CUTTING THROUGH COMPLEXITY O que esperar do gerenciamento de riscos É hora de agir As oito prioridades em gerenciamento de risco para os executivos kpmg.com/br Em colaboração com a EIU - Economist Intelligence Unit In co-operation with the EIU
O caminho a ser seguido Introdução Retorno sobre o investimento Avaliar a exposição ao risco Maiores ameaças Definir o apetite a risco
Investimentos em gerenciamento de riscos As três linhas de defesa Frágeis estruturas de incentivo Conclusão Barreiras à convergência
2 O que esperar do gerenciamento de riscos É hora de agir: Sumário Executivo Introdução O que esperar do gerenciamento de riscos É hora de agir As oito prioridades em gerenciamento de risco para executivos Com a atividade econômica ainda contraída pelas dificuldades financeiras nas principais economias, espera-se em 2013 que o crescimento econômico global seja apenas um pouco melhor do que foi em 2012, bem abaixo dos níveis que precederam a recessão. A expectativa é melhor para os países emergentes: a Economist Intelligence Unit (EIU) prevê um crescimento de 5,7% em países não pertencentes à OCDE (Organização para a Cooperação e Desenvolvimento Econômico), percentual três vezes maior do que o crescimento dos membros da OCDE, de 1,4%. Ainda assim, os mercados emergentes também enfrentam desafios enquanto os políticos ensejam dinâmicas mais sustentáveis de crescimento face à estagnação da demanda em mercados mais maduros, que ainda respondem por mais de 60% da economia global medidos em dólares americanos, de acordo com a EIU. As economias desenvolvidas irão enfrentar ambientes regulatórios mais complexos no rescaldo da crise financeira, ao passo que aproveitar as oportunidades nos países emergentes exige que as empresas compreendam estes novos mercados e respondam às ameaças que suscitam. O gerenciamento de risco, portanto, continua no topo da agenda corporativa no mundo todo. Uma nova dinâmica está surgindo: ocorre um aumento sensível na complexidade e na incerteza que ronda as organizações à medida que elas buscam meios inovadores para crescer em novos mercados, enfrentando forte concorrência e ampliando substancialmente os investimentos em tecnologia. No entanto, esses desafios estão crescendo mais rapidamente do que a capacidade da maioria das organizações de gerenciá-los com agilidade, conhecimento e com uma cultura atenta e adaptável ao risco. Assim, esta diferença está aumentando e estamos diante de um momento decisivo, que justifica aumentar a capacidade de dominar e otimizar riscos. As expectativas dos stakeholders sobre sofisticadas estruturas de gerenciamento de riscos nas empresas continuam a crescer, e em um ritmo que estas organizações não têm conseguido acompanhar. Em dezembro de 2012, a EIU conduziu uma pesquisa mundial, patrocinada pela KPMG International, com mais de 1.000 dos mais altos executivos, para analisar como as empresas estão integrando uma abordagem holística de governança, risco e compliance (GRC - Governance, Risk & Compliance), que perpasse toda a empresa. Os principais resultados da pesquisa foram: 1. O gerenciamento de riscos é visto como um elemento crucial para o negócio da empresa; no entanto, as organizações precisam melhorar o modo como medem o quanto o gerenciamento de riscos traz de retorno sobre o seu investimento e como comunicam seu processo, seu valor e sua efetividade aos stakeholders. 2. Avaliar a exposição ao risco em toda a organização ainda é um grande desafio para executivos.
O que esperar do gerenciamento de riscos É hora de agir: Sumário Executivo 3 3. Os altos executivos vêem o gerenciamento de risco como fator crítico, mas poucas organizações definem o seu apetite ao risco; 4. A pressão regulatória e as mudanças no ambiente regulatório representam a maior ameaça para os entrevistados; a instabilidade político-econômica global é vista como principal cenário de risco; 5. Os entrevistados acreditam que as unidades de negócios são mais aptas do que uma área de gerenciamento de riscos, de compliance ou a auditoria interna para a avaliação e gerenciamento de riscos; 6. A falta de talentos profissionais e/ou expertise tem impedido a convergência das funções de risco e de controle; 7. Estruturas de incentivo frágeis impedem tomadas de decisão baseadas no risco; 8. Investimentos para melhorar a gestão do risco continuarão a crescer nos próximos três anos. A pesquisa incluiu respostas de 1.092 altos executivos ao redor do mundo. Deles, 28% são CEOs, 18% CFOs e 7% membros de conselhos de administração. Os demais executivos entrevistados atuam em áreas como operações, jurídico, tecnologia, compliance e auditoria interna. A amostra reúne respondentes da América do Norte (25%), Europa Ocidental (23%) e Ásia/Pacífico (23%), além da América Latina (15%) e o Oriente Médio (13%). Mais da metade (54%) das empresas dos entrevistados tem receita anual de US$ 500 milhões ou mais; 37% têm receita igual ou maior que US$ 1 bilhão e 14% têm receita acima US$ 10 bilhões. A pesquisa se concentra principalmente em cinco setores, que juntos representam mais de três quartos dos entrevistados: Serviços Financeiros (17%); Tecnologia, Mídia e Telecomunicações (16%); indústria em geral (15%); Healthcare (15%); e Energia e Recursos Naturais (14%). O questionário foi centrado em torno de áreas prioritárias para avaliar a evolução do GRC: (a) operacionalização/ integração do programa de gerenciamento de riscos e sua conexão com a estratégia organizacional, (b) definição precisa do perfil de risco, (c) definição clara de funções e responsabilidades na estrutura das três linhas de defesa, (d) convergência de funções de controle e de risco em toda a organização, (e) maior agregação e análise dos dados a fim de se ter uma perspectiva ampla sobre os riscos, que abranja toda a organização, (f) aumento da transparência com melhoria dos relatórios e de outras ferramentas de comunicação, e (g) adaptação ao ambiente regulatório em evolução.
4 O que esperar do gerenciamento de riscos É hora de agir: Sumário Executivo Retorno sobre o investimento 1. O gerenciamento de riscos é visto como um elemento crucial para o negócio da empresa; no entanto, as organizações precisam melhorar o modo como medem o quanto o gerenciamento de riscos traz de retorno sobre o seu investimento e como comunicam seu processo, seu valor e sua efetividade aos stakeholders. Quase a metade (47%) dos executivos indicou que o gerenciamento de riscos é essencial para agregar valor aos negócios em geral, e outros 34% citam melhorias ocasionais para a empresa como resultado de um gerenciamento de riscos (ver gráfico 1). Diferentes métodos são aplicados para medir o retorno do investimento em gerenciamento de riscos, embora 28% das organizações não se utilizem de nenhuma forma de medição (ver gráfico 2). Além disso, menos de metade (44%) acredita que a organização é eficaz em promover o entendimento do seu programa de gerenciamento de riscos aos seus stakeholders (ver gráfico 3). Parece haver, portanto, uma oportunidade para as organizações gerarem mais valor a partir de seus esforços em gerenciamento de riscos aplicando formas mais eficientes de mensuração e comunicação dos resultados. Avaliar as exposições de risco 2. Avaliar a exposição ao risco em toda a organização ainda é um grande desafio para executivos. Desde o início da crise financeira, a maioria dos setores tem feito algumas melhorias nos seus sistemas, com o objetivo de agregar dados sobre riscos. Hoje, quase a metade (48%) dos executivos diz que a sua atividade de gerenciamento de riscos executa um processo de avaliação de risco da base ao topo no mínimo anualmente, um terço (34%) diz que todas as funções de risco e de controle estão alinhadas para garantir um perfil completo de risco; e 38% dizem que a empresa utiliza um processo de autoavaliação de riscos e controles. Ainda assim, um em cinco (20%) relata que sua organização não tem nenhum processo de agregação de riscos. E, embora grande parte dos entrevistados avalie a maturidade de seus programas de gerenciamento de riscos como sendo bastante alta em relação aos concorrentes, a quantificação/ agregação dos riscos é mais mal avaliada do que outros aspectos da gestão de risco. Somente 38% afirmam que a sua organização está mais avançada do que as de seus pares neste item, em comparação com 48% no item avaliação de risco, e 45% no item governança do risco. A tecnologia é uma ferramenta importante para o sucesso da integração do gerenciamento de risco por toda a organização. De fato, cerca de três quartos dos executivos pesquisados consideram a tecnologia como um fator chave para o gerenciamento de riscos, classificando-a como muito importante (51%) ou crítico (23%). Os entrevistados vêem os desafios técnicos como um obstáculo menor para a coleta e análise de dados para o gerenciamento de riscos quando comparado à dificuldade em se compreender a complexidade da exposição a riscos. Ao se elencar os três desafios principais, a dificuldade no entendimento de toda a exposição ao risco, no nível global corporativo, é o mais citado (47%); este mesmo problema no nível das unidades de negócios é citado por um número similar de entrevistados (44%). A diversidade de plataformas de TI é a única barreira técnica incluída entre os três principais obstáculos por mais de um terço (41%) dos entrevistados.
O que esperar do gerenciamento de riscos É hora de agir: Sumário Executivo 5
6 O que esperar do gerenciamento de riscos É hora de agir: Sumário Executivo Definir o apetite a risco 3. Os altos executivos vêem o gerenciamento de risco como fator crítico, mas poucas organizações definem o seu apetite ao risco. Quase todos os executivos reconhecem o gerenciamento de riscos como sendo um elemento importante para o sucesso geral dos negócios da sua organização. A maioria (86%) dos entrevistados da pesquisa afirmou que as considerações relacionadas ao gerenciamento de riscos são em certa medida contempladas no processo de planejamento estratégico (ver o gráfico 4). As organizações mais sofisticadas levam em conta tais aspectos regularmente na tomada de decisões estratégicas, articulando a perspectiva sobre riscos à perspectiva sobre o crescimento da empresa. Maiores ameaças No entanto, apenas um em cada cinco (19%) dos entrevistados afirma que a sua organização desenvolveu e formalizou o seu apetite ao risco, enquanto quase um quarto (22%) afirmou que a sua formalização está sendo elaborada. Cerca de 40% dizem que houve a formalização, mas até o momento não foi comunicada para toda a organização e 19% afirmam que a organização ainda não lida com esta questão (ver gráfico 5). Embora se tenham registrado alguns progressos, as organizações terão de aumentar os seus esforços no sentido de desenvolver ferramentas criativas para a tomada de decisões, que incluem o desenvolvimento de formas de medir e reportar o apetite ao risco. 4. A pressão regulatória e as mudanças no ambiente regulatório representam a maior ameaça para os entrevistados; a instabilidade político-econômica global é vista como principal cenário de risco. Pressões e/ou mudanças no ambiente regulatório foram classificadas como o risco mais elevado, com 46% dos entrevistados indicando que elas representam a maior ameaça, seguida pelo risco à reputação de modo geral (41%), risco de crédito/mercado/liquidez (34%) e risco geopolítico (32%) (ver gráfico 6). A crise econômica e instabilidade geopolítica no nível global foram citadas como o principal cenário de risco que todos os setores enfrentam, com a exceção de Healthcare, que classificou este cenário como segunda maior ameaça, atrás de uma acentuada redução nos gastos com saúde. Pode-se argumentar que a Saúde é um setor com grandes oportunidades de crescimento em todo o mundo, na medida em que os governos enfrentam os desafios do envelhecimento da população e do aumento das doenças crônicas, e as classes emergentes demandam um gasto maior com serviços privados em Healthcare. O desafio para as empresas do setor é navegar por diferentes regras e regulamentos, que, em alguns casos, mudam radicalmente, e enfrentar também a pressão dos governos por contenção de gastos. O Setor Financeiro e o de Energia e Recursos Naturais são dois outros nos quais as pressões regulatórias geram preocupação especial. Na esteira do colapso econômico global, os reguladores receberam um novo mandato: considerar como a atuação das empresas destes setores afeta os mercados em todo o mundo. E os executivos hoje estão plenamente cientes que a instabilidade em uma parte do mundo pode ter um profundo impacto sobre seus negócios locais e no exterior. As pressões regulatórias e por parte do governo são os maiores riscos que ameaça o meu setor: Serviços financeiros Healthcare Energia e recursos naturais Indústria em geral Tecnologia, mídia e telecomunicações Outros setores 59% 50% 53% 23% 33% 46% A crise econômica global/instabilidade geopolítica é o cenário de risco que representa a maior ameaça para o meu setor Serviços financeiros Healthcare Energia e recursos naturais Indústria em geral Tecnologia, mídia e telecomunicações Outros setores 66% 36% 69% 81% 49% 69%
O que esperar do gerenciamento de riscos É hora de agir: Sumário Executivo 7 Três linhas de defesa 5. Os entrevistados acreditam que as unidades de negócios são mais aptas do que uma área de gerenciamento de riscos, de compliance ou a auditoria interna para a avaliação e gerenciamento de riscos. Os entrevistados avaliam como sendo boa a capacidade de suas organizações de identificar, avaliar e gerenciar os riscos atuais e emergentes no contexto das três linhas de defesa do gerenciamento de risco corporativo. A primeira linha de defesa -as unidades de negócios -, é considerada a mais forte, com 79% e 75%, respectivamente, afirmando que a sua organização é eficaz na identificação/ avaliação dos riscos e no seu gerenciamento neste nível. As proporções caem para 74% e 73%, respectivamente, quando é analisada a segunda linha de defesa, que corresponde às funções de Gerenciamento de Riscos e de Compliance, e para cerca de dois terços no caso da terceira linha de defesa, que é a auditoria interna. Estas constatações apresentam um contraste em relação à abordagem do GRC, segundo a qual a segunda linha (funções de Gerenciamento de Riscos e Compliance) e a terceira linha de defesa (auditoria interna) deveriam ser igualmente hábeis na identificação, avaliação e gerenciamento de riscos. Logo, existem oportunidades de se articular estas três linhas de defesa e assim aumentar as capacidades de identificação, priorização, medição e comunicação dos riscos.
8 O que esperar do gerenciamento de riscos É hora de agir: Sumário Executivo
O que esperar do gerenciamento de riscos É hora de agir: Sumário Executivo 9 Barreiras à convergência 6. A falta de talentos profissionais e/ou expertise tem impedido a convergência das funções de risco e de controle. Na opinião de mais de 50% dos entrevistados, a principal razão para a convergência das funções de risco e de controle é reduzir a exposição da organização aos riscos; outro motivo, citado por 37% dos executivos, é melhorar a performance (ver gráfico 7). No processo de convergência entre as funções de risco e de controle as organizações enfrentam uma série de obstáculos e os entrevistados foram solicitados a Frágeis estruturas de incentivo 7. Estruturas de incentivo frágeis impedem tomadas de decisão baseadas no risco. Embora a maior parte dos entrevistados afirme que suas empresas têm programas de gerenciamento de risco relativamente maduros em comparação com os seus pares, a relação entre o gerenciamento de risco e a remuneração dos funcionários é fraca. Os entrevistados reconhecem que não se faz o suficiente para motivar os gerentes a utilizar efetivamente uma abordagem de riscos nas tomadas de decisão. A ausência de uma base de remuneração que premie o foco no gerenciamento de nomear os três principais. A falta de talentos profissionais /expertise é a principal barreira, citada por 42% dos entrevistados, seguida pela complexidade do processo de convergência (36%), e a existência de prioridades mais importantes (33%). Todas as outras barreiras são consideradas menos relevantes, sendo citadas por menos de um terço dos entrevistados (ver gráfico 8). Notadamente, a falta de recursos financeiros é a barreira menos importante, com 19%. risco é vista como uma fraqueza significativa por 33% dos entrevistados. Cerca de 40% dos entrevistados afirmam que a sua organização estabelece um elo informal entre o gerenciamento de risco e a remuneração dos seus profissionais e 38% afirmam que há uma relação formal entre estes fatores. A despeito de como se caracteriza esta relação, seja formal ou informal, menos da metade dos executivos consideram o vínculo forte e quase um quarto (22%) afirma que não há vínculo algum. Investimento na gestão de risco 8. Investimentos para melhorar a gestão do risco continuarão a crescer nos próximos três anos. No ambiente de negócios de hoje, cada vez mais complexo, a maioria das empresas estão investindo em gerenciamento de risco. Dois terços (65%) dos entrevistados informam que a porcentagem das receitas investida em gerenciamento de risco hoje é maior do que há três anos e um número similar de entrevistados (66%) espera um aumento ao longo dos próximos três anos (ver gráficos 9 e 10).
10 O que esperar do gerenciamento de riscos É hora de agir: Sumário Executivo
O que esperar do gerenciamento de riscos É hora de agir: Sumário Executivo 11 Conclusão Gerenciar riscos, em um cenário de estagnação da economia global e de pressão regulatória acentuada, representa hoje enormes desafios para os executivos. Apesar das melhorias realizadas nos últimos anos, as expectativas dos stakeholders continuam a crescer, exigindo um nível maior de sofisticação. Para enfrentar este desafio, as empresas deverão melhorar as suas capacidades de gerenciar riscos para endereçar os assuntos abordados nesta pesquisa. Isto exigirá um maior envolvimento e a liderança dos seus executivos para atender às demandas do mercado com relação aos aspectos de governança, riscos e compliance. O resultado completo e as análises da pesquisa que serviu de base para este Sumário Executivo, oferecem mais detalhes de como envolver governança, riscos e compliance, imediatamente e no longo prazo.
Anexo (Fonte: Expectations of Risk Management Outpacing Capabilities, 2013) Gráfico 1: Qual das opções a seguir melhor reflete a sua opinião sobre a contribuição do gerenciamento de risco para a sua organização? 34% 15% 4% É essencial para agregar valor para o nosso negócio de forma global. Ele pode ocasionalmente nos ajudar a melhorar a forma como fazemos negócios. A sua contribuição para a nossa organização, de uma forma geral, é apenas marginal. Ele não contribui para nosso negócio. 47% Gráfico 2: Como você mede o retorno sobre o investimento (ROI) do seu programa de gerenciamento de riscos? Utilizamos medidores quantitativos para avaliar o programa de gerenciamento de riscos (por ex.: custos de capital, custos com hedge ou seguro etc.) Não temos nenhum mecanismo para medir o ROI do programa de gerenciamento de risco. Realizamos testes de stress nos principais processos e operações (core business) com relação a cenários específicos. Nós revisamos as situações ou eventos de risco passados para avaliar a efetividade da atuação do gerenciamento de risco. Nós nos baseamos nas agências de classificação de risco (rating agencies) para avaliar o nosso programa de gerenciamento de riscos.
O que esperar do gerenciamento de riscos É hora de agir: Sumário Executivo 13 Gráfico 3: Com que efetividade a sua organização é capaz de promover o entendimento do seu programa de riscos aos seus stakeholders? Os stakeholders têm um excelente entendimento do nosso programa Os stakeholders têm um bom entendimento do nosso programa Os stakeholders têm um entendimento razoável de nosso programa Os stakeholders têm um fraco entendimento do nosso programa Os stakeholders têm um entendimento bastante fraco do nosso programa Menos da metade dos entrevistados acredita que a organização é eficaz em promover o entendimento do seu programa de riscos aos 44% seus stakeholders. Gráfico 4: Com que frequência as considerações relacionadas ao gerenciamento de riscos são contempladas nas decisões de planejamento estratégico de sua organização? Com frequência, em todas as decisões/sessões de planejamento estratégico. Frequentemente, na maioria das decisões/sessões de planejamento estratégico. 20% 11% 3% 27% Pelo menos, anualmente, na sessão de planejamento estratégico. Raramente, apenas em decisões/sessões importantes de planejamento estratégico. Não sei/o grau em que as unidades de negócios se utilizam de tais considerações no planejamento estratégico varia bastante. 39% 86% A maioria dos entrevistados da pesquisa disse que as considerações relativas ao gerenciamento de risco são, até certo ponto, contempladas nas decisões de planejamento estratégico.
14 O que esperar do gerenciamento de riscos É hora de agir: Sumário Executivo Gráfico 5: A organização formaliza o seu apetite ao risco? Documentalmente formalizado e implementado. Elaborado documentalmente mas não foi comunicado ou a sua comunicação foi vetada. Não é formalizado. Está em processo de elaboração. Comunicado entre os responsáveis pelo gerenciamento de risco, mas não à organização como um todo. Gráfico 6: Quais dos assuntos a seguir, representam a maior ameaça para a sua indústria de atuação? 46% 41% 34% 32% 28% 17% 17% Pressão regulatória/ mudanças no ambiente regulatório Risco à reputação Risco de crédito/ mercado/liquidez Risco geopolítico (e.g., crise na zona do Euro) Problemas na cadeia de suprimentos Segurança da informação/fraudes em TI Estabilidade da TI 13% 12% 11% 9% 9% 7% Governança e qualidade da informação Riscos legais Infraestrutura da TI Mídia social Desastres naturais Mudanças climáticas
O que esperar do gerenciamento de riscos É hora de agir: Sumário Executivo 15 Gráfico 7: Qual dos fatores abaixo tem a maior influência sobre o interesse da sua organização em promover a convergência das suas funções de risco e de controle (isto é, das responsabilidades de gerenciamento de risco em todas as linhas de defesa)? Nenhum - não estamos interessados na convergência entre as funções de risco e de controle Foco crescente na responsabilidade social corporativa Motivação para reduzir custos Foco crescente em governança endereçado pelos stakeholders internos e externos Desejo em agilizar a tomada de decisões Necessidade de responder a uma intervenção regulatória Necessidade de enfrentar a complexidade geral dos negócios Desejo de evitar escândalos de ordem ética e reputacional Motivação para melhorar o desempenho corporativo Desejo de reduzir a exposição da organização aos riscos
16 O que esperar do gerenciamento de riscos É hora de agir: Sumário Executivo Gráfico 8: Qual dos seguintes itens você considera os obstáculos mais significativos para uma maior convergência entre as funções de risco e de controle na sua organização? Falta de talentos profissionais /expertise Complexidade do processo de convergência Existência de prioridades mais relevantes Falta de clareza em relação aos benefícios potenciais Dispersão geográfica da nossa organização Custo do processo de convergência Resistência às mudanças no âmbito do Conselho de Administração e da Diretoria Executiva Estrutura de TI inadequada Falta de recursos financeiros Outros
O que esperar do gerenciamento de riscos É hora de agir: Sumário Executivo 17 Gráfico 9: Como o nível de investimento em gerenciamento de riscos (como um percentual da receita) na sua organização hoje se compara com o de três anos atrás? 29% 4% 2% 18% Substancialmente maior Um pouco maior Nenhuma mudança Um pouco menor Substancialmente menor 47% 65% Dois terços dos entrevistados indicam que o percentual das receitas investidas no gerenciamento de riscos é mais elevada hoje do que há três anos Gráfico 10: Que mudança você prevê no nível de investimento em gerenciamento de riscos (como um percentual da receita) na sua organização ao longo dos próximos três anos? 30% 15% 3% 1% Irá aumentar substancialmente Irá aumentar, mas não de forma substancial Irá se manter o mesmo Irá diminuir, mas não de forma substancial Irá diminuir substancialmente 51% 66% Dois terços dos entrevistados esperam um aumento nos próximos três anos
Para maiores informações, por favor contactar: Sidney Ito Sócio-Líder em Consultoria em Riscos no Brasil e na América do Sul riskconsulting@kpmg.com.br A Consultoria em Riscos da KPMG (KPMG Risk Consulting) aborda os mais diversos riscos corporativos, contando com profissionais especialistas e voltados ao seu ramo de indústria: André Coutinho Sócio Riscos Estratégicos, Operacionais e de Projetos Eduardo Cipullo Sócio Riscos na Tecnologia da Informação Diogo Dias Sócio Riscos de Fraude Eduardo Baptista Sócio Riscos Contábeis e de Demonstrações Financeiras Sidney Ito Sócio Riscos na Governança Corporativa e em Sustentabilidade Todas as informações apresentadas neste documento são de natureza genérica e não têm por finalidade abordar as circunstâncias de uma pessoa ou entidade específica. Embora tenhamos nos empenhado em prestar informações precisas e atualizadas, não há garantia de sua exatidão na data em que forem recebidas nem de que tal exatidão permanecerá no futuro. Essas informações não devem servir de base para se empreenderem ações sem orientação profissional qualificada, precedida de um exame minucioso da situação em pauta. 2013 KPMG Auditores Independentes, uma sociedade simples brasileira e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International Cooperative ( KPMG International ), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil. O nome KPMG, o logotipo e cutting through complexity são marcas registradas ou comerciais da KPMG International. Conteúdo traduzido para a língua portuguesa da publicação Expectations of Risk Management Outpacing Capabilities It s Time For Action em inglês. KPMG