Encontro de Gestores de Risco: Tendências para 2023

Os insights relacionados aos riscos corporativos vêm sendo mais valorizados e demandados pelos líderes dos negócios e membros de Conselhos de Administração.

A EY atua, entre outros serviços, no assessoramento para o desenvolvimento e aperfeiçoamento de programas de gestão de riscos corporativos, controles internos, compliance e auditoria interna em diversas grandes empresas do mundo. Com isso, observamos muitas demandas similares e dores em comum. Em linha com nossa missão institucional de contribuir para um mundo de negócios melhor, realizamos anualmente o Encontro de Gestores de Risco, evento que tem o objetivo de disseminar práticas maduras de gestão de riscos, compartilhar cases de sucesso e promover o networking entre os profissionais que atuam nessa agenda.

O último Encontro de Gestores de Riscos, em outubro de 2022 contou com a participação de diversas grandes empresas que atuam no Brasil. Convidamos os participantes a navegarem no mundo dos negócios, utilizando a gestão de riscos e continuidade como uma alavanca estratégica para enfrentar intempéries e tempestades e conduzir suas embarcações, em segurança, ao destino planejado.

Neste ano, tivemos a oportunidade de ouvir Mercedes Stinco, Diretora Global de Riscos e Controles da Natura &Co, Gustavo Laranja, Head de Riscos e Continuidade de Negócios da Braskem, Giuliano Carrozza, Gerente Executivo de Riscos Empresariais da Petrobras, e Luiz Nascimento, Gerente de Gestão de Riscos do Grupo CCR, que compartilharam um pouco de suas experiências na jornada de gestão de riscos nas suas empesas.

A partir dessas discussões, trazemos de forma consolidada o que consideramos as tendências para os programas de gestão de riscos e de continuidade de negócios aumentarem seu valor para o negócio e contribuirem ainda mais para o alcance de metas estratégicas:

O movimento de incorporação da Gestão de Riscos Corporativos na estratégia do negócio não é algo novo, mas vem amadurecendo e está cada vez mais presente nas grandes empresas que atuam no país.

O aprimoramento dos processos de gestão de riscos de forma a adequar seus reportes aos respectivos níveis de governança e trazer informações de riscos alinhadas às respectivas alçadas de decisão, do gestor mais operacional até o líder executivo do negócio, estão resultando no reforço da relevância da Gestão de Riscos para o negócio, fornecendo insights certos para as tomadas de decisão em todos os níveis de governança da organização.

O patrocínio da Alta Administração é um dos aspectos mais importantes para incorporar a Gestão de Riscos Corporativos na estratégia do negócio e no processo decisório. Os programas de Gestão de Riscos Corporativos que refletem o “Tom do Topo” apresentam engajamento dos gestores e participação ativa nos processos de gerenciamento de riscos, cujos resultados são usados em decisões e definições/revisões de estratégia de negócio.

Também observamos uma evolução na participação da Gestão de Riscos Corporativos da análise de portfólio e de iniciativas estratégicas do negócio, fortalecendo as discussões de evolução e revisão de direcionamento, a partir de insights sobre a exposição dos riscos associados aos respectivos projetos e realização de CAPEX.

Um tema que deve ser muito debatido nas organizações de uma forma geral é o apetite ao risco das organizações. Uma vez que os riscos corporativos são mapeados e discutidos, é importante entender qual o apetite da organização para se expor àqueles cenários, porque a partir desse entendimento é possível um direcionamento mais assertivo do processo decisório. Nos trabalhos de Gestão de Riscos Corporativos, normalmente recomendamos 4 níveis de apetite ao risco, mas esse número pode variar, dependendo da organização. Os 4 níveis são:

• Aberto – maior flexibilidade para assumir riscos e possíveis impactos, de acordo com o Planejamento Estratégico e frente ao retorno esperado para a organização. Para esses riscos, é sugerido o estabelecimento de gatilhos para revisão de planos, estratégias e iniciativas, a partir da variação das principais premissas estabelecidas.
• Cauteloso – preferência por opções seguras, apresenta flexibilidade para assumir riscos quando justificada, considerando casos e condições que favorecem os resultados da organização. Para esses riscos, é sugerido o melhor entendimento de processo, riscos e controles associados para redução de incertezas relacionados ao alcance dos objetivos estratégicos e potenciais impactos na reputação da organização.
• Mínimo – busca pela mínima exposição possível, flexibilidade para assumir riscos altamente justificada, considerando casos e condições muito específicas (exceções). Para esses riscos, é sugerido o monitoramento contínuo de riscos e controles, bem como planos de resposta estruturados, testados e aprimorados, quando aplicável.
• Avesso - os impactos devem ser evitados a todo custo pela organização e não serão aceitos em nenhum caso ou condição. Para esses riscos, é sugerido além do entendimento do processo, riscos, controles e da estruturação de planos de resposta, que estes sejam sujeitos a avaliações independentes periódicas, de forma a estabelecer um processo de monitoramento e melhoria contínua, evitando, ao máximo, incertezas.

O uso de dados do negócio para identificação e gestão dos riscos ainda é um desafio, visto que a parte significativa não é estruturada e sua gestão é bem pulverizada nas organizações, o que dificulta o acesso, a atualização e consolidação dessas informações.

A estruturação de métricas e de dados internos e externos relacionados aos negócios tende a ser um caminho que as organizações devem seguir na busca pelo estabelecimento de indicadores de risco. A expectativa é que, em um curto espaço de tempo, as organizações passem a usar dados estruturados diretamente na gestão de riscos, monitorando em tempo real a exposição, além de estabelecer gatilhos automáticos de acionamento de planos de contingência, quando algum indicador ultrapassar o limite tolerado pela organização.

A partir do Apetite ao Risco associado às métricas estabelecidas para o monitoramento de cada um dos riscos, sugerimos que os níveis de tolerância sejam discutidos, considerando:

• O que está dentro da normalidade – valor do indicador está dentro dos limites estabelecidos, sugerindo que o risco está sob condições controladas, entendidas como normais na instituição;
• Alerta – valor maior ou menor da normalidade, porém ainda dentro do tolerado pela organização, sinaliza ao gestor a necessidade de análises para melhoria de processos e de ajuste de procedimentos e direcionamentos;
• Acionamento – valor acima dos níveis tolerados, atua como gatilho para acionamento de planos de gestão de crise.  Demanda ação imediata de resposta e contingência.

Além da quantificação e criação de indicadores para monitoramento dos riscos, existe uma tendência em aumentar o uso de ferramentas para captura, registro e armazenamento. Existem diversos sistemas que podem suportar o processo de gestão de riscos, mas é importante que seja avaliado o que melhor se adequa ao modelo implementado e a dinâmica da organização, porque uma escolha equivocada de um software pode impactar os resultados da Gestão de Riscos Corporativos como um todo.

Uma tendência mais de longo prazo que estamos observando é o uso de inteligência artificial para suportar a análise de dados relacionados à gestão de riscos, capturas automáticas de dados públicos e adquiridos pelas organizações, considerando machine learning para gerar insights, alertas e relatórios automáticos.

A gestão integrada de riscos favorece o engajamento com as áreas de negócio, traz mais robustez para o gerenciamento de riscos, eficácia do ambiente de controles e alternativas relevantes para composição do plano anual de auditoria interna, bem como nos ajustes das exposições de risco, a partir dos resultados dos testes de controle e barreiras de risco existentes.

A seguir, apresentamos uma tendência de situação futura, que ilustra a integração entre as funções de risco.

A visão futura considera uma integração de processos e sistemas, que permita aos gestores de negócio realizar análises avançadas para reporte e monitoramento de riscos, criar um ecossistema de riscos para o negócio como um todo, considerando todos seus níveis, desde o mais operacional até o mais estratégico, auxilia no alinhamento da taxonomia dos riscos, bem como uma avaliação ainda mais dinâmica dos riscos. Além disso, favorece o tratamento e o estabelecimento de respostas de forma coordenada para os riscos, desdobramento de orientações executivas até sua efetiva execução.

A integração das linhas de defesa favorece a otimização de custos e de investimentos para aprimorar ainda mais o programa de gestão integrada de riscos.

A agenda ESG busca identificar impactos das operações no meio ambiente, na sociedade e como sua governança atua de forma a gerenciá-los. A Gestão de Riscos Corporativos se concentra na identificação, avaliação e tratamento de riscos, que podem resultar em variação dos objetivos estratégicos estabelecidos.

A integração entre agenda ESG e a Gestão de Riscos Corporativos ajudará as organizações a identificarem possíveis eventos que podem impactar o meio ambiente, a sociedade e sua Governança Corporativa e incorporá-los à sua nos processos de gerenciamento de riscos corporativos, o que favorece a identificação e mitigação de riscos, que podem impactar negativamente a reputação, desempenho financeiro e sustentabilidade de uma forma geral. Além disso, incorporar as considerações da agenda ESG à Gestão de Riscos Corporativos pode fortalecer a identificação de oportunidades de crescimento e inovação alinhadas com suas metas ESG.

Em resumo, a tendência é que a integração entre a agenda ESG e a Gestão de Riscos Corporativos auxilie as organizações não apenas no gerenciamento de potenciais riscos, mas também no entendimento mais profundo do impacto de suas operações no meio ambiente, na sociedade e sobre como sua Governança Corporativa está adequada para endereçá-los, e assim buscar alinhar a estratégia do negócio às suas metas ESG.

Grande parte das organizações ainda possui estruturas de Gestão de Riscos Corporativos apartadas das áreas de Gestão de Crise e Continuidade de Negócios, mas cada vez mais estamos caminhando em uma direção que integra esses temas, que considera, entre outros aspectos, como os eventos de interrupção se desdobram na prática e como podemos nos antecipar e nos preparar para enfrentá-los. Para ilustrar melhor esses tempos e movimentos, organizamos o desdobramento de um evento na linha do tempo abaixo.

A partir do entendimento dos riscos de maior impacto e maior exposição, é possível desenvolver estratégias e protocolos para o gerenciamento de crises e planos para continuidade de negócios, considerando os cenários com maior probabilidade e impacto para os negócios, aprofundando o entendimento de processos e sistemas críticos para os resultados do negócio, tempo máximo de interrupção tolerável e tempo ótimo de retorno.

A estratégia de gestão de continuidade de negócios deve ainda considerar o momento, sua abrangência, a priorização de cenários de interrupção/crise, bem como a dinâmica de resposta.

• Momento – a estratégia de Gerenciamento de Continuidade deve ser estruturada de forma prévia à ocorrência de um evento adverso. Serve para suportar as organizações na prevenção dos eventos, na resposta imediata de emergências e crises (curto prazo) e na continuidade/recuperação do negócio (médio e longo prazos);
• Abrangência – deve contemplar o planejamento operacional e impactos sobre pessoas, ativos, reputação e finanças da organização, considerando as características e cultura regionais e globais de cada negócio;
• Priorização – deve priorizar os eventos de maior impacto para a organização, considerando os elementos que são efetivamente críticos para proteção dos resultados corporativos, como: ativos, processos, atividades, recursos, infraestrutura e pessoas;
• Dinâmica – deve ser objetiva, simples e direta, relacionada aos objetivos da organização. Pode envolver múltiplas áreas, que devem ter autonomia dentro de sua responsabilidade para o estabelecimento de planos de remediação e protocolos de resposta.

A integração das ações para gestão de riscos corporativos e gestão de crises e continuidade de negócios proporciona aos gestores uma visão estruturada do que pode ser feito antes, durante e após um evento adverso nos negócios.

Alguns benefícios da integração entre gestão de riscos, crises e continuidade de negócios são:

• Favorece a sinergia de estrutura, sistemas e processos, reduzindo potenciais redundâncias e ambiguidades no direcionamento efetivo, abrangente e estratégico da gestão da crise;
• Favorece o entendimento de eventos que podem resultar em crise, discussão tempestiva de potenciais ações de resposta, bem como estabelecimento de protocolos e realização de testes e simulados de preparação;
• Favorece o estabelecimento de indicadores e gatilhos para o acionamento de Comitês de Crise, com composição específica de acordo com a sua natureza (Ex.: mercado, pandemia, ataques cibernéticos, desastres etc.);
• Favorece a definição de conceitos de problemas, incidentes e crises alinhadas à visão estratégica de flexibilidade para exposição a riscos da organização;
• Favorece o monitoramento de cenários de crise de exposição relevante para a organização, bem como de riscos residuais de alto impacto, aumentando a proteção e resiliência para enfrentar eventos adversos.

Os desafios para o aprimoramento dos programas de Gestão de Riscos Corporativos são os mais diversos e variam de acordo com o nível de maturidade de cada organização. 

Neste exercício, organizamos os mais de 9,5 mil fatores de risco presentes nos 203 Formulários de Referência, que após analisados foram separados em 25 grupos distintos. Para ordená-los por relevância, consideramos o volume de fatores de risco por grupo, os com maior número de fatores de risco considerados mais relevantes, foco de preocupações e atenção por parte dos administradores dos respectivos negócios.

Os grupos a seguir estão organizados, considerando a ordem dos que têm o maior volume de fatores de risco para os que têm menos.

Assim, os 25 Grupos de Fatores de Risco são:

1. Ambiente econômico e do mercado: movimentos de mercado e sua volatilidade, considerando taxas de juros, câmbio, recessão econômica e mudanças no comportamento dos consumidores;
2. Performance dos negócios: cumprimento de metas estratégicas e alcance dos resultados corporativos planejados, considerando fatores internos (controlados) e externo (não controlados) das organizações;
3. Performance das operações: interrupções não programadas do negócio e acidentes, considerando falhas humanas nos processos, greves e impactos na cadeia de suprimentos das organizações;
4. Finanças e caixa: Desbalanceamento do fluxo de caixa, baixa performance dos processos financeiros e dificuldade em obter recursos no mercado financeiro;
5. Interesses dos acionistas: incertezas sobre os dividendos e flutuações no mercado de capitais;
6. Atendimento a regras regulatórias: cumprimento das regras regulatórias relacionados aos licenciamentos e autorizações de operação, bem como na sua manutenção e mudanças associadas às regulamentações dos respectivos negócios;
7. Gestão de terceiros: atuação de terceiros em parceira ou a serviço da empresa, que podem impactar negativamente a organização;
8. Atendimento à legislação e disputas judiciais: decisões judiciais, mudanças de legislação e atendimento à Lei Geral de Proteção de Dados (LGPD);
9. Influência do governo: influência exercida nos respectivos setores da economia, mudanças políticas e no direcionamento de iniciativas públicas, que podem impactar o negócio;
10. Resultados de empresas do grupo: performance de subsidiárias, controladas ou investidas, que impactam nos resultados consolidados;
11. Tecnologia da informação: segurança cibernética, bem como incertezas relacionadas à inovação e acompanhamento da evolução tecnológica;
12. Imagem e reputação: repercussões negativas relacionadas às marcas, com impacto direto na imagem da empresa e sua reputação junto aos respectivos públicos de interesse;
13. Recursos humanos: atração e retenção de profissionais, planos de sucessão e turnover voluntário de pessoas-chave;
14. Desvios de conduta: atitudes ilícitas, como assédio, fraude, corrupção, suborno, lavagem de dinheiro, entre outras;
15. Atendimento a regras tributárias: cumprimento das regras tributárias e fiscais, bem como mudanças que resultem em aumento de tributação;
16. Aumento da concorrência: ambiente de negócios mais competitivo ou perda de market share;
17. Conflitos de interesse com partes relacionadas: divergência ou interesses conflitantes das partes relacionadas do negócio;
18. Ameaças à saúde: novos surtos, epidemias e pandemias;
19. Inadimplência: incertezas relacionadas a receitas oriundas de pagamentos de clientes;
20. Cobertura de seguros: níveis de cobertura e abrangência dos seguros contratados;
21. Meio ambiente e sociedade: degradação do meio ambiente e das relações com a sociedade causadas pelas operações da empresa;
22. Governança corporativa: ineficiência dos processos de governança e conformidade, bem como das funções de risco (Controles Internos, Gestão de Riscos, Compliance e Auditoria Interna) na proteção do negócio;
23. Fenômenos da natureza: mudanças climáticas, desastres geológicos e demais eventos resultantes de ações da natureza;
24. Desdobramentos da COVID-19: incertezas sobre os desdobramentos dos efeitos pós-pandemia nos respectivos negócios;
25. Concentração de receita: limitação de clientes geradores de receita para o negócio.

De uma forma geral, o ambiente econômico e do mercado traz o maior volume de fatores de risco – cerca de 13% do total. Esses fatores apontam impactos de uma possível recessão econômica, eventuais desdobramentos da guerra entre Rússia e Ucrânia, assim como os contextos econômicos divergentes na América, Europa e Ásia.

Outros pontos de destaque estão relacionados à performance dos negócios e performance das operações, com 11% e 10% respectivamente do volume total de fatores de risco. Esses fatores consideram eventos que podem impactar diretamente a capacidade da organização para cumprir sua visão e missão; gerar o resultado de dar o retorno esperado; realizar suas atividades com excelência, zelando pela segurança de seus funcionários e terceiros; além da sua capacidade para responder a interrupções não programadas de operações e a indisponibilidades da cadeia de fornecimento de forma tempestiva, organizada e exercitada.

A gestão de terceiros, com 5% do volume de fatores de risco, é um tema que vem ganhando relevância e foco de muitas empresas. A tendência é que, neste ano, a gestão de risco relacionada a essa temática ganhe ainda mais atenção para mitigação, monitoramento e tratamento.

Os desdobramentos dos impactos da pandemia de COVID-19 também foram abordados nos formulários de referência. Trata da preocupação acerca da extensão de seus efeitos no desenvolvimento dos negócios e operações e dos modelos híbridos de trabalho.

Quando observamos os grupos sob o prisma de setor, é possível perceber uma série de particularidades no ranqueamento dos 25 Grupos de Fatores de Risco, o que demonstra, em certa medida, temas que são mais relevantes para cada um dos tipos de negócio.

Para entender cada característica, segregamos os dados em 11 setores:

• Bancos e Mercados de Capitais (Serviços Financeiros e Private Equity)
• Bens de consumo e Varejo
• Energia e Recursos
• Governo e Setor Público
• Imóveis e Construções
• Manufatura avançada e Mobilidade
• Mineração e Metais
• Óleo e Gás
• Saúde e Bem-estar
• Seguros
• Tecnologia, Mídia, Entretenimento e Telecomunicações (TMT)

A partir dessa segmentação apresentamos uma perspectiva dos principais grupos de fatores de risco por setor.