O papel da gestão de riscos na sociedade das organizações:
O QUE (NÃO) ESTAMOS
CONTROLANDO?
Letícia Ribas Sugai Rocha
Especialista em compliance e anticorrupção, sócia e fundadora da Veritaz Consultoria, diretora do
Instituto Paranaense de Compliance. Cursando o MBA de Gestão de Riscos da Brasiliano INTERISK.
Prevenir, detectar e gerir inúmeros tipos de riscos em uma empresa são ações que têm se justificado por si só no contexto atual. Basta constatar os vários casos de companhias estabelecidas há anos no mercado que vêm enfrentando desafios inesperados.
Por que organizações existem?
As corporações são um elemento praticamente ubíquo na nossa sociedade, embora seu estudo – “personificado” como ciência da administração – seja ainda recente. Como consequência, tornamo-nos uma “sociedade de organizações” (HALL, 2004 apud PERROW, 1991), sem as quais não obtemos o básico de Maslow (1970), como: alimentação, conforto e segurança, tampouco o básico moderno, como internet e comunicação virtual.
Por trás das mais relevantes transformações sociais históricas estão, essencialmente, as organizações, desde a ascensão do Império Romano, passando pelo desenvolvimento do capitalismo até os experimentos recentes em economia compartilhada, como Uber e AirBNB. Elas existem para servir a um propósito, atendendo a necessidades de um público mutável, que se capacita e moderniza rapidamente. Dessa forma, uma nova conjuntura cria novos problemas (ou oportunidades).
Estratégias e Riscos Corporativos
Para desenvolverem suas atividades com primazia, superarem a concorrência e manterem-se atualizadas em um mundo conectado, as empresas estudam, testam e implementam diferentes tipos de estratégias – e diversas são as metodologias disponíveis atualmente. As evoluções propiciadas pelo processo de globalização trouxeram novas abordagens e ferramentas para os negócios, exigindo determinados ajustes ao considerar o “mundo VICA”. Isto significa que aspectos de volatilidade, incerteza, complexidade e ambiguidade passaram a ser intrínsecos ao dia a dia destas corporações, independentemente de seu tamanho. Empresas de investimentos são um interessante exemplo dessa situação: elas verificam o mercado e suas tendências, identificam movimentos com maior probabilidade de ocorrência e fazem suas apostas. Por saberem que não é possível ter a certeza do êxito, mesmo com todos os sinais aparentes de um sucesso anunciado, diversificam. Em vez de buscarem um caminho estável e seguro para os próximos anos, reconhecem que o mercado é demasiadamente volátil para uma abordagem única.
Reeves et al. (2015) desenvolveram a paleta de estratégias com base em estudos de casos em grandes companhias. Através dela, salientam a importância da análise do ambiente corporativo e da ambidestria empresarial, isto é, a habilidade de combinar mais de uma estratégia de acordo com a ocasião. Em determinados momentos, apenas uma abordagem pode ser insuficiente para o momento e o ambiente de determinado negócio, e a combinação delas faz-se primordial. Montgomery (2012), em acréscimo, defende a roda da estratégia e o quanto um propósito bem definido, alinhado às razões mais profundas da criação de um negócio, pode ser fundamental para seu êxito. Mais importante do que escolher entre uma metodologia ou outra é partir do pressuposto de que é necessário mais de um ponto de vista e saber que, no caminho para o alcance do propósito, existem incertezas, cujos efeitos poderão materializar-se no chamado “risco” (NBR ISO 31000, 2009, p. 1). O corolário desta observação é: de que forma uma organização estimula e coordena as habilidades, responsabilidades e métricas para ter uma boa visão tanto de curto quanto de longo prazo?
O gerenciamento de riscos tem alertado e conscientizado os gestores sobre uma série de situações que outrora não eram administradas. A Siemens, por exemplo, em uma das maiores condenações por corrupção da história, teve executivos envolvidos na formação de cartel e fraudes para a licitação de metrôs e trens em São Paulo. Atualmente possui um programa de compliance robusto, com iniciativas de prevenção, detecção e resposta a riscos, tais como: definição de novas políticas, mecanismos de controle a possíveis ilícitos, comunicação assídua sobre o tema e um canal de denúncias disponível a todos os envolvidos com a empresa.
A relação entre Organizações, Indivíduos e Riscos
Ao analisar as corporações, a forma de condução dos negócios, seus processos e os riscos a eles associados, é importante destacar o papel dos indivíduos que as compõem. As organizações são o contexto no qual as pessoas trabalham – a grande bandeira que está à sua frente. A consequência mais importante disso é a colocação das pessoas no sistema de estratificação social (HALL, 2004, p. 7). Muitas pesquisas da década de 70 examinaram de que forma os indivíduos reagiam às suas vidas na condição de empregados, e essas análises convergiam para o resultado de que um trabalho repetitivo, rotinizado e lento era altamente alienante (HALL, 2004 apud TERKEL, 1974; ROSOW, 1974; ARONOWITZ, 1973, Work in America, 1973; HALL, 1994).
Com a quantidade de mudanças no ambiente de trabalho dos últimos dez anos, muitas situações se transformaram, mas permaneceu o fato de que, por trás de todo o sistema, sempre haverá seres humanos.
Por outro lado, uma tendência cada vez mais comum é a adoção da tecnologia em processos anteriormente conduzidos inteiramente por pessoas, reduzindo o risco de falhas e fraudes. Uma pesquisa realizada pela empresa KPMG com aproximadamente 750 fraudadores no mundo evidenciou que os controles contra a fraude não têm sido efetivos o suficiente uma vez que três- quintos dos casos foram possibilitados pela deficiência nos controles internos.
“Mesmo quando os controles são efetivos, os fraudadores burlam ou os negligenciam. A tecnologia auxilia tanto o fraudador como a empresa que combate a fraude. As ameaças de fraude estão constantemente mudando, e as empresas precisam realizar avaliações frequentes de risco, alterando a maneira como elas previnem e detectam fraudes, conforme necessário.” - KPMG, Perfil Global do Fraudador, 2015, p. 6
Isto é, se organizações dependem de indivíduos para funcionarem, são regidas por processos e precisam atingir objetivos, significa que os riscos são um elemento intrínseco à realidade, do qual se torna impossível esquivar-se. Logicamente, as pessoas não são o único fato gerador de riscos. O ambiente externo, os parceiros comerciais, questões regulatórias, comerciais e diversos outros elementos são fundamentais na construção de uma análise holística.
A gestão de Riscos Corporativos
O recente caso da empresa Salesforce, em que um funcionário da filial brasileira se fantasiou como um “meme popular” do Whatsapp e teve a atitude reprovada pela matriz americana, coloca em pauta uma discussão importante: o que (não) estamos controlando dentro das áreas de risco e compliance? De que forma essa situação poderia ter sido prevenida? A cultura da filial brasileira não foi contra a fantasia e a exposição, mas a norte-americana sim. Isso gerou um embate e culminou na demissão do funcionário e de seus superiores. Mas então, como capilarizar de forma eficaz um tema que é transversal à estrutura global de uma empresa?
A disciplina de gestão de riscos corporativos tem recebido cada vez mais atenção dos gestores a fim de entregar melhores resultados aos seus stakeholders uma vez que auxilia a prevenir, detectar e agir frente a riscos, inclusive àqueles que possam se transformar em futuras oportunidades. É uma questão estratégica de competitividade e instintiva de sobrevivência que precisa estar solidamente incorporada à cultura de uma corporação para ter efetividade (BRASILIANO, 2016).
No contexto atual, de imprevisibilidade e mudanças rotineiras no ambiente corporativo, a gestão de riscos visa gerenciar a incerteza para otimizar a tomada de decisões, que por vezes é realizada sem todas as informações necessárias. Dentro do cenário organizacional, toda e qualquer atividade está sujeita a riscos. É necessário, portanto, atuar a fim de determinar até que ponto deve-se aceitar ou recusar uma incerteza, com base nos impactos que podem repercutir de uma decisão específica (BRASILIANO, 2016).
Organizações são organismos vivos, porosos, através das quais informações entram e saem por todos os lados. Parte da flexibilidade estratégica para lidar com um mundo incerto é a abertura ao erro, o que por si só é um grande paradoxo quando o assunto é risco. Instintivamente assume-se que riscos devem ser minimizados ao máximo e que a falha deve ser reduzida à zero. Na prática, isso é impossível e perigoso. Quando uma organização foca na perfeição dos seus processos, ela perde flexibilidade para lidar com as mudanças no mercado. Ao escolher controlar os riscos conhecidos, cega-se para os riscos ainda invisíveis.
O foco da gestão de riscos está em tratar riscos e oportunidades que afetem a criação ou a preservação de valor (BRASILIANO, 2016, p. 43). Ora, uma vez que organizações são compostas por indivíduos, e que os próprios podem ser riscos ou oportunidades inerentes ao negócio, assim como o ambiente de atuação, concorrentes, legislações e outros, são necessárias medidas para administrá-los e otimizá-los.
Inúmeras são as classificações de riscos relacionados à realidade empresarial, sendo que todos devem estar interligados em um framework que possibilite à companhia o desenvolvimento ou aprimoramento de controles e políticas de prevenção. Algumas metodologias estão disponíveis para embasar o processo de implementação de um programa de riscos (ou de compliance). Com uma visão mais voltada à gestão de riscos, a ISO 31000 foi criada em 2009 e aprofunda-se em conceitos importantes como a estrutura necessária para gerenciar riscos, mecanismos de comunicação e reporte, análise de riscos e melhoria contínua. As macro etapas são detalhadas na figura a seguir:
1
Fonte: NBR ISO 31000, 2009, p. 14.
Outra importante ferramenta é o COSO (The Committee of Sponsoring Organizations of the Treadway Commission), criado em 1985 nos Estados Unidos e que tem como foco a implementação de controles internos que evitem o cometimento de fraudes. O COSO visa alinhar o apetite ao risco com a estratégia adotada, fortalecer as decisões em respostas aos riscos, reduzir as surpresas e prejuízos operacionais, identificar e administrar riscos múltiplos e entre empreendimentos, aproveitar oportunidades e otimizar o capital (COSO: Gerenciamento de Riscos Corporativos – Estrutura Integrada, 2007). De forma integrada, ele cruza três grandes categorias (objetivos, elementos do processo e as áreas da empresa) em formato gráfico de cubo, permitindo interação entre todas, conforme demonstrado ao lado:
Fonte: COSO: Gerenciamento de Riscos
Corporativos – Estrutura Integrada, 2007, p. 7.
Fonte: COSO: Gerenciamento de Riscos
Corporativos – Estrutura Integrada, 2007, p. 7.
As chamadas “três linhas de defesa” complementam as duas estruturas mencionadas anteriormente. Lançada em 2010, a ferramenta divide os responsáveis pelos riscos em três grandes frentes, evitando, em forma de fluxo, que um risco venha a causar impacto sem que ninguém o verifique antes, pois designa diferentes escalões para supervisionarem as atividades. Nesse modelo, o controle da gerência assume a primeira linha de defesa, enquanto que as funções de compliance e riscos são a segunda linha. A terceira é a avaliação independente.
Fonte: As Três Linhas de Defesa no Gerenciamento Eficaz de Riscos e Controles, 2013, p. 2.
Ao utilizar tais estruturas, é necessário que a alta gestão da empresa delibere sobre seu apetite ao risco, ou seja, a quantidade de risco que deseja assumir para atingir seus objetivos. Essa definição é importante uma vez que balizará a cultura e as demais decisões estratégicas, sempre considerando o risco, a oportunidade e o apetite ao risco.
Em termos de compliance, não serão especificadas as normas, mas cita-se a título de exemplo a ISO 19600, um dos principais orientadores para implementação de bom programa. No Brasil, a Lei 12.846/13, chamada “Lei Anticorrupção”, e seu decreto regulador (8.420/14), dispõem a respeito dos mecanismos do programa de integridade necessários em uma empresa. Vale destacar alguns itens, como a análise periódica de riscos, controles internos que assegurem a confiabilidade das demonstrações financeiras, canais de denúncia de irregularidades e procedimentos para prevenir fraudes e ilícitos.
Retornando à questão anteriormente levantada, paira o desafio de como levar todas essas iniciativas às partes interessadas do negócio, incluindo parceiros externos, clientes e fornecedores. O ponto principal talvez seja de que riscos devam ser considerados a partir de duas lentes: a operacional (conhecido/previsível) e a estratégica (desconhecido/incerto). A maior parte das organizações tende a seguir um modelo focado na primeira perspectiva. Por um lado, isso permite ganhos de eficiência por trás das grandes conquistas da industrialização; por outro, acaba sendo uma miopia.
Mas então o que estamos controlando ou deixando de controlar?
Será que os riscos para os quais estamos atentando são suficientes?
Existem duas situações complementares que uma corporação pode adotar paralelamente: procurar uma visão mais completa dos possíveis riscos e incentivar uma cultura de agilidade na resposta aos riscos e transparência, que permita lidar com as crises de forma eficaz. Ser capaz de ver adiante e correr com maior velocidade são diferenciais competitivos que não perderão valor.
Os motivos para uma estratégia diversa, ampla e atenta foram estabelecidos anteriormente, mas é possível realçar um ponto em particular. O mundo real não conhece – e não se preocupa – com a perspectiva em que uma dada companhia se baseia. Para poder reagir às ameaças e oportunidades que surgem, é imprescindível ver além da estrutura e premissas próprias da operação interna de um negócio. A realidade da porta para fora é maior, mais complexa e mais dinâmica do que um planejamento estratégico monolítico possa conseguir descrever.
Para o estímulo de uma cultura de agilidade na resposta aos riscos e transparência, os imperativos são outros. O foco deverá ser não incentivo a atitudes flexíveis a múltiplos contextos, mais do que em processos pré-determinados. O departamento de recursos humanos, a contratação, avaliação e treinamento do pessoal ganham um impacto ainda maior. Transformar atitudes e comportamentos a nível individual do colaborador tende a ser um processo lento e complexo, e por isso a entrada de novos participantes na organização é uma importante oportunidade de oxigenação.
Conclusão
Existem formas adicionais de reduzir erros graves e proteger-se de riscos sem engessar em excesso a operação empresarial. Por vezes, do que se precisa é uma sutil mudança de ponto de vista. E ainda que essa solução não seja adequada para todas as companhias, ela será útil para uma boa parte delas: ao invés de determinar a forma como cada processo deve ser seguido, é possível criar algumas regras específicas para o que não pode ser feito – e assim definir para onde olhar.
Uma observação atenta aos processos corporativos mostrará que um número significativo deles tem pouco ou nenhum impacto positivo, servindo apenas como alicerce de uma noção equivocada de identidade corporativa. “Aqui fazemos as coisas desse jeito porque é o nosso jeito” é uma frase comum e, infelizmente, um sinal de que algo fundamental não está sendo comunicado de forma clara.
Ao mapear e identificar situações que não podem acontecer, criando regras particulares para elas, liberam-se os colaboradores para que se engajem e utilizem sua capacidade a fim de sugerir melhorias, reagir a mudanças e conviver com os momentos de desordem.
Compliance e Gestão de Riscos para as próximas décadas não podem ser vistos como apenas um freio e sim um diferencial para indicar caminhos. Todo equilíbrio é dinâmico e qualquer área ou profissional dessas áreas deve poder operar em meio a tais turbulências
Referências
BRASILIANO, Antonio Celso Ribeiro. Inteligência em riscos: gestão integrada em riscos corporativos. São Paulo: Sicurezza, 2016.
COMER, Michael J. Fraudes Corporativas. São Paulo: Blucher, 2011.
HALL, Richard H. Organizações: estruturas, processos e resultados. São Paulo: Pearson Prentice Hall, 2004.
MONTGOMERY, Cynthia A. O Estrategista. Rio de Janeiro: Sextante, 2012.
REVEES, Martin; HAANAES, Knut; SINHA, Janmejaya. Sua Estratégia Precisa de Uma Estratégia. São Paulo: DVS Editora, 2015.
ABNT. NBR ISO 31000, 2009. Disponível em:
<https://gestravp.files.wordpress.com/2013/06/iso31000-gestc3a3o-de- riscos.pdf>. Acesso em 07 de janeiro de 2018.
KPMG. Perfil Global do Fraudador: A tecnologia viabiliza e os controles deficientes estimulam a fraude, 2016. Disponível em:
<https://assets.kpmg.com/content/dam/kpmg/br/pdf/2016/09/br-perfil-do- fraudador-2016.pdf>. Acesso em: 07 de janeiro de 2018.
AUDIBRA; COSO; PRICEWATERHOUSECOOPERS. COSO: Gerenciamento
de Riscos Corporativos – Estrutura Integrada, 2007. Disponível em:
<https://www.coso.org/Documents/COSO-ERM-Executive-Summary- Portuguese.pdf>. Acesso em: 08 de janeiro de 2018.
THE INSTITUTE OF INTERNAL AUDITORS. As Três Linhas de Defesa no Gerenciamento Eficaz de Riscos e Controles, 2013. Disponível em:
<http://www.iiabrasil.org.br/new/2013/downs/As_tres_linhas_de_defesa_Declar acao_de_Posicionamento2_opt.pdf>. Acesso em: 08 de janeiro de 2018.
1 Ao estratificar um processo em forma de fluxograma, é possível verificar todas as etapas que o compõem. Em processos falhos, existem as chamadas “lacunas”, consideradas pontos vulneráveis para o cometimento de fraudes por parte do funcionário. A tecnologia pode ser benéfica nesse sentido, assim como, se mal aplicada/controlada, pode ser um meio de o fraudador explorar pontos fracos da empresa.