Transformando riscos em resultados - EY

2 3 8,3% 10,6% 7,4% A maturidade da gestão de riscos direciona os resultados financeiros * acumulado no exercício de 2011 até 18 de novembro de 2011...

29 downloads 622 Views 1MB Size
Transformando riscos em resultados Como grandes empresas utilizam a gestão de riscos para impulsionar o desempenho

Nossa visão de riscos Resultados. Melhorias. Estratégias. Conhecimento.

Índice

Introdução

Introdução: gerenciando riscos para melhorar o desempenho.............................. 1

Qual o diferencial das empresas de melhor desempenho?............................. 5

Investimentos maciços feitos pelas empresas geralmente não atendem às áreas mais estratégicas em relação a riscos de negócio. Consequentemente, a alta administração pode não perceber a gestão de riscos como um ponto estratégico para a empresa.

Nosso estudo constatou que, enquanto a maior parte das organizações executa elementos básicos da gestão de riscos, as de melhor desempenho vão além.

A maturidade da gestão de riscos direciona os resultados financeiros............................ 2 Nossa pesquisa sugere que empresas com práticas de gestão de riscos mais maduras apresentaram os maiores crescimentos em receita, EBITDA e EBITDA/EV.

O enfoque das empresas para promover resultados com a gestão de riscos............... 4 As organizações atingem resultados a partir da gestão de riscos de três maneiras inter-relacionadas: mitigação de riscos, redução de custos e geração de valor.

Como grandes empresas transformam riscos em resultados............... 6 Os resultados dos nossos estudos sugerem que cinco componentes são essenciais para o processo de transformação dos riscos e promoção da melhoria do desempenho.

Potencializando a gestão de riscos para melhoria da performance dos negócios...... 13 Empresas que tiverem êxito na transformação dos riscos em resultados criarão vantagem competitiva. Este é o momento para a alta administração avaliar os atuais investimentos em gestão de riscos e discutir como ir além do compliance, abordando questões que envolvam valor estratégico para o negócio.

Gerenciando riscos para melhorar o desempenho Os eventos ocorridos na última década, que vão desde os casos Enron e WorldCom até a mais recente crise financeira mundial, mudaram significativamente a concepção de risco por parte das organizações. Empresas ao redor do mundo investiram intensamente em pessoal, processos e tecnologia para mitigar e controlar riscos em seus negócios. Historicamente, esses investimentos em risco concentraram-se principalmente nos controles financeiros e conformidade regulatória (compliance). No entanto, esses investimentos não atingiam áreas consideradas estratégicas do ponto de vista de riscos de negócio. Consequentemente, a alta administração pode não ter percebido a gestão de riscos como uma função estratégica para a empresa. A alta administração também não possuía confiança suficiente na habilidade de identificar e responder aos riscos que podem impactar o desempenho financeiro de sua organização.

“ Em nosso ponto de vista, as empresas com práticas de risco mais maduras apresentam desempenho financeiro melhor que aquelas do mesmo porte. Nossa experiência, pesquisas, e estudos reforçam essa perspectiva.” Randall Miller Líder Global de Assessoria em Risco da Ernst & Young

Eis que surge uma questão estratégica: “As organizações com nível de maturidade elevada em suas práticas de gestão de riscos apresentam desempenho financeiro melhor que outras do mesmo porte e ramo de atuação?”. De acordo com a nossa pesquisa e experiência, concluímos que “sim!”.

ii

1

A maturidade da gestão de riscos direciona os resultados financeiros

Sumário das principais descobertas Utilizando uma pesquisa quantitativa realizada em âmbito global (baseada em 576 entrevistas realizadas com empresas ao redor do mundo e na revisão de mais de 2.750 relatórios financeiros), avaliamos o nível de maturidade das práticas de gestão de riscos para então determinar uma relação positiva entre a maturidade da gestão de riscos e o desempenho financeiro.

Nossa pesquisa sugere que uma maior maturidade na gestão de risco se traduz em vantagem competitiva: observamos que empresas que adotaram práticas de gestão de riscos mais maduras apresentaram os maiores crescimentos em receita, EBITDA e EBITDA/EV.

• As empresas com melhor desempenho (Top-performers - do ponto de vista de maturidade) implementaram, em média, duas vezes mais iniciativas de gestão de riscos que aquelas com desempenho inferior.

• O desempenho financeiro está diretamente relacionado ao nível de integração e coordenação entre as funções de risco, controle e conformidade (compliance).

20,.3% Alto nível 20% 16,8%

Nível intermediário 60%

8,3%

Os principais pontos identificados foram:

• Empresas inseridas no grupo de maturidade elevada (Top 20%) geraram um EBITDA três vezes maior em relação às empresas inseridas no grupo de maturidade inferior (Bottom 20%).

Taxa composta de crescimento anual 2004–11* por nível de maturidade de risco

10,6%

Identificamos as principais práticas de gestão de riscos que diferenciaram os vários níveis de maturidade e as organizamos em componentes de riscos específicos.

• Uma efetiva utilização de tecnologia para sustentar a gestão de riscos apresenta-se como a maior fraqueza ou oportunidade para a maioria das organizações.

Baixo nível 20% 9,5% 7,4% 4,1% 2,5%

Receita

EBITDA

2,1%

EBITDA/EV

* acumulado no exercício de 2011 até 18 de novembro de 2011.

Seis perguntas direcionadas à alta administração 1. O que abrange o conceito de “gestão de riscos”? Essa é uma responsabilidade de funções específicas ou atribuída à empresa como um todo? 2. A sua organização enxerga riscos como uma oportunidade ou uma ameaça? 3. A sua abordagem para riscos está voltada unicamente à conformidade (compliance) ou contribui com valor estratégico que impulsiona o desempenho? 4. Qual a segurança que os riscos realmente relevantes estão sendo gerenciados? 5. Você sabe quais os riscos que, se bem gerenciados, levarão ao aumento do valor ou dos resultados de sua organização? 6. Sua empresa está tirando o melhor proveito da gestão de riscos?

2

3

O enfoque das empresas para promover resultados com a gestão de riscos Nossa experiência indica que as organizações atingem resultados a partir da gestão de riscos de três maneiras inter-relacionadas. Algumas empresas concentram-se na mitigação dos riscos de maneira geral, enquanto outras se concentram em eficiência, reduzindo os custos gerais dos controles. Há ainda aquelas que focam na geração de valor, por meio da combinação entre mitigação dos riscos e redução de custos.

Mitigação dos riscos

Geração de valor

Redução de custos

Mitigação dos riscos Os riscos de uma organização podem proliferar em um ritmo muito mais rápido que a sua habilidade de fornecer a respectiva cobertura, ou resposta, aos riscos. É necessário que as organizações possam identificar e abordar as principais áreas de riscos, além de serem ágeis na solução das deficiências, por meio de:

Redução de custos

• As organizações possuem comunicação aberta sobre riscos

• Existência de um método formal para a definição de níveis

• Avaliação efetiva dos riscos por todo o negócio e definição de papéis e responsabilidades.

• A comunicação é transparente e oportuna, fornecendo

• Testes de stress são usados para validar a tolerância ao risco.

Para muitas organizações, identificar formas de otimizar custos nos diferentes aspectos da organização continua sendo um fator crítico em meio à volatilidade do ambiente econômico atual. As oportunidades para redução de custos podem incluir: • Implementação de um novo modelo de gestão de riscos para melhorar significativamente a estrutura de custos.

• Simplificação ou eliminação de atividades de controle duplicadas.

Geração de valor

envolvendo stakeholders externos.

às partes interessadas as informações relevantes que transmitem as decisões e valores da organização.

aceitáveis de risco no âmbito da organização.

• A liderança da empresa implanta um programa eficaz de gestão de riscos.

• O Conselho ou comitês de gestão desempenham papéis

• O planejamento e ciclos de reporte de riscos são

importantes e de liderança na definição dos objetivos da gestão de riscos.

coordenados para que informações atuais sobre riscos sejam incorporadas no planejamento do negócio.

• Adoção e implantação de uma estrutura de gestão de riscos comum a toda a organização.

Melhoria de controles e processos

Transformando Riscos em Resultados

• Linhas de negócio estabelecem os principais indicadores

de risco (KRIs – Key Risk Indicators) que antecipam e definem a gestão de riscos.

• Autoavaliação e outras ferramentas de reporte são padronizadas por todo o negócio.

Otimização das funções de gestão de riscos

• Treinamentos relacionados à gestão de riscos são incorporados às metas de desempenho individual. • As ferramentas de monitoramento e reporte de riscos são padronizadas por toda a organização. • Tecnologia integrada facilita a gestão de riscos na organização e elimina ou previne redundâncias ou falta de cobertura.

• Aprimorar a eficiência por meio da automatização e monitoramento continuo de processos.

Geração de valor

• As principais métricas de risco e controle são definidas e atualizadas para abordar os impactos sobre os negócios.

• O sistema de reporte notifica todas as partes interessadas afetadas por um determinado risco, e não apenas aquelas relacionadas à função ou área em que o risco foi identificado.

Facilitar a gestão de riscos

Comunicar a cobertura de riscos

• Rastreamento, monitoramento e divulgação são realizados regularmente utilizando softwares de GRC.

• As organizações discutem a estrutura de gestão de riscos e controles em seus reportes anuais.

• A identificação e avaliação dos riscos são realizadas regularmente utilizando softwares de GRC.

• As organizações compartilham informações sobre gestão de riscos com seus clientes e demais interessados por meio de instrumentos independentes de reporte.

Muitas organizações estão buscando maneiras de aplicar a gestão de riscos e controles na melhoria do desempenho da empresa. As oportunidades podem incluir: • Alcançar retornos superiores a partir de investimentos em gestão de riscos. • Melhoria dos controles nos principais processos. • Utilizar análises de dados para otimizar o portfólio de riscos e melhorar a tomada de decisão. • Utilizar economias oriundas da gestão de riscos para financiar iniciativas corporativas estratégicas.

4

Incorporação da gestão de riscos

• Os controles são otimizados para promover eficácia, reduzir custos e contribuir para um desempenho cada vez melhor nos negócios.

• Aceitar os riscos certos para alcançar vantagem competitiva nos negócios.

Redução de custos

Agenda do Risco: pesquisa envolvendo as principais práticas

• Investimento específico em riscos associados aos “objetivos estratégicos da empresa”.

• Redução do custo dos controles por meio do uso aperfeiçoado de controles automatizados.

Mitigação dos riscos

As constatações de nosso estudo sugerem que estes componentes são essenciais para transformar o risco e impulsionar a melhoria de desempenho da empresa.

Aprimorar a estratégia de riscos

Redução de custos Geração de valor

Nosso estudo constatou que, enquanto a maior parte das organizações executa elementos básicos da gestão de riscos, as de melhor desempenho vão além. Observamos que práticas específicas de gestão de riscos, presentes de maneira consistente nas empresas que registraram melhor desempenho (por exemplo, 20% das empresas com maturidade elevada em gestão de riscos), não estavam presentes nas empresas que apresentaram baixa maturidade em gestão de riscos (empresas que compõem os 20% do limite inferior). Essas práticas de gestão de riscos podem ser organizadas nas seguintes áreas de desafio, conforme demonstrado no quadro abaixo.

• Identificação e entendimento dos “riscos relevantes”.

• Apresentação da efetividade da gestão de riscos aos investidores, analistas e reguladores.

Mitigação dos riscos

Qual o diferencial das empresas de melhor desempenho?

5

Agenda de RISCO: research study leading practices Estratégia de melhoria do risco

Como grandes empresas transformam riscos em resultados

Melhoria de controles e processos

Aprimorar a estratégia de riscos

Expectativas do Comitê de Auditoria e da Administração

Melhorar a estratégia de riscos

Incorporar a gestão de riscos ao planejamento Aplicação de uma “ótica de riscos” ao negócio

Iniciativas de negócios, metas e estratégias da empresa

Otimizar as funções de gestão de riscos

Aprimorar controles e processos

Ótica dos Resultados Fortalecer a governança e supervisão de riscos Definir a estratégia de riscos com responsabilidades pela gestão de riscos nos níveis de conselho e diretoria. Integrar gestão de riscos e de desempenho Incorporar ao planejamento e gestão de desempenho do negócio uma abordagem para avaliação e monitoria dos riscos

Resultados desejados Valor: investir de forma diferenciada na gestão dos riscos relevantes, visando à melhoria do EBITDA; melhorar os controles dos principais processos de negócio. Custo: reduzir em aproximadamente 30% o custo dos controles; alavancar controles automatizados de maneira eficiente.

Coordenar as múltiplas funções de risco Melhorar a cooperação entre as múltiplas funções de risco para ampliar a cobertura, reduzir custos e agregar valor ao negócio.

Risco: alinhar os riscos à estratégia corporativa; incorporar a cultura de riscos por todo o negócio e reduzir redundâncias na gestão dos riscos por meio da integração e coordenação.

Melhorar o desempenho no nível do negócio Propiciar que a organização efetue uma gestão diferenciada dos principais riscos a partir de processos e controles no nível do negócio.

Promover a gestão de riscos, comunicar a cobertura de riscos. Funções tradicionais de gestão de riscos

Transformando risco em resultado

Promoção da gestão de risco

Otimização da função da gestão de risco

Comunicação da cobertura de risco

Uma gestão de riscos efetiva começa nos níveis hierárquicos mais altos e possui clareza a respeito da estratégia e governança de riscos.

As empresas que forem bem-sucedidas na transformação de riscos em resultados criarão uma vantagem competitiva por meio da utilização eficiente de recursos escassos, da melhoria do processo decisório e da redução da exposição a eventos negativos. Este é o momento para a alta administração adotar uma “ótica de risco” mais abrangente para o negócio.

Agenda de Riscos

Incorporação da gestão de risco

É essencial que exista adequada supervisão e responsabilidades por parte dos membros do Conselho de Administração e da diretoria. No nível gerencial, os executivos precisam desempenhar um papel fundamental na avaliação e gestão dos riscos. Uma estrutura aprimorada de governança, adequada comunicação e reporte à alta administração resultam em maior visibilidade, atuação responsável e transparência. Adicionalmente, a divulgação e supervisão realizadas de forma eficaz são fundamentais para a melhoria do processo decisório (tomada de decisões estratégicas). A melhoria da estratégia de riscos possibilita que as empresas sejam capazes de antecipar riscos de maneira eficiente. No entanto, mesmo com a prática de uma estratégia preventiva mais robusta, ainda há a possibilidade da ocorrência de eventos não previstos que podem afetar o desempenho. Portanto, enquanto é fundamental identificar proativamente as estratégias que visam mitigar os riscos, antes mesmo da ocorrência de um evento, é igualmente importante desenvolver estratégias de reação que possibilitem que a organização reaja rapidamente caso um risco se materialize.

E s t u d o

d e

O que as empresas com alto desempenho estão fazendo certo Os resultados obtidos em nossa pesquisa e estudos demonstram que as empresas que registraram melhor desempenho adotam as seguintes práticas de gestão de riscos: • Comunicações abertas em ambos os sentidos no que se refere ao risco incidente sobre stakeholders externos. • Comunicação transparente e oportuna, fornecendo aos stakeholders informações relevantes que transmitam as decisões e os valores da organização. • O conselho ou comitês desempenham um papel de liderança na definição dos objetivos da gestão de riscos. • Uma estrutura de gestão de riscos foi implantada e adotada por toda a organização.

c a s o

Empresa classificada entre as 50 maiores do mundo utiliza a governança de riscos para fortalecer a comunicação com stakeholders Uma empresa de bens de consumo, classificada entre as 50 maiores do mundo, queria aumentar a transparência e comunicação com seus stakeholders. Para tal, a empresa começou estabelecendo um Comitê de Riscos ligado ao Conselho de Administração. Apesar de o Conselho em si agir como um Comitê de Riscos, nenhum dos integrantes do conselho havia sido especificamente designado para tratar do tema riscos. Estabeleceram então um Comitê de Riscos no nível da Diretoria Executiva e contrataram um Diretor de Riscos (CRO – Chief Risk Officer). Em seguida, identificaram profissionais responsáveis por riscos no nível do negócio e operações, designados como Risk Champions. Visando à melhoria da comunicação externa, a empresa desenvolveu uma estrutura de governança e reforçou a agenda de riscos em geral por meio de: • Alinhamento dos riscos à estratégia. Ocorre em diferentes níveis. O nível mais básico é o de inserir premissas adicionais relacionadas ao planejamento estratégico em geral, o qual geralmente considera projeções para os próximos três a cinco anos. A organização listou essas premissas adicionais, utilizando-se de três perguntas básicas para desenvolver um perfil de risco e identificar riscos estratégicos: (1) O que precisa dar certo para atingirmos a nossa estratégia? (2) O que pode dar errado? e (3) Como saberíamos?

Auditoria Interna, Controles Internos, Compliance, Gestão de Riscos, Segurança da Informação, Jurídico, Tributário, Regulatório, Transações Corporativas, SOX Compliance.

• Incorporação de princípios de risco no ciclo de planejamento da unidade de negócios. A organização fez as mesmas três perguntas que a unidade de negócios enquanto reunia as previsões de 12 meses para identificar riscos operacionais. O desenvolvimento de uma estrutura de governança de riscos também contemplou a definição do apetite ao risco da organização, definição do universo de riscos, determinação de métodos para mensuração dos riscos e estabelecimento da tecnologia adequada para auxiliar na gestão dos riscos.

“Quando se trata de desenvolvimento e execução de estratégia, é importante que a gestão de riscos impulsione o desempenho dos negócios - e não apenas proteja o negócio.” Michael Herrinton Líder de Riscos para as Américas Ernst & Young LLP

6

As três perguntas feitas tanto no nível operacional como estratégico possibilitaram à organização documentar 80% dos riscos que possuíam impacto sobre o desempenho. O estabelecimento de uma estrutura de governança de riscos, a identificação de papéis e responsabilidades, e o desenvolvimento de um mandato e escopo para cada comitê de riscos contribuíram para a melhoria da comunicação com os stakeholders internos. Ao identificar os riscos estratégicos e operacionais que possuíam impacto sobre o desempenho da organização, e ao estabelecer uma abordagem coordenada em relação aos riscos por todo o negócio, essa empresa de bens de consumo criou subsídios para uma comunicação aberta e assertiva com os stakeholders externos quanto à sua estratégia de gestão de riscos, fortalecendo relacionamentos e construindo mais confiança no mercado.

7

Agenda de RISCO: research study leading practices

Agenda de RISCO: research study leading practices Estratégia de melhoria do risco

Melhoria de controles e processos

Incorporar a gestão de riscos O risco de negócio é inerente a todo empreendimento. No entanto, as organizações que incorporam práticas de gestão de riscos ao planejamento dos negócios e à gestão do desempenho possuem maior chance de alcançar êxito em seus objetivos estratégicos e operacionais. As empresas que registraram melhor desempenho entendem que os riscos precisam ser incorporados como parte do DNA da organização. Anos atrás, muitas organizações passaram a dar atenção especial à mitigação de riscos e controle de custos, com o intuito de evitar problemas para o negócio e proteger a marca. Atualmente, mais e mais organizações concentram-se em desenvolver estratégias de gestão de riscos que viabilizem os negócios. Pela primeira vez, vemos claramente as organizações identificarem as correlações existentes entre as estratégias do negócio, de tecnologia e de riscos – e como estas se encaixam.

E s t u d o

d e

Estratégia de melhoria do risco

Incorporação da gestão de risco

Transformando risco em resultado

Promoção da gestão de risco

Melhoria de controles e processos

Otimização da função da gestão de risco

Comunicação da cobertura de risco

O que as empresas com alto desempenho estão fazendo certo Os resultados obtidos em nossa pesquisa e estudos demonstram que as empresas que registraram melhor desempenho adotam as seguintes práticas de gestão de riscos: • Existência de um método formal para a definição de níveis aceitáveis de risco no âmbito da organização. • Testes de stress são usados para validar a tolerância ao risco. • A liderança da empresa implanta um programa eficaz de gestão de riscos. • O planejamento e ciclos de reporte de riscos são coordenados para que informações atuais sobre riscos sejam incorporadas no planejamento do negócio.

c a s o

O valor de uma boa gestão de riscos “Nós não compreendemos o valor de nossas iniciativas relacionadas à gestão de riscos”, reclamou o diretor de uma empresa. “Elas custam caro, a implantação é lenta ao ponto de prejudicar nossa agilidade e existe uma confusão no Conselho em relação aos relatórios que recebem. Simplesmente não conseguimos controlar as ações de cada um, nem tampouco a maneira e a qualidade do que estão executando.” Por quê? Uma vez que a gestão de riscos não foi incorporada aos negócios, os papéis e responsabilidades não foram, por sua vez, claramente definidos e não houve a devida coordenação entre as funções de risco. Como resultado, a diretoria não consegue visualizar a saúde da organização do ponto de vista de risco. O cliente então optou por se dedicar a incorporar a gestão de riscos aos negócios por meio do que se segue: • Desenvolvimento de uma árvore de valores. A organização já havia identificado de 10 a 15 principais riscos, além de já ter identificado os cinco principais indicadores de desempenho. No entanto, não ficou clara a relação entre os riscos e os indicadores. A árvore de valores auxiliou a organização a relacionar os cinco principais indicadores de desempenho aos principais riscos. • Relacionando risco ao ciclo de planejamento estratégico. A organização já havia identificado seus principais riscos, porém, ainda seria necessário dar o próximo passo e relacionar esses riscos ao ciclo de planejamento estratégico. • Inserindo princípios de risco ao ciclo de planejamento do negócio. Ao relacionar o risco ao ciclo de planejamento do negócio, a organização conseguiu priorizar e relacionar os principais riscos a suas operações. • Revisão da agenda do capital. A organização dedicou muito tempo à redução do custo operacional, porém, o tema custo do capital não foi abordado. O objetivo era alcançar eficiências da ordem de 15% a 20%. A organização revisou os métodos de alocação de capital.

Otimização das funções de gestão de riscos À medida que uma organização cresce e se modifica, suas atividades relacionadas a riscos, controles e conformidade (compliance) geralmente se tornam fragmentadas, estruturadas em silos e sem o devido alinhamento, fato que impacta tanto a governança como os negócios em si. Frequentemente, ocorrem múltiplas comunicações à administração e ao Conselho que são duplicadas e geram confusão. E a falta de coordenação entre as funções pode levar ao aumento de custos e fadiga dos negócios. Ao dar os passos seguintes, a organização pode reduzir sua carga de riscos (sobreposição e redundância), diminuir os custos totais, ampliar as coberturas e promover a eficiência: • Alinhar mandato e escopo. O alinhamento das funções de monitoramento e controle aos riscos mais significativos para a empresa pode otimizar o valor das funções de gestão de riscos das organizações. • Coordenar infraestrutura e pessoas. A contínua avaliação dos níveis de capacidade e deficiências, da consistência de papéis e responsabilidades e do investimento no desenvolvimento de talentos promove a eficiência.

Incorporação da gestão de risco

Transformando risco em resultado

Promoção da gestão de risco

Otimização da função da gestão de risco

Comunicação da cobertura de risco

O que as empresas com alto desempenho estão fazendo certo Os resultados obtidos em nossa pesquisa e estudos demonstram que as empresas que registraram melhor desempenho adotam as seguintes práticas de gestão de riscos: • Treinamentos sobre riscos são incorporados ao desempenho (metas) de cada profissional. • As ferramentas de monitoramento e reporte de riscos são padronizadas por toda a organização. • A tecnologia integrada proporciona a organização gerir riscos e eliminar ou prevenir redundâncias e falta de cobertura. • As sobreposições e duplicações das atividades de risco foram identificadas e estão sendo tratadas.

• Utilização de métodos e práticas consistentes. A aplicação de uma abordagem disciplinada em relação à gestão de riscos por toda a organização irá contribuir para que as funções de risco “falem a mesma língua” ao se reportar ao Conselho. • Implementar informações e tecnologias comuns. O compartilhamento de ferramentas de informação e tecnologia é essencial para o alinhamento dos principais riscos de negócio e para dar visibilidade às atividades de gestão de riscos em toda a organização.

“Muitos executivos não fazem ideia do retorno de seus investimentos em gestão de riscos. Se disserem que o retorno é neutro, eu lhes diria que não é bom o bastante.” Jonathan Blackmore Sócio de Assessoria em Risco – Europa, Oriente Médio, Índia e África da Ernst & Young

• Incorporando os princípios de risco aos processos de M&A. A organização registrou crescimento por meio de M&A e da expansão em mercados emergentes. Para maximizar o valor estratégico dessas iniciativas, o CRO (Chief Risk Officer) incorporou princípios de risco a M&A e às atividades em mercados emergentes. A organização também teve que mudar a abordagem ao risco por causa do Diretor Jurídico. O Diretor Jurídico observou que o risco era uma questão que devia ser documentada — e que, uma vez por escrito, o risco se tornaria uma responsabilidade. Ao criar uma ligação direta entre o risco e declarações formais enviadas ao mercado, a organização conseguiu o tão almejado apoio do Diretor Jurídico na gestão de riscos.

8

9

Agenda de RISCO: research study leading practices Estratégia de melhoria do risco

Incorporação da gestão de risco

Melhoria de controles e processos

E s t u d o

d e

c a s o

Empresa de grande porte do ramo farmacêutico cria plano de ação para iniciativas de risco autofinanciadas Cansados da situação em que se encontrava o ambiente de risco da organização, a alta administração de uma empresa do ramo farmacêutico reuniu os líderes de cada função de risco – Auditoria Interna, SOX, Jurídico e Regulatório, Compliance e ERM. Os executivos, então, listaram uma série de situações relacionadas à gestão de riscos em geral: • Confusão com relação à cobertura de risco no âmbito do Conselho de Administração. • Impacto sobre as unidades de negócios.

Melhoria de controles e processos Apesar de as organizações entenderem a importância da implantação de controles e processos com enfoque em risco, muitas organizações ainda lutam para criar ambientes de controle otimizados que equilibrem custo e risco. Ao otimizar controles relacionados aos principais processos de negócio, aproveitando controles automatizados em vez de manuais, e monitorando continuamente controles e KPIs críticos, as organizações podem melhorar o desempenho e reduzir os custos com controles.

• Desenvolvimento de sete calendários de risco diferentes. • Agenda das atividades de risco que não estão em linha com o “ritmo dos negócios”. • Sobreposição de papéis e responsabilidades dentro das funções de gestão de riscos.

2. Revisão do direcionamento, escopo e processos para cada função, para identificar deficiências e sobreposições que precisam ser resolvidas.

O que as empresas com alto desempenho estão fazendo certo Os resultados obtidos em nossa pesquisa e estudos demonstram que as empresas que registraram melhor desempenho adotam as seguintes práticas de gestão de riscos:

• Os controles são otimizados para melhorar a eficácia, reduzir custos e sustentar a melhoria do desempenho dos negócios.

Eles, então, deram três dias para que seus líderes identificassem, em equipe, a situação atual, estabelecessem uma situação futura e desenvolvessem um plano de ação com um retorno sobre investimento (ROI) que pudesse bancar todas as iniciativas de risco futuras.

1. Criação de um único calendário de planejamento alinhado com o ciclo de negócios.

Comunicação da cobertura de risco

• A autoanálise e outras ferramentas de reporte são padronizadas por todo o negócio.

• Deficiências no tratamento dos principais riscos.

Tendo em mente que não seria possível resolver tudo de uma vez, a equipe responsável pela área de risco desenvolveu um plano de negócios que produziu melhorias rápidas para assuntos de menor complexidade, gerando retornos no curto prazo. A equipe de riscos concentrou-se particularmente em seis ações específicas:

Promoção da gestão de risco

Otimização da função da gestão de risco

• As linhas de negócios estabelecem os principais indicadores de risco (KRIs) que antecipam e modelam a análise de risco.

• Falta de coordenação e comunicação no desenvolvimento de mais de 13 análises de risco segregadas.

Esse desafio estava acompanhado de um ultimato: caso não conseguissem retornar à diretoria com uma solução viável, eles teriam que ser substituídos por líderes de risco que fossem capazes de fazê-lo. Individualmente, os executivos indicaram que cada líder de risco receberia uma avaliação pelo esforço. No entanto, ao dedicarem muito tempo na construção de estruturas segregadas em vez de se concentrarem em integrá-las, os líderes de risco foram reprovados em conjunto. A organização havia reestruturado a área financeira, a cadeia de suprimentos e as operações da indústria. Seria então hora de reestruturar a gestão de riscos.

Transformando risco em resultado

• As principais métricas de risco são estabelecidas no âmbito do negócio.

E s t u d o

d e

c a s o

Empresa de bens de consumo classificada entre as 200 maiores do mundo simplificou controles e custos Uma empresa de bens de consumo classificada entres as 200 maiores do mundo constatou que o custo de seus controles estava muito alto. A empresa contava com um ambiente demasiadamente controlado que estava prejudicando a capacidade do Departamento Financeiro de reagir efetivamente às mudanças em um cenário competitivo. A empresa gostaria de atingir uma redução de 50% no custo dos controles, o qual atingia a ordem de EUR 100 milhões. Para alcançar esse objetivo, a empresa de bens de consumo implementou três grandes ideias:

3. Coordenação de análises de risco que estejam de acordo com as necessidades da maior parte das funções de risco, reduzindo o número de análises de risco de 13 para duas.

1. Estabeleceu um Centro de Excelência global para controles (CCoE – Controls Center of Excellence) para direcionamento e desenho de um conjunto de controles comum.

4. Adoção de uma estrutura, nomenclatura e universo de risco comum.

2. Adoção de controles desenvolvidos pelo CCoE, utilizando controles preventivos automatizados do SAP.

5. Desenvolvimento de estratégias de mitigação de risco.

3. Utilização de controles incorporados ao SAP para melhorar a confiança no ambiente de controles.

6. Utilização de ferramentas / tecnologia comuns para coletar e concentrar informações em um único repositório de comum acesso a todas as funções de risco.

O CCoE global possibilitou à empresa automatizar mais de 90% dos controles preventivos e eliminar controles antigos, duplicados e ineficazes. Ao utilizar o SAP, a empresa minimizou o uso de controles detectivos manuais, promovendo um ambiente de controle mais eficiente, eficaz e com uso reduzido de papel. Por fim, ao aproveitar os controles incorporados , a administração passou a receber garantia em tempo real de que o ao SAP, assim como as ferramentas e ambiente de controles estava funcionando de forma eficaz.

Além das seis ações acima mencionadas, a equipe de riscos concentrou-se na criação de uma visão única que eliminasse a estrutura segregada em silos, melhorando a comunicação e a coordenação. Como resultado do esforço empreendido, a equipe de riscos conseguiu criar uma visão única para riscos, concentrada nos riscos mais relevantes, colocou menos pressão no negócio, criou maior agilidade e maior capacidade de resposta a questões relacionadas ao risco, e foi autofinanciada.

“A consolidação de múltiplos controles e requisitos de compliance em uma única estrutura sustentada pela tecnologia de GRC elimina duplicidades e simplifica a conformidade – em alguns casos, reduzindo o esforço pela metade.” Bernie Wedge Líder de TI para as Américas Ernst & Young

10

11

The RISK Agenda: research study leading practices Enhance risk strategy

Improve controls and processes

Facilitar a gestão de riscos Comunicar a cobertura aos riscos A transição de um perfil “avesso ao risco” para um perfil “preparado para o risco” pode exigir mudanças significativas. As organizações irão precisar da atuação de um executivo experiente, assim como do suporte dos níveis hierárquicos mais altos, além de executivos que liderem com base em exemplos. Fundamentalmente, a gestão de riscos requer mudanças culturais no negócio. Compreende ainda mudar as óticas pelas quais os líderes enxergam as decisões por eles tomadas. Para auxiliar na transição dessa perspectiva no âmbito da organização, os executivos podem fazer as seguintes perguntas: • Qual a nossa posição como negócio? • Qual o nosso apetite para mudanças? • Em que tipo de organização estamos inseridos? As respostas para essas perguntas servem de base à tomada decisões relacionadas à gestão de riscos. Como parte de qualquer esforço de mudança, as organizações também terão que se comunicar abertamente e frequentemente com todos os stakeholders. Para maior confiança, as organizações deveriam apresentar aos stakeholders os resultados de verificações independentes realizadas por terceiros. As organizações também devem alavancar suas tecnologias visando obter o máximo de benefícios. Isso não significa que as iniciativas de gestão de riscos devem ser lideradas com base na tecnologia. Em vez disso, a tecnologia deve ser um propulsor da mudança. As ferramentas de GRC em uso atualmente são capazes de propiciar uma agenda de riscos completa. Isso inclui minimizar redundâncias, aprimorar a cobertura de riscos e controles automatizados. Entretanto, as organizações precisam garantir que estratégias de TI com foco em riscos estejam alinhadas com as estratégias de riscos e de negócios (de forma ampla e consistente).

Embed risk management

Turning risk into results

Enable risk management

Optimize risk management functions

Communicate risk coverage

O que as empresas com alto desempenho estão fazendo certo Os resultados obtidos em nossa pesquisa e estudos demonstram que as empresas que registraram melhor desempenho adotam as seguintes práticas de gestão de riscos: • Rastreamento, monitoramento e divulgação são regularmente realizados utilizando software de GRC. • Painéis de risco (dashboards) são automatizados e incluem indicadores de governança, risco e compliance. • A identificação e a análise de riscos são realizadas frequentemente utilizando software de GRC.

“Agora, mais do que nunca, as organizações devem adotar uma abordagem abrangente e coordenada para governança, risco e compliance. A tecnologia pode desempenhar um papel importante na promoção da mudança e na identificação do ponto de equilíbrio entre risco, custo e valor por toda a empresa.” Paul van Kessel Líder Global de TI Ernst & Young

Conclusão

Potencializando a gestão de riscos para melhoria da performance dos negócios Os resultados de nossas pesquisas e estudos apoiam as experiências da Ernst & Young com nossos clientes que dão conta que transformar riscos em resultados exige uma abordagem multifacetada: • Aprimorar a estratégia de riscos. Uma gestão de riscos efetiva começa nos níveis hierárquicos mais altos e possui clareza a respeito da estratégia e governança de riscos. É essencial que exista adequada supervisão e responsabilidades por parte dos membros do Conselho e da diretoria. De igual importância é a necessidade de responsabilidade pelos riscos por toda a organização. No nível gerencial, os executivos precisam desempenhar um papel fundamental na avaliação e gestão dos riscos. • Incorporação da gestão de riscos. O risco é inerente a todo negócio, no entanto, as organizações que incorporam práticas de gestão de riscos ao planejamento dos negócios e à gestão do desempenho possuem maior chance de alcançar objetivos estratégicos e operacionais. A realização de uma avaliação de riscos em uma empresa pode auxiliar a priorizar e identificar oportunidades de melhorias. • Otimização das funções de gestão de riscos. Ao alinhar e coordenar atividades de gestão de riscos em todas as funções de risco e compliance, a organização pode reduzir sua carga de riscos (sobreposição e redundância), diminuir os custos totais, ampliar as coberturas e promover a eficiência. • Melhoria de controles e processos. Ao otimizar controles relacionados aos principais processos de negócio, aproveitando controles automatizados em vez de manuais e monitorando continuamente controles e KPIs críticos, as organizações podem melhorar o desempenho e reduzir os custos com controles. • Facilitar a gestão de riscos, comunicar a cobertura aos riscos. A transição de um perfil “avesso ao risco” para um perfil “preparado para o risco” pode exigir mudanças significativas. As organizações irão precisar da atuação de um executivo experiente, assim como o suporte dos níveis hierárquicos mais altos, além de executivos que liderem com base em exemplos. Será necessário estabelecer uma comunicação aberta e frequente com todos os stakeholders e apresentar resultados de verificações independentes realizadas por terceiros.

Criando vantagem competitiva Nossas pesquisas e vasta experiência na prestação de serviços para empresas ao redor do mundo indicam que as empresas que forem bem-sucedidas na transformação de riscos em resultados criarão vantagem competitiva. Esse é o momento para a alta administração avaliar os atuais investimentos em gestão de riscos e discutir como ir além do compliance, abordando questões que envolvam valor estratégico para o negócio – e a abordagem descrita neste estudo pode servir como um roteiro inestimável.

O risco está se tornando a quarta dimensão de um negócio. As pessoas eram a primeira dimensão. O processo tornou-se a segunda dimensão no auge da era da produção. A tecnologia em evolução tornou-se a terceira dimensão. A incorporação do risco como a quarta dimensão do negócio tem o potencial para transformar significativamente a maneira pela qual as organizações relacionam os riscos aos benefícios e recompensas.

12

13

Ernst & Young Terco

Contatos

Auditoria | Impostos | Transações Corporativas | Assessoria | Middle Market | Governo | Serviços Financeiros

América do Sul e Brasil

Sobre a Ernst & Young A Ernst & Young é líder global em serviços de Auditoria, Impostos, Transações Corporativas e Assessoria. Em todo o mundo, nossos 152 mil colaboradores estão unidos por valores pautados pela ética e pelo compromisso constante com a qualidade. Nosso diferencial consiste em ajudar nossos colaboradores, clientes e as comunidades com as quais interagimos a atingir todo o seu potencial, em um mundo cada vez mais integrado e competitivo. No Brasil, a Ernst & Young Terco é a mais completa empresa de Auditoria e Assessoria, com 4.100 profissionais que dão suporte e atendimento a mais de 3.400 clientes de pequeno, médio e grande portes. Em 2011, a Ernst & Young Terco foi escolhida como Apoiadora Oficial dos Jogos Olímpicos Rio 2016 e fornecedora exclusiva de serviços de Assessoria e Auditoria para o Comitê Organizador. O alinhamento dos valores do Movimento Olímpico e da Ernst & Young Terco foi decisivo nessa escolha.

www.ey.com.br © 2012 EYGM Limited. Todos os direitos reservados. Esta é uma publicação do Departamento de Marketing. A reprodução deste conteúdo, na totalidade ou em parte, é permitida desde que citada a fonte.

Sobre o Serviço de Assessoria prestado pela Ernst & Young A relação entre risco e melhoria de desempenho é um desafio cada vez mais complexo e crucial para as empresas, com o desempenho dos negócios diretamente associado ao reconhecimento e gestão eficaz do risco. Não importa se a sua ênfase está na transformação do negócio ou em manter os resultados conquistados – ter os assessores certos ao seu lado pode fazer toda a diferença. Nossos 20.000 profissionais de assessoria formam uma das mais amplas redes de serviços profissionais de assessoria do mundo, com equipes multidisciplinares experientes que trabalham com os nossos clientes, oferecendo-lhes uma experiência notavelmente eficaz e de qualidade superior. Adotamos metodologias comprovadas e integradas para ajudar a sua empresa a alcançar as suas prioridades estratégicas e fazer melhorias que sejam sustentáveis a longo prazo. Entendemos que para atingir todo o seu potencial como organização, são necessários serviços que venham como resposta para questões específicas da sua empresa, dessa forma, colocamos nossa ampla experiência no setor e profundos conhecimentos da matéria ao seu dispor, de forma proativa e objetiva. Sobretudo, assumimos compromisso de avaliar os ganhos e identificar em que pontos a estratégia está agregando o valor que a sua empresa necessita. É assim que a Ernst & Young faz diferença. EYG no. AU1082 Esta publicação contém informações resumidas e, portanto, serve exclusivamente para orientação geral e não pretende substituir a pesquisa detalhada ou o exercício de julgamento profissional aplicáveis. Nem a EYGM Limited nem qualquer outra firma membro da organização global Ernst & Young poderá aceitar qualquer responsabilidade por perdas porventura resultantes da ação, ou falta de ação, de qualquer indivíduo com base em qualquer material contido na presente publicação. Para questões mais específicas, sugerimos consulta à assessoria adequada. Os pontos de vista e as opiniões de terceiros apresentados nesta publicação não representam necessariamente os pontos de vista e as opiniões da Ernst & Young. Outrossim, eles deverão ser considerados no contexto da época em que foram expressos.

Antonio L. Vita • [email protected] Tel: +55 11 2573 3708

Rio de Janeiro José Carlos Costa Pinto • [email protected] Tel: +55 21 3263 7132 Camila Mendes Ribeiro • [email protected] Tel: +55 21 3263 7102

São Paulo Rene Eduardo Martinez • [email protected] Tel: +55 11 2573 3277 Juliana Ferreira Rodrigues Pereira • [email protected] Tel: +55 11 2573 3619

Belo Horizonte Charles Ferreira • [email protected] Tel: +55 31 3232 2230 Marco Araujo • [email protected] Tel: +55 31 3232 2100

Curitiba José Ricardo de Oliveira • [email protected] Tel: +55 41 3593 0703

Porto Alegre Paulo Brazile • [email protected] Tel: +55 51 3204 5591

Norte e Nordeste Cristiane Amaral Teixeira • [email protected] Tel: +55 81 3201 4807