SOX 301 - Conselho Fiscal ou Comitê de Auditoria? Outubro ... · anterior, cópia de carta de recomendação, relatórios de auditoria interna e outros relatórios considerados importantes,

1

Síntese e Resultados da 6ª mesa de debatesSOX 301 - Conselho Fiscal ou Comitê de Auditoria? Outubro de 2005

7ª mesa de debatesGerenciamento de riscosAUDIT COMMITTEE INSTITUTE DA KPMG NO BRASIL

2

Com base principalmente nasexperiências vivenciadas pelosparticipantes do subcomitê paradiscussão de temas relacionados aoComitê de Auditoria, o IBGC temtrabalhado ativamente na busca deboas práticas de atuação do ConselhoFiscal. Nesse contexto, está sendoelaborado o GUIA DEPROCEDIMENTOS PARA CONSELHOSFISCAIS.

Apesar da dificuldade em seestabelecerem boas práticas para umuniverso ainda desconhecido, vistoque não existem informações precisassobre quem são, onde estão equantos são os Conselheiros Fiscaisde empresas e entidades do Brasil(comenta-se que podem ser entre 5 e

Síntese da 6ª mesa de debatesSOX 301 - Conselho Fiscal ou Comitê de Auditoria?

PRIMEIRO PAINELISTA

JOÃO VERNER JUENEMANN

Conselheiro de Administração

IBGC

Currículo:- Graduado em Ciências Contábeis pela PUC/RS e pós-graduado em Administração e

Auditoria;

- Membro do Conselho de Administração e do Comitê de Auditoria do Banco do

Estado do Rio Grande do Sul e do Conselho Fiscal da Rede Plaza de Hotéis (RS/SC/

BA);

- Atuou em diversas empresas, como GE, Gerdau, entre outras;- Sócio sênior da Juenemann & Associados;

- Conselheiro do Conselho de Administração do IBGC.

João Verner Juenemann representou o Instituto Brasileiro de Governança Corporativa

(IBGC) como membro do Conselho de Administração e responsável pela coordenaçãodo Subcomitê de Finanças e Contabilidade do IBGC. A seguir, um extrato da

apresentação efetuada pelo Dr. Juenemann.

10.000 Conselheiros), essedocumento será de grande valia comoum referencial a ser utilizado pordiversas organizações.

Na percepção do grupo de estudo doIBGC, o Conselho Fiscal é umainstituição tipicamente brasileira quetem por finalidade preencher umalacuna na atuação do Conselho deAdministração e que serve como uminstrumento de controle para osproprietários, sejam eles majoritários,minoritários, acionistas, ordinaristas,preferencialistas. É antes de mais nadaum órgão colegiado. No entanto, hámuito vem sendo discutida apossibilidade de os ConselheirosFiscais atuarem individualmente,independente do grupo.

Os Conselheiros devem examinardocumentos, dados, análises edemonstrativos contábeis, entreoutros relatórios, para que possamindividualmente e em conjunto avaliaros riscos da gestão e, com isso, ajudara Administração na redução do custode capital da empresa e,conseqüentemente, aumentar o graude confiança dos acionistas e demaisinteressados, e deliberar por matériasabsolutamente relevantes.

É importante que se tenha a idéia deuma visão prospectiva, não reativa eque o Conselho Fiscal não sejameramente um órgão que olhe osdados “pelo espelho retrovisor”, masque examine também o presente e ofuturo, para defender a empresa,

Síntese da 6ª mesa de debates - SOX 301 - Conselho Fiscal ou Comitê de Auditoria?

A 6a. Mesa de Debates do Audit Committee Institute (ACI), realizada em 17 deagosto de 2005, teve a presença de 80 participantes, entre membros deconselhos de Administração e Fiscal e Comitês de Auditoria.

O tema – SOX 301 - Conselho Fiscal ou Comitês de Auditoria? – foi apresentadopor três profissionais conceituados e experientes, com os seguintes aspectosabordados:- Guia de procedimentos para conselhos fiscais- Comitês de Auditoria - melhores práticas- Conselho fiscal na função de Comitês de Auditoria

3

agregando todas as partes quecontribuem para seu crescimento eseu desenvolvimento.

O Conselheiro deve emitir sua opiniãosem comprometimento com oprocesso decisório, não devendo seintrometer em hipótese alguma nadecisão da gestão e nos atos degestão. Simplesmente deveacompanhar esses atos - podendoeventualmente sugerir, recomendar,mas sem nenhum compromisso comesse processo decisório, que competeúnica e exclusivamente àadministração da empresa.

O que justifica, no caso brasileiro, umórgão como o Conselho Fiscal é a clarae unívoca distinção de gestão epropriedade, separação entremajoritários e minoritários,controladores e não controladores,visando a impedir por qualquer formae meio que possa prosperar aexpectativa de uma ação mais oumenos predatória, seja por gestores,seja por controladores, em qualquermomento e em qualquer instância, emdetrimento de todos os demais queestão interessados na continuidade enos resultados da própria empresa.

É fundamental que o ConselheiroFiscal, previamente à aceitação de umconvite, avalie:- Se tem condições de exercer o

trabalho de Conselheiro Fiscal deuma forma geral e particularmentenaquela empresa, dadas as suaspeculiaridades, as suas dificuldades,a sua complexidade e o seu tipo deatividade;

- O volume de trabalho que seránecessário despender, e se eledetém o tempo indispensável nafreqüência que lhe pareçanecessária; e

- A remuneração a ser oferecida.

Posse e instalaçãoO Conselheiro deve tomar posse aofinal de 30 dias da data da assembléia,mesmo que eventualmente ele nãoseja informado a respeito do assunto.É sua obrigação informar-se eentender que, por ter sido indicado,tem a responsabilidade em tomarposse formalmente.

Fundamentalmente o ConselheiroFiscal deve:- Ser capaz de se integrar com o

grupo de três ou cinco pessoas,como usualmente indicado emlegislação. Ao mesmo tempo, oConselho Fiscal deve serapresentado ao Conselho deAdministração e também à Diretoria,para que a empresa saiba quaisinformações deverá disponibilizar,com que freqüência, profundidade,dados, elementos etc.;

- Conhecer toda a história daempresa, os negócios, a evolução,quais são os pontos fortes e fracos,os seus concorrentes, a suaestrutura, os seus processos, de quesistema ela dispõe, quaisespecialistas ela tem, quais são osprofissionais externos contratadosregularmente para oferecer suporteà empresa e conhecer a estrutura:contabilidade, número defuncionários, qualificação dosmembros, controles internos etc.;

- Ter disponibilizadas asdemonstrações contábeiscompletas do exercícioimediatamente anterior a do inícioda sua atividade, todos os relatóriosexistentes como relatório daAdministração, dos auditoresindependentes relativos ao exercícioanterior, cópia de carta derecomendação, relatórios deauditoria interna e outros relatóriosconsiderados importantes, seja daárea de gerenciamento de riscos,dos advogados externos e internosda empresa, enfim, todo tipo dedocumento que possa ser deconhecimento e de interesse desseórgão;

- Conhecer o plano de trabalho dosauditores e, se for o caso, sugeriralterações;

- Solicitar o planejamento estratégicoexistente, para ser acompanhadopelo Conselho, e o orçamentodetalhado, para ser acompanhado aolongo do exercício;

- Programar as reuniões do exercício,determinando se serão mensais,bimensais ou trimestrais, o dia domês, o horário, a duração etc.;

- Estabelecer um programa detrabalho abrangente para o período,

para que a empresa possadisponibilizar com antecedência adocumentação necessária e terdisponíveis os Diretores efuncionários que serão necessáriose/ou solicitados para prestar dados eesclarecimentos;

- Definir com a Diretoria quem vai sero Secretário;

- Agendar reuniões periódicas com osauditores, não apenas no final doexercício;

- Solicitar as atas das reuniões daDiretoria e do Conselho deAdministração; e

- Estabelecer um regimento interno edefinir se haverá um Presidente.

AtasAs atas geralmente ficam prontas nofinal da reunião, para serem assinadase distribuídas, ou seja, em muitoscasos, a estrutura básica da reunião,com todos os elementos que serãodisponibilizados, já está pronta,adicionando-se no máximo as pessoasque compareceram na reunião, osassuntos que foram debatidos com osdiretores etc. Posteriormente a minutaé revisada, cabendo a cadaparticipante uma cópia assinada.Também será entregue uma cópia aopresidente do conselho deadministração ou a quem de direito.Sugere-se que todos os diretoresrecebam essas atas.

Atribuições- Revisar o atendimento às

formalidades legais, tomarconhecimento do estatuto, dequaisquer acordos com os acionistas(algo que gera resistência), dosregimentos internos do Conselho deAdministração, do ConselhoConsultivo, quando for o caso, e dosComitês de Auditoria, Remuneração,Recursos Humanos e outros.

- Fiscalizar, quando necessário, osatos que pareçam indispensáveis,seja pela freqüência, pelos valores,pela singularidade dos contratos epelos detalhes que possam serinseridos nestes. Averiguar emtodos os casos se as políticasimplementadas e as decisõestomadas pela Administração, napercepção do Conselho Fiscal,


4

visaram exclusivamente ao interesse da empresa e se eventuais negócioscom partes relacionadas possam não traduzir de alguma maneira não exclusivao interesse da empresa. O Conselho poderá opinar sobre o conjunto depropostas, distribuição de dividendos, aumento de capital, condição de fusão,cisão, incorporação e outras, situação de erros relevantes ou fraudes, ou atémesmo crimes que circunstancial-mente possam ser verificados.

- Examinar as demonstrações financeiras e os relatórios disponíveis.- Solicitar esclarecimentos à Diretoria sempre que necessário.- Opinar sobre o relatório de administração. Muitas vezes, o Conselho Fiscal é

surpreendido com a publicação do relatório, pois a empresa não lhes deutempo hábil para o examinarem. Não que seja necessária uma nova redaçãodo relatório pelo Conselho Fiscal, mas estes podem contribuir, com suasexperiências, constatando erros, imprecisões ou omissões, talvez deliberadospela Administração para registrar no seu relatório apenas os elementosfavoráveis. Cabe ao Conselho Fiscal sugerir modificações no conteúdo desseRelatório de Administração, se entender que este não retrata com fidelidadenecessária o entendimento de terceiros, inclusive leigos, e solicitar aosauditores a apuração de fatos específicos.

- Comparecer, obrigatoriamente, pelo menos um dos membros, à assembléiapara prestar esclarecimentos. Raramente, tal comparecimento é solicitado.

- Contatar os órgãos regulatórios, solicitando os relatórios gerados, eacompanhar as eventuais fiscalizações e verificações regulares ou especiaisem curso.

RemuneraçãoEvidentemente deve ser adequada ao nível de trabalho, ao porte do negócio, àcomplexidade das operações, à existência ou não de coligadas e controladas e,na eventualidade da existência, ao volume e à complexidade de atividadesdesenvolvidas por essas empresas coligadas e controladas.

Notamos que a remuneração de alguns conselheiros tem evoluído, até porqueestava em patamares muito baixos.

Atualmente, encontramos várias empresas com remuneração entreR$ 4.000,00 e R$ 8.000,00.


5

RegulamentaçãoA atuação do Comitê de Auditoria nasinstituições financeiras no Brasil éregulamentada pelo Banco Central(BC) e pela SUSEP. Nessaregulamentação, os membrosprecisam ser independentes, nãopodem participar do dia-a-dia daorganização, nem participar doConselho Fiscal. O BC não permitiuque o Conselho Fiscaldesempenhasse a função de Comitêde Auditoria, porém seus membrospodem fazer parte do Conselho deAdministração.

Deve haver, na regulamentação, talcomo se apresenta no Brasil, umaavaliação dos controles internos, naforma que o BC estipulou, por meio daResolução nº 2.554, e a SUSEP, pelaResolução nº 249. O Comitê deAuditoria também tem a obrigação deavaliar as auditorias interna e externa,a efetividade e a eficiência dessestimes e, conseqüentemente, a suaindependência e a qualidade dasdemonstrações financeiras, osprincípios contábeis, osprocedimentos, o processo deencerramento dos relatóriosfinanceiros, o que é publicado e deque forma. O Comitê de Auditoriadeve elaborar, semestralmente,relatórios e a súmula destes deve serpublicada com as demonstraçõesfinanceiras.

SEGUNDO PAINELISTA

PAULO ROBERTO SIMÕES DA CUNHA

Membro do Comitê de auditoria

Banco Bradesco S.A.

Currículo:- Formado em Contábeis e Administração de Empresas;

- Pós Graduação em Auditoria na USP, Finanças na FGV e Economia na George

Washington University;

- Ex chefe de Fiscalização no Bacen – São Paulo;

- Ex sócio da KPMG para “Financial Services”;

- Atualmente é consultor de empresas e Membro do Comitê de Auditoria doConglomerado Financeiro Bradesco.

Tema: COMITÊS DE AUDITORIA – MELHORES PRÁTICAS

GovernançaO Comitê de Auditoria, inserido nocontexto de Governança, é um órgãodo Conselho de Administração quesupervisiona assuntos referentes acontroles internos, eficiência e eficáciadas auditorias.

O Comitê de Auditoria não tem umaestrutura. Geralmente, serve-se daexistente nas grandes organizações,representadas pelas funções decontroladoria, relativas a compliance,ao cumprimento de normas, àauditoria interna, à auditoria externa, àgestão de riscos e, principalmente,controles internos existentes nosprocessos operacionais daorganização. O Comitê de Auditoriautiliza as informações dessas áreas ereporta ao Conselho de Administraçãoeventuais deficiências ou pontos demelhoria para os negócios daorganização.

Um ponto a ser analisado é quanto aoComitê de Auditoria ter algum órgãosubordinado a ele, como a AuditoriaInterna, por exemplo, pois pode tirarum pouco da liberdade de o comitêreportar ao Conselho deAdministração eventual deficiência naprópria Auditoria Interna. Assim,eventuais conflitos de interessesdevem ser eliminados quando éestruturado e definido oposicionamento do Comitê deAuditoria.

AbordagensÉ importante ressaltar que énecessário tempo para se entenderperfeitamente todas as funções, comocompliance, auditoria, controladoria,gestão de riscos, orçamentos, decomo são formadas dentro daorganização, quem são as pessoasresponsáveis e assim por diante. Talabordagem é bastante facilitada se oComitê, num primeiro momento, seorganizar e concluir que a melhorforma de conhecer uma organização épor processos. Um processo decrédito é bastante similar em qualquerbanco, assim como o processo detecnologia, de tesouraria etc.Uniformizar o entendimento de visãode processos é um fator de ganho, emuito prático para os membros de umComitê de Auditoria.

Para se ter uma visão de processos, éimportante que se tenha uma visãoestratégica do negócio. Quem fazparte de um Comitê de Auditoria deum banco tem de entender denegócios bancários, caso contrário terádificuldade em ter a visão deprocessos, enxergar os riscosexistentes nas estratégias denegócios e avaliar a qualidade doscontroles.

A abordagem do Comitê de Auditoriapor processo facilita bastante ostrabalhos, quando atrelada às


6

estratégias de entendimento denegócio. Não é uma missão fácil, poismuitas vezes as organizações nãoestão estruturadas por processos, aauditoria interna não faz trabalho porprocessos, nem a auditoria externaenxerga a organização por processos.As empresas que estão trabalhandopara a adequação à Seção 404 daSarbanes-Oxley estão alinhadas à visãode processos, pelo menos no tocanteà geração de relatórios financeiros.

Avaliação dos controles internosUma missão muito difícil para umComitê de Auditoria de um banco éopinar sobre a qualidade dos controlesinternos.

Para tal, a visão de processos é muitorelevante e o entendimento dosnegócios é fundamental. Deve-seconhecer as linhas de negócios daorganização, seus produtos, asestruturas ou funções que suportamos processos e as linhas de negócio, omodo como essa organização estáinserida no mercado em que atua, aconcorrência, seus clientes, o modocomo o cliente é focado, o tipo deatitude tomada, o modo como seadapta a mudanças e, principalmente,a estratégia que adota para abordarmercado, produtos, clientes e formataras suas linhas de negócios. Assim,ressalta-se a importância de entendero negócio de forma abrangente.

O segundo passo é identificar osprincipais processos que dão suportea essas estratégias, e os principaisriscos de negócios. Averiguar,também, se há controles adequadospara reduzir esses riscos. Ao final,teremos riscos residuais, os quaisdevem ser avaliados para verificar suacompatibilidade com a capitalização daempresa e com a gestão de risco.Deve haver um sistema demonitoramento que avalie se aempresa possui:

· Sistema de informações gerenciaisestruturado com base nos negóciose nas estratégias;

· Planos de contingências oucontinuidade de negócio;

· Gestão de riscos estruturada eabrangente, que englobe osprocessos de crédito, mercado, riscooperacional, risco legal, e como osriscos são gerenciados dentro daorganização;

· Disseminação da função compliancena organização;

· Tratamento dispensado aosreguladores - Susep, Banco Central,Receita Federal;

· Cumprimento do código de conduta;e

· Processo de comunicação defraudes e o endereçamento aoComitê.

Fontes de informaçãoÉ imprescindível estruturar asinformações mais importantes sempreutilizando fontes diferentes. Deve-seconversar com os gestores e com osresponsáveis por determinadas áreasou processos, além de ouvir o pessoalde Back Office e das áreas de controle,assim como os auditores internos eexternos. As informações obtidas dediferentes fontes proporcionam umamelhor capacidade de julgamento,pois muitas vezes a visão do gestor ébastante otimista e nem um poucoconservadora.

Avaliação das AuditoriasO Comitê de Auditoria deve opinarsobre a eficiência e a eficácia dasauditorias. Tal opinião estará contidano resumo do seu relatório com asdemonstrações financeiras. Paraopinar o Conselheiro deve conhecer omodo como o trabalho de auditoriaexterna e interna é feito, as suasdiferenças e missões. Caso o Comitêesteja trabalhando com uma visão deprocessos, verificar se essa visão dasauditorias interna e externa é a mesma

do Comitê. Primeiramente é precisouniformizar o entendimento sobre taisprocedimentos.

Alguns pontos importantes a seremconsiderados:· Abordagem e escopo do trabalho· Metodologias adotadas· Ferramentas utilizadas para os

trabalhos· Grau de independência desses

grupos dentro da organização

Eventuais mudanças de escopo ouextensão devem ser comunicadas aoComitê de Auditoria, se relevantes. Aindependência está muito ligada aostrabalhos executados pela AuditoriaExterna que não são de sua alçada,como os trabalhos de consultoria.Analisar até que ponto os trabalhos deconsultoria – já regulamentados, tantono Brasil quanto no exterior – podemcolocar em risco a independência deemitir um parecer ou uma opiniãodaquele grupo de pessoas sobre asdemonstrações financeiras.


7

Ser membro de um Comitê deAuditoria, para atender às exigênciasda SEC americana, não é um trabalhode duas a três horas por mês, mas umtrabalho realmente exaustivo. Paraatender às exigências locais, érequerida uma carga de trabalhosignificativa, a não ser que se queirafazer um trabalho de Conselho Fiscalpro forma, como se fazia no passado.Porém, à medida que os acionistasficam cada vez mais exigentes,aumenta a pressão sobre os membrosdo Conselho Fiscal para exercerem assuas funções adequadamente.

Com um Conselho Fiscalextremamente atuante e um Comitêde Auditoria, uma empresa podesobrecarregar os auditores e acontroladoria. O Conselho Fiscal deveconsiderar que a Administração – cujaobrigação é a de operar a empresa,que tem de dar lucro e resultados –não deve ter sua atenção desviada atodo momento. Nesse aspecto, umaestrutura de fiscalização maissimplificada pode ser mais favorável,para permitir que o executivo sededique à sua atuação e a executar aestratégia estabelecida pelo Conselhode Administração.

Em relação ao atendimento à SOX,deve-se refletir sobre quem será oresponsável pelo 20F que seráarquivado em junho ou julho de 2007,relativo às demonstrações financeirasde 2006. Seria, possivelmente, oConselho Fiscal na função de Comitêde Auditoria. Porém, para a SOX esseselementos devem fazer parte do

TERCEIRO PAINELISTA

LUCIANO CARVALHO VENTURA

Conselheiro Fiscal

Perdigão S.A.

Currículo:- Economista e Administrador de Empresas;

- Pós Graduação em Finanças e Mestrado em Administração de Empresas pela

Escola de Administração Empresas de São Paulo da FGV;

- Atualmente participa em diversos conselhos fiscais e de administração de

empresas fechadas e abertas.

Tema: CONSELHO FISCAL NA FUNÇÃO DE COMITÊ DE AUDITORIA

Conselho de Administração. Quandohouve os escândalos, o CongressoAmericano e o Poder Executivoadvertiram, claramente, que osconselheiros de administraçãodeveriam trabalhar melhor, pois osexecutivos gerenciavam as empresasnorte-americanas da forma que melhorlhes convinha e os conselheiros, comalgumas exceções, não intercederamadequadamente. O pilar da Sarbanes-Oxley é fiscalizar por meio doConselho de Administração,especificamente o Comitê deAuditoria, e responsabilizá-lo pelaomissão.

Ainda existem dúvidas a respeito dequem vai responder: se ocorrer umproblema em alguma empresa noBrasil, o Conselho Fiscal, na suafunção de Comitê de Auditoria; oscinco ou seis membros; ou oConselho de Administração? Essaalternativa cria uma figurainteressante, pois o Conselho Fiscalcontinua com a sua subordinaçãohierárquica à Assembléia Geral, deacordo com a lei brasileira, quedetermina que o Conselho Fiscal devefiscalizar os atos de gestão doConselho de Administração, inclusivedo Presidente do Conselho.

Entretanto, pela Sarbanes-Oxley asubordinação funcional é ao Conselhode Administração. Dessa forma, oConselho Fiscal presta contas àAssembléia. Quando está na funçãode Comitê de Auditoria, nossaprestação de contas será para oConselho de Administração. É muito

comum, nas multinacionais, que oDiretor-Financeiro preste conta aqui noBrasil e, funcionalmente, tenha deprestar contas ao Vice-presidente definanças na Europa ou nos EUA. Essaestrutura organizacional pode acarretarum problema pois, quando houveruma fraude, quem será o responsável:O Conselho de Administração ou oConselho Fiscal? Ressaltamos queinicialmente o Comitê de Auditoriaseria parte integrante do Conselho deAdministração.

A lei é categórica a respeito dasatribuições do Conselho Fiscal, masdeve ser criado um regimento quetrate somente das responsabilidadesdeste na função de Comitê deAuditoria com competênciasespecíficas, tais como recomendarque o Conselho de Administraçãoaprove os auditores.

É necessário formar um julgamentosobre a qualidade dos controlesinternos, a visão de processos, osriscos mais relevantes e,principalmente, a elaboração de umquadro final dos riscos residuais a quea organização está sujeita. Ressalta-seque até mais importante do quecumprir a regulamentação, é preservarsua postura como conselheiro e adeterminação com que enfrenta essesdesafios.


8

1. Em relação à formação do Comitê de Auditoria de suaempresa, os membros do comitê também são membros doConselho de Administração?a) Sim, todos são membrosb) A maioriac) A minoriad) Nenhum deles

Resultado da Pesquisa6ª mesa de debates - SOX 301Conselho Fiscal ou Comitê de Auditoria?

Realizamos uma pesquisa interativa durante a 6ª Mesa de Debates do AuditCommittee Institute - ACI na qual os participantes puderam se expressar arespeito da escolha da estrutura mais adequada para o atendimento à Seção 301da Lei Sarbanes-Oxley (SOX). A seguir, transcrevemos os resultados.

2.O Comitê de Auditoria/Conselho Fiscal adaptado conta comum especialista financeiro?a) Sim, inclusive com especialista em USGAAPb) Sim, mas sem um especialista em USGAAPc) Não

3.O Comitê de Auditoria/Conselho Fiscal adaptado é responsávelpela supervisão do departamento de auditoria interna?a) Simb) Nãoc) Ainda indefinidod) Supervisiona em conjunto com a diretoria executiva (CEO, CFO)

0 10 20 30 40 50 60

a

b

c

d

19%

3 %

19%

58%

0 10 20 30 40

a

b

c

d

26%

35%

26%

12%

a

b

c

0 10 20 30 40

31%

36%

33%

4.Eu estou confiante de que 100% dos empregados da empresaem que atuo como membro do Comitê de Auditoria/ConselhoFiscal adaptado sentem-se confortáveis para reportar umcomportamento que eles acreditam ser questionável.a) Concordob) Discordoc) Não tenho certeza

a

b

c

0 10 20 30 40 50

20%

34%

46%

Resultado da Pesquisa - 6ª mesa de debates - SOX 301 - Conselho Fiscal ou Comitê de Auditoria?

9

5.Quem é o responsável por determinar quais denúnciasrecebidas pela empresa devem ser encaminhadas aocomitê de auditoria/conselho fiscal adaptado?a) Elas não são filtradas; o comitê de auditoria recebe todasb) CEO ou CFOc) Auditoria internad) Comitê de Éticae) Departamento Jurídicof) Prestador de serviço terceirizadog) Outrosh) Ainda indefinido

6.O Comitê de Auditoria/Conselho Fiscal adaptado possui umaverba própria para utilizar na contratação de assessores, deacordo com a sua necessidade?a) Nãob) Sim, mas o valor é considerado insuficientec) Sim, mas a autonomia para utilização da verba não é a ideald) Sim, mas o valor e a autonomia não são adequadose) Sim, e o valor e a autonomia são adequados

7. Em sua opinião, a adoção do Conselho Fiscal paraatendimento à Lei Sarbanes- Oxley foi um desrespeito àsboas práticas de Governança Corporativa?a) Simb) Não

a

b

c

d

e

f

g

h

0 10 20 30 40 50

20%

3 %

27%

2%

0%

2%

2%

45%

0 10 20 30 40 50 60

a

b

c

d

e

63%

2%

6 %

3 %

28%

a

b

0 10 20 30 40 50 60 70 80

25%

75%

8.Em sua opinião, qual dos órgãos é realmenteindependente para realizar o seu trabalho de forma eficaz?a) Comitê de Auditoriab) Conselho Fiscalc) Ambos precisam de adaptação

a

b

c

0 10 20 30 40 50

31%

21%

48%


10

9.Em sua opinião, por qual razão uma grande parte das empresasbrasileiras optou pelo Conselho Fiscal?a) Tecnicamente mais adequadob) Custo da implementação de um comitê de auditoriac) Maior capacidade de avaliar o trabalho dos auditores externosd) Questões políticase) Outros

10. Você acredita que a decisão de algumas empresas brasileirasde optar pelo Conselho Fiscal:a) Será discutida novamente até a certificação da Seção 404b) Provavelmente será alteradac) É definitivad) Não sei dizer

11. Em sua opinião, quem deveria ser o responsável pelacontratação dos auditores externos?a) Comitê de Auditoriab) Conselho Fiscalc) Conselho de Administraçãod) CEOe) CFOf) Outros

12. Em sua opinião, quem deveria ser o responsável pelocontrole da contratação de serviços de consultoria ouserviços de “não-auditoria”?a) Comitê de Auditoriab) Conselho Fiscalc) Conselho de Administraçãod) CEOe) CFOf) Auditoria Internag) Outros

0 10 20 30 40 50

a

b

c

d

e

14%

44%

9 %

21%

12%

0 10 20 30

21%

29%

26%

24%

a

b

c

d

a

b

c

d

e

f

g

0 10 20 30 40 50

30%

10%

46%

5%

2%

5%

3 %


0 10 20 30 40 50 60

a

b

c

d

e

f

30%

10%

57%

1%

1%

0%

11

7ª mesa de debatesEntendendo a gestão de riscoempresarial:Um novo modelo para geração de valor aoacionista

Entender e monitorar os riscos tornou-se uma prioridade para as corporações.

As estratégias estabelecidas pela alta administração impactam os processosoperacionais, pessoas, Tecnologia da Informação e demais recursosexistentes, revelando riscos que devem ser gerenciados para assegurar acontinuidade dos negócios. A estruturação de um processo degerenciamento de riscos abrange todas as áreas da empresa e é umaferramenta primordial para a atuação do Comitê de Auditoria. Transformar oconceito de Gerenciamento de Risco em valor para os acionistas e embenefícios para toda a empresa é um dos grandes desafios atuais nascorporações.

“Risco é risco, é um risco -riscos afetam lucros empotencial, quer decorram de flutuações nos preços decommodities, de equipamentos contra incêndio, demudanças na legislação atual ou de cobertura adversa damídia. Enfim, a forma pela qual gerencia os seus riscosadvém de como enxerga a missão principal da suaempresa e a razão pelo interesse dos investidores. Ouseja, conhecer os seus riscos é conhecer a si mesmo.”1

Bill Anderson, Diretor, Swiss Re New Markets

7ª mesa de debates - Entendendo a gestão de risco empresarial: Um novo modelo para geração de valor ao acionista

12

Introdução

Conforme os líderes de negócios buscam novas maneiras de adicionar valorpara os acionistas, eles começam a pensar em novas maneiras sobre como agestão de risco está ligada à criação de valor. No universo de negócios eorganizações, muitas estão reconhecendo que os riscos não são apenasacidentes e acasos a serem evitados, mas, na maioria dos casos, excelentesoportunidades. “O risco em si, não é nocivo,” afirma Suzanne Labarge, Diretorade Riscos (CRO) do Royal Bank of Canada. “Nocivo é o risco mal administrado,mal interpretado, mal avaliado e indesejado.”² Na verdade, muitos estãocompreendendo que o risco cria a oportunidade, que a oportunidade cria valor, eque o valor, no final, cria riqueza para o acionista. A questão fundamental é comogerenciar riscos para que esse valor seja obtido.

Dentro deste contexto, a gestão de risco empresarial (ERM) surge como umanova tendência nos negócios. A ERM é uma abordagem estruturada edisciplinada que alinha estratégia, processos, pessoas, tecnologia econhecimentos com o objetivo de avaliar e administrar as incertezas que aempresa enfrenta na criação de valor. “Empresa como um todo” (enterprise-wide) significa a remoção das barreiras tradicionais, funcionais, divisionais,departamentais ou culturais. Uma abordagem realmente holística, integrada,focada no futuro e orientada para o processo ajuda uma organização a gerenciartodos os principais riscos e oportunidades de negócios, com o propósito demaximizar os investimentos feitos pelos acionistas e para a empresa como umtodo.

Os líderes enfrentam diversos desafios em sua busca pela melhoria evalorização do seu negócio. A globalização, o e-business, novas parceriasorganizacionais e a crescente velocidade da atividade de negócios estãomudando rapidamente e expandindo os riscos com os quais as organizações sedefrontam. Um dos resultados significativos desses fatos é que a gestão derisco deve agora expandir-se para além dos tradicionais riscos financeiros e deimprevistos cobertos por seguros para abranger um grande leque de riscosoperacionais, de regulamentação, de reputação e de informação. Como umaferramenta de identificação, priorização e gerenciamento desses riscos – a ERMtem o potencial de dotar as organizações de uma nova vantagem competitiva.

A maioria das organizações, entretanto, está em dúvida sobre como transformaro conceito de ERM em ações concretas que as ajudem a aumentar o valor daempresa. Os seus líderes concordam que, por mais importante que a ERM sejana teoria, ela nunca terá valor prático a menos que esta permita às organizaçõesutilizar as informações sobre risco para aumentar o valor dos negócios, de umamaneira que não seria possível sem a sua utilização.

Este material (white paper) descreve a ERM desde o seu surgimento até os diasde hoje, enfatizando que as organizações podem tirar benefícios bem maioresde seus esforços de ERM do que têm feito até agora. Ele busca destacar comoos líderes deveriam analisar seus riscos críticos – equilibrando-os contra seusobjetivos de obtenção de melhores retornos – utilizando as informações paracriar valor. Com essa finalidade, este informe delineia um novo modelo de ERMque pode dar às organizações novos caminhos de ação a serem utilizados paramelhorar o processo de tomada de decisões e, potencialmente, adicionar valornas empresas.

A ERM tem o potencial dedotar as organizações deuma nova vantagemcompetitiva.


13

O Panorama atual:Como a administração de riscos está sedesenvolvendo

Conforme os riscos mudam e proliferam, os gerentes em diversos tipos deindústrias querem ter certeza de que estão assumindo não somente os riscoscertos, como também a quantidade certa de risco – conforme a tolerância ou“apetite” por risco de suas próprias organizações e com os parâmetros deoutras organizações em seus mercados e indústrias. Uma organizaçãodetermina seu apetite por risco e a sua capacidade de assumir riscos adicionais,da mesma forma como os investidores individuais equilibram sua própriatolerância em relação a diversos riscos com o seu desejo de maiores retornos, eutilizam esse conhecimento para diversificar a carteira de ações, títulos e outrosinstrumentos financeiros que possuem.

Assim, a gestão de risco está se movendo para além da redução de riscotradicional (usando controles para limitar a exposição a problemas) e em direçãoà otimização da carteira de riscos (determinando o apetite e a capacidade daorganização em quais assumir dentre de um grupo de riscos em toda a empresa,tirando proveito de oportunidades dentro daqueles parâmetros definidos ecapitalizando as recompensas resultantes). Conseqüentemente, a gestão derisco está começando a ser percebida como uma nova ferramenta de gestão,que relaciona a estratégia de negócios aos riscos cotidianos.

A gestão de risco empresarial vem se desenvolvendo dentro deste contexto. Éuma ferramenta importante para identificar os riscos críticos com os quais aorganização se defronta – incluindo, por exemplo, riscos de reputação, ética, e-business, segurança e riscos ambientais (não apenas riscos financeiros ouseguráveis) - e assim gerenciar e otimizar a carteira de riscos de forma a obter osretornos financeiros necessários. As interpretações do que seja ERM variammuito por tipo de indústria e entre organizações. Em conseqüência, asdefinições de ERM também variam amplamente – mas muitas concordam quese trata de uma abordagem de cima para baixo, com base ou em apoio daestratégia organizacional, que é focada em novas formas de gerenciamento eotimização de riscos de grande importância para o conselho e a administração.

Dependendo da forma como a entendem, as organizações utilizam a ERM deformas variadas e com resultados variados, conforme descrito na próxima seção.

Definindo Apetite por Risco

O apetite por risco ou tolerância ao risco deuma organização pode variar de acordocom a sua estratégia e também com asvariações nas condições de sua indústria oumercados. A tolerância ao risco de cadaorganização é única e pode variar de acordocom a cultura organizacional e com osfatores externos. Um aspecto fundamentalda responsabilidade gerencial é adeterminação de quais riscos e o quanto decada um deles a organização deveriaassumir e, então, reavaliar essas escolhasconforme as circunstâncias. Diferentementeda Gestão da Qualidade Total (TQM), quenão tolera falhas, a ERM admite que se podetolerar um determinado número de falhasse o custo de se proteger contra elas formaior que os riscos que elas nos impõem.

Considere as perspectivas de um governoadquirindo “chips” de computador parausá-los em mísseis de cruzeiro e umfabricante de computadores comprando osmesmos “chips” para uso emcomputadores pessoais. Ambas asentidades possuem altos padrões dequalidade e integridade para os “chips” decomputador, mas tolerâncias bastantediversas quanto a falhas. O fabricante demísseis de cruzeiro não pode tolerar falhasnos “chips”. A probabilidade de tais falhaspode ser baixa, mas a magnitude dasconseqüências é excessivamente alta paratodas as partes interessadas da organização.O fabricante deverá testar cada “chip” paraassegurar que todos estejam emconformidade com os altos padrõesestabelecidos.

O fabricante de PCs, por outro lado, nãoprecisa testar todos os seus “chips” porquepode, de fato, tolerar umas poucas falhas.Pode apostar na probabilidade limitada detais falhas porque a magnitude dasconseqüências de uma falha éconsideravelmente menor do que no casodo fabricante de mísseis de cruzeiro. Estadiferença no apetite por risco vai gerardiferenças na alocação de recursos e outrasescolhas gerenciais.


14

Como as organizações estãoutilizando as ferramentas e técnicasde ERM atualmente

Intrigadas com a ERM, as organizações estão utilizando os conceitos de gestãode risco para discutir diversas questões:

Com que riscos estou me defrontando e como compará-los com os riscos demeus pares ou concorrentes?Como esses riscos estão mudando com base nas mudanças em meuambiente de negócios?(Veja a Figura 3 na página 9.)Que nível de risco eu deveria assumir?Como eu deveria gerenciar esses riscos?

Para ajudar na resposta a estas questões, muitas organizações estão coletando eanalisando informações sobre riscos, utilizando-se de diversas ferramentasbásicas, tais como uma ou mais daquelas descritas abaixo:

As ferramentas de identificação/avaliação permitem à administraçãoidentificar e avaliar coletivamente os riscos, confrontando com as expectativas,perfil e apetite da organização. Essas ferramentas também possibilitam àadministração avaliar cada risco de acordo com a sua “probabilidade” (ou seja, aprobabilidade de o risco vir a ocorrer) e a sua magnitude (o impacto que o riscoteria se tivesse ocorrido). (Veja figura 1.)

Figura 1: Matriz de Risco de Negócio

Reduzir o

risco

Concluir

Aceitar

Transferir

Reduzir ocontrole

Significativo

Moderado

Baixo

Alto

Impacto

95%

75%

50%

25%

5%

<$X <$X to $X<$X to $X<$X to $X<$X to $X

Pro

bab

ilid

ade

A administração pode obter um poder considerável ao aumentar o seu conhecimento sobre aprobabilidade e impacto de riscos. Através deste processo, fará julgamentos sobre aprobabilidade e o impacto de diversos riscos, criando uma análise como a que é mostradaacima. Após essa análise, alguns riscos não irão requerer nenhuma ação; porém, quando umrisco apresenta uma probabilidade razoavelmente alta e um impacto substancial (comoaqueles no quadrante superior direito), a administração deverá agir para mudá-lo para umnível aceitável ou até mesmo eliminá-lo, com base em uma análise de risco/retorno dos efeitosdessa ação em toda a organização. Os riscos no quadrante inferior esquerdo podem sercandidatos a controles reduzidos.

De forma típica, os usuários plotam os riscos em uma matriz que mostra riscospor categoria, determinando assim como riscos específicos se comparam aoapetite por risco definido da organização. Várias ferramentas fornecem umamoldura estruturada para a identificação e avaliação de riscos. Podem tambémauxiliar na identificação dos “proprietários do risco” (aqueles a quem aorganização atribui a responsabilidade e a autoridade pela gestão de riscosespecíficos).


15

Risco Estratégico

Risco Operacional

Risco de Reputação

Risco Regulamentar ou Contratual

Risco Financeiro

Risco de Informação

Novos riscos

As estratégias críticas são apropriadas para dar à organização a possibilidade de atingir seus

objetivos de negócios?

Quais são os riscos inerentes a essas estratégias e como pode a organização identificar, quantificar

e gerenciar esses riscos?

Quanto de risco a organização está disposta a assumir?

Que riscos derivam de desenvolvimentos de e-business?

Quais os riscos inerentes aos processos que têm sido escolhidos para implementar as estratégias?

Como a organização identifica, quantifica e gerencia esses riscos considerando o seu apetite por

risco? Como adapta suas atividades conforme suas estratégias e processos mudam?

Quais os riscos com a marca e a reputação que são inerentes à maneira pela qual a organização

executa suas estratégias?

Quais os riscos relacionados à observância de regulamentos ou de acordos contratuais – não

somente aqueles que são financeiramente computados?

Os processos operacionais estão colocando os recursos financeiros sob riscos indevidos?

A organização tem incorrido em obrigações não razoáveis para suportar processos operacionais?

A organização tem conseguido atingir objetivos de negócio mensuráveis?

Seus dados/informações/conhecimentos são confiáveis, relevantes e atuais?

Os seus sistemas de informação são confiáveis?

Os seus sistemas de segurança refletem a sua estratégia de e-business?

Quais riscos ainda estão por se manifestar? (Esses podem incluir riscos de novos concorrentes ou

novos modelos de negócios, riscos de recessão, de relacionamento, de terceirização, riscos

políticos ou criminais, riscos de desastres financeiros (agentes criminosos), e outros riscos de

desastres e crises).

Identificando e Avaliando Riscos de uma Perspectiva de ERM

O diretor-presidente e o conselho de administração devem levar em consideração algumas questões durante a identificação e avaliação de

riscos. Tais questões incluem:

Ferramentas de categorização ajudam as organizações a agrupar e priorizaraos seus riscos, por indústria ou dentro de uma entidade. Tais ferramentasajudam a administração a se assegurar de que todas as categorias de riscosorganizacionais, e não apenas os riscos financeiros tradicionais, tenham sidoidentificadas (veja a Figura 2).

Ferramentas de quantificação financeira auxiliam as organizações aentender o impacto potencial dos riscos. Vários modelos sofisticados estãodisponíveis para avaliar riscos nas áreas financeiras. Esses modelos –abrangendo, por exemplo, teoria do valor em risco e opções – têm sidoaplicados mais comumente em organizações de serviços financeiros, nas quaisos riscos de crédito e mercado, entre outros, são altamente quantificáveis.Além disto, os retornos sobre ativos ou capital, ajustados pelo risco, já foramquantificados por muitas organizações para gerenciar melhor e equilibrar asdiferenças inerentes em suas divisões ou linhas de produto.

Figura 2: Categorias de Risco

IntegridadeGovernança

Operacional

RecursosHumanos

Financeiros

Informação

Conformidade RiscosOrganizacionais


16

Tendo avaliado e categorizadosistematicamente seus riscos – etalvez tentado entender o seu impacto– muitas organizações têm tentadodeterminar quais os riscos quedeveriam ser gerenciados em nívelcoorporativo e quais deveriamtambém ser deixados para os níveisinferiores da estrutura da organização.

As abordagens organizacionais àgestão de risco podem sercentralizadas em nível corporativo oudescentralizadas entre divisões ouprocessos, dependendo da naturezados riscos em questão e daspreferências organizacionais daadministração. Ainda que não existamaneira certa ou errada para organizaro assunto, já emergem algunsprincípios organizacionais, conformesegue:

A gestão de risco centralizada tendea enfocar riscos que afetam oatingimento dos principais objetivose estratégias que afetamsignificativamente a maioria, se nãotodas, as funções e processos (porexemplo, reputação). Esses riscospodem ser mencionados comoriscos que afetam toda aorganização. A responsabilidade

Figura 3: Identificando Riscos devido a Mudanças em Categoria Digital de uma Organização

Categorias digitais

Tradicional: produtos tangíveis com processos outecnologias tradicionais.Transicional: produtos tangíveis oferecidos através decanais tradicionais, em busca de pontos de venda digitaise com automação, enfocando a cadeia de suprimento.Em Processo de Digitalização: produtos tangíveisoferecidos tanto de forma tradicional como digital comprocessos de alta tecnologia, fortemente conduzidos emdireção à “webificação”.Digital: Principalmente produtos e processos digitais;digitalmente integrados com fornecedores e clientes;parcerias digitais fortes.Ponto.com: Todos os produtos são digitais comprocessos digitais.

Muitas organizações estão digitalizando seus fluxos de informações à medida que se preparame partem para a implementação de estratégias de e-business. Conforme os processos emodelos de negócio mudam, novos riscos são introduzidos. Esse pode ser um momento idealpara atualizar e iniciar um projeto de ERM porque assim, pode-se ajudar a administração aconcentrar o foco na otimização de novos riscos.

(prestação de contas) pelos riscosEW pode ser do diretor-presidenteou do conselho de administração(ainda que a responsabilidade pelosriscos EW possa ser dispersa emtoda a organização). Entre os outrosriscos que podem ser gerenciadosde forma centralizada incluem-seaqueles que requerem conjuntosespecializados de habilidades quenão podem ser reproduzidos emnível de divisão ou aqueles queexigem parcerias ou contrataçõesem nível corporativo.A gestão de risco descentralizada deriscos leva a responsabilidade dagestão de riscos àqueles queconvivem com eles no dia-a-dia. Osriscos que podem ser melhorgerenciados dessa forma são osriscos em nível de divisão ouprocesso, que são aqueles quesomente são significativos dentrode um processo particular, mas queainda assim afetam a capacidade daorganização de implementar deforma bem sucedida as suasestratégias gerais.

Independentemente do fato dosriscos serem geridos de formacentralizada, descentralizada ou

mesmo mista, a nova tendênciaorganizacional é criar programas detrabalho de ERM e nomear diretoresde risco (CRO) ou um profissional queexecute esta função, para serem osresponsáveis pelo desenvolvimento egerenciamento da estratégia degestão de riscos. Pamela G. Rogers,tesoureira adjunta de gestão de riscosda Sears, Roebuck & Co. observa que“assim como as empresas têmestratégias de receita e de lucros, énecessário ter também uma estratégiade riscos, e o CRO deve estabelecê-la”³.

Em suma, a experiência mostra quemuitos líderes acreditam que a ERM éum importante diferencialcompetitivo, mas muitos delescontinuam incapazes de traduzir asinformações sobre risco em medidasde ação que possam gerar valor denegócios. Podem ter aprendidobastante com as informações quecoletaram, mas estão buscando novasformas de utilizá-las e de produzir valora partir delas. A próxima seçãodescreve um novo modelo deimplementação de EMR formatadopara promover o processo de aumentode valor.


Prazo de Digitalização

Po

rcen

tag

em d

e D

igit

aliz

ação

Digitalizado

Transicional

Tradicional

Digital

Dot.com100

50

02000 2004 2008

17

Figura 5: Um Novo Modelo de ERM.

A estratégia de risco está estruturada em torno da estratégia de negócios, à qual fornecesuporte. O desenvolvimento da carteira de riscos, a otimização, a mensuração e a monitoraçãoacontecem no contexto destas estratégias, com base na estrutura estabelecida de ERM queprovê os meios de sua inserção dentro da cultura da organização.

Um novo modelo para gerar valor apartir da gestão de risco

As organizações estão envolvidas em diversos esforços de monitoração eavaliação de riscos, mas muitas delas permanecem incapazes de determinar osvalores específicos que tiram destas atividades. Os novos modelos de gestão derisco estão mudando da forma como os líderes pensam sobre o risco até aforma como administram os seus negócios e destinam-se a monitorar a maneiracomo que a gestão de risco gera valor. Os líderes podem participar destaevolução da ERM, ampliando e expandindo os conceitos e ferramentasutilizados atualmente, conforme demonstrado na Figura 4.

Para

De Para

Os riscos como acasos individuais O risco no contexto da estratégia de negócios

Identificação e avaliação de riscos Desenvolvimento da carteira de riscos

Focalizando todos os riscos Focalizando os riscos críticos

Redução de riscos Otimização de riscos

Limites de risco Estratégia de riscos

Riscos sem proprietários Responsabilidade definida de riscos

Quantificação de riscos ocasionais Monitoração e mensuração

O risco não é minha responsabilidade O risco é de responsabilidade de todos

Ligando a ERM à Estratégia de NegóciosOs primeiros modelos de gestão de risco viam os riscos como um imperativo demercado – algo a ser compreendido e analisado por sua própria razão. Os novosmodelos sustentam que a ERM deveria ser vinculada intrinsecamente àestratégia de negócios da entidade – que engloba uma visão estabelecida daorganização, uma missão e objetivos; seus processos para definir imperativosoperacionais; e suas filosofias, políticas, planos e iniciativas para crescimento edesenvolvimento (veja Figura 5).

O alinhamento dos recursos e ações de ERM com a estratégia de negócios énecessário para maximizar a eficácia organizacional. Além disso, ao vincular aERM à estratégia, os processos de risco podem ser levados até o contexto aoqual um negócio está sendo conduzido, e não apenas com base em onde estásituado atualmente. Este diferenciador é essencial em um ambiente no qualdiversas organizações estão mudando seus modelos e estratégias de negócioscom velocidade crescente, impulsionadas por influências tais como ocrescimento do e-comerce e do m-comerce, a globalização dos negócios e asmudanças nas expectativas dos consumidores.


Figura 4: A Gestão de Risco está Evoluindo...

Estrutura de Risco

Carteira de RiscoOtimização de Risco

Estratégia de Risco

Mensuração e Monitoração

Estratégia de Negócios

18

Figura 6: Comparando os Indicadores deDesempenho para Entender a Posição deRisco.

Retorno

Retornolivre derisco

“Curva”de valor

Capacidadede risco

Interessepelo risco

Risco observado(expresso em % devariação de retorno:desvio padrão/média)

16

12

8

4

0

1 2 3 4 5 6 7 8- 4

(+/ -4 .5%)

A medição de riscos com base no desempenho de uma organização e sua comparação com osretornos da indústria pode indicar oportunidades para otimização de risco.

Para tratar desses assuntos, os novos modelos de ERM estão levando oconceito de avaliação de riscos muitos passos adiante, para abranger umacarteira de riscos. O conceito de uma carteira de riscos parte do princípio quevários riscos têm em comum certas características e /ou interdependências. Osriscos são considerados em grupos, com base no seu inter-relacionamento comoutros e, dentro destes grupos, um ou mais riscos podem aumentar ou diminuircomo resultado do aumento ou da queda de outros riscos. Além disto, quandoum risco é transferido, outro pode surgir. Por exemplo, ao terceirizar uma funçãonão essencial para reduzir o risco de desempenho, uma organização assumeriscos de crédito e de cadeia de suprimento. Ao entender e mapear essasinterdependências, os líderes podem começar a dividir os riscos em categoriasmais amplas que vão influenciar a forma de administração e otimização dessesriscos.

No curso desse processo, uma organização pode descobrir que está incertaquanto ao seu atual apetite por riscos. Ao desenvolver medidas para avaliarriscos, uma organização pode determinar como ela poderá ter que ajustar seuapetite por riscos, com base nos resultados do negócio e nas avaliações. Aligação da estratégia de negócios com a ERM também pode criar um contextopara determinar o apetite por risco e as medidas de risco de forma que estejamconectadas à visão de longo prazo da entidade. Por outro lado, se o apetite emedidas correlatas forem estabelecidas de forma inadequada, os líderespoderão tomar decisões que tolerem riscos maiores ou menores do queaqueles estabelecidos pela estratégia como sendo o ideal. Os novos modelosde ERM estabelecem uma ligação com a estratégia de negócios que podeaumentar a relevância da ERM para a organização como um todo.

Obtendo Medidas de Ação da Avaliação de RiscosA avaliação de riscos demonstrou ser um processo extremamente útil para aidentificação, categorização e avaliação de riscos críticos com base na suaprobabilidade de ocorrência e magnitude de impacto. Entretanto, a principalquestão levantada é sobre o que fazer com as informações quando a avaliaçãodo risco é concluída. Em alguns casos, as entidades consideram que o processoidentificou tantos riscos que não será possível acompanharem a todos. Emoutros casos, elas descobrem que não foram capazes de traduzir a avaliação derisco em medidas de ação – no contexto do apetite por risco da administração –que gerem valor para a organização.


19

A otimização do risco é umprocesso interativo econtínuo: enquanto umatática é implementada,outras deveriam serreavaliadas.

Outro conceito-chave na carteira de riscos é que ela reconhece as limitações daorganização. A administração tem tempo e recursos para se concentrar em umnúmero limitado de riscos. A avaliação de riscos em uma carteira possibilita aoslíderes perceber os impactos e interdependências, permitindo que aadministração prossiga no processo de ERM com uma melhor compreensão dequais riscos são críticos e exigem, portanto, maior enfoque – levando a umretorno melhor do tempo e dos recursos investidos pela administração.

Otimizando RiscosNessa etapa do processo de ERM, as organizações entendem sua estratégia,identificam seus riscos, definem o inter-relacionamento desses riscos dentro deuma carteira de riscos e tomam as decisões preliminares quanto a quais riscosexigem maior atenção por parte da administração. O próximo passo é aotimização da carteira de risco.

A otimização do risco abrange o conceito de escolha. Assim como uminvestidor ajusta o mix de investimentos com base em objetivos definidos derisco e retorno, um gerente de carteira de risco escolhe as melhores táticas paragerenciar o risco com base no apetite por risco da entidade e na sua capacidadede absorvê-lo. Essas escolhas podem incluir o acréscimo de controles ou limitespara riscos que podem exceder o apetite por risco da entidade. Tais escolhastambém podem incluir uma redução de custos relacionados a controlesexcessivos ou à práticas para expandir os riscos em áreas nas quais os controlesexistentes fornecem riscos adicionais. Dessa forma, o gerente devecontinuamente equilibrar o custo/benefício de praticar essas ações com anecessidade de otimizar o risco na organização. Ao utilizar diversas táticas, osgerentes de risco podem começar a afetar o desempenho corporativo, afetandoassim o valor das ações da empresa.

Uma parte fundamental do processo de otimização é assegurar que os“limites” de risco sejam entendidos e que o apetite por risco seja repartidoapropriadamente, de forma que os limites gerenciados separadamente nãoexcedam o apetite por risco da entidade como um todo. Essa é uma medidaessencial no processo, já que o ponto de vista de um gerente de riscos podeafetar aquilo que ele considera um nível de risco aceitável. Por exemplo, umdiretor financeiro corporativo pode entender que o valor total em dólares derisco aceitável em transações no mercado de futuros poderia ser de $20milhões. Entretanto, em uma divisão com $2 milhões em vendas totais e queseja a única que negocia no mercado de futuros na entidade, o gerente dadivisão pode achar que o risco aceitável seja somente de $1 milhão. Odesempenho geral da organização poderia ser melhor se o gerente da divisãoentendesse que poderia assumir mais riscos. Por outro lado, se a divisãoassumisse uma posição de risco de $30 milhões, ela estaria colocando a simesma e a toda a corporação em uma posição de risco inaceitável.

A otimização do risco é um processo interativo e contínuo: enquanto uma táticaé implementada, outras deveriam ser reavaliadas. Ainda que a reavaliaçãogeralmente não seja possível para cada ação, as entidades estão começando arastrear as ações relacionadas aos riscos mais importantes e substanciais daorganização.

Mensurando e Monitorando para Aumentar o ValorNesta fase do processo, todas as ações relacionadas à ERM devem estarcausando um impacto na organização. A mensuração e o monitoramentodessas ações tornam-se agora necessárias, como um meio contínuo de seentender e relatar o status e o impacto dos riscos. Diversas organizações estãodescobrindo maneiras para realizar essas atividades, tanto no nível da empresaquanto no nível de processos.


20

A estratégia de riscofornece o alicerce para ainclusão da ERM na culturado negócio.

A monitoração, em seu nível mais básico, pode ser incorporada aos sistemas deuma organização. Definindo os limites de risco em termos de atributos oumensurações específicas, a monitoração em tempo real pode ocorrer e, se oslimites forem excedidos, as ações necessárias poderão ser praticadas. Paraatingir esse resultado, é necessária uma definição criteriosa de medidas dedesempenho (tanto quantitativas quanto qualitativas) que pode abrangercaracterísticas de risco. Entre outros métodos de monitoração, incluem-se autilização de auditores internos e externos, parâmetros em relação ao mercado,ou outros dados, e uma revisão retroativa dos resultados de risco. As empresasdevem definir os sistemas de monitoração e mensuração mais adequados àssua características e seus estilos de gerenciamento.

Estratégia e Estrutura de Risco Completam o ModeloPara completar essa estrutura de ERM, há dois conceitos adicionais. O primeirorefere-se a uma estratégia de risco. Assim como a estratégia de negóciosindica a direção dos negócios, uma estratégia de risco fornece orientação paraas atividades de risco dentro de uma empresa. Ela pode estabelecer o tom paraatividades de gerenciamento de riscos agressivas ou conservadoras, ditar comoas atividades de mensuração e monitoração podem ser conduzidas e fornecer avisão geral necessária à administração e ao conselho. Sem dúvida, é a estratégiade risco que fornece o alicerce para a inclusão da ERM na cultura do negócio.A estratégia de risco fornece o alicerce para a inclusão da ERM na cultura donegócio.

A estratégia de risco deve ser executada por uma estrutura de risco.Atualmente, diversas organizações estão projetando estruturas integradas quedefinem como a ERM é inserida na organização. Esse esforço não exige umareinvenção burocrática das estruturas comerciais já estabelecidas, mas sim umaprimoramento dessas estruturas que irão incorporar e alinhar a gestão de riscoàs estratégias e esforços de planejamento comercial já existentes.

As estruturas abrangerão as funções e responsabilidades da gestão de risco.Elas também definirão a prestação de contas (accountability), assim como linhasclaras para elaboração de relatórios, que permitirão aos gerentes atuar dentro delimites definidos vinculados ao apetite por risco. A integração efetiva dessasestruturas exige que o conselho desenvolva a responsabilidade e demonstre oseu forte compromisso para com ela. Para cumprir com esse compromisso, oconselho necessitará tanto de educação quanto de garantia contínua de que aERM está agregando valor.

A comunicação da estratégia e estrutura de risco é essencial. Essa comunicaçãodeve ser projetada – utilizando-se tecnologia, linguagem e conceitos comuns –para assegurar que todos os funcionários e partes interessadas compreendam avisão e os objetivos do conselho. Os líderes devem demonstrar claramente aimportância da estratégia de ERM, apresentando histórias de sucesso paramaximizar o valor do processo de comunicação.

Após terem definido a responsabilidade e a prestação de contas, os líderesdevem também tomar medidas criteriosas para assegurar que os indivíduostenham as habilidades necessárias para atuar com eficácia. O nível e o tipo dehabilidades exigidas poderão variar consideravelmente; conseqüentemente,todo o treinamento comercial e pessoal pertinente deve abranger os princípiosde ERM.


21

Principais Ações para Ajudar a Inserir uma Estrutura de Risco em uma Organização

Atividades do ConselhoFornecer educação de ERM em nível de conselho Estabelecer a aceitação, em nível de conselho, do apetite por risco e da estratégia derisco Desenvolver a responsabilidade de supervisão da gestão de risco pelo conselho Revisar o relatório de risco da empresa

Atividades da AdministraçãoCriar uma estratégia (política) de risco de alto nível, alinhada a objetivos comerciaisestratégicosCriar uma estrutura organizacional de gestão de risco e assegurar linhas claras naelaboração de relatóriosDesenvolver e atribuir responsabilidades para a gestão de riscoComunicar a visão, a estratégia, a política, as responsabilidades e as linhas paraelaboração de relatórios a todos os empregados da organização

Estabelecer uma Cultura de Risco ComumUtilizar uma linguagem e conceitos de risco comunsComunicar o risco, utilizando canais e tecnologia apropriadosDesenvolver programas de treinamento para gestão de riscosIdentificar e treinar os gestores de riscosProduzir histórias de sucesso e identificar vitórias rápidasAlinhar técnicas de gestão de risco à cultura da empresaDesenvolver um sistema de disseminação de conhecimentos

Criar Prestação de Contas/Responsabilidade de RiscoIncluir atividades/responsabilidades de gestão de risco nas descrições de cargosIncluir os conceitos de ERM nas metas pessoaisAtribuir formalmente limites de risco aos gerentes

Inserir Atividades de Risco nos Processos Operacionais ContínuosAlinhar e integrar atividades de gestão de risco aos processos operacionaisInserir controles em tempo real relacionados a risco em sistemas digitais, sempre queapropriadoDesenvolver processos de aperfeiçoamento contínuo relacionados a risco

Mensurar e Monitorar RiscoIdentificar os principais indicadores de desempenho e os fatores de sucesso essenciaisrelacionados a riscoEstabelecer medidas de sucesso para estratégias e atividades de riscoEstabelecer um processo periódico para mensuração de risco/retornoIdentificar e implementar processos de monitoração e métodos de feedback


Em diversos casos, o Diretor de Riscos está no centro desta estrutura, sendoresponsável pela sua condução e ajuste com base no desempenhoorganizacional. A implementação de um modelo de ERM em uma organizaçãopode produzir um processo de gestão de risco de negócios que resulte em umfluxo de trabalho sistemático para se lidar com o risco dentro da organização.

22

Implicações e oportunidades

A ERM pode efetivamente impulsionar mudanças em uma organização, desdeque a sua implementação pela administração seja feita de forma integrada.Quando o risco é utilizado como um princípio organizacional, no contexto deuma estratégia de risco, a administração pode atuar de forma coordenada esinérgica.

A utilização da ERM para otimizar seus riscos pode ajudar a organização aperceber os potenciais ajustes estruturais e/ou estratégicos que podem ajudar amelhorar a eficácia da organização na construção de valor do acionista.

Basicamente, a ERM exige o apoio do Diretor-Presidente e do conselho, que aconduz através da organização. Para qualquer líder, entretanto, empreender todoo processo de ERM de uma única vez pode parecer assustador. A chave écomeçar por algum lugar. O checklist à esquerda fornece um lugar para dar apartida.

Um Checklist Estratégico para Líderes de Negócios

Líderes organizacionais devem se fazer as seguintes perguntas para ajudar a determinar seestão utilizando efetivamente a ERM para otimizar os seus riscos:

1. Sei quais são os nossos riscos?

2. Avaliei as exposições a riscos não-tradicionais?

3 . Entendo as inter-relações de nossos riscos:

4. Sei qual é o nosso apetite por risco?

5. Sei quem são os nossos responsáveis por risco? Eles possuem sistemas adequadospara mensurar e monitorar riscos?

6 . Qual a perspectiva da(s) pessoa(s) ou do(s) departamento(s) que está/estãosupervisionando o risco?

7. Possuo sistemas adequados para promover a otimização do risco?

8 Procuramos regularmente novos mercados, oportunidades de parceria e outrasestratégias de otimização de risco?

9 . Como os nossos sistemas de incentivo afetam a gestão de risco?

10. O nosso entendimento de risco permeia a nossa organização e cultura?

11. Cada indivíduo entende a sua função e responsabilidade na gestão de risco?

12. O risco é uma consideração prioritária sempre que os processos operacionais sãoaperfeiçoados?


23

ConclusãoA gestão de risco empresarial pode se tornar uma vantagem competitivaestratégica se utilizada para identificar medidas específicas de ação paramelhorar o desempenho e otimizar o risco. Pode também influenciar a estratégiacomercial, identificando potenciais ajustes relacionados a oportunidades eriscos não identificados anteriormente. Quando adequadamente utilizada, a ERMtorna-se um instrumento para ajudar a organização a direcionar o seu foco;em lugar de resposta à crise, a avaliação pró-ativa dos riscos emestratégias comerciais, o aperfeiçoamento da tomada de decisõesem investimentos, o aumento do valor do negócio. As organizaçõesque desenvolvem uma estrutura de ERM para vincular os riscoscríticos às estratégias comerciais podem se tornar altamente competitivas noque se refere a geração de valor para os acionistas.

Referências1 Bill Anderson. “The right risks”, Electric Perspectives, Set/Out 1999, vol. 24, No.

5, pp. 70-81.2 Suzanne Labarge. “Chief Risk Officers: Should Your Organization Have One?”

Apresentado na Conferência de Gestão de Risco Empresarial de 2000, 3 demaio de 2000.

3 Douglas McLeod. “New Chief Risk Officer Role Coordinates Risk Strategy”,Business Insurance, 26 de abril de 1999, p. 3.

A ERM torna-se uminstrumento para ajudar aorganização a direcionar oseu foco para além daresposta à crise.

Tradução e adaptação do texto extraído da publicação Understanding Enterprise RiskManagement: An Emerging Model for Building Shareholder Value, KPMG LLP.


24

As informações aqui apresentadas são de natureza geral e não têm a intenção de atender àscircunstâncias específicas de qualquer pessoa física ou entidade.O nome KPMG e o logotipo KPMG são marcas comerciais registradas da KPMG International, umacooperativa suíça.O Audit Committee Institute é uma iniciativa imparcial e independente da KPMG.

© 2005 KPMG Auditores Independentes,sociedade brasileira, é membro da KPMGInternational, uma cooperativa suíça. Todos osdireitos reservados. Impresso no Brasil.

kpmg.com.br/aci

Contatos

Pedro Melo, SócioSidney T. Ito, SócioAndré Coutinho, DiretorIrani Ugarelli, Diretora

Tel. (11) 3067-3000e-Mail: [email protected]

Documents

SOX 301 - Conselho Fiscal ou Comitê de Auditoria? Outubro ... · anterior, cópia de carta de recomendação, relatórios de auditoria interna e outros relatórios considerados importantes,