fiscalizar in loco as ações dos seus subordinados, notadamente com relação ao volume do imposto arrecadado. Estas pessoas ficaram conhecidas como “os olhos e ouvidos do rei” (Sousa, 2011), apelido ainda hoje utilizado para a profissão de auditor9.
De acordo com o Dicionário Aurélio (FERREIRA, 1999) a palavra “auditor” deriva do latim “auditore”, que significa “aquele que ouve” ou “ouvidor.” Sá (2002) relata que, por volta do século XIII, durante o reinado de Eduardo I na Inglaterra, esta acepção do termo já era utilizada. Mas foi cinco séculos mais tarde, com a Revolução Industrial, que a expansão da demanda de capital e das atividades empresariais provocaram a necessidade de controles mais complexos, dando origem à auditoria moderna. Ou seja, o auditor passou a opinar e interferir sobre aquilo que se configurava ser verdadeiro ou não. Conforme Jund (2006), o modelo inglês acabou sendo exportado para outros países, inclusive para o Brasil, por meio da construção de estradas de ferro e de outros serviços públicos.
Durante muito tempo, o enfoque da auditoria interna se limitava à observação, principalmente contábil (CASTANHEIRA, 2007). Buscava-se basicamente verificar se tinha havido roubos, fraudes ou desfalques por parte dos funcionários. Porém, com o crescimento constante das empresas e a complexidade de suas atividades econômicas, tornou-se difícil para uma pessoa, ou mesmo um grupo delas, controlar a totalidade dos processos
9
Attie (2007, p.14) afirma, por exemplo, que “a auditoria interna funciona, na realidade, como os olhos da administração.”
realizados (ATTIE, 2007). O acirramento da concorrência e a necessidade de investimentos os mais diversos, inclusive tecnológicos, provocaram a necessidade do aprimoramento de todos os processos empresariais (MCNAMEE, 1997). Assim, as atividades de auditoria assumiram, já em meados do século XX, um papel semelhante ao do controle interno (CASTANHEIRA, 2007). Entretanto, continuava a adotar um aspecto policialesco e focado no passado (ATTIE, 2007).
Constatou-se, por outro lado, que os controles em si não garantem nenhum sucesso, além do que o simples reforço deles leva, no médio prazo, a reduzir o lucro da empresa. Surgiu, assim, o conceito de auditoria baseada em risco, onde a auditoria interna identifica, mede e prioriza os riscos, de maneira a focar as áreas de maior relevância (MCNEMEE, 1997). A auditoria interna viveu, então, um processo de transformação e especialização, passando de uma posição detetivesca e punitiva para uma atitude técnica e de auxílio à organização (ATTIE, 2007). Hoje, as várias partes do processo de auditoria devem levar em conta as metas empresariais, os riscos para a realização dos objetivos, bem como as estratégias de gestão para mitigar esses riscos, não permanecendo apenas no papel de emitir pareceres sobre o controle dos sistemas (MCNEMEE, 1997). O foco, que era a análise a partir de respostas reativas, tornou-se proativo ao abordar os riscos do negócio (CASTANHEIRA,