A Deloitte apresenta, em parceria com o IBGC – Instituto Brasileiro de Governança Corporativa, a segunda edição do estudo Os Cinco Pilares dos Riscos Empresariais – Visão abrangente e integrada sobre os fatores de riscos. A pesquisa traz como tema uma visão abrangente e integrada sobre os fatores de riscos divididos em operacionais, cibernéticos, financeiros, regulatórios e estratégicos. O levantamento reitera, de acordo com as 165 empresas ouvidas, que o mercado brasileiro tem procurado evoluir em suas estruturas de controles, governança corporativa e gestão de riscos como uma resposta às transformações regulatórias e aos eventos de crises que impactaram todo o ambiente de negócios.
“Um dos principais resultados da pesquisa aponta que quase três quartos das organizações, ou 73% dos respondentes, apresentam uma política de gestão de riscos formalizada — um expressivo aumento de 26% em relação ao mesmo dado da edição passada desta pesquisa. E entre os tipos de riscos a serem mitigados, os riscos operacionais são os que mais têm processos definidos para mitigação. Na sequência, vêm os riscos financeiros e regulatórios. Os riscos cibernéticos são os que menos contam com processos definidos de mitigação, assim como também são os que as organizações pesquisadas têm menor grau de ciência, o que revela que, ainda que as empresas estejam em um contexto de forte digitalização de negócios, terão de explorar os recursos para a gestão dessas ameaças emergentes”, avalia Alex Borges, sócio-líder de Risk Advisory da Deloitte.
A pesquisa aponta uma tendência de as empresas adotarem, cada vez mais, postura ética alinhada à conformidade, além de promoverem ajustes em suas políticas de integridade/compliance e gestão de riscos. “A imagem das organizações está cada vez mais posta à prova em função de como elas são vistas em suas deliberações éticas. Decisões não podem ser tomadas em benefício próprio ou de terceiros, sob o risco de a organização ter sua imagem e reputação abaladas”, afirma Ricardo Lemos, membro da Comissão de Gerenciamento de Riscos Corporativos do IBGC.
Segundo a pesquisa, praticamente nove em cada dez organizações já possuem um planejamento estratégico formalizado — entre essas empresas, esse planejamento é atualizado, em 70% dos casos, anualmente, o que revela que as organizações estão focadas em entender as necessidades e as expectativas do mercado, de forma a estarem melhor preparadas para atendê-las de forma robusta e assertiva. Apesar de muitas vezes não contarem com um modelo avançado de gestão integrada de riscos, as organizações se mostram atentas a como podem evoluir. Prova disso é que 79% das respondentes aumentaram interesse por desenvolvimento e transformação da gestão de riscos em relação a 2017.
A evolução da tecnologia, as transformações no comportamento do consumidor e as mudanças regulatórias estão tornando o ambiente de negócios mais dinâmico, mas também trazem novos riscos. Nesse sentido, as empresas ainda têm a avançar nas práticas de identificação, avaliação, resposta e monitoramento de riscos emergentes.
Pouco mais da metade das empresas pesquisadas contam com mecanismos para identificação de riscos emergentes (55%), e um número ainda menor tem práticas estruturadas para avaliar (49%), responder (38%) e monitorar (42%) esses riscos. Também é expressiva a porcentagem (30%) de empresas que não têm mecanismos para a gestão de ameaças emergentes. A maior parte das organizações pesquisadas não tem um comitê para responder a eventos relacionados a essas questões — iminentes ou já materializadas — e, entre as empresas que formaram esse comitê, a grande maioria não realizou treinamentos para que seus membros possam responder adequadamente a esses riscos.
De acordo com o estudo, o desafio que se coloca atualmente é o de fortalecer a gestão dos riscos estratégicos e cibernéticos. Do total de respondentes, 83% indicaram que os riscos desse tipo são geridos com grau moderado ou baixo em sua organização. Praticamente metade (46%) dos respondentes indicaram estar nos estágios mais básicos na gestão de riscos de sua organização. Somente 2% afirmaram que essa gestão se encontra em um estágio definido, com uma prática consistente, definida e monitorada de maneira centralizada em pelo menos algum processo. E apenas 26% responderam estar nos níveis mais avançados.
No que diz respeito à detecção e resolução dos riscos, praticamente metade dos executivos participantes do estudo mensuram os seus riscos a cada ano e, pouco menos de um terço, realiza essa análise a cada seis meses. A comunicação desses riscos e o treinamento de pessoas para lidar com as ameaças também são fundamentais e ainda estão relegados a segundo plano. Para ambos, a adesão dos respondentes foi menor do que 30%.
Os riscos operacionais de conduta antiética e fraude são os mais gerenciados pelas organizações, seguidos dos riscos de aderência a regras da empresa. Entre os riscos financeiros, os mais regulados são os relacionados ao fluxo de caixa e à integridade das demonstrações financeiras, o que revela a preocupação das empresas não apenas com os resultados, mas também com o compliance dos aspectos fiscais.
“Percebe-se uma evolução na gestão de riscos em função dos fatos recentes ocorridos tanto no ambiente de negócios do Brasil, quanto no global. Crises financeiras, perdas operacionais e mudanças regulamentares — tais como a Lei Anticorrupção brasileira — fizeram com que as organizações se estruturassem para atender a esses fatores”, explica Borges, da Deloitte.
As reformas que têm sido propostas e regulamentadas pelo poder público, embora ainda estejam em diferentes graus de discussão e implementação, demandaram prontidão das empresas para lidarem com os riscos relacionados aos aspectos trabalhistas e tributários. As ameaças de corrupção estão também entre os riscos regulatórios mais geridos — um indicador de como as organizações estão respondendo aos grandes eventos de crises que impactaram o ambiente de negócios. A adequação à Lei Geral de Proteção de Dados Pessoais (LGPD), por exemplo, representa um desafio de médio prazo para quase 80% das empresas pesquisadas, seguida de gestão de terceiros, com 70%, disruptura tecnológica (66%), talentos (58%) e integridade de informações (57%).
E, por fim, os maiores desafios apontados na implementação de um processo de gestão de riscos eficaz foram os seguintes:
1) Cultura da organização;
2) Falta de prioridade da administração
3) Criação de uma metodologia eficiente de gestão de riscos
4) Custos e restrições orçamentárias
5) Falta de integração entre as áreas de riscos, controles, compliance e auditoria interna
Nesse sentido, é visível que temos desafios ainda, mas a percepção de que o mercado brasileiro tem procurado evoluir em suas estruturas de controles, governança corporativa e gestão de riscos como uma resposta às transformações regulatórias e aos eventos de crises que impactaram todo o ambiente de negócios.
Metodologia e amostra
Participaram do estudo 165 respondentes — entre esses, 44% pertencem ao nível de diretoria, presidência ou conselho de sua organização. Metade das empresas pesquisadas tem faturamento maior do que R$ 1 bilhão, e quase um terço movimenta ações em Bolsa de Valores ou Mercado de Balcão.