A evolução do conceito de gestão do risco e a sua ligação com o governo das sociedades

Transcrição

1 A evolução do conceito de gestão do risco e a sua ligação com o governo das sociedades Tiago Miguel Nabais Sá sa.tiago@gmail.com Instituto Superior de Contabilidade e Administração de Coimbra Instituto Politécnico de Coimbra (Portugal) Área temática: A13 Outros temas interligados com a contabilidade e a auditoria Metodologia: M8 Other (Review) Resumo Este trabalho resume a evolução da gestão do risco nos últimos anos, com base numa revisão literária, identificando um novo paradigma de gestão do risco. São identificados os principais fatores que levaram a esta mudança de paradigma e apontadas as principais características desta nova abordagem de gestão do risco. É ainda salientada a importância de boas práticas de governo das sociedades para a minimização do risco nas organizações e para a criação de valor para os agentes interessados. Palavras-Chave: gestão do risco; divulgações; crise; governo das sociedades.

2 A evolução do conceito de gestão do risco e a sua ligação com o governo das sociedades 1. Introdução Num paradigma económico particularmente atribulado, as razões para investir num sistema de gestão do risco integrado parecem ser cada vez mais evidentes. As deficiências na gestão do risco parecem ser o principal fator explicativo da recente crise internacional do crédito e muitos intervenientes desde os investidores, aos administradores das empresas, passando pelas agências de notação financeira observam de forma cada vez mais atenta a abordagem de gestão do risco por parte das organizações (Farrel, Hooper et al. 2009). Independentemente do facto de a crise financeira global ser vista como resultado da assunção de riscos excessivos (Kashyap, Rajan et al. 2008) ou de esta ser atribuída aos crescentes níveis de risco a que as organizações estão sujeitas (Raber 2003), ambas as perspetivas identificam o risco como o grande responsável e destacam a importância de uma estrutura de governação das sociedades adequada para gerir o risco. Com vista a criar valor para os acionistas, as empresas executam a sua atividade económica em constante interação com o ambiente complexo em que se inserem, estando constantemente expostas à incerteza, isto é, ao risco. Este pode ser visto quer como uma oportunidade de adquirir mais valor para a empresa e para os seus acionistas, quer como uma ameaça que poderá levar à perda de valor (Bonić e Đorđević 2012). Neste contexto, as organizações encontram-se cada vez mais pressionadas no que diz respeito à identificação de todos os riscos que os negócios possam ter de enfrentar (sociais, éticos, ambientais, financeiros, operacionais) e à maneira de os gerir de forma aceitável. Entretanto, o reconhecimento das vantagens de estruturas de gestão de risco empresarial aumentou a sua utilização relativamente a abordagens menos coordenadas da gestão do risco, conforme é referido pelo The Institute of Internal Auditors (2009). Entre os principais acontecimentos que contribuíram para o crescente interesse na gestão de risco empresarial estão as alterações ao nível da regulamentação, a sensibilidade dos investidores à volatilidade dos resultados, o aumento dos padrões de responsabilização das administrações e a convergência dos mercados de capitais e de seguros. Este último fator teve como resultado o aparecimento de soluções integradas para gerir os riscos. Green (2001) refere ainda os avanços tecnológicos ao nível do software informático e a crescente sofisticação dos modelos analíticos estatísticos e económicos como fatores importantes para a

3 viabilização da gestão de risco empresarial. Kleffner, Lee et al. (2003) referem que a implementação de uma gestão de risco empresarial pode estar relacionada com a mudança das expectativas relativamente à eficácia do governo das sociedades. Estes autores referem que os reguladores de muitos países estão a exercer pressão sobre as organizações no sentido de estas melhorarem o relato relativamente ao risco e de adotarem uma gestão do risco mais integrada e abrangente. Tendo por base uma revisão literária, este trabalho pretende resumir a evolução da gestão do risco nos últimos anos, identificando os principais fatores que levaram ao aparecimento de um novo paradigma de gestão do risco, as principais características desta nova abordagem e a importância de boas práticas de governo das sociedades para a minimização do risco nas organizações e para a criação de valor para os agentes interessados. 2. Um Novo Paradigma de Gestão de Risco O aumento da volatilidade no mundo dos negócios, os diversos fracassos e escândalos corporativos e a fraude deixaram evidente a inadequação da abordagem fragmentada da gestão de risco tradicional. Quon, Zeghal et al. (2012) sugerem que o fracasso das organizações é o resultado de uma fraca gestão de risco e de debilidades no governo das sociedades, facto que levou ao aparecimento de uma perspetiva integrada de medição e gestão de riscos conhecida como gestão de risco empresarial. Morais (2008) refere que ambientes instáveis e fortemente competitivos com tecnologias sofisticadas e ciclos de vida cada vez mais curtos e o acesso à informação global generalizado, fizeram crescer exponencialmente o risco nas organizações. Este contexto tornou premente a necessidade de um controlo moderno que privilegie o desempenho e a competitividade - em contraste com os controlos de conformidade do passado favorecendo a utilização económica e eficiente dos recursos e a eficácia das organizações, áreas particularmente suscetíveis aos novos fatores de risco. Lam (2000) e Liebenberg e Hoyt (2003) referem que muitas das principais organizações estão a abandonar as abordagens mais tradicionais de gestão de risco em silos, onde as áreas de risco são geridas de forma independente, e a adotar uma abordagem de gestão de risco empresarial como forma de responder às crescentes expectativas ao nível da gestão de risco, transversal a toda a empresa.

4 A gestão de risco empresarial emergiu, assim, como um novo paradigma de gestão da carteira de riscos que as organizações podem ter de enfrentar. Neste sentido os responsáveis têm vindo a desenvolver mecanismos que permitam melhorar o governo das sociedades e a gestão de risco (Beasley, Clune et al. 2005). Ao longo do tempo, a função de gestão do risco evoluiu a par da alteração das necessidades dos negócios, de modo a proporcionar valor acrescido reconhecido pelas organizações. Meulbroek (2002) refere que, de um modo geral, o aumento da concorrência alterou a incidência da gestão do risco que inicialmente era defensiva para um tipo de gestão de risco progressivamente mais ofensivo e estratégico. O autor refere ainda que, enquanto a gestão do risco tradicional se preocupa essencialmente em proteger a organização contra os efeitos financeiros negativos causados pelo risco, a gestão de risco empresarial faz com que a gestão do risco seja parte integrante da estratégia global da organização permitindo às organizações tomar melhores opções, ajustadas ao risco, que maximizam o valor acionista. A função de gestão do risco, criada originalmente com o principal intuito de lidar com a transferência de risco, é caracterizada como gestão de risco tradicional/defensiva. Esta abordagem centra-se essencialmente em seguros e riscos contratuais e transacionais. A grande evolução que se seguiu foi a alteração para uma função integrada/gestão de risco avançada, que coloca o foco na gestão de perdas danosas cobertas pelo seguro através da prevenção e redução da gravidade dos riscos - tais como responsabilidade civil, sinistros automóveis, acidentes dos trabalhadores, perdas relacionadas com propriedades ou outros ativos. Esta abordagem centra-se essencialmente nas ameaças que as organizações podem enfrentar. A modalidade de gestão do risco mais recente, conhecida como gestão de risco empresarial, olha para o controlo dos riscos num âmbito mais alargado, dando respostas mais concretas e profundas aos riscos estratégicos, operacionais e financeiros, entre outros, entendidos numa perspetiva de carteira de riscos interligados. Em alguns casos, o âmbito da responsabilidade da função de gestão do risco foi alargada de modo a incluir a planificação da continuidade das atividades. Esta abordagem centra-se na tomada de decisões com base na informação relativamente às incertezas que afetam o futuro da organização, conciliando a vertente de gestão de risco com uma vertente de análise estratégica da organização (Egerdahl, Fox et al. 2012). A tendência para a adoção de sistemas de gestão de risco empresarial é geralmente atribuída a uma combinação de fatores internos e externos. As principais influências externas que têm conduzido as organizações a adotar uma abordagem de gestão do risco mais integrada e

5 holística têm a ver com a emergência de riscos de âmbito mais alargado resultantes de fatores como a globalização, a consolidação do setor financeiro e a liberalização, a atenção acrescida relativamente aos aspetos regulamentares do governo das sociedades e o progresso tecnológico que possibilita uma melhor análise e quantificação do risco (Miccolis e Shah 2000). Os fatores internos estão centrados numa tónica de maximização do nível de riqueza do acionista. Os defensores da gestão de risco empresarial argumentam que uma abordagem integrada permite aumentar o valor da organização, através da redução de ineficiências inerentes à abordagem tradicional, melhorando a eficiência do capital, estabilizando os ganhos e reduzindo os custos esperados do capital externo e dos procedimentos regulamentares (Lam 2000; Miccolis e Shah 2000). 3. Gestão de Risco Tradicional vs Gestão de Risco Empresarial A abordagem tradicional, baseada em silos, é composta por funções individuais e separadas de gestão do risco, sem ter em conta que estas são mutuamente interdependentes. Atualmente, são ainda muitas as organizações que continuam a tratar os riscos dessa forma segmentada, através da gestão de seguros, de riscos cambiais, riscos operacionais, riscos de crédito e riscos associados aos produtos de base, cada um deles conduzido como atividades de foco restrito e fragmentado. No entanto, é consensual que a totalidade do risco a que uma organização se encontra sujeita não é igual à soma dos riscos considerados de forma individual. Para além disso, têm sido apontadas diversas desadequações deste tipo de abordagem no contexto das organizações modernas. Segundo o ERM Committee, essas desadequações são provocadas por: 1. Maior complexidade dos riscos e interdependência dos mesmos como consequência de um progresso acelerado da tecnologia, do processo de globalização, do ritmo acelerado dos negócios, etc.; 2. Pressão por parte dos organismos profissionais e reguladores, investidores institucionais, agências de crédito, intervenientes no mercado de capitais e outros para estabelecer maior responsabilização relativamente à gestão de risco empresarial, como resultado de inúmeras manipulações financeiras; 3. O desenvolvimento da teoria moderna do portfólio, que proporcionou o enquadramento de um conjunto de instrumentos financeiros na gestão do risco global perceção das suas contribuições para o risco total;

6 4. Os avanços tecnológicos e a experiência, que possibilitaram a quantificação de riscos individuais, mesmo os mais raros e imprevisíveis anteriormente difíceis ou mesmo impossíveis de quantificar; 5. Maior disponibilidade à partilha com outras empresas das experiências em matéria de gestão de risco, especialmente com aquelas que não se apresentavam como concorrentes diretos. As desadequações das abordagens de gestão do risco ditas tradicionais foram ultrapassadas em meados dos anos 90 pelo aparecimento de um conceito conhecido como gestão de risco empresarial. No âmbito da gestão de risco empresarial, todas as áreas de risco funcionam como partes de um sistema integrado, estratégico e transversal a toda a empresa. Embora a gestão do risco seja coordenada com a supervisão de quadros superiores, os funcionários de todos os níveis de uma organização que adote uma gestão de risco empresarial são encorajados a olhar para a gestão do risco como uma parte integrante e contínua do seu trabalho (Simkins e Ramirez 2008). A ideia principal do conceito de gestão de risco empresarial é determinar o nível de risco considerado aceitável e como o utilizar com vista a acrescentar valor, razão pela qual este é considerado como sendo parte integrante da estratégia de negócio. Nesse sentido, o conceito de gestão de risco empresarial representa um novo paradigma de gestão do risco (resumido no quadro 1) e estabelece uma base adequada para os processos de planeamento e tomada de decisão : Gestão de Risco Tradicional Gestão de Risco Empresarial Risco entendido como perigos individuais Risco perspetivado num contexto de estratégia de negócio Identificação e avaliação do risco Desenvolvimento de uma carteira de riscos Destaque para os riscos pontuais Destaque para os riscos mais críticos Atenuação dos riscos Otimização do risco Limites de risco Estratégia de risco Riscos sem responsáveis Responsáveis pelo risco definidos Quantificação aleatória do risco Monitorização e medição do risco O risco não é responsabilidade minha O risco é responsabilidade de todos Quadro 1 Gestão de Risco Tradicional VS Gestão de Risco Empresarial (Olson e Wu 2008) 4. Definição de Gestão de Risco Empresarial

7 A gestão de risco empresarial é uma abordagem abrangente da gestão do risco que inclui a gestão de risco estratégica e que tem aumentado a sua importância, em parte como resultado do Sarbanes-Oxley Act de 2002, que estabelece uma maior responsabilidade para o Conselho de Administração compreender e monitorizar os riscos de uma organização. Para dar resposta à necessidade de orientação para implementar um sistema de gestão de risco empresarial, foram desenvolvidos vários quadros normativos. O quadro normativo mais conhecido é, provavelmente, o COSO s Enterprise Risk Management Integrated Framework, lançado em 2004 pelo Committee of Sponsoring Organizations of the Treadway Commission (COSO). Este quadro normativo apresenta uma ferramenta de análise comparativa para ajudar as organizações a desenvolver um mapa que as norteie durante o processo de implementação de um sistema de gestão de risco empresarial. O COSO define gestão de risco empresarial como um processo efetuado pelo Conselho de Administração de uma organização, pelos órgãos de gestão e outro pessoal, aplicado na definição da estratégia e de forma transversal a toda a empresa, destinado a identificar acontecimentos potenciais que possam afetar a organização e gerir o risco de forma que este esteja conforme a apetência pelo risco definida pela organização, de modo a proporcionar uma garantia razoável quanto à realização dos objetivos da organização. O modelo de gestão de risco proposto pelo COSO (2004) está assente em 8 componentes que são afetadas de acordo com os objetivos da organização que podem ser classificados em: estratégicos, táticos, comunicação, regulação e conformidade legal. Existe uma relação direta entre objetivos e componentes, uma vez que os objetivos são metas que a entidade pretende alcançar e as componentes são os meios necessários para atingir esses objetivos. Os elementos, todos eles interligados, são o ambiente interno, a definição de objetivos, a identificação dos acontecimentos, a avaliação dos riscos, as respostas aos riscos, as atividades de controlo, a informação e comunicação e a monitorização. A gestão de risco empresarial é, assim, o processo de identificar e analisar o risco a partir da perspetiva integrada e ampla da empresa. A definição do COSO é intencionalmente ampla e diz respeito aos riscos e oportunidades que afetem a criação ou a preservação de valor. No entanto, outros grupos definem a gestão de risco empresarial de modo mais restrito. Por exemplo, a Casualty Atuarial Society (CAS) define a gestão de risco empresarial como o processo pelo qual as organizações de todos os setores avaliam, controlam, exploram, financiam e monitorizam os riscos, qualquer que seja a sua origem, de modo a aumentar o valor de curto e longo prazo da organização para as partes interessadas. A CAS especifica os tipos de risco considerados na gestão de risco empresarial

8 como riscos propriamente ditos, financeiros, operacionais e estratégicos. É de destacar que não existe uma solução única e consensual relativamente à forma de olhar para a gestão de risco empresarial para todas as organizações ou empresas. Morais (2004) refere que, neste modelo, controlo e risco são inseparáveis e estão interligados numa estrutura integrada, cujos principais objetivos são a otimização de oportunidades, a gestão do risco, o crescimento, a agregação de riscos e oportunidades para melhorar os resultados, a resposta aos diversos riscos, a criação de valor para os diversos grupos interessados (incluindo os acionistas) e a melhoria do governo da sociedade. 5. Intervenientes no processo de Gestão de Risco Empresarial O risco está no centro das atenções de toda a organização, desde o Conselho de Administração, aos gestores de topo, passando pelos gestores operacionais, auditores e reguladores externos, auditores internos e Comissão de Auditoria (quando existe). O IIA (2009) refere que a administração tem a responsabilidade global de assegurar que os riscos são geridos. Na prática, a administração irá delegar a operacionalização da estrutura de gestão do risco à equipa de gestão, podendo haver uma função separada para coordenar e fazer a gestão de projeto destas atividades e colocar ao dispor as competências e conhecimentos de especialistas. Acrescenta ainda que todos os membros de uma organização tem o seu papel no sucesso da gestão de risco empresarial, sendo que a principal responsabilidade na identificação e gestão de riscos pertence aos administradores. Ayvaz e Pehlivanli (2010) concluíram nos seus estudos que o Administrador Executivo (CEO) é o principal responsável pelas atividades de gestão de risco empresarial, seguido pelo Conselho de Administração, alertando ainda para a importância dos responsáveis pela auditoria interna e gestão do risco no processo. No mesmo sentido, Walker, Shenkir et al. (2002) salientam que a implementação de uma gestão de risco empresarial não pode ser bem sucedida sem o apoio firme dos quadros superiores. Kleffner, Lee et al. (2003) salientam que o Conselho de Administração está a envolver-se cada vez mais nas atividades de gestão do risco e que a sua influência está relacionada com a adoção de uma gestão de risco empresarial. Também Burnaby e Hass (2009) destacam que a capacidade de uma empresa para alcançar os seus objetivos estratégicos é reforçada pelos esforços desenvolvidos na gestão de risco, referindo que a participação dos quadros superiores no estabelecimento de parâmetros de apetência pelo risco é importante.

9 A auditoria interna responde diretamente à Comissão de Auditoria, caso a empresa disponha deste órgão. Caso não disponha, deve reportar à administração. Assim, a decisão da auditoria interna orientar o seu trabalho para a identificação e avaliação dos riscos parte de instruções dadas pela Comissão de Auditoria ou da administração. Beasley, Clune et al. (2005) demonstraram a existência de uma interação entre a auditoria interna e o responsável pelo risco, bem como o enfoque da auditoria interna em coordenar os esforços relativos à adoção e monitorização do processo de gestão de risco empresarial. O responsável pela auditoria deverá ter em consideração o enquadramento da gestão do risco da organização, incluindo os níveis de apetência ao risco definidos pela gestão para as diversas atividades ou partes da organização. Caso não exista tal enquadramento, o responsável pela auditoria deverá utilizar o seu julgamento de riscos após consultar os quadros superiores e o Conselho de Administração (IPAI, 2009). Bekefi, Epstein et al. (2008) chamam a atenção relativamente ao papel que os gestores financeiros desempenham na definição da apetência pelo risco, na promoção da conformidade com os níveis de apetência ao risco, na gestão dos riscos nas áreas da sua responsabilidade e na comunicação dos mesmos. Assim que os órgãos de gestão definam o nível de apetência pelo risco, a empresa deverá avaliar os riscos e as oportunidades identificados e desenvolver estratégias que explorem as oportunidades e minimizem a exposição desnecessária ou evitável (Frigo e Anderson 2011). Os defensores da gestão de risco empresarial acreditam que as organizações que optem por seguir esta estratégia precisam de uma pessoa ou de um grupo de pessoas responsáveis pela coordenação do programa de gestão de risco empresarial e pela comunicação dos objetivos e dos resultados ao Conselho de Administração. A pessoa ou grupo responsável deve promover a gestão de risco empresarial junto dos órgãos de gestão e elevar a função a um patamar no qual seja possível divulgar a estratégia financeira e de negócio da organização (Liebenberg e Hoyt 2003). Alguns estudos recentes sugerem que as organizações olham para o Diretor de Risco e para a comissão de gestão de risco empresarial como complementos e não como alternativas. Ao contrário daquilo que acontecia com os gestores de risco tradicionais, os Diretores de Risco são normalmente designados pela administração e respondem diretamente perante o CEO ou o Diretor Financeiro. Liebenberg e Hoyt (2003) referem que embora inicialmente se considerasse que o papel do Diretor de Risco se limitava à gestão do risco, vários têm sido aqueles que alertam para as responsabilidades deste com respeito às boas práticas de governo das sociedades.

10 6. Regulamentação e Orientações Morais (2008) refere que a introdução de diversas regulamentações que impõem uma postura de auto controlo tem aumentado a necessidade de criação ou de aprimoramento de uma estrutura efetiva de controlo de riscos. Os pressupostos errados de decisores de topo e a gestão inadequada do risco - cujas consequências podem variar desde o simples constrangimento a sérios prejuízos - são apontados como uma das principais causas de muitas das recentes falências. Aos desafios da gestão do risco acresce a vaga de reformas regulamentares de anos recentes. Nos Estados Unidos da América, o Sarbanes Oxley Act de 2002 (SOX) aumentou as responsabilidades da administração e dos diretores das empresas relativamente aos riscos, forçando uma abordagem mais do topo para a base relativamente ao governo das sociedades. O SOX prevê que haja um auditor independente nas organizações, que deverá responder perante uma comissão de auditoria que, por sua vez, deverá integrar um especialista financeiro. Estes requisitos limitam o controlo do CEO relativamente à função de auditoria e garantem que haja um nível adequado de competência financeira na Comissão de Auditoria. Não obstante, a função de auditoria quando considerada isoladamente não pode abranger todos os riscos enfrentados pelas organizações (Simkins e Ramirez 2008). Drew, Kelley et al. (2006) chamam a atenção para o facto de o relatório de Turnbull, bem como os regulamentos que se seguiram, incentivar um rigor e uma transparência semelhantes no Reino Unido. Seguindo esta linha, a Comissão Europeia também decidiu reforçar a governação, reforçando o controlo empresarial nas práticas financeiras, o relato e a gestão do risco. Simkins e Ramirez (2008) concluem que a gestão de risco empresarial pode melhorar o funcionamento das organizações e a capacidade dos mercados de capital responderem ao risco. Refere, no entanto, que o enquadramento jurídico atual constitui um obstáculo a este processo. É de referir que, para muitas empresas, estar em conformidade com o Sarbanes Oxley Act implica profundas reformas no governo das sociedades e no relato financeiro. Segundo os autores, estabelecer requisitos de divulgação relativamente à gestão do risco incentivariam uma maior transparência e uma melhor gestão no contexto das organizações. Este assunto tem atraído alguma atenção recentemente, sendo o foco principal de um relatório emitido pelo Committee of Sponsoring Organizations of the Treadway Commission (COSO). Esta influente comissão lançou o quadro normativo COSO I, aceite em 2003 pela SEC

11 (Security and Exchange Comission) como a melhor orientação para a realização de boas práticas relativamente à Secção 404 do Sarbanes Oxley Act (SOX 404), referente ao relato do controlo interno. A Secção 404 introduz regras mais rígidas, obrigando ao relato da eficácia dos controlos internos relativamente ao relato financeiro. O âmbito do COSO I foi alargado do simples relato do controlo interno para a gestão de risco empresarial em 2004, através do quadro normativo COSO II. No seu quadro normativo para uma gestão de risco empresarial integrada, o COSO prevê a gestão de risco empresarial como um processo contínuo que é supervisionado pelos gestores de topo e pela administração, e cuja responsabilidade é atribuída a todos os elementos da organização.. Conforme descrito por (Levinsohn e Williams 2004), a estrutura normativa apresentada no COSO II é muito abrangente e inclui a gestão de risco estratégica e o governo das sociedades. 7. A Gestão de Risco Empresarial nas Empresas Como vimos, uma resposta para as expectativas crescentes das organizações foi a emergência de um novo paradigma de gestão do risco, construído para aumentar a capacidade da administração e dos quadros superiores de gestão anteciparem a carteira de riscos que uma organização pode enfrentar. A gestão de risco empresarial é uma fonte de vantagens competitivas significativa para aqueles que consigam demonstrar uma forte capacidade e disciplina na gestão de risco empresarial (Stroh 2005). Num momento em que o modelo proposto pelo COSO está ainda em fase ascendente, é evidente que nem todas as organizações o estão a adotar. Existe pouca informação divulgada sobre as razões pelas quais algumas empresas adotam o este modelo e outras não. Kleffner, Lee et al. (2003) estudaram a utilização de um modelo de gestão de risco empresarial nas empresas canadianas, bem como o impacto do governo das sociedades nessa prática. Nos seus estudos, concluíram que embora apenas um terço das empresas tenham indicado que já adotavam uma abordagem de gestão de risco empresarial, ficou provado que uma grande parte da amostra caminhava nessa direção, com base nas alterações observadas nas empresas consideradas nos anos anteriores. Entre estas alterações estavam o desenvolvimento de um guia de boas práticas para a empresa em matéria de gestão do risco, uma maior sensibilidade relativamente aos riscos não operacionais por parte dos responsáveis pela gestão do risco operacional, maior coordenação com as diferentes áreas responsáveis pela gestão do risco e um maior envolvimento e interação na tomada de decisão de outros

12 departamentos. Outros estudos empíricos são coerentes com a tendência crescente por parte das empresas de optar por modelos de gestão de risco empresarial (Colquitt, Hoyt et al. 1999; Beasley, Clune et al. 2005). Beasley, Clune et al. (2005) apresentam algumas estatísticas descritivas relativamente à adoção do modelo de gestão de risco empresarial do COSO por multinacionais (num total de 123 organizações) e ao papel específico da auditoria interna nesse processo. Os autores concluíram que 48% das organizações inquiridas tinham, na altura, uma estrutura de gestão de risco empresarial totalmente ou parcialmente implementada. Colquitt, Hoyt et al. (1999) concluem que as grandes empresas são mais suscetíveis de adotar uma gestão de risco integrada do que empresas mais pequenas. Também Carcello, Hermanson et al. (2005) pressupõem, nos seus estudos, que entidades de maior dimensão são mais suscetíveis de ter uma maior presença da auditoria interna, o que poderá permitir um maior envolvimento desta no processo de gestão de risco empresarial. Beasley, Clune et al. (2005) concluem que o modelo de gestão de risco empresarial do COSO está mais implementado em organizações de maior dimensão. Concluem ainda que está mais implementado nos sectores bancário, de educação e segurador. 8. A Gestão do Risco nas Instituições Financeiras A recente crise financeira suscitou várias questões relativamente ao governo das sociedades das instituições financeiras. Se os escândalos empresariais como os da Enron e da Worldcom tiveram como principal consequência a emergência de novos desenvolvimentos nas práticas contabilísticas, a crise financeira que se seguiu à crise do subprime nos Estados Unidos da América conduziu ao reforço da consciência relativamente ao risco e à necessidade de utilizar técnicas de gestão de risco e estruturas adequadas no âmbito das instituições financeiras. Para além disso, os decisores públicos de todo o mundo começaram a questionar a adequação do regime de governo das sociedades vigente às instituições financeiras. Em particular, o papel e o perfil de gestão do risco nas instituições financeiras foi colocado sob escrutínio. Em muitos documentos orientadores recentes, são apresentados enquadramentos normativos abrangentes relativamente à gestão do risco, combinados com estruturas de governação recomendadas (Walker 2009). Uma recomendação comum é colocar o risco no topo da agenda, através da criação das respetivas estruturas. Conforme foi advogado pelo Sarbanes- Oxley Act em 2002, é considerado que a peritagem financeira desempenha um papel

13 importante. Outras medidas mais específicas envolvem quer a criação de uma comissão específica dedicada ao risco, quer a designação de um Diretor de Riscos que supervisione todos os riscos relevantes no âmbito de uma organização (Sabato 2010). É de referir que a literatura relativa ao governo das sociedades e ao efeito de valorização do governo das sociedades nas instituições financeiras é ainda muito limitada. Para além disso, as instituições financeiras têm as suas particularidades, tais como uma maior opacidade, regulamentação pesada e complexa e intervenção por parte do Governo (Levine 2003), pelo que requerem uma análise diferente em questões relacionadas com o governo das sociedades. Aebi, Sabato et al. (2012) refere que uma diferença importante entre instituições financeiras e não financeiras é o papel da gestão do risco na estrutura de governação das instituições financeiras. Segundo este autor, embora a importância da gestão do risco tenha sido reconhecida, o papel efetivo da gestão do risco no contexto do governo das sociedades ainda carece de uma interpretação comum, no âmbito das instituições financeiras. Finalmente, refira-se que a gestão de risco empresarial está a ser desenvolvida no sentido de se tornar uma ferramenta capaz de potenciar a criação de valor por parte das organizações. Agências de notação financeira como por exemplo a Moody s Investors Service e a Standard & Poor s incluem já nas suas avaliações se uma organização tem ou não um sistema de gestão de risco empresarial, como um fator a considerar nas suas metodologias de notação para instituições financeiras e companhias de seguros. 9. Mais-Valia da Gestão de Risco Empresarial A gestão de risco empresarial é um processo de gestão que requer que os gestores da organização identifiquem e avaliem os riscos coletivos que afetam o valor da organização e implementem uma estratégia alargada a toda a organização para gerir esses riscos, de modo a estabelecer uma estratégia de gestão do risco eficaz (Meulbroek 2002). Segundo o documento proposto pelo COSO (2004), o principal objetivo da gestão do risco é maximizar o valor para os acionistas. Em primeiro lugar, consegue fazê-lo através da melhoria da eficiência do capital, estabelecendo uma base objetiva para afetar os recursos corporativos através da redução das despesas em riscos imateriais e de operações de cobertura natural. Em segundo lugar, a gestão de risco empresarial é capaz de apoiar a tomada de decisões denunciando quais as áreas de risco elevado e sugerindo alterações, tendo em conta o risco. Em terceiro lugar, a gestão de risco empresarial ajuda a reforçar a confiança do investidor através da definição de um processo que, pelas suas atividades, permitem

14 estabilizar os resultados financeiros e demonstrar a todos os agentes que a organização exerce uma boa gestão dos riscos. O IIA (2009) também enuncia alguns benefícios deste tipo de gestão de risco, como são o relato consolidado de diferentes riscos ao nível da administração, melhor compreensão dos principais riscos e das suas implicações num âmbito mais alargado, capacidade de assumir maior risco para obter maior recompensa e assunção de risco e tomadas de decisão de forma mais informada. Os seus defensores, argumentam ainda que a gestão de risco empresarial traz benefícios às organizações através da redução da volatilidade dos ganhos e das cotações das ações, da redução do custo do capital externo, do aumento da eficiência do capital e da criação de sinergias entre as diversas atividades de gestão do risco (Lam 2000; Miccolis e Shah 2000; Meulbroek 2002; Aebi, Sabato et al. 2012). De um modo mais geral, a literatura diz-nos que a gestão de risco empresarial promove uma maior consciencialização relativamente à gestão do risco que se traduz em melhores tomadas de decisão quer ao nível operacional, quer ao nível estratégico. As organizações que adotam uma gestão de risco empresarial estão mais preparadas para compreender o risco agregado associado a diferentes atividades de negócio. Este facto permite-lhes ter uma base mais objetiva para afetar os recursos, melhorando desta forma a eficiência do capital e o rendimento do capital próprio. As organizações com uma grande diversidade de oportunidades de investimento são ainda mais suscetíveis de beneficiar da capacidade de escolher os investimentos através de uma avaliação mais precisa e ajustada ao risco do que aquela que estaria disponível utilizando uma abordagem tradicional à gestão do risco (Meulbroek 2002). Para além dos aspetos já referidos, a gestão de risco empresarial cria valor através de uma melhoria da informação relativamente ao perfil de risco da organização. As entidades exteriores à organização são mais suscetíveis de sentir dificuldades na avaliação da solidez financeira e do perfil de risco de organizações que sejam altamente complexas quer ao nível financeiro, quer ao nível operacional. Através da gestão de risco empresarial, estas organizações financeiramente opacas ganham uma nova ferramenta para informar as entidades externas do seu perfil de risco e apresentam desta forma um sinal do seu compromisso relativamente á gestão do risco. Através de uma melhoria na divulgação da gestão do risco, a gestão de risco empresarial deverá reduzir os custos esperados do capital externo e dos procedimentos regulamentares (Meulbroek 2002).

15 10. A Gestão de Risco e o Governo das Sociedades As questões relacionadas com a gestão do risco e o governo das sociedades têm, nos dias de hoje, uma influência significativa nas discussões de política pública, relativamente aos controlos realizados no âmbito das organizações. Neste contexto, as práticas organizacionais e de gestão estão também a ser afetadas. Atualmente, as organizações não procuram apenas adotar controlos relativamente ao risco mas também implementar esses controlos de forma transparente e visível, de modo a promover uma maior legitimidade da organização. Este facto torna a gestão do risco e o governo das sociedades cada vez mais interdependentes. Na prática, o Relatório Cadbury de 1992 representou uma iniciativa política que legitimou o alargamento das práticas de controlo das organizações de modo a englobar os assuntos relacionados com a gestão do risco e o governo das sociedades. A mesma preocupação tem sido manifestada mais recentemente quer por profissionais, quer por académicos (Connell, Mallett et al. 2004). Tal como acontece com as preocupações relativas ao governo das sociedades, os assuntos relacionados com o risco influenciam significativamente as políticas adotadas pelas organizações e os quadros normativos e institucionais (Basel Committee, 2008; COSO, 2004). Segundo Bhimani (2009), uma questão importante no contexto das atividades económicas cada vez mais globalizadas diz respeito à adoção estratégica de mecanismos de governo das sociedades que contrariem os riscos decorrentes de legislações nacionais pouco protetoras dos investidores relativamente ao valor das organizações. Poletti Hughes (2005) sugere que as práticas de governo das sociedades quer ao nível da organização, quer ao nível do país, podem afetar o valor da organização. Um risco mais elevado decorrente da falta de proteção do investidor e da aplicação da lei pode ser compensado com boas práticas de governo das sociedades. A compreensão destas relações ajuda a prever os impactos mais amplos dos fatores extra organizacionais nas estruturas de controlo interno e de governo das sociedades. A importância do governo das sociedades e o risco de fraude no âmbito contabilístico ficaram bem patentes com o inesperado colapso da Enron, em A este seguiu-se uma série de outros escândalos financeiros de larga escala, em 2002, incluindo empresas como a Bristol- Myers Squibb, a Qwest, a Xerox, a WorldCom, entre outras. Estes escândalos revelaram graves lacunas no governo das sociedades. O senado americano depressa aprovou o Sarbanes- Oxley Act de 2002 num claro esforço para reformar a função de auditoria nas empresas públicas em particular e o governo das sociedades em geral.

16 Simkins e Ramirez (2008) referem que o atual sistema de governo das sociedades tem falhas. Segundo aos autores, tornou-se evidente que os CEO s podem tirar partido do excesso de autonomia para assumir riscos de longo prazo excessivos nas suas organizações sob o pretexto de gerar mais receitas e obter melhores remunerações no imediato. Argumentam ainda que nos últimos anos, alguns CEO s mostraram uma tendência para manipular o sistema de governação das sociedades para obter ganhos de forma ilegítima, através de opções de compra de ações com retroativos. De facto, a difusão desta prática sugere que os CEO s são essencialmente tentados pelos frutos de uma compensação mais elevada no presente, expondo a própria organização a perdas avultadas no longo prazo devido à perda de confiança por parte dos investidores. Da mesma forma, estes autores referem que os CEO s são tentados a manipular a função de auditoria, de modo a reforçar as suas remunerações presentes (em detrimento do longo prazo e arriscando a continuidade da organização) no final dos anos 90 e na fase inicial deste século, o que conduziu a um sem número de escândalos empresariais. Estabelecer requisitos de divulgação relativamente à gestão do risco incentivariam uma maior transparência e uma melhor gestão no contexto das organizações, podendo revelar-se um caminho para evitar erros passados. 11. A Coordenação entre a Gestão de Risco e o Governo das Sociedades Existem diversos aspetos importantes na coordenação entre a gestão de risco empresarial, a gestão estratégica e o governo das sociedades. Mudanças organizacionais rápidas, falhas no governo das sociedades e falta de uma perspetiva estratégica relativamente ao risco e tomadas de decisão podem resultar em falhas de coordenação graves. Pode haver falhas no alinhamento entre o risco aceite e o rendimento nas organizações, sendo que algumas são mais fáceis de identificar e resolver do que outras. As estratégias empresariais e de negócio devem, por isso, estar bem alinhadas com a capacidade de gestão de risco da empresa e com a sua propensão ao risco. A variedade e complexidade de sistemas pode ser tal que muitas organizações serão desafiadas a encontrar tempo e recursos para implementar todas as melhorias necessárias ao nível da governação e da gestão do risco. A melhoria da gestão do risco obriga as organizações a considerar a adequação de sistemas formais para identificar, analisar, prever e gerir uma vasta gama de riscos empresariais e estratégicos. Para além disso, Hamilton III e Kashlak (1999) sugerem que empresas que

17 operem à escala mundial devem ter em conta as diferenças culturais, ao definir sistemas de controlo para o risco, que devem fazer parte de uma estratégia global. Farrel, Hooper et al. (2009) defendem que, ao invés de delegar a responsabilidade relativamente ao controlo interno num grupo financeiro da organização, a responsabilidade pela avaliação do risco e dos controlos deve ser efetuada por aqueles que estejam envolvidos de forma mais direta com cada processo. Esta avaliação distribuída é consistente com a abordagem da gestão de risco empresarial, que considera a necessidade de gerir os riscos em todos os níveis e em toda a organização. Estes autores sugerem ainda que o papel do auditor interno pode ganhar alguma relevância, à medida que a necessidade de partilha interna de conhecimentos e de comunicação das práticas para uma gestão de risco eficaz se torna mais premente. Neste contexto, o auditor pode assumir um papel de formador e promotor das boas práticas. Drew, Kelley et al. (2006) consideram que introduzir mudanças estruturais de acordo com a necessidade de efetuar reformas ao nível da governação e de apoiar a gestão do risco é um desafio, mesmo para organizações bem geridas. Implementar uma estrutura requer que seja identificado o sistema adequado para assegurar uma comunicação transversal a toda a empresa e que sejam criados sistemas que permitam que a estrutura funcione. A coordenação entre uma estrutura adequada e a cultura da organização, a liderança e os sistemas reforça a capacidade da organização na gestão do risco. 12. Conclusões A importância do governo das sociedades e o risco de fraude no âmbito contabilístico ficaram bem patentes com o aparecimento de diversos escândalos financeiros de larga escala em e com a recente crise do crédito de Estes fracassos levaram ao aparecimento de diversas regulamentações e à procura de novas soluções para a gestão do risco e o governo das sociedades. Neste contexto, é hoje reconhecido que a gestão do risco é um elemento fundamental do Governo das Sociedades. Muitos analistas identificaram o aumento do rigor da supervisão regulamentar como um dos principais fatores externos que levaram à tendência crescente da adoção de uma gestão de risco empresarial. No que diz respeito aos requisitos de governação das sociedades existentes, nomeadamente no que se refere ao relato específico do controlo interno, estes parecem ser mais normativos em alguns países do que em outros. Embora as orientações seguidas pelos diversos países não

18 obriguem à utilização de uma gestão de risco empresarial, estas criam uma pressão pública no sentido de adotar sistemas de gestão de risco e de divulgação sistemáticos. Muita dessa pressão tem origem nos acionistas institucionais, que têm uma maior capacidade de influenciar a política de gestão de risco das organizações. As organizações com maiores oportunidades de crescimento enfrentam maior incerteza e requerem uma gestão do risco mais cuidada, não só para controlar os riscos com que se deparam mas também para orientar o crescimento na direção certa, com base no impacto das várias oportunidades associadas ao risco em toda a organização. Segundo Liebenberg e Hoyt (2003) estas organizações terão maiores incentivos para investir numa gestão de risco empresarial e são mais suscetíveis de nomear um Diretor de Risco. A pressão exercida pelos agentes externos interessados é também considerada como um fator importante para a opção de adotar um programa de gestão de risco empresarial e nomear Diretores de Risco para executar o programa (Lam 2000; Miccolis e Shah 2000). A pressão exercida pelos regulamentos é suscetível de ter o mesmo impacto em todos os concorrentes de um determinado setor de atividade, enquanto que os efeitos da pressão exercida pelos agentes externos interessados pode variar, dependendo do grau de influência relativo dos diversos grupos de acionistas em cada organização. De um modo geral, pode dizer-se que as organizações deviam ser obrigadas a divulgar de forma qualitativa a sua abordagem de gestão de risco empresarial, de modo a incluir informações relativas ao facto de haver ou não uma função abrangente dedicada à gestão de risco empresarial, ao nível de envolvimento da administração nessa função, ao controlo exercido (ou não) pelo CEO nessa função, ao leque de competências especializadas para fazer face aos riscos da organização e a quaisquer divergências que possam existir entre os órgãos de gestão e os gestores do risco, no que diz respeito ao perfil de risco vigente na organização. Os avanços registados ao nível das tecnologias de informação permitiram às organizações construir modelos de risco complexos e compreender melhor as interdependências entre os riscos de toda a empresa, o que pode representar um passo importante nesta matéria. O cruzamento entre a gestão de risco empresarial e o governo das sociedades parece coincidir com o contexto macroeconómico resultante da crise do crédito e da crise energética. A catástrofe verificada no crédito hipotecário e o seu impacto nos mercados de crédito e financeiro a nível mundial demonstra que uma gestão inadequada do risco de forma sistemática pode ter sérias consequências macroeconómicas. Com o tempo, a generalização dos erros sistemáticos de avaliação do risco parece ter maior probabilidade do que outras

19 ocorrências de conduzir a um ciclo macroeconómico recessivo, o que releva ainda mais a importância das divulgações. As normas relativas ao governo das sociedades não incluem, atualmente, nenhuma orientação em particular para a gestão de risco empresarial. Ainda assim, a gestão de risco empresarial parece ser a um elemento material de desempenho financeiro, com base na literatura e nos estudos empíricos analisados. A gestão inadequada dos riscos pode ter consequências adversas sérias na atividade de uma organização. Os elementos chave para um programa de gestão de risco empresarial bem sucedido, em matéria de governo da sociedade, são abrangentes e orientam a gestão do risco no sentido de evitar a sua segmentação. No entanto, não existem leis relativas ao governo das sociedades e os regulamentos não têm sido capazes de se adaptar à ciência financeira atual. Bibliografia Aebi, V., G. Sabato, et al. (2012). "Risk management, corporate governance, and bank performance in the financial crisis." Journal of Banking & Finance 36(12): Ayvaz, E. e D. Pehlivanli (2010). "Enterprise risk management based internal auditing and turkey practice." Serbian Journal of Management 5(1): 20. Basel Committee (2008). "Principles for sound liquidity risk management and supervision." BCBS (September). Beasley, M. S., R. Clune, et al. (2005). "Enterprise risk management: An empirical analysis of factors associated with the extent of implementation." Journal of Accounting and Public Policy 24(6): Beasley, M. S., R. Clune, et al. (2005). "ERM a status report." Bekefi, T., M. J. Epstein, et al. (2008). "Creating Growth: Using Opportunity Risk Management Effectively." Journal of Accountancy(June): Bhimani, A. (2009). "Risk management, corporate governance and management accounting: Emerging interdependencies." Management Accounting Research 20(1): 2-5. Bonić, L. e M. Đorđević (2012). "Potentials of internal auditing in enterprise risk management." Facta Universitatis 9(1): Burnaby, P. e S. Hass (2009). "Ten steps to enterprise-wide risk management." Corporate Governance 9(5): Carcello, J. V., D. R. Hermanson, et al. (2005). "Factors associated with US public companies' investment in internal auditing." Accounting Horizons 19(2):

20 Colquitt, L. L., R. E. Hoyt, et al. (1999). "Integrated risk management and the role of the risk manager." Risk Management and Insurance Review 2(3): Connell, B., R. Mallett, et al. (2004). "Enterprise governance: Getting the balance right." International Federation of Accountants. COSO (2004). "Enterprise risk management-integrated framework." Committee of Sponsoring Organizations of the Treadway Commission. Drew, S. A., P. C. Kelley, et al. (2006). "CLASS: Five elements of corporate governance to manage strategic risk." Business Horizons 49(2): Egerdahl, R., C. Fox, et al. (2012). Risk management and internal audit: forging a collaborative alliance. The risk perspective. M. O'Rourke, Risk & Insurance Management Society, Inc. The Institute os Internal Auditors: 14. Enterprise Risk Management Committee (2003). Overview of enterprise risk management. Casualty Actuarial Society. Farrel, J., K. Hooper, et al. (2009). Placing a value on enterprise risk management. K. LLP, KPMG International. Frigo, R. e J. Anderson (2011). "Embracing enterprise risk management: Practical approaches for getting started." The Center for Strategy, Execution & Valuation at DePaul University, and the Committee of Sponsoring Organizations of the Treadway Commission. Accessed January 25: Green, P. (2001). "Risk managers cover enterprise exposure." Global Finance 15(1): Hamilton III, R. D. e R. J. Kashlak (1999). "National influences on multinational corporation control system selection." MIR: Management International Review: Instituto Português de Auditoria Interna (2009). Enquadramento internacional de práticas profissionais de auditoria interna. Kashyap, A., R. Rajan, et al. (2008). Rethinking capital regulation. Federal Reserve Bank of Kansas City Symposium at Jackson Hole. Kleffner, A. E., R. B. Lee, et al. (2003). "The effect of corporate governance on the use of enterprise risk management: Evidence from Canada." Risk Management and Insurance Review 6(1): Lam, J. (2000). "Enterprise-wide risk management and the role of the chief risk officer." white paper, ERisk. com, March 25. Levine, R. (2003). "The corporate governance of banks." World Bank Policy Research Working.