transformando riscos em resultados - ey.com · nosso estudo constatou que, enquanto a maior parte...

Transformando riscos em resultadosComo grandes empresas utilizam a gestão de riscos para impulsionar o desempenho

ii 1

Introdução: gerenciando riscos para melhorar o desempenho ............................. 1Investimentos maciços feitos pelas empresas geralmente não atendem às áreas mais estratégicas em relação a riscos de negócio. Consequentemente, a alta administração pode não perceber a gestão de riscos como um ponto estratégico para a empresa.

A maturidade da gestão de riscos direciona os resultados financeiros ........................... 2Nossa pesquisa sugere que empresas com práticas de gestão de riscos mais maduras apresentaram os maiores crescimentos em receita, EBITDA e EBITDA/EV.

O enfoque das empresas para promover resultados com a gestão de riscos .............. 4As organizações atingem resultados a partir da gestão de riscos de três maneiras inter-relacionadas: mitigação de riscos, redução de custos e geração de valor.

Nossa visão de riscos

1

Introdução

Gerenciando riscos para melhorar o desempenhoOs eventos ocorridos na última década, que vão desde os casos Enron e WorldCom até a mais recente crise financeira mundial, mudaram significativamente a concepção de risco por parte das organizações. Empresas ao redor do mundo investiram intensamente em pessoal, processos e tecnologia para mitigar e controlar riscos em seus negócios. Historicamente, esses investimentos em risco concentraram-se principalmente nos controles financeiros e conformidade regulatória (compliance).

No entanto, esses investimentos não atingiam áreas consideradas estratégicas do ponto de vista de riscos de negócio. Consequentemente, a alta administração pode não ter percebido a gestão de riscos como uma função estratégica para a empresa. A alta administração também não possuía confiança suficiente na habilidade de identificar e responder aos riscos que podem impactar o desempenho financeiro de sua organização.

Eis que surge uma questão estratégica: “As organizações com nível de maturidade elevada em suas práticas de gestão de riscos apresentam desempenho financeiro melhor que outras do mesmo porte e ramo de atuação?”.

De acordo com a nossa pesquisa e experiência, concluímos que “sim!”.

Índice

“ Em nosso ponto de vista, as empresas com práticas de risco mais maduras apresentam desempenho financeiro melhor que aquelas do mesmo porte. Nossa experiência, pesquisas, e estudos reforçam essa perspectiva.”

Randall Miller Líder Global de Assessoria em

Risco da Ernst & Young

Qual o diferencial das empresas de melhor desempenho? ............................ 5Nosso estudo constatou que, enquanto a maior parte das organizações executa elementos básicos da gestão de riscos, as de melhor desempenho vão além.

Como grandes empresas transformam riscos em resultados .............. 6Os resultados dos nossos estudos sugerem que cinco componentes são essenciais para o processo de transformação dos riscos e promoção da melhoria do desempenho.

Potencializando a gestão de riscos para melhoria da performance dos negócios ..... 13Empresas que tiverem êxito na transformação dos riscos em resultados criarão vantagem competitiva.

Este é o momento para a alta administração avaliar os atuais investimentos em gestão de riscos e discutir como ir além do compliance, abordando questões que envolvam valor estratégico para o negócio.

Resultados. Melhorias. Estratégias. Conhecimento.

2 3

8,3%

10,6%

7,4%

A maturidade da gestão de riscos direciona os resultados financeiros

3

* acumulado no exercício de 2011 até 18 de novembro de 2011.

Sumário das principais descobertasUtilizando uma pesquisa quantitativa realizada em âmbito global (baseada em 576 entrevistas realizadas com empresas ao redor do mundo e na revisão de mais de 2.750 relatórios financeiros), avaliamos o nível de maturidade das práticas de gestão de riscos para então determinar uma relação positiva entre a maturidade da gestão de riscos e o desempenho financeiro.

Identificamos as principais práticas de gestão de riscos que diferenciaram os vários níveis de maturidade e as organizamos em componentes de riscos específicos.

Os principais pontos identificados foram:

• As empresas com melhor desempenho (Top-performers - do ponto de vista de maturidade) implementaram, em média, duas vezes mais iniciativas de gestão de riscos que aquelas com desempenho inferior.

• Empresas inseridas no grupo de maturidade elevada (Top 20%) geraram um EBITDA três vezes maior em relação às empresas inseridas no grupo de maturidade inferior (Bottom 20%).

• O desempenho financeiro está diretamente relacionado ao nível de integração e coordenação entre as funções de risco, controle e conformidade (compliance).

• Uma efetiva utilização de tecnologia para sustentar a gestão de riscos apresenta-se como a maior fraqueza ou oportunidade para a maioria das organizações.

Taxa composta de crescimento anual 2004–11* por nível de maturidade de risco

Nossa pesquisa sugere que uma maior maturidade na gestão de risco se traduz em vantagem competitiva: observamos que empresas que adotaram práticas de gestão de riscos mais maduras apresentaram os maiores crescimentos em receita, EBITDA e EBITDA/EV.

Seis perguntas direcionadas à alta administração 1. O que abrange o conceito de “gestão de riscos”? Essa é uma responsabilidade de funções específicas

ou atribuída à empresa como um todo?

2. A sua organização enxerga riscos como uma oportunidade ou uma ameaça?

3. A sua abordagem para riscos está voltada unicamente à conformidade (compliance) ou contribui com valor estratégico que impulsiona o desempenho?

4. Qual a segurança que os riscos realmente relevantes estão sendo gerenciados?

5. Você sabe quais os riscos que, se bem gerenciados, levarão ao aumento do valor ou dos resultados de sua organização?

6. Sua empresa está tirando o melhor proveito da gestão de riscos?

Receita

16,8%Alto nível 20%

Nível intermediário 60%

Baixo nível 20%

2

EBITDA

20,.3%

9,5%

EBITDA/EV

4,1%2,5% 2,1%

4 5

O enfoque das empresas para promover resultados com a gestão de riscos

Nossa experiência indica que as organizações atingem resultados a partir da gestão de riscos de três maneiras inter-relacionadas. Algumas empresas concentram-se na mitigação dos riscos de maneira geral, enquanto outras se concentram em eficiência, reduzindo os custos gerais dos controles. Há ainda aquelas que focam na geração de valor, por meio da combinação entre mitigação dos riscos e redução de custos.

Mitigação dos riscosOs riscos de uma organização podem proliferar em um ritmo muito mais rápido que a sua habilidade de fornecer a respectiva cobertura, ou resposta, aos riscos. É necessário que as organizações possam identificar e abordar as principais áreas de riscos, além de serem ágeis na solução das deficiências, por meio de:

• Identificação e entendimento dos “riscos relevantes”.

• Investimento específico em riscos associados aos “objetivos estratégicos da empresa”.

• Avaliação efetiva dos riscos por todo o negócio e definição de papéis e responsabilidades.

• Apresentação da efetividade da gestão de riscos aos investidores, analistas e reguladores.

Redução de custosPara muitas organizações, identificar formas de otimizar custos nos diferentes aspectos da organização continua sendo um fator crítico em meio à volatilidade do ambiente econômico atual. As oportunidades para redução de custos podem incluir:

• Implementação de um novo modelo de gestão de riscos para melhorar significativamente a estrutura de custos.

• Redução do custo dos controles por meio do uso aperfeiçoado de controles automatizados.

• Simplificação ou eliminação de atividades de controle duplicadas.

• Aprimorar a eficiência por meio da automatização e monitoramento continuo de processos.

Geração de valorMuitas organizações estão buscando maneiras de aplicar a gestão de riscos e controles na melhoria do desempenho da empresa. As oportunidades podem incluir:

• Alcançar retornos superiores a partir de investimentos em gestão de riscos.

• Aceitar os riscos certos para alcançar vantagem competitiva nos negócios.

• Melhoria dos controles nos principais processos.

• Utilizar análises de dados para otimizar o portfólio de riscos e melhorar a tomada de decisão.

• Utilizar economias oriundas da gestão de riscos para financiar iniciativas corporativas estratégicas.

Reduçãode custos

Geração de valor

Mitigação dos riscos

Geração de valor


Reduçãode custos


Reduçãode custos

Geração de valor

Qual o diferencial das empresas de melhor desempenho?

Agenda do Risco: pesquisa envolvendo as principais práticas

Aprimorar a estratégia de riscos Incorporação da gestão de riscos

Melhoria de controles e processos Otimização das funções de gestão de riscos

Transformando Riscos em Resultados

• Existência de um método formal para a definição de níveisaceitáveis de risco no âmbito da organização.

• Testes de stress são usados para validar a tolerância ao risco.

• A liderança da empresa implanta um programa eficazde gestão de riscos.

• O planejamento e ciclos de reporte de riscos são coordenados para que informações atuais sobre riscossejam incorporadas no planejamento do negócio.

• Linhas de negócio estabelecem os principais indicadoresde risco (KRIs – Key Risk Indicators) que antecipam e definema gestão de riscos.

• Autoavaliação e outras ferramentas de reporte são padronizadas por todo o negócio.

• Os controles são otimizados para promover eficácia,reduzir custos e contribuir para um desempenho cada vezmelhor nos negócios.

• As principais métricas de risco e controle são definidase atualizadas para abordar os impactos sobre os negócios.

• As organizações possuem comunicação aberta sobre riscosenvolvendo stakeholders externos.

• A comunicação é transparente e oportuna, fornecendo às partes interessadas as informações relevantes que transmitem as decisões e valores da organização.

• O Conselho ou comitês de gestão desempenham papéis importantes e de liderança na definição dos objetivos da gestão de riscos.

• Adoção e implantação de uma estrutura de gestão de riscos comum a toda a organização.

• Rastreamento, monitoramento e divulgação são realizados regularmente utilizando softwares de GRC.

• As organizações discutem a estrutura de gestão de riscos e controles em seus reportes anuais.

• As organizações compartilham informações sobre gestãode riscos com seus clientes e demais interessadospor meio de instrumentos independentes de reporte.

Facilitar a gestão de riscos Comunicar a cobertura de riscos

• A identificação e avaliação dos riscos são realizadas regularmente utilizando softwares de GRC.

• Treinamentos relacionados à gestão de riscossão incorporados às metas de desempenho individual.

• As ferramentas de monitoramento e reporte de riscos são padronizadas por toda a organização.

• Tecnologia integrada facilita a gestão de riscos naorganização e elimina ou previne redundâncias ou faltade cobertura.

• O sistema de reporte notifica todas as partes interessadasafetadas por um determinado risco, e não apenas aquelasrelacionadas à função ou área em que o risco foi identificado.

Nosso estudo constatou que, enquanto a maior parte das organizações executa elementos básicos da gestão de riscos, as de melhor desempenho vão além. Observamos que práticas específicas de gestão de riscos, presentes de maneira consistente nas empresas que registraram melhor desempenho (por exemplo, 20% das empresas com maturidade elevada em gestão de riscos), não estavam presentes nas empresas que apresentaram baixa maturidade em gestão de riscos (empresas que compõem os 20% do limite inferior). Essas práticas de gestão de riscos podem ser organizadas nas seguintes áreas de desafio, conforme demonstrado no quadro abaixo.

As constatações de nosso estudo sugerem que estes componentes são essenciais para transformar o risco e impulsionar a melhoria de desempenho da empresa.

6 7

Como grandes empresas transformam riscos em resultados

Empresa classificada entre as 50 maiores do mundo utiliza a governança de riscos para fortalecer a comunicação com stakeholdersUma empresa de bens de consumo, classificada entre as 50 maiores do mundo, queria aumentar a transparência e comunicação com seus stakeholders. Para tal, a empresa começou estabelecendo um Comitê de Riscos ligado ao Conselho de Administração. Apesar de o Conselho em si agir como um Comitê de Riscos, nenhum dos integrantes do conselho havia sido especificamente designado para tratar do tema riscos. Estabeleceram então um Comitê de Riscos no nível da Diretoria Executiva e contrataram um Diretor de Riscos (CRO – Chief Risk Officer).

Em seguida, identificaram profissionais responsáveis por riscos no nível do negócio e operações, designados como Risk Champions.

Visando à melhoria da comunicação externa, a empresa desenvolveu uma estrutura de governança e reforçou a agenda de riscos em geral por meio de:

• Alinhamento dos riscos à estratégia. Ocorre em diferentes níveis. O nível mais básico é o de inserir premissas adicionais relacionadas ao planejamento estratégico em geral, o qual geralmente considera projeções para os próximos três a cinco anos. A organização listou essas premissas adicionais, utilizando-se de três perguntas básicas para desenvolver um perfil de risco e identificar riscos estratégicos: (1) O que precisa dar certo para atingirmos a nossa estratégia? (2) O que pode dar errado? e (3) Como saberíamos?

• Incorporação de princípios de risco no ciclo de planejamento da unidade de negócios. A organização fez as mesmas três perguntas que a unidade de negócios enquanto reunia as previsões de 12 meses para identificar riscos operacionais.

O desenvolvimento de uma estrutura de governança de riscos também contemplou a definição do apetite ao risco da organização, definição do universo de riscos, determinação de métodos para mensuração dos riscos e estabelecimento da tecnologia adequada para auxiliar na gestão dos riscos.

As três perguntas feitas tanto no nível operacional como estratégico possibilitaram à organização documentar 80% dos riscos que possuíam impacto sobre o desempenho. O estabelecimento de uma estrutura de governança de riscos, a identificação de papéis e responsabilidades, e o desenvolvimento de um mandato e escopo para cada comitê de riscos contribuíram para a melhoria da comunicação com os stakeholders internos.

Ao identificar os riscos estratégicos e operacionais que possuíam impacto sobre o desempenho da organização, e ao estabelecer uma abordagem coordenada em relação aos riscos por todo o negócio, essa empresa de bens de consumo criou subsídios para uma comunicação aberta e assertiva com os stakeholders externos quanto à sua estratégia de gestão de riscos, fortalecendo relacionamentos e construindo mais confiança no mercado.

O que as empresas com alto desempenho estão fazendo certoOs resultados obtidos em nossa pesquisa e estudos demonstram que as empresas que registraram melhor desempenho adotam as seguintes práticas de gestão de riscos:

• Comunicações abertas em ambos os sentidos no que se refere ao risco incidente sobre stakeholders externos.

• Comunicação transparente e oportuna, fornecendo aos stakeholders informações relevantes que transmitam as decisões e os valores da organização.

• O conselho ou comitês desempenham um papel de liderança na definição dos objetivos da gestão de riscos.

• Uma estrutura de gestão de riscos foi implantada e adotada por toda a organização.

Agenda de RISCO: research study leading practices

Estratégia de melhoria do risco Incorporação da gestão de risco

Melhoria de controles e processos Otimização da função da gestão de risco

Transformando risco em resultado

Promoção da gestão de risco Comunicação da cobertura de risco

As empresas que forem bem-sucedidas na transformação de riscos em resultados criarão uma vantagem competitiva por meio da utilização eficiente de recursos escassos, da melhoria do processo decisório e da redução da exposição a eventos negativos. Este é o momento para a alta administração adotar uma “ótica de risco” mais abrangente para o negócio.

Fortalecer a governança e supervisão de riscosDefinir a estratégia de riscos com responsabilidades pela gestão de riscos nos níveis de conselho e diretoria.

Aprimorar controles

e processos

Integrar gestão de riscos e de desempenhoIncorporar ao planejamento e gestão de desempenho do negócio uma abordagem para avaliação e monitoria dos riscos

Expectativas do Comitê de Auditoria

e da Administração

Iniciativas de negócios, metas e estratégias

da empresa

Aplicação de uma “ótica de riscos”

ao negócioOtimizar

as funções de gestão de riscos

Incorporar a gestão de riscos

ao planejamento

Melhorar a estratégia

de riscos

Resultados desejados

Valor: investir de forma diferenciada na gestão dos riscos relevantes, visando à melhoria do EBITDA; melhorar os controles dos principais processos de negócio.

Custo: reduzir em aproximadamente 30% o custo dos controles; alavancar controles automatizadosde maneira eficiente.

Risco: alinhar os riscos à estratégia corporativa; incorporar a cultura de riscos por todo o negócio e reduzir redundâncias na gestão dos riscos por meio da integração e coordenação.

Funções tradicionais de gestão de riscos

Auditoria Interna, Controles Internos, Compliance, Gestão de Riscos,Segurança da Informação, Jurídico, Tributário, Regulatório, TransaçõesCorporativas, SOX Compliance.

Promover a gestão de riscos, comunicar a cobertura de riscos.

Agenda de Riscos Ótica dos Resultados

Coordenar as múltiplas funções de riscoMelhorar a cooperação entre as múltiplas funções de risco para ampliar a cobertura, reduzir custos e agregar valor ao negócio.

Melhorar o desempenho no nível do negócioPropiciar que a organização efetue uma gestão diferenciada dos principais riscos a partir de processos e controles no nível do negócio.

“Quando se trata de desenvolvimento e execução de estratégia, é importante que a gestão de riscos impulsione o desempenho dos negócios - e não apenas proteja o negócio.”

Michael Herrinton Líder de Riscos para as Américas

Ernst & Young LLP

E s t u d o d e c a s o

Aprimorar a estratégia de riscosUma gestão de riscos efetiva começa nos níveis hierárquicos mais altos e possui clareza a respeito da estratégia e governança de riscos.

É essencial que exista adequada supervisão e responsabilidades por parte dos membros do Conselho de Administração e da diretoria. No nível gerencial, os executivos precisam desempenhar um papel fundamental na avaliação e gestão dos riscos. Uma estrutura aprimorada de governança, adequada comunicação e reporte à alta administração resultam em maior visibilidade, atuação responsável e transparência. Adicionalmente, a divulgação e supervisão realizadas de forma eficaz são fundamentais para a melhoria do processo decisório (tomada de decisões estratégicas).

A melhoria da estratégia de riscos possibilita que as empresas sejam capazes de antecipar riscos de maneira eficiente. No entanto, mesmo com a prática de uma estratégia preventiva mais robusta, ainda há a possibilidade da ocorrência de eventos não previstos que podem afetar o desempenho. Portanto, enquanto é fundamental identificar proativamente as estratégias que visam mitigar os riscos, antes mesmo da ocorrência de um evento, é igualmente importante desenvolver estratégias de reação que possibilitem que a organização reaja rapidamente caso um risco se materialize.

8 9

O valor de uma boa gestão de riscos“Nós não compreendemos o valor de nossas iniciativas relacionadas à gestão de riscos”, reclamou o diretor de uma empresa. “Elas custam caro, a implantação é lenta ao ponto de prejudicar nossa agilidade e existe uma confusão no Conselho em relação aos relatórios que recebem. Simplesmente não conseguimos controlar as ações de cada um, nem tampouco a maneira e a qualidade do que estão executando.” Por quê? Uma vez que a gestão de riscos não foi incorporada aos negócios, os papéis e responsabilidades não foram, por sua vez, claramente definidos e não houve a devida coordenação entre as funções de risco. Como resultado, a diretoria não consegue visualizar a saúde da organização do ponto de vista de risco.

O cliente então optou por se dedicar a incorporar a gestão de riscos aos negócios por meio do que se segue:

• Desenvolvimento de uma árvore de valores. A organização já havia identificado de 10 a 15 principais riscos, além de já ter identificado os cinco principais indicadores de desempenho. No entanto, não ficou clara a relação entre os riscos e os indicadores. A árvore de valores auxiliou a organização a relacionar os cinco principais indicadores de desempenho aos principais riscos.

• Relacionando risco ao ciclo de planejamento estratégico. A organização já havia identificado seus principais riscos, porém, ainda seria necessário dar o próximo passo e relacionar esses riscos ao ciclo de planejamento estratégico.

• Inserindo princípios de risco ao ciclo de planejamento do negócio. Ao relacionar o risco ao ciclo de planejamento do negócio, a organização conseguiu priorizar e relacionar os principais riscos a suas operações.

• Revisão da agenda do capital. A organização dedicou muito tempo à redução do custo operacional, porém, o tema custo do capital não foi abordado. O objetivo era alcançar eficiências da ordem de 15% a 20%. A organização revisou os métodos de alocação de capital.

• Incorporando os princípios de risco aos processos de M&A. A organização registrou crescimento por meio de M&A e da expansão em mercados emergentes. Para maximizar o valor estratégico dessas iniciativas, o CRO (Chief Risk Officer) incorporou princípios de risco a M&A e às atividades em mercados emergentes.

A organização também teve que mudar a abordagem ao risco por causa do Diretor Jurídico. O Diretor Jurídico observou que o risco era uma questão que devia ser documentada — e que, uma vez por escrito, o risco se tornaria uma responsabilidade. Ao criar uma ligação direta entre o risco e declarações formais enviadas ao mercado, a organização conseguiu o tão almejado apoio do Diretor Jurídico na gestão de riscos.

Incorporar a gestão de riscosO risco de negócio é inerente a todo empreendimento. No entanto, as organizações que incorporam práticas de gestão de riscos ao planejamento dos negócios e à gestão do desempenho possuem maior chance de alcançar êxito em seus objetivos estratégicos e operacionais. As empresas que registraram melhor desempenho entendem que os riscos precisam ser incorporados como parte do DNA da organização.

Anos atrás, muitas organizações passaram a dar atenção especial à mitigação de riscos e controle de custos, com o intuito de evitar problemas para o negócio e proteger a marca. Atualmente, mais e mais organizações concentram-se em desenvolver estratégias de gestão de riscos que viabilizem os negócios. Pela primeira vez, vemos claramente as organizações identificarem as correlações existentes entre as estratégias do negócio, de tecnologia e de riscos – e como estas se encaixam.


• Existência de um método formal para a definição de níveis aceitáveis de risco no âmbito da organização.

• Testes de stress são usados para validar a tolerância ao risco.

• A liderança da empresa implanta um programa eficaz de gestão de riscos.

• O planejamento e ciclos de reporte de riscos são coordenados para que informações atuais sobre riscos sejam incorporadas no planejamento do negócio.





Promoção da gestão de risco Comunicação da cobertura de risco Otimização das funções de gestão de riscosÀ medida que uma organização cresce e se modifica, suas atividades relacionadas a riscos, controles e conformidade (compliance) geralmente se tornam fragmentadas, estruturadas em silos e sem o devido alinhamento, fato que impacta tanto a governança como os negócios em si. Frequentemente, ocorrem múltiplas comunicações à administração e ao Conselho que são duplicadas e geram confusão. E a falta de coordenação entre as funções pode levar ao aumento de custos e fadiga dos negócios.

Ao dar os passos seguintes, a organização pode reduzir sua carga de riscos (sobreposição e redundância), diminuir os custos totais, ampliar as coberturas e promover a eficiência:

• Alinhar mandato e escopo. O alinhamento das funções de monitoramento e controle aos riscos mais significativos para a empresa pode otimizar o valor das funções de gestão de riscos das organizações.

• Coordenar infraestrutura e pessoas. A contínua avaliação dos níveis de capacidade e deficiências, da consistência de papéis e responsabilidades e do investimento no desenvolvimento de talentos promove a eficiência.

• Utilização de métodos e práticas consistentes. A aplicação de uma abordagem disciplinada em relação à gestão de riscos por toda a organização irá contribuir para que as funções de risco “falem a mesma língua” ao se reportar ao Conselho.

• Implementar informações e tecnologias comuns. O compartilhamento de ferramentas de informação e tecnologia é essencial para o alinhamento dos principais riscos de negócio e para dar visibilidade às atividades de gestão de riscos em toda a organização.

“Muitos executivos não fazem ideia do retorno de seus investimentos em gestão de riscos. Se disserem que o retorno é neutro, eu lhes diria que não é bom o bastante.”

Jonathan Blackmore Sócio de Assessoria em Risco – Europa,

Oriente Médio, Índia e África da Ernst & Young


• Treinamentos sobre riscos são incorporados ao desempenho (metas) de cada profissional.

• As ferramentas de monitoramento e reporte de riscos são padronizadas por toda a organização.

• A tecnologia integrada proporciona a organização gerir riscos e eliminar ou prevenir redundâncias e falta de cobertura.

• As sobreposições e duplicações das atividades de risco foram identificadas e estão sendo tratadas.






8 9


10 11

Empresa de grande porte do ramo farmacêutico cria plano de ação para iniciativas de risco autofinanciadas Cansados da situação em que se encontrava o ambiente de risco da organização, a alta administração de uma empresa do ramo farmacêutico reuniu os líderes de cada função de risco – Auditoria Interna, SOX, Jurídico e Regulatório, Compliance e ERM. Os executivos, então, listaram uma série de situações relacionadas à gestão de riscos em geral:

• Confusão com relação à cobertura de risco no âmbito do Conselho de Administração.

• Impacto sobre as unidades de negócios.

• Falta de coordenação e comunicação no desenvolvimento de mais de 13 análises de risco segregadas.

• Desenvolvimento de sete calendários de risco diferentes.

• Agenda das atividades de risco que não estão em linha com o “ritmo dos negócios”.

• Deficiências no tratamento dos principais riscos.

• Sobreposição de papéis e responsabilidades dentro das funções de gestão de riscos.

Eles, então, deram três dias para que seus líderes identificassem, em equipe, a situação atual, estabelecessem uma situação futura e desenvolvessem um plano de ação com um retorno sobre investimento (ROI) que pudesse bancar todas as iniciativas de risco futuras.

Esse desafio estava acompanhado de um ultimato: caso não conseguissem retornar à diretoria com uma solução viável, eles teriam que ser substituídos por líderes de risco que fossem capazes de fazê-lo. Individualmente, os executivos indicaram que cada líder de risco receberia uma avaliação pelo esforço. No entanto, ao dedicarem muito tempo na construção de estruturas segregadas em vez de se concentrarem em integrá-las, os líderes de risco foram reprovados em conjunto. A organização havia reestruturado a área financeira, a cadeia de suprimentos e as operações da indústria. Seria então hora de reestruturar a gestão de riscos.

Tendo em mente que não seria possível resolver tudo de uma vez, a equipe responsável pela área de risco desenvolveu um plano de negócios que produziu melhorias rápidas para assuntos de menor complexidade, gerando retornos no curto prazo. A equipe de riscos concentrou-se particularmente em seis ações específicas:

1. Criação de um único calendário de planejamento alinhado com o ciclo de negócios.

2. Revisão do direcionamento, escopo e processos para cada função, para identificar deficiências e sobreposições que precisam ser resolvidas.

3. Coordenação de análises de risco que estejam de acordo com as necessidades da maior parte das funções de risco, reduzindo o número de análises de risco de 13 para duas.

4. Adoção de uma estrutura, nomenclatura e universo de risco comum.

5. Desenvolvimento de estratégias de mitigação de risco.

6. Utilização de ferramentas / tecnologia comuns para coletar e concentrar informações em um único repositório de comum acesso a todas as funções de risco.

Além das seis ações acima mencionadas, a equipe de riscos concentrou-se na criação de uma visão única que eliminasse a estrutura segregada em silos, melhorando a comunicação e a coordenação.

Como resultado do esforço empreendido, a equipe de riscos conseguiu criar uma visão única para riscos, concentrada nos riscos mais relevantes, colocou menos pressão no negócio, criou maior agilidade e maior capacidade de resposta a questões relacionadas ao risco, e foi autofinanciada.

Melhoria de controles e processosApesar de as organizações entenderem a importância da implantação de controles e processos com enfoque em risco, muitas organizações ainda lutam para criar ambientes de controle otimizados que equilibrem custo e risco.

Ao otimizar controles relacionados aos principais processos de negócio, aproveitando controles automatizados em vez de manuais, e monitorando continuamente controles e KPIs críticos, as organizações podem melhorar o desempenho e reduzir os custos com controles.

“A consolidação de múltiplos controles e requisitos de compliance em uma única estrutura sustentada pela tecnologia de GRC elimina duplicidades e simplifica a conformidade – em alguns casos, reduzindo o esforço pela metade.”

Bernie Wedge Líder de TI para as Américas

Ernst & Young


• As linhas de negócios estabelecem os principais indicadores de risco (KRIs) que antecipam e modelam a análise de risco.

• A autoanálise e outras ferramentas de reporte são padronizadas por todo o negócio.

• Os controles são otimizados para melhorar a eficácia, reduzir custos e sustentar a melhoria do desempenho dos negócios.

• As principais métricas de risco são estabelecidas no âmbito do negócio.






Empresa de bens de consumo classificada entre as 200 maiores do mundo simplificou controles e custosUma empresa de bens de consumo classificada entres as 200 maiores do mundo constatou que o custo de seus controles estava muito alto. A empresa contava com um ambiente demasiadamente controlado que estava prejudicando a capacidade do Departamento Financeiro de reagir efetivamente às mudanças em um cenário competitivo. A empresa gostaria de atingir uma redução de 50% no custo dos controles, o qual atingia a ordem de EUR 100 milhões.

Para alcançar esse objetivo, a empresa de bens de consumo implementou três grandes ideias:

1. Estabeleceu um Centro de Excelência global para controles (CCoE – Controls Center of Excellence) para direcionamento e desenho de um conjunto de controles comum.

2. Adoção de controles desenvolvidos pelo CCoE, utilizando controles preventivos automatizados do SAP.

3. Utilização de controles incorporados ao SAP para melhorar a confiança no ambiente de controles.

O CCoE global possibilitou à empresa automatizar mais de 90% dos controles preventivos e eliminar controles antigos, duplicados e ineficazes. Ao utilizar o SAP, a empresa minimizou o uso de controles detectivos manuais, promovendo um ambiente de controle mais eficiente, eficaz e com uso reduzido de papel. Por fim, ao aproveitar os controles incorporados ao SAP, assim como as ferramentas e , a administração passou a receber garantia em tempo real de que o ambiente de controles estava funcionando de forma eficaz.



12 13

Facilitar a gestão de riscos - Comunicar a cobertura aos riscosA transição de um perfil “avesso ao risco” para um perfil “preparado para o risco” pode exigir mudanças significativas. As organizações irão precisar da atuação de um executivo experiente, assim como do suporte dos níveis hierárquicos mais altos, além de executivos que liderem com base em exemplos. Fundamentalmente, a gestão de riscos requer mudanças culturais no negócio. Compreende ainda mudar as óticas pelas quais os líderes enxergam as decisões por eles tomadas. Para auxiliar na transição dessa perspectiva no âmbito da organização, os executivos podem fazer as seguintes perguntas:

• Qual a nossa posição como negócio?

• Qual o nosso apetite para mudanças?

• Em que tipo de organização estamos inseridos?

As respostas para essas perguntas servem de base à tomada decisões relacionadas à gestão de riscos. Como parte de qualquer esforço de mudança, as organizações também terão que se comunicar abertamente e frequentemente com todos os stakeholders. Para maior confiança, as organizações deveriam apresentar aos stakeholders os resultados de verificações independentes realizadas por terceiros.

As organizações também devem alavancar suas tecnologias visando obter o máximo de benefícios. Isso não significa que as iniciativas de gestão de riscos devem ser lideradas com base na tecnologia. Em vez disso, a tecnologia deve ser um propulsor da mudança. As ferramentas de GRC em uso atualmente são capazes de propiciar uma agenda de riscos completa. Isso inclui minimizar redundâncias, aprimorar a cobertura de riscos e controles automatizados. Entretanto, as organizações precisam garantir que estratégias de TI com foco em riscos estejam alinhadas com as estratégias de riscos e de negócios (de forma ampla e consistente).

“Agora, mais do que nunca, as organizações devem adotar uma abordagem abrangente e coordenada para governança, risco e compliance. A tecnologia pode desempenhar um papel importante na promoção da mudança e na identificação do ponto de equilíbrio entre risco, custo e valor por toda a empresa.”

Paul van Kessel Líder Global de TI

Ernst & Young

The RISK Agenda: research study leading practices

Enhance risk strategy Embed risk management

Improve controls and processes Optimize risk management functions

Turningrisk intoresults

Enable risk management Communicate risk coverage

1312

O risco está se tornando a quarta dimensão de um negócio. As pessoas eram a primeira dimensão. O processo tornou-se a segunda dimensão no auge da era da produção. A tecnologia em evolução tornou-se a terceira dimensão. A incorporação do risco como a quarta dimensão do negócio tem o potencial para transformar significativamente a maneira pela qual as organizações relacionam os riscos aos benefícios e recompensas.

Potencializando a gestão de riscos para melhoria da performance dos negóciosOs resultados de nossas pesquisas e estudos apoiam as experiências da Ernst & Young com nossos clientes que dão conta que transformar riscos em resultados exige uma abordagem multifacetada:

• Aprimorar a estratégia de riscos. Uma gestão de riscos efetiva começa nos níveis hierárquicos mais altos e possui clareza a respeito da estratégia e governança de riscos. É essencial que exista adequada supervisão e responsabilidades por parte dos membros do Conselho e da diretoria. De igual importância é a necessidade de responsabilidade pelos riscos por toda a organização. No nível gerencial, os executivos precisam desempenhar um papel fundamental na avaliação e gestão dos riscos.

• Incorporação da gestão de riscos. O risco é inerente a todo negócio, no entanto, as organizações que incorporam práticas de gestão de riscos ao planejamento dos negócios e à gestão do desempenho possuem maior chance de alcançar objetivos estratégicos e operacionais. A realização de uma avaliação de riscos em uma empresa pode auxiliar a priorizar e identificar oportunidades de melhorias.

• Otimização das funções de gestão de riscos. Ao alinhar e coordenar atividades de gestão de riscos em todas as funções de risco e compliance, a organização pode reduzir sua carga de riscos (sobreposição e redundância), diminuir os custos totais, ampliar as coberturas e promover a eficiência.

• Melhoria de controles e processos. Ao otimizar controles relacionados aos principais processos de negócio, aproveitando controles automatizados em vez de manuais e monitorando continuamente controles e KPIs críticos, as organizações podem melhorar o desempenho e reduzir os custos com controles.

• Facilitar a gestão de riscos, comunicar a cobertura aos riscos. A transição de um perfil “avesso ao risco” para um perfil “preparado para o risco” pode exigir mudanças significativas. As organizações irão precisar da atuação de um executivo experiente, assim como o suporte dos níveis hierárquicos mais altos, além de executivos que liderem com base em exemplos. Será necessário estabelecer uma comunicação aberta e frequente com todos os stakeholders e apresentar resultados de verificações independentes realizadas por terceiros.

Criando vantagem competitivaNossas pesquisas e vasta experiência na prestação de serviços para empresas ao redor do mundo indicam que as empresas que forem bem-sucedidas na transformação de riscos em resultados criarão vantagem competitiva. Esse é o momento para a alta administração avaliar os atuais investimentos em gestão de riscos e discutir como ir além do compliance, abordando questões que envolvam valor estratégico para o negócio – e a abordagem descrita neste estudo pode servir como um roteiro inestimável.

Conclusão


• Rastreamento, monitoramento e divulgação são regularmente realizados utilizando software de GRC.

• Painéis de risco (dashboards) são automatizados e incluem indicadores de governança, risco e compliance.

• A identificação e a análise de riscos são realizadas frequentemente utilizando software de GRC.

Contatos

América do Sul e Brasil Antonio L. Vita • [email protected] Tel: +55 11 2573 3708

Rio de Janeiro

José Carlos Costa Pinto • [email protected] Tel: +55 21 3263 7132 Camila Mendes Ribeiro • [email protected] Tel: +55 21 3263 7102

São Paulo Rene Eduardo Martinez • [email protected] Tel: +55 11 2573 3277 Juliana Ferreira Rodrigues Pereira • [email protected] Tel: +55 11 2573 3619

Belo HorizonteCharles Ferreira • [email protected] Tel: +55 31 3232 2230 Marco Araujo • [email protected] Tel: +55 31 3232 2100

Curitiba José Ricardo de Oliveira • [email protected] Tel: +55 41 3593 0703

Porto AlegrePaulo Brazile • [email protected] Tel: +55 51 3204 5591

Norte e Nordeste Cristiane Amaral Teixeira • [email protected] Tel: +55 81 3201 4807

Ernst & Young Terco

Auditoria | Impostos | Transações Corporativas | Assessoria | Middle Market | Governo | Serviços Financeiros

Sobre a Ernst & YoungA Ernst & Young é líder global em serviços de Auditoria, Impostos, Transações Corporativas e Assessoria. Em todo o mundo, nossos 152 mil colaboradores estão unidos por valores pautados pela ética e pelo compromisso constante com a qualidade. Nosso diferencial consiste em ajudar nossos colaboradores, clientes e as comunidades com as quais interagimos a atingir todo o seu potencial, em um mundo cada vez mais integrado e competitivo.

No Brasil, a Ernst & Young Terco é a mais completa empresa de Auditoria e Assessoria, com 4.100 profissionais que dão suporte e atendimento a mais de 3.400 clientes de pequeno, médio e grande portes.

Em 2011, a Ernst & Young Terco foi escolhida como Apoiadora Oficial dos Jogos Olímpicos Rio 2016 e fornecedora exclusiva de serviços de Assessoria e Auditoria para o Comitê Organizador. O alinhamento dos valores do Movimento Olímpico e da Ernst & Young Terco foi decisivo nessa escolha.

www.ey.com.br

© 2012 EYGM Limited. Todos os direitos reservados.

Esta é uma publicação do Departamento de Marketing. A reprodução deste conteúdo, na totalidade ou em parte, é permitida desde que citada a fonte.

Sobre o Serviço de Assessoria prestado pela Ernst & YoungA relação entre risco e melhoria de desempenho é um desafio cada vez mais complexo e crucial para as empresas, com o desempenho dos negócios diretamente associado ao reconhecimento e gestão eficaz do risco. Não importa se a sua ênfase está na transformação do negócio ou em manter os resultados conquistados – ter os assessores certos ao seu lado pode fazer toda a diferença. Nossos 20.000 profissionais de assessoria formam uma das mais amplas redes de serviços profissionais de assessoria do mundo, com equipes multidisciplinares experientes que trabalham com os nossos clientes, oferecendo-lhes uma experiência notavelmente eficaz e de qualidade superior. Adotamos metodologias comprovadas e integradas para ajudar a sua empresa a alcançar as suas prioridades estratégicas e fazer melhorias que sejam sustentáveis a longo prazo. Entendemos que para atingir todo o seu potencial como organização, são necessários serviços que venham como resposta para questões específicas da sua empresa, dessa forma, colocamos nossa ampla experiência no setor e profundos conhecimentos da matéria ao seu dispor, de forma proativa e objetiva. Sobretudo, assumimos compromisso de avaliar os ganhos e identificar em que pontos a estratégia está agregando o valor que a sua empresa necessita. É assim que a Ernst & Young faz diferença. EYG no. AU1082

Esta publicação contém informações resumidas e, portanto, serve exclusivamente para orientação geral e não pretende substituir a pesquisa detalhada ou o exercício de julgamento profissional aplicáveis. Nem a EYGM Limited nem qualquer outra firma membro da organização global Ernst & Young poderá aceitar qualquer responsabilidade por perdas porventura resultantes da ação, ou falta de ação, de qualquer indivíduo com base em qualquer material contido na presente publicação. Para questões mais específicas, sugerimos consulta à assessoria adequada. Os pontos de vista e as opiniões de terceiros apresentados nesta publicação não representam necessariamente os pontos de vista e as opiniões da Ernst & Young. Outrossim, eles deverão ser considerados no contexto da época em que foram expressos.

transformando riscos em resultados - ey.com · nosso estudo constatou que, enquanto a maior parte...

Documents