Transformando

riscos em resultados
Como grandes empresas
utilizam a gestão de riscos
para impulsionar o desempenho
 Nossa visão
de riscos
Resultados. Melhorias. Estratégias. Conhecimento.

Índice Introdução

Introdução: gerenciando riscos para

melhorar o desempenho.............................. 1
Qual o diferencial das empresas
de melhor desempenho?............................. 5 Gerenciando riscos “ Em nosso ponto de
para melhorar
Investimentos maciços feitos pelas empresas geralmente Nosso estudo constatou que, enquanto a maior parte
não atendem às áreas mais estratégicas em relação a das organizações executa elementos básicos da gestão vista, as empresas com
riscos de negócio. Consequentemente, a alta administração de riscos, as de melhor desempenho vão além. práticas de risco mais

pode não perceber a gestão de riscos como um ponto
estratégico para a empresa.
A maturidade da gestão de riscos direciona
os resultados financeiros............................ 2
Nossa pesquisa sugere que empresas com práticas
de gestão de riscos mais maduras apresentaram os maiores
crescimentos em receita, EBITDA e EBITDA/EV.
O enfoque das empresas para promover
resultados com a gestão de riscos............... 4
As organizações atingem resultados a partir da gestão
de riscos de três maneiras inter-relacionadas: mitigação
de riscos, redução de custos e geração de valor.
Como grandes empresas
transformam riscos em resultados............... 6
Os resultados dos nossos estudos sugerem que cinco
componentes são essenciais para o processo de
transformação dos riscos e promoção da melhoria
do desempenho.
Potencializando a gestão de riscos para
melhoria da performance dos negócios...... 13
Empresas que tiverem êxito na transformação dos riscos
em resultados criarão vantagem competitiva.
Este é o momento para a alta administração avaliar
os atuais investimentos em gestão de riscos e discutir como
ir além do compliance, abordando questões que envolvam
valor estratégico para o negócio.
o desempenho
maduras apresentam
desempenho financeiro
melhor que aquelas
Os eventos ocorridos na última década, que vão desde os casos Enron e WorldCom
até a mais recente crise financeira mundial, mudaram significativamente a concepção do mesmo porte. Nossa
de risco por parte das organizações. Empresas ao redor do mundo investiram experiência, pesquisas,
intensamente em pessoal, processos e tecnologia para mitigar e controlar riscos
em seus negócios. Historicamente, esses investimentos em risco concentraram-se
e estudos reforçam
principalmente nos controles financeiros e conformidade regulatória (compliance). essa perspectiva.”
No entanto, esses investimentos não atingiam áreas consideradas estratégicas
Randall Miller
do ponto de vista de riscos de negócio. Consequentemente, a alta administração
Líder Global de Assessoria em
pode não ter percebido a gestão de riscos como uma função estratégica para
Risco da Ernst & Young
a empresa. A alta administração também não possuía confiança suficiente na
habilidade de identificar e responder aos riscos que podem impactar o desempenho
financeiro de sua organização.
Eis que surge uma questão estratégica: “As organizações com nível de maturidade
elevada em suas práticas de gestão de riscos apresentam desempenho financeiro
melhor que outras do mesmo porte e ramo de atuação?”.
De acordo com a nossa pesquisa e experiência, concluímos que “sim!”.

ii 1
A maturidade da gestão Sumário das principais descobertas

de riscos direciona
Utilizando uma pesquisa quantitativa realizada em âmbito global (baseada
em 576 entrevistas realizadas com empresas ao redor do mundo e na revisão
de mais de 2.750 relatórios financeiros), avaliamos o nível de maturidade

os resultados financeiros
das práticas de gestão de riscos para então determinar uma relação positiva
entre a maturidade da gestão de riscos e o desempenho financeiro.
Identificamos as principais práticas de gestão de riscos que diferenciaram
os vários níveis de maturidade e as organizamos em componentes de riscos
Nossa pesquisa sugere que uma maior maturidade na gestão de risco se traduz específicos.
em vantagem competitiva: observamos que empresas que adotaram práticas de gestão Os principais pontos identificados foram:
de riscos mais maduras apresentaram os maiores crescimentos em receita, EBITDA • As empresas com melhor desempenho (Top-performers - do ponto de vista
e EBITDA/EV. de maturidade) implementaram, em média, duas vezes mais iniciativas
de gestão de riscos que aquelas com desempenho inferior.
• Empresas inseridas no grupo de maturidade elevada (Top 20%)
Taxa composta de crescimento anual 2004–11* geraram um EBITDA três vezes maior em relação às empresas inseridas
por nível de maturidade de risco no grupo de maturidade inferior (Bottom 20%).
• O desempenho financeiro está diretamente relacionado ao nível de integração
e coordenação entre as funções de risco, controle e conformidade (compliance).
20,.3%
Alto nível 20% • Uma efetiva utilização de tecnologia para sustentar a gestão de
16,8% riscos apresenta-se como a maior fraqueza ou oportunidade para a maioria
Nível das organizações.
intermediário 60%

Baixo nível 20%

10,6%
9,5%
8,3%
7,4%

4,1%
2,5% 2,1%

Receita EBITDA EBITDA/EV

* acumulado no exercício de 2011 até 18 de novembro de 2011.

Seis perguntas direcionadas à alta administração

1. O que abrange o conceito de “gestão de riscos”? Essa é uma responsabilidade de funções específicas
ou atribuída à empresa como um todo?
2. A sua organização enxerga riscos como uma oportunidade ou uma ameaça?
3. A sua abordagem para riscos está voltada unicamente à conformidade (compliance)
ou contribui com valor estratégico que impulsiona o desempenho?
4. Qual a segurança que os riscos realmente relevantes estão sendo gerenciados?
5. Você sabe quais os riscos que, se bem gerenciados, levarão ao aumento do valor ou dos resultados
de sua organização?
6. Sua empresa está tirando o melhor proveito da gestão de riscos?

2 3
O enfoque das empresas Qual o diferencial
para promover resultados das empresas de melhor
com a gestão de riscos desempenho?
Nossa experiência indica que as organizações atingem resultados a partir da gestão Nosso estudo constatou que, enquanto a maior parte das organizações executa elementos básicos da gestão de riscos, as
de riscos de três maneiras inter-relacionadas. Algumas empresas concentram-se de melhor desempenho vão além. Observamos que práticas específicas de gestão de riscos, presentes de maneira consistente
na mitigação dos riscos de maneira geral, enquanto outras se concentram em eficiência, nas empresas que registraram melhor desempenho (por exemplo, 20% das empresas com maturidade elevada em gestão de riscos),
reduzindo os custos gerais dos controles. Há ainda aquelas que focam na geração não estavam presentes nas empresas que apresentaram baixa maturidade em gestão de riscos (empresas que compõem
de valor, por meio da combinação entre mitigação dos riscos e redução de custos. os 20% do limite inferior). Essas práticas de gestão de riscos podem ser organizadas nas seguintes áreas de desafio, conforme
demonstrado no quadro abaixo.
Mitigação dos riscos As constatações de nosso estudo sugerem que estes componentes são essenciais para transformar o risco e impulsionar
Mitigação Geração
Os riscos de uma organização podem proliferar em um ritmo muito mais rápido a melhoria de desempenho da empresa.
dos riscos de valor
que a sua habilidade de fornecer a respectiva cobertura, ou resposta, aos riscos.
É necessário que as organizações possam identificar e abordar as principais
Agenda do Risco: pesquisa envolvendo as principais práticas
áreas de riscos, além de serem ágeis na solução das deficiências, por meio de:
Redução • Identificação e entendimento dos “riscos relevantes”. Aprimorar a estratégia de riscos Incorporação da gestão de riscos
de custos • Investimento específico em riscos associados aos “objetivos estratégicos • As organizações possuem comunicação aberta sobre riscos • Existência de um método formal para a definição de níveis
da empresa”. envolvendo stakeholders externos. aceitáveis de risco no âmbito da organização.
• Avaliação efetiva dos riscos por todo o negócio e definição de papéis • A comunicação é transparente e oportuna, fornecendo • Testes de stress são usados para validar a tolerância ao risco.
e responsabilidades. às partes interessadas as informações relevantes
que transmitem as decisões e valores da organização. • A liderança da empresa implanta um programa eficaz
• Apresentação da efetividade da gestão de riscos aos investidores, analistas de gestão de riscos.
• O Conselho ou comitês de gestão desempenham papéis
e reguladores. • O planejamento e ciclos de reporte de riscos são
importantes e de liderança na definição dos objetivos
da gestão de riscos. coordenados para que informações atuais sobre riscos
Redução de custos sejam incorporadas no planejamento do negócio.
• Adoção e implantação de uma estrutura de gestão
Mitigação Geração Para muitas organizações, identificar formas de otimizar custos nos diferentes de riscos comum a toda a organização.
dos riscos de valor aspectos da organização continua sendo um fator crítico em meio à volatilidade Transformando
do ambiente econômico atual. As oportunidades para redução de custos Riscos em
podem incluir: Melhoria de controles e processos Resultados Otimização das funções de gestão de riscos
Redução • Implementação de um novo modelo de gestão de riscos para melhorar
• Linhas de negócio estabelecem os principais indicadores • Treinamentos relacionados à gestão de riscos
de custos significativamente a estrutura de custos. de risco (KRIs – Key Risk Indicators) que antecipam e definem são incorporados às metas de desempenho individual.
• Redução do custo dos controles por meio do uso aperfeiçoado de controles a gestão de riscos. • As ferramentas de monitoramento e reporte de riscos
automatizados. • Autoavaliação e outras ferramentas de reporte são são padronizadas por toda a organização.
padronizadas por todo o negócio. • Tecnologia integrada facilita a gestão de riscos na
• Simplificação ou eliminação de atividades de controle duplicadas.
• Os controles são otimizados para promover eficácia, organização e elimina ou previne redundâncias ou falta
• Aprimorar a eficiência por meio da automatização e monitoramento continuo reduzir custos e contribuir para um desempenho cada vez de cobertura.
de processos. melhor nos negócios. • O sistema de reporte notifica todas as partes interessadas
• As principais métricas de risco e controle são definidas afetadas por um determinado risco, e não apenas aquelas
Geração de valor e atualizadas para abordar os impactos sobre os negócios. relacionadas à função ou área em que o risco foi identificado.
Muitas organizações estão buscando maneiras de aplicar a gestão de riscos
Mitigação Geração e controles na melhoria do desempenho da empresa. As oportunidades podem incluir:
dos riscos de valor Facilitar a gestão de riscos Comunicar a cobertura de riscos
• Alcançar retornos superiores a partir de investimentos em gestão de riscos.
• Aceitar os riscos certos para alcançar vantagem competitiva nos negócios. • Rastreamento, monitoramento e divulgação • As organizações discutem a estrutura de gestão
• Melhoria dos controles nos principais processos. são realizados regularmente utilizando softwares de GRC. de riscos e controles em seus reportes anuais.
Redução • Utilizar análises de dados para otimizar o portfólio de riscos e melhorar a tomada • A identificação e avaliação dos riscos são realizadas • As organizações compartilham informações sobre gestão
de custos regularmente utilizando softwares de GRC. de riscos com seus clientes e demais interessados
de decisão.
por meio de instrumentos independentes de reporte.
• Utilizar economias oriundas da gestão de riscos para financiar iniciativas
corporativas estratégicas.

4 5

Como grandes empresas
transformam riscos
em resultados
As empresas que forem bem-sucedidas na transformação de riscos em resultados criarão uma vantagem competitiva por
meio da utilização eficiente de recursos escassos, da melhoria do processo decisório e da redução da exposição a eventos negativos.
Este é o momento para a alta administração adotar uma “ótica de risco” mais abrangente para o negócio.
Expectativas
do Comitê de Auditoria
e da Administração
Aplicação de uma
“ótica de riscos”
ao negócio
Iniciativas de negócios,
metas e estratégias
da empresa
Funções tradicionais
de gestão de riscos
“Quando se trata de desenvolvimento e execução de estratégia,
é importante que a gestão de riscos impulsione o desempenho
dos negócios - e não apenas proteja o negócio.”
6 7
Agenda de RISCO: research study leading practices
Estratégia de melhoria do risco Incorporação da gestão de risco
Transformando
risco em
Melhoria de controles e processos resultado Otimização da função da gestão de risco
Aprimorar a estratégia de riscos Promoção da gestão de risco Comunicação da cobertura de risco
Uma gestão de riscos efetiva começa nos níveis hierárquicos mais
altos e possui clareza a respeito da estratégia e governança de riscos.
É essencial que exista adequada supervisão e responsabilidades
O que as empresas com alto
por parte dos membros do Conselho de Administração e da diretoria.
No nível gerencial, os executivos precisam desempenhar um papel desempenho estão fazendo certo
fundamental na avaliação e gestão dos riscos. Uma estrutura Os resultados obtidos em nossa pesquisa e estudos
aprimorada de governança, adequada comunicação e reporte à alta demonstram que as empresas que registraram
administração resultam em maior visibilidade, atuação responsável melhor desempenho adotam as seguintes práticas
e transparência. Adicionalmente, a divulgação e supervisão de gestão de riscos:
realizadas de forma eficaz são fundamentais para a melhoria
• Comunicações abertas em ambos os sentidos no que
do processo decisório (tomada de decisões estratégicas).
se refere ao risco incidente sobre stakeholders externos.
A melhoria da estratégia de riscos possibilita que as empresas
• Comunicação transparente e oportuna, fornecendo
sejam capazes de antecipar riscos de maneira eficiente. No entanto,
Agenda de Riscos Ótica dos Resultados aos stakeholders informações relevantes que transmitam
mesmo com a prática de uma estratégia preventiva mais robusta,
as decisões e os valores da organização.
Resultados desejados ainda há a possibilidade da ocorrência de eventos não previstos
Melhorar a Fortalecer a governança e supervisão de riscos
que podem afetar o desempenho. Portanto, enquanto é fundamental • O conselho ou comitês desempenham um papel de
estratégia Definir a estratégia de riscos com responsabilidades Valor: investir de forma liderança na definição dos objetivos da gestão de riscos.
identificar proativamente as estratégias que visam mitigar os riscos,
de riscos pela gestão de riscos nos níveis de conselho diferenciada na gestão
antes mesmo da ocorrência de um evento, é igualmente importante • Uma estrutura de gestão de riscos foi implantada
e diretoria. dos riscos relevantes,
visando à melhoria do desenvolver estratégias de reação que possibilitem que a e adotada por toda a organização.
Incorporar a EBITDA; melhorar os organização reaja rapidamente caso um risco se materialize.
Integrar gestão de riscos e de desempenho
gestão de riscos Incorporar ao planejamento e gestão controles dos principais
ao planejamento de desempenho do negócio uma abordagem processos de negócio.
E s t u d o d e c a s o
para avaliação e monitoria dos riscos Custo: reduzir em
aproximadamente 30%
Otimizar Coordenar as múltiplas funções de risco o custo dos controles; Empresa classificada entre as 50 maiores do mundo utiliza a governança
as funções de
gestão de riscos
Melhorar a cooperação entre as múltiplas funções alavancar controles
automatizados
de riscos para fortalecer a comunicação com stakeholders
de risco para ampliar a cobertura, reduzir custos
e agregar valor ao negócio. de maneira eficiente. Uma empresa de bens de consumo, classificada entre as 50 maiores do mundo, queria aumentar a transparência
Risco: alinhar os riscos e comunicação com seus stakeholders. Para tal, a empresa começou estabelecendo um Comitê de Riscos ligado ao Conselho
à estratégia corporativa; de Administração. Apesar de o Conselho em si agir como um Comitê de Riscos, nenhum dos integrantes do conselho
Aprimorar Melhorar o desempenho no nível do negócio
controles Propiciar que a organização efetue uma gestão incorporar a cultura havia sido especificamente designado para tratar do tema riscos. Estabeleceram então um Comitê de Riscos no nível
e processos diferenciada dos principais riscos a partir de riscos por todo da Diretoria Executiva e contrataram um Diretor de Riscos (CRO – Chief Risk Officer).
de processos e controles no nível do negócio. o negócio e reduzir
redundâncias na gestão
Em seguida, identificaram profissionais responsáveis por riscos no nível do negócio e operações, designados como Risk Champions.
dos riscos por meio da Visando à melhoria da comunicação externa, a empresa desenvolveu uma estrutura de governança e reforçou a agenda de riscos
Promover a gestão de riscos, comunicar a cobertura de riscos. integração e coordenação. em geral por meio de:
• Alinhamento dos riscos à estratégia. Ocorre em diferentes níveis. O nível mais básico é o de inserir premissas adicionais
Auditoria Interna, Controles Internos, Compliance, Gestão de Riscos,
Segurança da Informação, Jurídico, Tributário, Regulatório, Transações relacionadas ao planejamento estratégico em geral, o qual geralmente considera projeções para os próximos três a cinco anos.
Corporativas, SOX Compliance. A organização listou essas premissas adicionais, utilizando-se de três perguntas básicas para desenvolver um perfil de
risco e identificar riscos estratégicos: (1) O que precisa dar certo para atingirmos a nossa estratégia? (2) O que pode dar
errado? e (3) Como saberíamos?
• Incorporação de princípios de risco no ciclo de planejamento da unidade de negócios. A organização fez as mesmas três
perguntas que a unidade de negócios enquanto reunia as previsões de 12 meses para identificar riscos operacionais.
O desenvolvimento de uma estrutura de governança de riscos também contemplou a definição do apetite ao risco
da organização, definição do universo de riscos, determinação de métodos para mensuração dos riscos e estabelecimento
da tecnologia adequada para auxiliar na gestão dos riscos.
As três perguntas feitas tanto no nível operacional como estratégico possibilitaram à organização documentar 80% dos riscos
que possuíam impacto sobre o desempenho. O estabelecimento de uma estrutura de governança de riscos, a identificação
de papéis e responsabilidades, e o desenvolvimento de um mandato e escopo para cada comitê de riscos contribuíram para
Michael Herrinton a melhoria da comunicação com os stakeholders internos.
Líder de Riscos para as Américas Ao identificar os riscos estratégicos e operacionais que possuíam impacto sobre o desempenho da organização, e ao
Ernst & Young LLP estabelecer uma abordagem coordenada em relação aos riscos por todo o negócio, essa empresa de bens de consumo criou
subsídios para uma comunicação aberta e assertiva com os stakeholders externos quanto à sua estratégia de gestão de riscos,
fortalecendo relacionamentos e construindo mais confiança no mercado.
 Agenda de RISCO: research study leading practices
Agenda de RISCO: research study leading practices
Estratégia de melhoria do risco Incorporação da gestão de risco
Estratégia de melhoria do risco Incorporação da gestão de risco

Transformando Transformando
risco em risco em
Melhoria de controles e processos resultado Otimização da função da gestão de risco
Melhoria de controles e processos resultado Otimização da função da gestão de risco

Incorporar a gestão de riscos Promoção da gestão de risco Comunicação da cobertura de risco

Otimização das funções Promoção da gestão de risco Comunicação da cobertura de risco

O risco de negócio é inerente a todo empreendimento. No de gestão de riscos

entanto, as organizações que incorporam práticas de gestão
de riscos ao planejamento dos negócios e à gestão do
desempenho possuem maior chance de alcançar êxito em
seus objetivos estratégicos e operacionais. As empresas que
registraram melhor desempenho entendem que os riscos
precisam ser incorporados como parte do DNA da organização.
Anos atrás, muitas organizações passaram a dar atenção
especial à mitigação de riscos e controle de custos,
com o intuito de evitar problemas para o negócio e proteger
a marca. Atualmente, mais e mais organizações concentram-se
em desenvolver estratégias de gestão de riscos que viabilizem
os negócios. Pela primeira vez, vemos claramente as
organizações identificarem as correlações existentes entre
as estratégias do negócio, de tecnologia e de riscos –
e como estas se encaixam.
E s t u d o d e c a s o
À medida que uma organização cresce e se modifica,
suas atividades relacionadas a riscos, controles e conformidade
O que as empresas com alto
(compliance) geralmente se tornam fragmentadas, estruturadas
desempenho estão fazendo certo em silos e sem o devido alinhamento, fato que impacta
Os resultados obtidos em nossa pesquisa e estudos tanto a governança como os negócios em si. Frequentemente,
demonstram que as empresas que registraram melhor ocorrem múltiplas comunicações à administração e ao Conselho
desempenho adotam as seguintes práticas de gestão de riscos: que são duplicadas e geram confusão. E a falta de coordenação
• Existência de um método formal para a definição de níveis entre as funções pode levar ao aumento de custos e fadiga
aceitáveis de risco no âmbito da organização. dos negócios.
• Testes de stress são usados para validar a tolerância Ao dar os passos seguintes, a organização pode reduzir sua
ao risco. carga de riscos (sobreposição e redundância), diminuir os custos
totais, ampliar as coberturas e promover a eficiência:
• A liderança da empresa implanta um programa eficaz
de gestão de riscos. • Alinhar mandato e escopo. O alinhamento das funções
• O planejamento e ciclos de reporte de riscos são de monitoramento e controle aos riscos mais significativos
coordenados para que informações atuais sobre riscos para a empresa pode otimizar o valor das funções de gestão
sejam incorporadas no planejamento do negócio. de riscos das organizações.
• Coordenar infraestrutura e pessoas. A contínua avaliação
dos níveis de capacidade e deficiências, da consistência
de papéis e responsabilidades e do investimento
no desenvolvimento de talentos promove a eficiência.
O que as empresas com alto
desempenho estão fazendo certo
Os resultados obtidos em nossa pesquisa e estudos
demonstram que as empresas que registraram
melhor desempenho adotam as seguintes práticas
de gestão de riscos:
• Treinamentos sobre riscos são incorporados
ao desempenho (metas) de cada profissional.
• As ferramentas de monitoramento e reporte de riscos
são padronizadas por toda a organização.
• A tecnologia integrada proporciona a organização
gerir riscos e eliminar ou prevenir redundâncias e falta
de cobertura.
• As sobreposições e duplicações das atividades de risco
foram identificadas e estão sendo tratadas.

O valor de uma boa gestão de riscos • Utilização de métodos e práticas consistentes. A aplicação
de uma abordagem disciplinada em relação à gestão de riscos
“Nós não compreendemos o valor de nossas iniciativas relacionadas à gestão de riscos”, reclamou o diretor de uma empresa. por toda a organização irá contribuir para que as funções
“Elas custam caro, a implantação é lenta ao ponto de prejudicar nossa agilidade e existe uma confusão no Conselho em relação de risco “falem a mesma língua” ao se reportar ao Conselho.
aos relatórios que recebem. Simplesmente não conseguimos controlar as ações de cada um, nem tampouco a maneira e
• Implementar informações e tecnologias comuns. O
a qualidade do que estão executando.” Por quê? Uma vez que a gestão de riscos não foi incorporada aos negócios, os papéis
compartilhamento de ferramentas de informação e tecnologia
e responsabilidades não foram, por sua vez, claramente definidos e não houve a devida coordenação entre as funções de risco.
é essencial para o alinhamento dos principais riscos
Como resultado, a diretoria não consegue visualizar a saúde da organização do ponto de vista de risco.
de negócio e para dar visibilidade às atividades de gestão
O cliente então optou por se dedicar a incorporar a gestão de riscos aos negócios por meio do que se segue: de riscos em toda a organização.
• Desenvolvimento de uma árvore de valores. A organização já havia identificado de 10 a 15 principais riscos, além
de já ter identificado os cinco principais indicadores de desempenho. No entanto, não ficou clara a relação entre os riscos
e os indicadores. A árvore de valores auxiliou a organização a relacionar os cinco principais indicadores de desempenho
aos principais riscos.
• Relacionando risco ao ciclo de planejamento estratégico. A organização já havia identificado seus principais riscos,
“Muitos executivos não fazem ideia do retorno de seus
porém, ainda seria necessário dar o próximo passo e relacionar esses riscos ao ciclo de planejamento estratégico. investimentos em gestão de riscos. Se disserem que o retorno é neutro,
• Inserindo princípios de risco ao ciclo de planejamento do negócio. Ao relacionar o risco ao ciclo de planejamento eu lhes diria que não é bom o bastante.”
do negócio, a organização conseguiu priorizar e relacionar os principais riscos a suas operações.
• Revisão da agenda do capital. A organização dedicou muito tempo à redução do custo operacional, porém, o tema custo Jonathan Blackmore
do capital não foi abordado. O objetivo era alcançar eficiências da ordem de 15% a 20%. A organização revisou os Sócio de Assessoria em Risco – Europa,
métodos de alocação de capital. Oriente Médio, Índia e África da Ernst & Young

• Incorporando os princípios de risco aos processos de M&A. A organização registrou crescimento por meio de
M&A e da expansão em mercados emergentes. Para maximizar o valor estratégico dessas iniciativas, o CRO (Chief Risk
Officer) incorporou princípios de risco a M&A e às atividades em mercados emergentes.
A organização também teve que mudar a abordagem ao risco por causa do Diretor Jurídico. O Diretor Jurídico observou
que o risco era uma questão que devia ser documentada — e que, uma vez por escrito, o risco se tornaria uma
responsabilidade. Ao criar uma ligação direta entre o risco e declarações formais enviadas ao mercado, a organização
conseguiu o tão almejado apoio do Diretor Jurídico na gestão de riscos.

8 9
 Agenda de RISCO: research study leading practices
Estratégia de melhoria do risco Incorporação da gestão de risco

Transformando
risco em
Melhoria de controles e processos resultado Otimização da função da gestão de risco

E s t u d o d e c a s o Melhoria de controles e processos Promoção da gestão de risco Comunicação da cobertura de risco

Apesar de as organizações entenderem a importância da

Empresa de grande porte do ramo farmacêutico cria plano de ação implantação de controles e processos com enfoque em risco,
para iniciativas de risco autofinanciadas muitas organizações ainda lutam para criar ambientes
O que as empresas com alto
de controle otimizados que equilibrem custo e risco.
Cansados da situação em que se encontrava o ambiente de risco da organização, a alta administração de uma empresa
Ao otimizar controles relacionados aos principais processos
desempenho estão fazendo certo
do ramo farmacêutico reuniu os líderes de cada função de risco – Auditoria Interna, SOX, Jurídico e Regulatório, Compliance
de negócio, aproveitando controles automatizados em vez Os resultados obtidos em nossa pesquisa e estudos
e ERM. Os executivos, então, listaram uma série de situações relacionadas à gestão de riscos em geral: demonstram que as empresas que registraram
de manuais, e monitorando continuamente controles e KPIs
• Confusão com relação à cobertura de risco no âmbito do Conselho de Administração. críticos, as organizações podem melhorar o desempenho melhor desempenho adotam as seguintes práticas
• Impacto sobre as unidades de negócios. e reduzir os custos com controles. de gestão de riscos:

• Falta de coordenação e comunicação no desenvolvimento de mais de 13 análises de risco segregadas. • As linhas de negócios estabelecem os principais
indicadores de risco (KRIs) que antecipam e modelam
• Desenvolvimento de sete calendários de risco diferentes.
a análise de risco.
• Agenda das atividades de risco que não estão em linha com o “ritmo dos negócios”.
• A autoanálise e outras ferramentas de reporte são
• Deficiências no tratamento dos principais riscos. padronizadas por todo o negócio.
• Sobreposição de papéis e responsabilidades dentro das funções de gestão de riscos. • Os controles são otimizados para melhorar a eficácia,
Eles, então, deram três dias para que seus líderes identificassem, em equipe, a situação atual, estabelecessem uma situação reduzir custos e sustentar a melhoria do desempenho
futura e desenvolvessem um plano de ação com um retorno sobre investimento (ROI) que pudesse bancar todas as iniciativas dos negócios.
de risco futuras. • As principais métricas de risco são estabelecidas
Esse desafio estava acompanhado de um ultimato: caso não conseguissem retornar à diretoria com uma solução viável, no âmbito do negócio.
eles teriam que ser substituídos por líderes de risco que fossem capazes de fazê-lo. Individualmente, os executivos indicaram
que cada líder de risco receberia uma avaliação pelo esforço. No entanto, ao dedicarem muito tempo na construção
de estruturas segregadas em vez de se concentrarem em integrá-las, os líderes de risco foram reprovados em conjunto. E s t u d o d e c a s o
A organização havia reestruturado a área financeira, a cadeia de suprimentos e as operações da indústria. Seria então hora
de reestruturar a gestão de riscos. Empresa de bens de consumo classificada entre as 200 maiores do mundo
Tendo em mente que não seria possível resolver tudo de uma vez, a equipe responsável pela área de risco desenvolveu simplificou controles e custos
um plano de negócios que produziu melhorias rápidas para assuntos de menor complexidade, gerando retornos no curto Uma empresa de bens de consumo classificada entres as 200 maiores do mundo constatou que o custo de seus controles
prazo. A equipe de riscos concentrou-se particularmente em seis ações específicas: estava muito alto. A empresa contava com um ambiente demasiadamente controlado que estava prejudicando a capacidade
1. Criação de um único calendário de planejamento alinhado com o ciclo de negócios. do Departamento Financeiro de reagir efetivamente às mudanças em um cenário competitivo. A empresa gostaria de atingir
2. Revisão do direcionamento, escopo e processos para cada função, para identificar deficiências e sobreposições que uma redução de 50% no custo dos controles, o qual atingia a ordem de EUR 100 milhões.
precisam ser resolvidas. Para alcançar esse objetivo, a empresa de bens de consumo implementou três grandes ideias:
3. Coordenação de análises de risco que estejam de acordo com as necessidades da maior parte das funções de risco, 1. Estabeleceu um Centro de Excelência global para controles (CCoE – Controls Center of Excellence) para direcionamento
reduzindo o número de análises de risco de 13 para duas. e desenho de um conjunto de controles comum.
4. Adoção de uma estrutura, nomenclatura e universo de risco comum. 2. Adoção de controles desenvolvidos pelo CCoE, utilizando controles preventivos automatizados do SAP.
5. Desenvolvimento de estratégias de mitigação de risco. 3. Utilização de controles incorporados ao SAP para melhorar a confiança no ambiente de controles.

6. Utilização de ferramentas / tecnologia comuns para coletar e concentrar informações em um único repositório O CCoE global possibilitou à empresa automatizar mais de 90% dos controles preventivos e eliminar controles antigos,
de comum acesso a todas as funções de risco. duplicados e ineficazes. Ao utilizar o SAP, a empresa minimizou o uso de controles detectivos manuais, promovendo
um ambiente de controle mais eficiente, eficaz e com uso reduzido de papel. Por fim, ao aproveitar os controles incorporados
Além das seis ações acima mencionadas, a equipe de riscos concentrou-se na criação de uma visão única que eliminasse
ao SAP, assim como as ferramentas e , a administração passou a receber garantia em tempo real de que o
a estrutura segregada em silos, melhorando a comunicação e a coordenação.
ambiente de controles estava funcionando de forma eficaz.
Como resultado do esforço empreendido, a equipe de riscos conseguiu criar uma visão única para riscos, concentrada nos
riscos mais relevantes, colocou menos pressão no negócio, criou maior agilidade e maior capacidade de resposta a questões
relacionadas ao risco, e foi autofinanciada. “A consolidação de múltiplos controles e requisitos de compliance
em uma única estrutura sustentada pela tecnologia de GRC elimina
duplicidades e simplifica a conformidade – em alguns casos,
reduzindo o esforço pela metade.”
Bernie Wedge
Líder de TI para as Américas
Ernst & Young

10 11

Facilitar a gestão de riscos -
Comunicar a cobertura aos riscos
A transição de um perfil “avesso ao risco” para um perfil
“preparado para o risco” pode exigir mudanças significativas.
As organizações irão precisar da atuação de um executivo
experiente, assim como do suporte dos níveis hierárquicos
mais altos, além de executivos que liderem com base
em exemplos. Fundamentalmente, a gestão de riscos requer
mudanças culturais no negócio. Compreende ainda mudar
as óticas pelas quais os líderes enxergam as decisões
por eles tomadas. Para auxiliar na transição dessa perspectiva
no âmbito da organização, os executivos podem fazer
as seguintes perguntas:
• Qual a nossa posição como negócio?
• Qual o nosso apetite para mudanças?
• Em que tipo de organização estamos inseridos?
As respostas para essas perguntas servem de base à tomada
decisões relacionadas à gestão de riscos. Como parte de
qualquer esforço de mudança, as organizações também terão
que se comunicar abertamente e frequentemente com
todos os stakeholders. Para maior confiança, as organizações
deveriam apresentar aos stakeholders os resultados
de verificações independentes realizadas por terceiros.
As organizações também devem alavancar suas tecnologias
visando obter o máximo de benefícios. Isso não significa
que as iniciativas de gestão de riscos devem ser lideradas
com base na tecnologia. Em vez disso, a tecnologia deve
ser um propulsor da mudança. As ferramentas de GRC
em uso atualmente são capazes de propiciar uma agenda
de riscos completa. Isso inclui minimizar redundâncias,
aprimorar a cobertura de riscos e controles automatizados.
Entretanto, as organizações precisam garantir que estratégias
de TI com foco em riscos estejam alinhadas com as estratégias
de riscos e de negócios (de forma ampla e consistente).
12
The RISK Agenda: research study leading practices
Enhance risk strategy Embed risk management
Turning
risk into
Improve controls and processes results Optimize risk management functions
Enable risk management Communicate risk coverage
Conclusão
Potencializando a gestão
O que as empresas com alto
de riscos para melhoria
desempenho estão fazendo certo
Os resultados obtidos em nossa pesquisa e estudos
da performance dos negócios
demonstram que as empresas que registraram
melhor desempenho adotam as seguintes práticas
de gestão de riscos:
• Rastreamento, monitoramento e divulgação são
regularmente realizados utilizando software de GRC. Os resultados de nossas pesquisas e estudos apoiam as experiências da Ernst & Young com nossos clientes que dão conta
• Painéis de risco (dashboards) são automatizados e que transformar riscos em resultados exige uma abordagem multifacetada:
incluem indicadores de governança, risco e compliance. • Aprimorar a estratégia de riscos. Uma gestão de riscos efetiva começa nos níveis hierárquicos mais altos e possui clareza
• A identificação e a análise de riscos são realizadas a respeito da estratégia e governança de riscos. É essencial que exista adequada supervisão e responsabilidades por parte
frequentemente utilizando software de GRC. dos membros do Conselho e da diretoria. De igual importância é a necessidade de responsabilidade pelos riscos por toda a
organização. No nível gerencial, os executivos precisam desempenhar um papel fundamental na avaliação e gestão dos riscos.
• Incorporação da gestão de riscos. O risco é inerente a todo negócio, no entanto, as organizações que incorporam práticas
de gestão de riscos ao planejamento dos negócios e à gestão do desempenho possuem maior chance de alcançar objetivos
“Agora, mais do que nunca, estratégicos e operacionais. A realização de uma avaliação de riscos em uma empresa pode auxiliar a priorizar e identificar
oportunidades de melhorias.
as organizações devem adotar • Otimização das funções de gestão de riscos. Ao alinhar e coordenar atividades de gestão de riscos em todas as funções
uma abordagem abrangente e de risco e compliance, a organização pode reduzir sua carga de riscos (sobreposição e redundância), diminuir os custos totais,
ampliar as coberturas e promover a eficiência.
coordenada para governança, risco
• Melhoria de controles e processos. Ao otimizar controles relacionados aos principais processos de negócio, aproveitando
e compliance. A tecnologia pode controles automatizados em vez de manuais e monitorando continuamente controles e KPIs críticos, as organizações podem
desempenhar um papel importante melhorar o desempenho e reduzir os custos com controles.
• Facilitar a gestão de riscos, comunicar a cobertura aos riscos. A transição de um perfil “avesso ao risco” para um perfil
na promoção da mudança e na “preparado para o risco” pode exigir mudanças significativas. As organizações irão precisar da atuação de um executivo
identificação do ponto de equilíbrio experiente, assim como o suporte dos níveis hierárquicos mais altos, além de executivos que liderem com base em exemplos.
Será necessário estabelecer uma comunicação aberta e frequente com todos os stakeholders e apresentar resultados
entre risco, custo e valor por de verificações independentes realizadas por terceiros.
toda a empresa.” Criando vantagem competitiva
Paul van Kessel Nossas pesquisas e vasta experiência na prestação de serviços para empresas ao redor do mundo indicam que as empresas
Líder Global de TI que forem bem-sucedidas na transformação de riscos em resultados criarão vantagem competitiva. Esse é o momento para a alta
Ernst & Young administração avaliar os atuais investimentos em gestão de riscos e discutir como ir além do compliance, abordando questões
que envolvam valor estratégico para o negócio – e a abordagem descrita neste estudo pode servir como um roteiro inestimável.
O risco está se tornando a quarta dimensão de um negócio.
As pessoas eram a primeira dimensão. O processo tornou-se a segunda
dimensão no auge da era da produção. A tecnologia em evolução
tornou-se a terceira dimensão. A incorporação do risco como
a quarta dimensão do negócio tem o potencial para transformar
significativamente a maneira pela qual as organizações relacionam
os riscos aos benefícios e recompensas.
13
Ernst & Young Terco Contatos
Auditoria | Impostos | Transações Corporativas | América do Sul e Brasil
Assessoria | Middle Market | Governo | Serviços Financeiros
Antonio L. Vita • antonio.vita@br.ey.com
Tel: +55 11 2573 3708
Sobre a Ernst & Young
A Ernst & Young é líder global em serviços de Auditoria, Impostos,
Transações Corporativas e Assessoria. Em todo o mundo, nossos 152 mil
Rio de Janeiro
colaboradores estão unidos por valores pautados pela ética e pelo José Carlos Costa Pinto • jose.c.pinto@br.ey.com
compromisso constante com a qualidade. Nosso diferencial consiste em Tel: +55 21 3263 7132
ajudar nossos colaboradores, clientes e as comunidades com as quais
Camila Mendes Ribeiro • camila.m.ribeiro@br.ey.com
interagimos a atingir todo o seu potencial, em um mundo cada vez mais
integrado e competitivo. Tel: +55 21 3263 7102
No Brasil, a Ernst & Young Terco é a mais completa empresa de Auditoria
e Assessoria, com 4.100 profissionais que dão suporte e atendimento São Paulo
a mais de 3.400 clientes de pequeno, médio e grande portes. Rene Eduardo Martinez • rene.martinez@br.ey.com
Em 2011, a Ernst & Young Terco foi escolhida como Apoiadora Oficial Tel: +55 11 2573 3277
dos Jogos Olímpicos Rio 2016 e fornecedora exclusiva de serviços Juliana Ferreira Rodrigues Pereira • juliana.pereira@br.ey.com
de Assessoria e Auditoria para o Comitê Organizador. O alinhamento Tel: +55 11 2573 3619
dos valores do Movimento Olímpico e da Ernst & Young Terco foi decisivo
nessa escolha.
Belo Horizonte
www.ey.com.br Charles Ferreira • charles.c.ferreira@br.ey.com
© 2012 EYGM Limited. Todos os direitos reservados.
Tel: +55 31 3232 2230
Esta é uma publicação do Departamento de Marketing. A reprodução deste conteúdo,
Marco Araujo • marco.a.araujo@br.ey.com
na totalidade ou em parte, é permitida desde que citada a fonte. Tel: +55 31 3232 2100

Sobre o Serviço de Assessoria prestado Curitiba

pela Ernst & Young José Ricardo de Oliveira • jose-ricardo.oliveira@br.ey.com
A relação entre risco e melhoria de desempenho é um desafio cada Tel: +55 41 3593 0703
vez mais complexo e crucial para as empresas, com o desempenho
dos negócios diretamente associado ao reconhecimento e gestão eficaz Porto Alegre
do risco. Não importa se a sua ênfase está na transformação do negócio
ou em manter os resultados conquistados – ter os assessores certos Paulo Brazile • paulo.brazile@br.ey.com
ao seu lado pode fazer toda a diferença. Nossos 20.000 profissionais Tel: +55 51 3204 5591
de assessoria formam uma das mais amplas redes de serviços profissionais
de assessoria do mundo, com equipes multidisciplinares experientes Norte e Nordeste
que trabalham com os nossos clientes, oferecendo-lhes uma experiência
notavelmente eficaz e de qualidade superior. Adotamos metodologias Cristiane Amaral Teixeira • cristiane.amaral@br.ey.com
comprovadas e integradas para ajudar a sua empresa a alcançar Tel: +55 81 3201 4807
as suas prioridades estratégicas e fazer melhorias que sejam sustentáveis
a longo prazo. Entendemos que para atingir todo o seu potencial
como organização, são necessários serviços que venham como resposta
para questões específicas da sua empresa, dessa forma, colocamos
nossa ampla experiência no setor e profundos conhecimentos
da matéria ao seu dispor, de forma proativa e objetiva. Sobretudo,
assumimos compromisso de avaliar os ganhos e identificar em que pontos
a estratégia está agregando o valor que a sua empresa necessita.
É assim que a Ernst & Young faz diferença.

EYG no. AU1082

Esta publicação contém informações resumidas e, portanto, serve exclusivamente
para orientação geral e não pretende substituir a pesquisa detalhada ou o
exercício de julgamento profissional aplicáveis. Nem a EYGM Limited nem qualquer
outra firma membro da organização global Ernst & Young poderá aceitar qualquer
responsabilidade por perdas porventura resultantes da ação, ou falta de ação,
de qualquer indivíduo com base em qualquer material contido na presente publicação.
Para questões mais específicas, sugerimos consulta à assessoria adequada. Os pontos
de vista e as opiniões de terceiros apresentados nesta publicação não representam
necessariamente os pontos de vista e as opiniões da Ernst & Young. Outrossim,
eles deverão ser considerados no contexto da época em que foram expressos.