a evolução do conceito de gestão do risco e a sua ligação ... · a evolução do conceito de...
TRANSCRIPT
A evolução do conceito de gestão do risco e a sua ligação com o governo das sociedades
Tiago Miguel Nabais Sá
Instituto Superior de Contabilidade e Administração de Coimbra
Instituto Politécnico de Coimbra (Portugal)
Área temática: A13 – Outros temas interligados com a contabilidade e a auditoria
Metodologia: M8 – Other (Review)
Resumo
Este trabalho resume a evolução da gestão do risco nos últimos anos, com base numa revisão
literária, identificando um novo paradigma de gestão do risco. São identificados os principais
fatores que levaram a esta mudança de paradigma e apontadas as principais características
desta nova abordagem de gestão do risco. É ainda salientada a importância de boas práticas de
governo das sociedades para a minimização do risco nas organizações e para a criação de
valor para os agentes interessados.
Palavras-Chave: gestão do risco; divulgações; crise; governo das sociedades.
A evolução do conceito de gestão do risco e a sua ligação com o governo das sociedades
1. Introdução
Num paradigma económico particularmente atribulado, as razões para investir num sistema de
gestão do risco integrado parecem ser cada vez mais evidentes. As deficiências na gestão do
risco parecem ser o principal fator explicativo da recente crise internacional do crédito e
muitos intervenientes – desde os investidores, aos administradores das empresas, passando
pelas agências de notação financeira – observam de forma cada vez mais atenta a abordagem
de gestão do risco por parte das organizações (Farrel, Hooper et al. 2009).
Independentemente do facto de a crise financeira global ser vista como resultado da assunção
de riscos excessivos (Kashyap, Rajan et al. 2008) ou de esta ser atribuída aos crescentes
níveis de risco a que as organizações estão sujeitas (Raber 2003), ambas as perspetivas
identificam o risco como o grande responsável e destacam a importância de uma estrutura de
governação das sociedades adequada para gerir o risco.
Com vista a criar valor para os acionistas, as empresas executam a sua atividade económica
em constante interação com o ambiente complexo em que se inserem, estando constantemente
expostas à incerteza, isto é, ao risco. Este pode ser visto quer como uma oportunidade de
adquirir mais valor para a empresa e para os seus acionistas, quer como uma ameaça que
poderá levar à perda de valor (Bonić e Đorđević 2012). Neste contexto, as organizações
encontram-se cada vez mais pressionadas no que diz respeito à identificação de todos os
riscos que os negócios possam ter de enfrentar (sociais, éticos, ambientais, financeiros,
operacionais) e à maneira de os gerir de forma aceitável.
Entretanto, o reconhecimento das vantagens de estruturas de gestão de risco empresarial
aumentou a sua utilização relativamente a abordagens menos coordenadas da gestão do risco,
conforme é referido pelo The Institute of Internal Auditors (2009).
Entre os principais acontecimentos que contribuíram para o crescente interesse na gestão de
risco empresarial estão as alterações ao nível da regulamentação, a sensibilidade dos
investidores à volatilidade dos resultados, o aumento dos padrões de responsabilização das
administrações e a convergência dos mercados de capitais e de seguros. Este último fator teve
como resultado o aparecimento de soluções integradas para gerir os riscos. Green (2001)
refere ainda os avanços tecnológicos ao nível do software informático e a crescente
sofisticação dos modelos analíticos estatísticos e económicos como fatores importantes para a
viabilização da gestão de risco empresarial. Kleffner, Lee et al. (2003) referem que a
implementação de uma gestão de risco empresarial pode estar relacionada com a mudança das
expectativas relativamente à eficácia do governo das sociedades. Estes autores referem que os
reguladores de muitos países estão a exercer pressão sobre as organizações no sentido de estas
melhorarem o relato relativamente ao risco e de adotarem uma gestão do risco mais integrada
e abrangente.
Tendo por base uma revisão literária, este trabalho pretende resumir a evolução da gestão do
risco nos últimos anos, identificando os principais fatores que levaram ao aparecimento de um
novo paradigma de gestão do risco, as principais características desta nova abordagem e a
importância de boas práticas de governo das sociedades para a minimização do risco nas
organizações e para a criação de valor para os agentes interessados.
2. Um Novo Paradigma de Gestão de Risco
O aumento da volatilidade no mundo dos negócios, os diversos fracassos e escândalos
corporativos e a fraude deixaram evidente a inadequação da abordagem fragmentada da
gestão de risco tradicional.
Quon, Zeghal et al. (2012) sugerem que o fracasso das organizações é o resultado de uma
fraca gestão de risco e de debilidades no governo das sociedades, facto que levou ao
aparecimento de uma perspetiva integrada de medição e gestão de riscos conhecida como
gestão de risco empresarial.
Morais (2008) refere que ambientes instáveis e fortemente competitivos com tecnologias
sofisticadas e ciclos de vida cada vez mais curtos e o acesso à informação global
generalizado, fizeram crescer exponencialmente o risco nas organizações. Este contexto
tornou premente a necessidade de um controlo moderno que privilegie o desempenho e a
competitividade - em contraste com os controlos de conformidade do passado – favorecendo a
utilização económica e eficiente dos recursos e a eficácia das organizações, áreas
particularmente suscetíveis aos novos fatores de risco.
Lam (2000) e Liebenberg e Hoyt (2003) referem que muitas das principais organizações estão
a abandonar as abordagens mais tradicionais de gestão de risco em silos, onde as áreas de
risco são geridas de forma independente, e a adotar uma abordagem de gestão de risco
empresarial como forma de responder às crescentes expectativas ao nível da gestão de risco,
transversal a toda a empresa.
A gestão de risco empresarial emergiu, assim, como um novo paradigma de gestão da carteira
de riscos que as organizações podem ter de enfrentar. Neste sentido os responsáveis têm
vindo a desenvolver mecanismos que permitam melhorar o governo das sociedades e a gestão
de risco (Beasley, Clune et al. 2005).
Ao longo do tempo, a função de gestão do risco evoluiu a par da alteração das necessidades
dos negócios, de modo a proporcionar valor acrescido reconhecido pelas organizações.
Meulbroek (2002) refere que, de um modo geral, o aumento da concorrência alterou a
incidência da gestão do risco que inicialmente era defensiva para um tipo de gestão de risco
progressivamente mais ofensivo e estratégico. O autor refere ainda que, enquanto a gestão do
risco tradicional se preocupa essencialmente em proteger a organização contra os efeitos
financeiros negativos causados pelo risco, a gestão de risco empresarial faz com que a gestão
do risco seja parte integrante da estratégia global da organização permitindo às organizações
tomar melhores opções, ajustadas ao risco, que maximizam o valor acionista.
A função de gestão do risco, criada originalmente com o principal intuito de lidar com a
transferência de risco, é caracterizada como gestão de risco tradicional/defensiva. Esta
abordagem centra-se essencialmente em seguros e riscos contratuais e transacionais.
A grande evolução que se seguiu foi a alteração para uma função integrada/gestão de risco
avançada, que coloca o foco na gestão de perdas danosas cobertas pelo seguro através da
prevenção e redução da gravidade dos riscos - tais como responsabilidade civil, sinistros
automóveis, acidentes dos trabalhadores, perdas relacionadas com propriedades ou outros
ativos. Esta abordagem centra-se essencialmente nas ameaças que as organizações podem
enfrentar.
A modalidade de gestão do risco mais recente, conhecida como gestão de risco empresarial,
olha para o controlo dos riscos num âmbito mais alargado, dando respostas mais concretas e
profundas aos riscos estratégicos, operacionais e financeiros, entre outros, entendidos numa
perspetiva de carteira de riscos interligados. Em alguns casos, o âmbito da responsabilidade
da função de gestão do risco foi alargada de modo a incluir a planificação da continuidade das
atividades. Esta abordagem centra-se na tomada de decisões com base na informação
relativamente às incertezas que afetam o futuro da organização, conciliando a vertente de
gestão de risco com uma vertente de análise estratégica da organização (Egerdahl, Fox et al.
2012).
A tendência para a adoção de sistemas de gestão de risco empresarial é geralmente atribuída a
uma combinação de fatores internos e externos. As principais influências externas que têm
conduzido as organizações a adotar uma abordagem de gestão do risco mais integrada e
holística têm a ver com a emergência de riscos de âmbito mais alargado resultantes de fatores
como a globalização, a consolidação do setor financeiro e a liberalização, a atenção acrescida
relativamente aos aspetos regulamentares do governo das sociedades e o progresso
tecnológico que possibilita uma melhor análise e quantificação do risco (Miccolis e Shah
2000). Os fatores internos estão centrados numa tónica de maximização do nível de riqueza
do acionista. Os defensores da gestão de risco empresarial argumentam que uma abordagem
integrada permite aumentar o valor da organização, através da redução de ineficiências
inerentes à abordagem tradicional, melhorando a eficiência do capital, estabilizando os ganhos
e reduzindo os custos esperados do capital externo e dos procedimentos regulamentares (Lam
2000; Miccolis e Shah 2000).
3. Gestão de Risco Tradicional vs Gestão de Risco Empresarial
A abordagem tradicional, baseada em silos, é composta por funções individuais e separadas
de gestão do risco, sem ter em conta que estas são mutuamente interdependentes. Atualmente,
são ainda muitas as organizações que continuam a tratar os riscos dessa forma segmentada,
através da gestão de seguros, de riscos cambiais, riscos operacionais, riscos de crédito e riscos
associados aos produtos de base, cada um deles conduzido como atividades de foco restrito e
fragmentado.
No entanto, é consensual que a totalidade do risco a que uma organização se encontra sujeita
não é igual à soma dos riscos considerados de forma individual. Para além disso, têm sido
apontadas diversas desadequações deste tipo de abordagem no contexto das organizações
modernas. Segundo o ERM Committee, essas desadequações são provocadas por:
1. Maior complexidade dos riscos e interdependência dos mesmos como consequência de um
progresso acelerado da tecnologia, do processo de globalização, do ritmo acelerado dos
negócios, etc.;
2. Pressão por parte dos organismos profissionais e reguladores, investidores institucionais,
agências de crédito, intervenientes no mercado de capitais e outros para estabelecer maior
responsabilização relativamente à gestão de risco empresarial, como resultado de inúmeras
manipulações financeiras;
3. O desenvolvimento da teoria moderna do portfólio, que proporcionou o enquadramento de
um conjunto de instrumentos financeiros na gestão do risco global perceção das suas
contribuições para o risco total;
4. Os avanços tecnológicos e a experiência, que possibilitaram a quantificação de riscos
individuais, mesmo os mais raros e imprevisíveis anteriormente difíceis ou mesmo
impossíveis de quantificar;
5. Maior disponibilidade à partilha com outras empresas das experiências em matéria de
gestão de risco, especialmente com aquelas que não se apresentavam como concorrentes
diretos.
As desadequações das abordagens de gestão do risco ditas tradicionais foram ultrapassadas
em meados dos anos 90 pelo aparecimento de um conceito conhecido como gestão de risco
empresarial.
No âmbito da gestão de risco empresarial, todas as áreas de risco funcionam como partes de
um sistema integrado, estratégico e transversal a toda a empresa. Embora a gestão do risco
seja coordenada com a supervisão de quadros superiores, os funcionários de todos os níveis
de uma organização que adote uma gestão de risco empresarial são encorajados a olhar para a
gestão do risco como uma parte integrante e contínua do seu trabalho (Simkins e Ramirez
2008).
A ideia principal do conceito de gestão de risco empresarial é determinar o nível de risco
considerado aceitável e como o utilizar com vista a acrescentar valor, razão pela qual este é
considerado como sendo parte integrante da estratégia de negócio. Nesse sentido, o conceito
de gestão de risco empresarial representa um novo paradigma de gestão do risco (resumido no
quadro 1) e estabelece uma base adequada para os processos de planeamento e tomada de
decisão :
Gestão de Risco Tradicional Gestão de Risco Empresarial Risco entendido como perigos individuais Risco perspetivado num contexto de estratégia
de negócio Identificação e avaliação do risco Desenvolvimento de uma carteira de riscos Destaque para os riscos pontuais Destaque para os riscos mais críticos Atenuação dos riscos Otimização do risco Limites de risco Estratégia de risco Riscos sem responsáveis Responsáveis pelo risco definidos Quantificação aleatória do risco Monitorização e medição do risco “O risco não é responsabilidade minha” “O risco é responsabilidade de todos”
Quadro 1 – Gestão de Risco Tradicional VS Gestão de Risco Empresarial
(Olson e Wu 2008)
4. Definição de Gestão de Risco Empresarial
A gestão de risco empresarial é uma abordagem abrangente da gestão do risco que inclui a
gestão de risco estratégica e que tem aumentado a sua importância, em parte como resultado
do Sarbanes-Oxley Act de 2002, que estabelece uma maior responsabilidade para o Conselho
de Administração compreender e monitorizar os riscos de uma organização.
Para dar resposta à necessidade de orientação para implementar um sistema de gestão de risco
empresarial, foram desenvolvidos vários quadros normativos. O quadro normativo mais
conhecido é, provavelmente, o “COSO’s Enterprise Risk Management — Integrated
Framework”, lançado em 2004 pelo Committee of Sponsoring Organizations of the Treadway
Commission (COSO). Este quadro normativo apresenta uma ferramenta de análise
comparativa para ajudar as organizações a desenvolver um mapa que as norteie durante o
processo de implementação de um sistema de gestão de risco empresarial.
O COSO define gestão de risco empresarial como “um processo efetuado pelo Conselho de
Administração de uma organização, pelos órgãos de gestão e outro pessoal, aplicado na
definição da estratégia e de forma transversal a toda a empresa, destinado a identificar
acontecimentos potenciais que possam afetar a organização e gerir o risco de forma que este
esteja conforme a apetência pelo risco definida pela organização, de modo a proporcionar
uma garantia razoável quanto à realização dos objetivos da organização.”
O modelo de gestão de risco proposto pelo COSO (2004) está assente em 8 componentes que
são afetadas de acordo com os objetivos da organização que podem ser classificados em:
estratégicos, táticos, comunicação, regulação e conformidade legal.
Existe uma relação direta entre objetivos e componentes, uma vez que os objetivos são metas
que a entidade pretende alcançar e as componentes são os meios necessários para atingir esses
objetivos. Os elementos, todos eles interligados, são o ambiente interno, a definição de
objetivos, a identificação dos acontecimentos, a avaliação dos riscos, as respostas aos riscos,
as atividades de controlo, a informação e comunicação e a monitorização.
A gestão de risco empresarial é, assim, o processo de identificar e analisar o risco a partir da
perspetiva integrada e ampla da empresa.
A definição do COSO é intencionalmente ampla e diz respeito aos riscos e oportunidades que
afetem a criação ou a preservação de valor. No entanto, outros grupos definem a gestão de
risco empresarial de modo mais restrito. Por exemplo, a Casualty Atuarial Society (CAS)
define a gestão de risco empresarial como “o processo pelo qual as organizações de todos os
setores avaliam, controlam, exploram, financiam e monitorizam os riscos, qualquer que seja a
sua origem, de modo a aumentar o valor de curto e longo prazo da organização para as partes
interessadas”. A CAS especifica os tipos de risco considerados na gestão de risco empresarial
como riscos propriamente ditos, financeiros, operacionais e estratégicos. É de destacar que
não existe uma solução única e consensual relativamente à forma de olhar para a gestão de
risco empresarial para todas as organizações ou empresas.
Morais (2004) refere que, neste modelo, controlo e risco são inseparáveis e estão interligados
numa estrutura integrada, cujos principais objetivos são a otimização de oportunidades, a
gestão do risco, o crescimento, a agregação de riscos e oportunidades para melhorar os
resultados, a resposta aos diversos riscos, a criação de valor para os diversos grupos
interessados (incluindo os acionistas) e a melhoria do governo da sociedade.
5. Intervenientes no processo de Gestão de Risco Empresarial
O risco está no centro das atenções de toda a organização, desde o Conselho de
Administração, aos gestores de topo, passando pelos gestores operacionais, auditores e
reguladores externos, auditores internos e Comissão de Auditoria (quando existe).
O IIA (2009) refere que a administração tem a responsabilidade global de assegurar que os
riscos são geridos. Na prática, a administração irá delegar a operacionalização da estrutura de
gestão do risco à equipa de gestão, podendo haver uma função separada para coordenar e
fazer a gestão de projeto destas atividades e colocar ao dispor as competências e
conhecimentos de especialistas. Acrescenta ainda que todos os membros de uma organização
tem o seu papel no sucesso da gestão de risco empresarial, sendo que a principal
responsabilidade na identificação e gestão de riscos pertence aos administradores.
Ayvaz e Pehlivanli (2010) concluíram nos seus estudos que o Administrador Executivo
(CEO) é o principal responsável pelas atividades de gestão de risco empresarial, seguido pelo
Conselho de Administração, alertando ainda para a importância dos responsáveis pela
auditoria interna e gestão do risco no processo.
No mesmo sentido, Walker, Shenkir et al. (2002) salientam que a implementação de uma
gestão de risco empresarial não pode ser bem sucedida sem o apoio firme dos quadros
superiores. Kleffner, Lee et al. (2003) salientam que o Conselho de Administração está a
envolver-se cada vez mais nas atividades de gestão do risco e que a sua influência está
relacionada com a adoção de uma gestão de risco empresarial.
Também Burnaby e Hass (2009) destacam que a capacidade de uma empresa para alcançar os
seus objetivos estratégicos é reforçada pelos esforços desenvolvidos na gestão de risco,
referindo que a participação dos quadros superiores no estabelecimento de parâmetros de
apetência pelo risco é importante.
A auditoria interna responde diretamente à Comissão de Auditoria, caso a empresa disponha
deste órgão. Caso não disponha, deve reportar à administração. Assim, a decisão da auditoria
interna orientar o seu trabalho para a identificação e avaliação dos riscos parte de instruções
dadas pela Comissão de Auditoria ou da administração.
Beasley, Clune et al. (2005) demonstraram a existência de uma interação entre a auditoria
interna e o responsável pelo risco, bem como o enfoque da auditoria interna em coordenar os
esforços relativos à adoção e monitorização do processo de gestão de risco empresarial.
O responsável pela auditoria deverá ter em consideração o enquadramento da gestão do risco
da organização, incluindo os níveis de apetência ao risco definidos pela gestão para as
diversas atividades ou partes da organização. Caso não exista tal enquadramento, o
responsável pela auditoria deverá utilizar o seu julgamento de riscos após consultar os
quadros superiores e o Conselho de Administração (IPAI, 2009).
Bekefi, Epstein et al. (2008) chamam a atenção relativamente ao papel que os gestores
financeiros desempenham na definição da apetência pelo risco, na promoção da conformidade
com os níveis de apetência ao risco, na gestão dos riscos nas áreas da sua responsabilidade e
na comunicação dos mesmos.
Assim que os órgãos de gestão definam o nível de apetência pelo risco, a empresa deverá
avaliar os riscos e as oportunidades identificados e desenvolver estratégias que explorem as
oportunidades e minimizem a exposição desnecessária ou evitável (Frigo e Anderson 2011).
Os defensores da gestão de risco empresarial acreditam que as organizações que optem por
seguir esta estratégia precisam de uma pessoa ou de um grupo de pessoas responsáveis pela
coordenação do programa de gestão de risco empresarial e pela comunicação dos objetivos e
dos resultados ao Conselho de Administração. A pessoa ou grupo responsável deve promover
a gestão de risco empresarial junto dos órgãos de gestão e elevar a função a um patamar no
qual seja possível divulgar a estratégia financeira e de negócio da organização (Liebenberg e
Hoyt 2003).
Alguns estudos recentes sugerem que as organizações olham para o Diretor de Risco e para a
comissão de gestão de risco empresarial como complementos e não como alternativas. Ao
contrário daquilo que acontecia com os gestores de risco tradicionais, os Diretores de Risco
são normalmente designados pela administração e respondem diretamente perante o CEO ou
o Diretor Financeiro.
Liebenberg e Hoyt (2003) referem que embora inicialmente se considerasse que o papel do
Diretor de Risco se limitava à gestão do risco, vários têm sido aqueles que alertam para as
responsabilidades deste com respeito às boas práticas de governo das sociedades.
6. Regulamentação e Orientações
Morais (2008) refere que a introdução de diversas regulamentações que impõem uma postura
de “auto controlo” tem aumentado a necessidade de criação ou de aprimoramento de uma
estrutura efetiva de controlo de riscos.
Os pressupostos errados de decisores de topo e a gestão inadequada do risco - cujas
consequências podem variar desde o simples constrangimento a sérios prejuízos - são
apontados como uma das principais causas de muitas das recentes falências.
Aos desafios da gestão do risco acresce a vaga de reformas regulamentares de anos recentes.
Nos Estados Unidos da América, o Sarbanes—Oxley Act de 2002 (SOX) aumentou as
responsabilidades da administração e dos diretores das empresas relativamente aos riscos,
forçando uma abordagem mais “do topo para a base” relativamente ao governo das
sociedades. O SOX prevê que haja um auditor independente nas organizações, que deverá
responder perante uma comissão de auditoria que, por sua vez, deverá integrar um especialista
financeiro. Estes requisitos limitam o controlo do CEO relativamente à função de auditoria e
garantem que haja um nível adequado de competência financeira na Comissão de Auditoria.
Não obstante, a função de auditoria quando considerada isoladamente não pode abranger
todos os riscos enfrentados pelas organizações (Simkins e Ramirez 2008).
Drew, Kelley et al. (2006) chamam a atenção para o facto de o relatório de Turnbull, bem
como os regulamentos que se seguiram, incentivar um rigor e uma transparência semelhantes
no Reino Unido. Seguindo esta linha, a Comissão Europeia também decidiu reforçar a
governação, reforçando o controlo empresarial nas práticas financeiras, o relato e a gestão do
risco.
Simkins e Ramirez (2008) concluem que a gestão de risco empresarial pode melhorar o
funcionamento das organizações e a capacidade dos mercados de capital responderem ao
risco. Refere, no entanto, que o enquadramento jurídico atual constitui um obstáculo a este
processo. É de referir que, para muitas empresas, estar em conformidade com o Sarbanes—
Oxley Act implica profundas reformas no governo das sociedades e no relato financeiro.
Segundo os autores, estabelecer requisitos de divulgação relativamente à gestão do risco
incentivariam uma maior transparência e uma melhor gestão no contexto das organizações.
Este assunto tem atraído alguma atenção recentemente, sendo o foco principal de um relatório
emitido pelo Committee of Sponsoring Organizations of the Treadway Commission (COSO).
Esta influente comissão lançou o quadro normativo COSO I, aceite em 2003 pela SEC
(Security and Exchange Comission) como a melhor orientação para a realização de boas
práticas relativamente à Secção 404 do Sarbanes—Oxley Act (SOX 404), referente ao relato
do controlo interno. A Secção 404 introduz regras mais rígidas, obrigando ao relato da
eficácia dos controlos internos relativamente ao relato financeiro. O âmbito do COSO I foi
alargado do simples relato do controlo interno para a gestão de risco empresarial em 2004,
através do quadro normativo COSO II.
No seu quadro normativo para uma gestão de risco empresarial integrada, o COSO prevê a
gestão de risco empresarial como um processo contínuo que é supervisionado pelos gestores
de topo e pela administração, e cuja responsabilidade é atribuída a todos os elementos da
organização.. Conforme descrito por (Levinsohn e Williams 2004), a estrutura normativa
apresentada no COSO II é muito abrangente e inclui a gestão de risco estratégica e o governo
das sociedades.
7. A Gestão de Risco Empresarial nas Empresas
Como vimos, uma resposta para as expectativas crescentes das organizações foi a emergência
de um novo paradigma de gestão do risco, construído para aumentar a capacidade da
administração e dos quadros superiores de gestão anteciparem a carteira de riscos que uma
organização pode enfrentar. A gestão de risco empresarial é uma fonte de vantagens
competitivas significativa para aqueles que consigam demonstrar uma forte capacidade e
disciplina na gestão de risco empresarial (Stroh 2005). Num momento em que o modelo
proposto pelo COSO está ainda em fase ascendente, é evidente que nem todas as organizações
o estão a adotar. Existe pouca informação divulgada sobre as razões pelas quais algumas
empresas adotam o este modelo e outras não.
Kleffner, Lee et al. (2003) estudaram a utilização de um modelo de gestão de risco
empresarial nas empresas canadianas, bem como o impacto do governo das sociedades nessa
prática. Nos seus estudos, concluíram que embora apenas um terço das empresas tenham
indicado que já adotavam uma abordagem de gestão de risco empresarial, ficou provado que
uma grande parte da amostra caminhava nessa direção, com base nas alterações observadas
nas empresas consideradas nos anos anteriores. Entre estas alterações estavam o
desenvolvimento de um guia de boas práticas para a empresa em matéria de gestão do risco,
uma maior sensibilidade relativamente aos riscos não operacionais por parte dos responsáveis
pela gestão do risco operacional, maior coordenação com as diferentes áreas responsáveis pela
gestão do risco e um maior envolvimento e interação na tomada de decisão de outros
departamentos. Outros estudos empíricos são coerentes com a tendência crescente por parte
das empresas de optar por modelos de gestão de risco empresarial (Colquitt, Hoyt et al. 1999;
Beasley, Clune et al. 2005).
Beasley, Clune et al. (2005) apresentam algumas estatísticas descritivas relativamente à
adoção do modelo de gestão de risco empresarial do COSO por multinacionais (num total de
123 organizações) e ao papel específico da auditoria interna nesse processo. Os autores
concluíram que 48% das organizações inquiridas tinham, na altura, uma estrutura de gestão de
risco empresarial totalmente ou parcialmente implementada.
Colquitt, Hoyt et al. (1999) concluem que as grandes empresas são mais suscetíveis de adotar
uma gestão de risco integrada do que empresas mais pequenas. Também Carcello, Hermanson
et al. (2005) pressupõem, nos seus estudos, que entidades de maior dimensão são mais
suscetíveis de ter uma maior presença da auditoria interna, o que poderá permitir um maior
envolvimento desta no processo de gestão de risco empresarial. Beasley, Clune et al. (2005)
concluem que o modelo de gestão de risco empresarial do COSO está mais implementado em
organizações de maior dimensão. Concluem ainda que está mais implementado nos sectores
bancário, de educação e segurador.
8. A Gestão do Risco nas Instituições Financeiras
A recente crise financeira suscitou várias questões relativamente ao governo das sociedades
das instituições financeiras.
Se os escândalos empresariais como os da Enron e da Worldcom tiveram como principal
consequência a emergência de novos desenvolvimentos nas práticas contabilísticas, a crise
financeira que se seguiu à crise do subprime nos Estados Unidos da América conduziu ao
reforço da consciência relativamente ao risco e à necessidade de utilizar técnicas de gestão de
risco e estruturas adequadas no âmbito das instituições financeiras.
Para além disso, os decisores públicos de todo o mundo começaram a questionar a adequação
do regime de governo das sociedades vigente às instituições financeiras. Em particular, o
papel e o perfil de gestão do risco nas instituições financeiras foi colocado sob escrutínio. Em
muitos documentos orientadores recentes, são apresentados enquadramentos normativos
abrangentes relativamente à gestão do risco, combinados com estruturas de governação
recomendadas (Walker 2009). Uma recomendação comum é colocar o risco no topo da
agenda, através da criação das respetivas estruturas. Conforme foi advogado pelo Sarbanes-
Oxley Act em 2002, é considerado que a peritagem financeira desempenha um papel
importante. Outras medidas mais específicas envolvem quer a criação de uma comissão
específica dedicada ao risco, quer a designação de um Diretor de Riscos que supervisione
todos os riscos relevantes no âmbito de uma organização (Sabato 2010).
É de referir que a literatura relativa ao governo das sociedades e ao efeito de valorização do
governo das sociedades nas instituições financeiras é ainda muito limitada. Para além disso,
as instituições financeiras têm as suas particularidades, tais como uma maior opacidade,
regulamentação pesada e complexa e intervenção por parte do Governo (Levine 2003), pelo
que requerem uma análise diferente em questões relacionadas com o governo das sociedades.
Aebi, Sabato et al. (2012) refere que uma diferença importante entre instituições financeiras e
não financeiras é o papel da gestão do risco na estrutura de governação das instituições
financeiras. Segundo este autor, embora a importância da gestão do risco tenha sido
reconhecida, o papel efetivo da gestão do risco no contexto do governo das sociedades ainda
carece de uma interpretação comum, no âmbito das instituições financeiras.
Finalmente, refira-se que a gestão de risco empresarial está a ser desenvolvida no sentido de
se tornar uma ferramenta capaz de potenciar a criação de valor por parte das organizações.
Agências de notação financeira como por exemplo a Moody’s Investors Service e a Standard
& Poor’s incluem já nas suas avaliações se uma organização tem ou não um sistema de gestão
de risco empresarial, como um fator a considerar nas suas metodologias de notação para
instituições financeiras e companhias de seguros.
9. Mais-Valia da Gestão de Risco Empresarial
A gestão de risco empresarial é um processo de gestão que requer que os gestores da
organização identifiquem e avaliem os riscos coletivos que afetam o valor da organização e
implementem uma estratégia alargada a toda a organização para gerir esses riscos, de modo a
estabelecer uma estratégia de gestão do risco eficaz (Meulbroek 2002).
Segundo o documento proposto pelo COSO (2004), o principal objetivo da gestão do risco é
maximizar o valor para os acionistas. Em primeiro lugar, consegue fazê-lo através da
melhoria da eficiência do capital, estabelecendo uma base objetiva para afetar os recursos
corporativos através da redução das despesas em riscos imateriais e de operações de cobertura
natural. Em segundo lugar, a gestão de risco empresarial é capaz de apoiar a tomada de
decisões denunciando quais as áreas de risco elevado e sugerindo alterações, tendo em conta o
risco. Em terceiro lugar, a gestão de risco empresarial ajuda a reforçar a confiança do
investidor através da definição de um processo que, pelas suas atividades, permitem
estabilizar os resultados financeiros e demonstrar a todos os agentes que a organização exerce
uma boa gestão dos riscos.
O IIA (2009) também enuncia alguns benefícios deste tipo de gestão de risco, como são o
relato consolidado de diferentes riscos ao nível da administração, melhor compreensão dos
principais riscos e das suas implicações num âmbito mais alargado, capacidade de assumir
maior risco para obter maior recompensa e assunção de risco e tomadas de decisão de forma
mais informada.
Os seus defensores, argumentam ainda que a gestão de risco empresarial traz benefícios às
organizações através da redução da volatilidade dos ganhos e das cotações das ações, da
redução do custo do capital externo, do aumento da eficiência do capital e da criação de
sinergias entre as diversas atividades de gestão do risco (Lam 2000; Miccolis e Shah 2000;
Meulbroek 2002; Aebi, Sabato et al. 2012). De um modo mais geral, a literatura diz-nos que a
gestão de risco empresarial promove uma maior consciencialização relativamente à gestão do
risco que se traduz em melhores tomadas de decisão quer ao nível operacional, quer ao nível
estratégico.
As organizações que adotam uma gestão de risco empresarial estão mais preparadas para
compreender o risco agregado associado a diferentes atividades de negócio. Este facto
permite-lhes ter uma base mais objetiva para afetar os recursos, melhorando desta forma a
eficiência do capital e o rendimento do capital próprio. As organizações com uma grande
diversidade de oportunidades de investimento são ainda mais suscetíveis de beneficiar da
capacidade de escolher os investimentos através de uma avaliação mais precisa e ajustada ao
risco do que aquela que estaria disponível utilizando uma abordagem tradicional à gestão do
risco (Meulbroek 2002).
Para além dos aspetos já referidos, a gestão de risco empresarial cria valor através de uma
melhoria da informação relativamente ao perfil de risco da organização. As entidades
exteriores à organização são mais suscetíveis de sentir dificuldades na avaliação da solidez
financeira e do perfil de risco de organizações que sejam altamente complexas quer ao nível
financeiro, quer ao nível operacional. Através da gestão de risco empresarial, estas
organizações financeiramente opacas ganham uma nova ferramenta para informar as
entidades externas do seu perfil de risco e apresentam desta forma um sinal do seu
compromisso relativamente á gestão do risco. Através de uma melhoria na divulgação da
gestão do risco, a gestão de risco empresarial deverá reduzir os custos esperados do capital
externo e dos procedimentos regulamentares (Meulbroek 2002).
10. A Gestão de Risco e o Governo das Sociedades
As questões relacionadas com a gestão do risco e o governo das sociedades têm, nos dias de
hoje, uma influência significativa nas discussões de política pública, relativamente aos
controlos realizados no âmbito das organizações. Neste contexto, as práticas organizacionais e
de gestão estão também a ser afetadas.
Atualmente, as organizações não procuram apenas adotar controlos relativamente ao risco
mas também implementar esses controlos de forma transparente e visível, de modo a
promover uma maior legitimidade da organização. Este facto torna a gestão do risco e o
governo das sociedades cada vez mais interdependentes.
Na prática, o Relatório Cadbury de 1992 representou uma iniciativa política que legitimou o
alargamento das práticas de controlo das organizações de modo a englobar os assuntos
relacionados com a gestão do risco e o governo das sociedades. A mesma preocupação tem
sido manifestada mais recentemente quer por profissionais, quer por académicos (Connell,
Mallett et al. 2004).
Tal como acontece com as preocupações relativas ao governo das sociedades, os assuntos
relacionados com o risco influenciam significativamente as políticas adotadas pelas
organizações e os quadros normativos e institucionais (Basel Committee, 2008; COSO, 2004).
Segundo Bhimani (2009), uma questão importante no contexto das atividades económicas
cada vez mais globalizadas diz respeito à adoção estratégica de mecanismos de governo das
sociedades que contrariem os riscos decorrentes de legislações nacionais pouco protetoras dos
investidores relativamente ao valor das organizações. Poletti Hughes (2005) sugere que as
práticas de governo das sociedades quer ao nível da organização, quer ao nível do país, podem
afetar o valor da organização. Um risco mais elevado decorrente da falta de proteção do
investidor e da aplicação da lei pode ser compensado com boas práticas de governo das
sociedades. A compreensão destas relações ajuda a prever os impactos mais amplos dos
fatores extra organizacionais nas estruturas de controlo interno e de governo das sociedades.
A importância do governo das sociedades e o risco de fraude no âmbito contabilístico ficaram
bem patentes com o inesperado colapso da Enron, em 2001. A este seguiu-se uma série de
outros escândalos financeiros de larga escala, em 2002, incluindo empresas como a Bristol-
Myers Squibb, a Qwest, a Xerox, a WorldCom, entre outras. Estes escândalos revelaram
graves lacunas no governo das sociedades. O senado americano depressa aprovou o Sarbanes-
Oxley Act de 2002 num claro esforço para reformar a função de auditoria nas empresas
públicas em particular e o governo das sociedades em geral.
Simkins e Ramirez (2008) referem que o atual sistema de governo das sociedades tem falhas.
Segundo aos autores, tornou-se evidente que os CEO’s podem tirar partido do excesso de
autonomia para assumir riscos de longo prazo excessivos nas suas organizações sob o
pretexto de gerar mais receitas e obter melhores remunerações no imediato. Argumentam
ainda que nos últimos anos, alguns CEO’s mostraram uma tendência para manipular o sistema
de governação das sociedades para obter ganhos de forma ilegítima, através de opções de
compra de ações com retroativos. De facto, a difusão desta prática sugere que os CEO’s são
essencialmente tentados pelos frutos de uma compensação mais elevada no presente, expondo
a própria organização a perdas avultadas no longo prazo devido à perda de confiança por parte
dos investidores. Da mesma forma, estes autores referem que os CEO’s são tentados a
manipular a função de auditoria, de modo a reforçar as suas remunerações presentes (em
detrimento do longo prazo e arriscando a continuidade da organização) no final dos anos 90 e
na fase inicial deste século, o que conduziu a um sem número de escândalos empresariais.
Estabelecer requisitos de divulgação relativamente à gestão do risco incentivariam uma maior
transparência e uma melhor gestão no contexto das organizações, podendo revelar-se um
caminho para evitar erros passados.
11. A Coordenação entre a Gestão de Risco e o Governo das Sociedades
Existem diversos aspetos importantes na coordenação entre a gestão de risco empresarial, a
gestão estratégica e o governo das sociedades. Mudanças organizacionais rápidas, falhas no
governo das sociedades e falta de uma perspetiva estratégica relativamente ao risco e tomadas
de decisão podem resultar em falhas de coordenação graves. Pode haver falhas no
alinhamento entre o risco aceite e o rendimento nas organizações, sendo que algumas são
mais fáceis de identificar e resolver do que outras. As estratégias empresariais e de negócio
devem, por isso, estar bem alinhadas com a capacidade de gestão de risco da empresa e com a
sua propensão ao risco.
A variedade e complexidade de sistemas pode ser tal que muitas organizações serão
desafiadas a encontrar tempo e recursos para implementar todas as melhorias necessárias ao
nível da governação e da gestão do risco.
A melhoria da gestão do risco obriga as organizações a considerar a adequação de sistemas
formais para identificar, analisar, prever e gerir uma vasta gama de riscos empresariais e
estratégicos. Para além disso, Hamilton III e Kashlak (1999) sugerem que empresas que
operem à escala mundial devem ter em conta as diferenças culturais, ao definir sistemas de
controlo para o risco, que devem fazer parte de uma estratégia global.
Farrel, Hooper et al. (2009) defendem que, ao invés de delegar a responsabilidade
relativamente ao controlo interno num grupo financeiro da organização, a responsabilidade
pela avaliação do risco e dos controlos deve ser efetuada por aqueles que estejam envolvidos
de forma mais direta com cada processo. Esta avaliação distribuída é consistente com a
abordagem da gestão de risco empresarial, que considera a necessidade de gerir os riscos em
todos os níveis e em toda a organização. Estes autores sugerem ainda que o papel do auditor
interno pode ganhar alguma relevância, à medida que a necessidade de partilha interna de
conhecimentos e de comunicação das práticas para uma gestão de risco eficaz se torna mais
premente. Neste contexto, o auditor pode assumir um papel de formador e promotor das boas
práticas.
Drew, Kelley et al. (2006) consideram que introduzir mudanças estruturais de acordo com a
necessidade de efetuar reformas ao nível da governação e de apoiar a gestão do risco é um
desafio, mesmo para organizações bem geridas. Implementar uma estrutura requer que seja
identificado o sistema adequado para assegurar uma comunicação transversal a toda a
empresa e que sejam criados sistemas que permitam que a estrutura funcione. A coordenação
entre uma estrutura adequada e a cultura da organização, a liderança e os sistemas reforça a
capacidade da organização na gestão do risco.
12. Conclusões
A importância do governo das sociedades e o risco de fraude no âmbito contabilístico ficaram
bem patentes com o aparecimento de diversos escândalos financeiros de larga escala em
2001-2002 e com a recente crise do crédito de 2007-2008. Estes fracassos levaram ao
aparecimento de diversas regulamentações e à procura de novas soluções para a gestão do
risco e o governo das sociedades. Neste contexto, é hoje reconhecido que a gestão do risco é
um elemento fundamental do Governo das Sociedades.
Muitos analistas identificaram o aumento do rigor da supervisão regulamentar como um dos
principais fatores externos que levaram à tendência crescente da adoção de uma gestão de
risco empresarial.
No que diz respeito aos requisitos de governação das sociedades existentes, nomeadamente no
que se refere ao relato específico do controlo interno, estes parecem ser mais normativos em
alguns países do que em outros. Embora as orientações seguidas pelos diversos países não
obriguem à utilização de uma gestão de risco empresarial, estas criam uma pressão pública no
sentido de adotar sistemas de gestão de risco e de divulgação sistemáticos. Muita dessa
pressão tem origem nos acionistas institucionais, que têm uma maior capacidade de
influenciar a política de gestão de risco das organizações.
As organizações com maiores oportunidades de crescimento enfrentam maior incerteza e
requerem uma gestão do risco mais cuidada, não só para controlar os riscos com que se
deparam mas também para orientar o crescimento na direção certa, com base no impacto das
várias oportunidades associadas ao risco em toda a organização. Segundo Liebenberg e Hoyt
(2003) estas organizações terão maiores incentivos para investir numa gestão de risco
empresarial e são mais suscetíveis de nomear um Diretor de Risco. A pressão exercida pelos
agentes externos interessados é também considerada como um fator importante para a opção
de adotar um programa de gestão de risco empresarial e nomear Diretores de Risco para
executar o programa (Lam 2000; Miccolis e Shah 2000). A pressão exercida pelos
regulamentos é suscetível de ter o mesmo impacto em todos os concorrentes de um
determinado setor de atividade, enquanto que os efeitos da pressão exercida pelos agentes
externos interessados pode variar, dependendo do grau de influência relativo dos diversos
grupos de acionistas em cada organização.
De um modo geral, pode dizer-se que as organizações deviam ser obrigadas a divulgar de
forma qualitativa a sua abordagem de gestão de risco empresarial, de modo a incluir
informações relativas ao facto de haver ou não uma função abrangente dedicada à gestão de
risco empresarial, ao nível de envolvimento da administração nessa função, ao controlo
exercido (ou não) pelo CEO nessa função, ao leque de competências especializadas para fazer
face aos riscos da organização e a quaisquer divergências que possam existir entre os órgãos
de gestão e os gestores do risco, no que diz respeito ao perfil de risco vigente na organização.
Os avanços registados ao nível das tecnologias de informação permitiram às organizações
construir modelos de risco complexos e compreender melhor as interdependências entre os
riscos de toda a empresa, o que pode representar um passo importante nesta matéria.
O cruzamento entre a gestão de risco empresarial e o governo das sociedades parece coincidir
com o contexto macroeconómico resultante da crise do crédito e da crise energética. A
catástrofe verificada no crédito hipotecário e o seu impacto nos mercados de crédito e
financeiro a nível mundial demonstra que uma gestão inadequada do risco de forma
sistemática pode ter sérias consequências macroeconómicas. Com o tempo, a generalização
dos erros sistemáticos de avaliação do risco parece ter maior probabilidade do que outras
ocorrências de conduzir a um ciclo macroeconómico recessivo, o que releva ainda mais a
importância das divulgações.
As normas relativas ao governo das sociedades não incluem, atualmente, nenhuma orientação
em particular para a gestão de risco empresarial. Ainda assim, a gestão de risco empresarial
parece ser a um elemento material de desempenho financeiro, com base na literatura e nos
estudos empíricos analisados. A gestão inadequada dos riscos pode ter consequências
adversas sérias na atividade de uma organização.
Os elementos chave para um programa de gestão de risco empresarial bem sucedido, em
matéria de governo da sociedade, são abrangentes e orientam a gestão do risco no sentido de
evitar a sua segmentação. No entanto, não existem leis relativas ao governo das sociedades e
os regulamentos não têm sido capazes de se adaptar à ciência financeira atual.
Bibliografia
Aebi, V., G. Sabato, et al. (2012). "Risk management, corporate governance, and bank
performance in the financial crisis." Journal of Banking & Finance 36(12): 3213-3226.
Ayvaz, E. e D. Pehlivanli (2010). "Enterprise risk management based internal auditing and
turkey practice." Serbian Journal of Management 5(1): 20.
Basel Committee (2008). "Principles for sound liquidity risk management and supervision."
BCBS (September).
Beasley, M. S., R. Clune, et al. (2005). "Enterprise risk management: An empirical analysis of
factors associated with the extent of implementation." Journal of Accounting and
Public Policy 24(6): 521-531.
Beasley, M. S., R. Clune, et al. (2005). "ERM a status report."
Bekefi, T., M. J. Epstein, et al. (2008). "Creating Growth: Using Opportunity Risk
Management Effectively." Journal of Accountancy(June): 72-78.
Bhimani, A. (2009). "Risk management, corporate governance and management accounting:
Emerging interdependencies." Management Accounting Research 20(1): 2-5.
Bonić, L. e M. Đorđević (2012). "Potentials of internal auditing in enterprise risk
management." Facta Universitatis 9(1): 123-137.
Burnaby, P. e S. Hass (2009). "Ten steps to enterprise-wide risk management." Corporate
Governance 9(5): 539-550.
Carcello, J. V., D. R. Hermanson, et al. (2005). "Factors associated with US public
companies' investment in internal auditing." Accounting Horizons 19(2): 69-84.
Colquitt, L. L., R. E. Hoyt, et al. (1999). "Integrated risk management and the role of the risk
manager." Risk Management and Insurance Review 2(3): 43-61.
Connell, B., R. Mallett, et al. (2004). "Enterprise governance: Getting the balance right."
International Federation of Accountants.
COSO (2004). "Enterprise risk management-integrated framework." Committee of
Sponsoring Organizations of the Treadway Commission.
Drew, S. A., P. C. Kelley, et al. (2006). "CLASS: Five elements of corporate governance to
manage strategic risk." Business Horizons 49(2): 127-138.
Egerdahl, R., C. Fox, et al. (2012). Risk management and internal audit: forging a
collaborative alliance. The risk perspective. M. O'Rourke, Risk & Insurance
Management Society, Inc. The Institute os Internal Auditors: 14.
Enterprise Risk Management Committee (2003). Overview of enterprise risk management.
Casualty Actuarial Society.
Farrel, J., K. Hooper, et al. (2009). Placing a value on enterprise risk management. K. LLP,
KPMG International.
Frigo, R. e J. Anderson (2011). "Embracing enterprise risk management: Practical approaches
for getting started." The Center for Strategy, Execution & Valuation at DePaul
University, and the Committee of Sponsoring Organizations of the Treadway
Commission. Accessed January 25: 2011.
Green, P. (2001). "Risk managers cover enterprise exposure." Global Finance 15(1): 72-73.
Hamilton III, R. D. e R. J. Kashlak (1999). "National influences on multinational corporation
control system selection." MIR: Management International Review: 167-189.
Instituto Português de Auditoria Interna (2009). Enquadramento internacional de práticas
profissionais de auditoria interna.
Kashyap, A., R. Rajan, et al. (2008). Rethinking capital regulation. Federal Reserve Bank of
Kansas City Symposium at Jackson Hole.
Kleffner, A. E., R. B. Lee, et al. (2003). "The effect of corporate governance on the use of
enterprise risk management: Evidence from Canada." Risk Management and Insurance
Review 6(1): 53-73.
Lam, J. (2000). "Enterprise-wide risk management and the role of the chief risk officer."
white paper, ERisk. com, March 25.
Levine, R. (2003). "The corporate governance of banks." World Bank Policy Research
Working.
Levinsohn, A. e K. Williams (2004). "How to manage risk—Enterprise-wide." Strategic
Finance 86(5): 55-56.
Liebenberg, A. P. e R. E. Hoyt (2003). "The Determinants of Enterprise Risk Management:
Evidence From the Appointment of Chief Risk Officers." Risk Management and
Insurance Review 6(1): 37-52.
Meulbroek, L. K. (2002). "A SENIOR MANAGER'S GUIDE TO INTEGRATED RISK
MANAGEMENT." Journal of Applied Corporate Finance 14(4): 56-70.
Miccolis, J. e S. Shah (2000). Enterprise Risk Management: An Analytic Approach.
Morais, M. G. d. C. T. (2004). Como emerge a auditoria interna nas pequenas e médias
empresas, em Portugal. X Congresso Contabilidade: relato financeiro e
responsabilidade social. Instituto Superior de Contabilidade e Administração de
Lisboa. Estoril.
Morais, M. G. d. C. T. (2008). A Importância Da Auditoria Interna Para a Gestão: Caso das
Empresas Portuguesas. 18º Congresso Brasileiro de Contabilidade. Conselho Federal
de Contabilidade. Gramado, Rio Grande do Sul.
Olson, D. L. e D. D. Wu (2008). Enterprise risk management, World Scientific.
Poletti Hughes, J. (2005). "Ultimate control and corporate value: evidence from the UK."
Financial Reporting, Regulation and Governance 4(2).
Price Waterhouse Coopers. (2004). Strengthening the business: Optimizing the benefits of
enterprise-wide risk management for audit committees.
Quon, T. K., D. Zeghal, et al. (2012). "Enterprise Risk Management and Firm Performance."
Procedia - Social and Behavioral Sciences 62: 263-267.
Raber, R. (2003). "The role of good corporate governance in overseeing risk." Corporate
Governance Advisor 11(2): 11-16.
Sabato, G. (2010). "Financial crisis: where did risk management fail?" International Review
of Applied Financial Issues and Economics(2): 315-327.
Simkins, B. e S. Ramirez (2008). "Enterprise-Wide Risk Management and Corporate
Governance." Loyola University Chicago Law Journal 39.
Stroh, P. J. (2005). "Enterprise Risk Management at United Health Group-Recent corporate
history has demonstrated very vividly that unforeseen" surprises" can be a death knell
for companies operating on a precipice." Strategic Finance 87(1): 26-35.
The Institute of Internal Auditors (2009). "The role of internal auditing in enterprise-wide risk
management." IIA Position Papers.
Walker, D. (2009). "A review of corporate governance in UK banks and other financial
industry entities (“Walker Review”)." London: HM Treasury.
Walker, P. L., W. G. Shenkir, et al. (2002). Enterprise Risk Management: Pulling It All
Together, Institute of Internal Auditors Research Foundation.