O Banco Mundial (Bird) quer que as políticas públicas de gestão de riscos de desastres naturais levem em conta não apenas as perdas econômicas causadas por enchentes, tempestades, secas e terremotos, mas também a redução do bem-estar das pessoas afetadas por tais eventos.

Desta maneira, as políticas de prevenção teriam um foco mais claro nas populações vulneráveis, e não tanto nos setores mais ricos da sociedade, argumenta a organização. Como resultado, seria possível salvaguardar US$ 100 bilhões por ano em capacidade de consumo, mitigando o impacto global dos desastres naturais. No Brasil, os ganhos chegariam a US$ 2,7 bilhões por ano.

A proposta é apresentada em um relatório divulgado nesta semana pelo Bird. O objetivo do documento é romper a relação que existe entre a pobreza e os eventos climáticos mais extremos.

Para tanto, propõe a utilização de um novo tipo de metodologia para calcular as perdas causadas por desastres naturais, atribuindo um peso relativo aos danos sofridos pela população de baixa renda e pelos mais ricos e avaliando a capacidade de cada grupo social de reagir aos eventos.

Os relatórios de impacto catastrófico publicados periodicamente por entidades de mercado, como a resseguradora Swiss Re e a corretora Marsh, calculam as perdas econômicas causadas pelos mesmos. Desta maneira, logicamente, as regiões que concentram maiores níveis de riqueza aparecem como as mais afetadas, ainda que o impacto sobre a vida das pessoas não seja necessariamente mais dramático.

Um exemplo desta distorsão ocorreu no mês de abril, quando terremotos atingiram, no espaço de uma semana, tanto o Japão quanto o Equador. Os tremores da ilha japonesa de Kyushu mataram 69 pessoas e causaram um prejuízo estimado em US$ 25 bilhões pela resseguradora Munich Re. Já os terrremotos que devastaram o litoral equatoriano causaram um número de mortes dez vezes maior, mas os prejuízos foram estimados em um décimo dos sofridos no Japão.

Exatidão

O Banco Mundial afirma que, com sua nova metodologia, seria possível estimar com maior exatidão o impacto das catástrofes sobre o bem-estar da população.

Com base em estatísticas sobre a resiliência econômica de 117 países, o banco calcula que a redução de consumo causada por desastres naturais chega a US$ 520 bilhões, o que é 60% mais do que as perdas econômicas resultantes dos mesmos eventos catastróficos.

Ao colocar um valor no impacto sobre o padrão de vida da população, e não sobre as perdas econômicas, seria possível direcionar melhor os recursos públicos destinados à construção de diques, à atualização de normas de construção ou outras medidas destinadas a reduzir o impacto das catástrofes.

Os autores estimam que, se medidas preventivas fossem tomadas para reduzir o impacto de todos os desastres naturais esperados para o próximo ano, o número de pessoas que vivem abaixo do nível da pobreza no mundo cairia em 26 milhões.

Isso porque este grupo de pessoas está mais exposto a sofrer com os eventos catastróficos e, ainda que suas perdas absolutas sejam menores do que as sofridas pelos ricos, elas representam uma parcela maior de seu patrimônio.

Além disso, elas tendem a receber menos ajuda de familiares, amigos e organizações governamentais.

“Em realidade, os desastres podem lançar as pessoas à pobreza, e portanto a gestão de riscos de desastres pode ser considerada uma política de redução da pobreza”, afirma o documento. “E, como as políticas de redução da pobreza deixam as pessoas menos vulneráveis, elas podem ser consideradas como parte das ferramentas de gestão de risco de desastres.”

Economia

Para enfrentar estes problemas, o banco propõe uma série de medidas para aumentar a resistência dos países aos eventos naturais que, se adotadas completamente, poderiam gerar economias de US$ 100 bilhões por ano.

Este número seria alcançado pela proteção do bem-estar das populações mais afetadas, assegurando assim boa parte de sua capacidade de consumo.

O objetivo das medidas propostas seria evitar episódios como o impacto do furacão Ágatha na Guatemala em 2010. O consumo per capita caiu 5,5% no país após a passagem do furacão, aumentando o nível de pobreza em 14%.

Os pobres afetados pelos desastres também acabam tendo que tomar decisões drásticas, como tirar as crianças da escola para que trabalhem e ajudem a recuperar a renda familiar.

Mas o relatório lembra que não são só os grandes desastres que afetam os mais pobres. De fato, esse grupo de pessoas tende a sofrer mais, por exemplo, com pequenas enchentes que atingem cidades com sistema de saneamento insuficiente. Como são eventos que causam perdas econômicas agregadas modestas, eles não recebem atenção da mídia e acabam sendo pouco contemplados pelas políticas de prevenção de desastres.

A metodologia

Os autores do estudo argumentam que a metodologia tradicionalmente usada para medir os impactos de desastres naturais se focam nos danos causados a propriedades, já que focam em três fatores: a possibilidade de que um evento ocorra, a exposição da população e dos bens localizados nas áreas de risco, e a perda de valor dos bens quando eles são atingidos por um evento.

O relatório propõe agregar um quarto elemento a este método, que é a resiliência socioeconômica das regiões atingidas.

Desta maneira, é possível estimar o efeito dos eventos naturais tanto sobre as populações pobres quanto sobre as mais abastadas, calculando como os desastres podem afetar sua renda e sua capacidade de consumo.

As medidas propostas pelo banco incluem um direcionamento mais claro dos recursos públicos de prevenção de desastres, dando preferência às áreas com menor resiliência socioeconômica, além da utilização de programas de distribuição de renda para ajudar na recuperação das populações atingidas.

O banco estima que, no Brasil, por exemplo, cada dólar dedicado às populações mais pobres após um desastre resulta em US$ 4 de ganhos em termos de melhoria de bem-estar.

O Banco Mundial também diz que o mercado de seguros tem um papel a desempenhar, especialmente no atendimento à classe média, reduzindo a pressão sobre os cofres públicos em tempos de desastre. Desta maneira, os recursos governamentais podem se focar nas populações mais expostas.

Clique aqui para baixar o relatório em inglês.

O risco de que um tsunami atingisse a Nova Zelândia nesta segunda-feira (14/11) colocou mais uma vez em evidência uma ameaça que é descrita pela ONU como a catástrofe natural mais mortal que existe.

De acordo com um estudo publicado em novembro, ao menos 94 tsunamis ocorreram nos últimos 400 anos. A maioria ocorreu na região dos oceanos Pacífico e Índico, mas outras áreas do globo – incluindo o oceano Atlântico – também registraram importantes eventos do tipo.

Os tsunamis estudados pelos pesquisadores da Universidade de Tóquio, no Japão, levaram em conta apenas os tsunamis que foram originados por terremotos com uma magnitude superior a 7,5 pontos na escala Richter e que geraram ondas de ao menos dois metros de altura.

Outro estudo calcula que 16 grandes tsunamis causaram quase 251 mil mortes em 21 países nos últimos 20 anos. A Indonésia, com 167.044 mortes, foi o país que mais sofreu com esta catástrofe no período. Em seguida vêm Sri Lanka (35.399), Japão (19.847) e Índia (16.389).

A ONU qualifica os tsunamis como os desastres naturais que mais matam no mundo.

Preocupantemente, a organização acredita que, se a frequência e a intensidade dos tsunamis se repetirem nas próximas duas décadas, o número de pessoas afetadas será 16% maior que no período anterior.

Os estudos foram divulgados durante o Dia Mundial de Conscientização sobre os Tsunamis, 5 de novembro, uma data criada pela Organização das Nações Unidas para fomentar medidas de prevenção contra os efeitos da catástrofe natural.

Além do potencial número de mortes que podem ocorrer, a ONU lembra que a catástrofe de Fukushima revelou outro grave risco ligado aos tsunamis: o de desencadear acidentes nucleares.

A organização lista mais de 70 usinas nucleares que foram ou serão construídas em áreas de risco de tsunami na Ásia. Trinta e oito delas estão na China, 19 no Japão e 14 na Coréia do Sul.

Força devastadora

As ondas geradas por este tipo de evento se deslocam em uma velocidade assustadora.

De acordo com os cientistas, no fundo do mar, elas podem se mover tão rapidamente quanto o vôo de um avião. Em áreas mais rasas, sua velocidade é comparável à de um automóvel.

Por esse motivo, é vital para as áreas de risco contarem com sistemas de alerta imediato para o caso de ser atingidas por um tsunami. No Japão, mesmo áreas distantes do epicentro do tremor que dá origem ao evento podem receber avisos em um período de três minutos. Na Tailândia, as autoridades levam sete minutos para disseminar os alertas.

Com tanta força, as ondas muitas vezes conseguem penetrar grandes distâncias nas áreas atingidas.

O tsunami de Sumatra, em 2004, entrou até 2 quilômetros no interior da região de Khao Lak, na Tailândia, e até 4 quilômetros em Banda Aceh, na Indonésia.

Em 2011, durante o tsunami do leste do Japão, as ondas chegaram a avançar 5 quilômetros na planície de Sendai.

Mortes

Por vezes, o número de mortes causadas por tais eventos pode ser muito superior às duas fatalidades ocorridas na Nova Zelândia.

O tsunami que varreu a costa leste do Japão em 2011, por exemplo, matou 18.453 pessoas, de acordo com o estudo.

Além disso, causou grande devastação física, incluindo o acidente nuclear na usina de Fukushima, e prejuízos estimados em mais de US$ 220 bilhões.

Já o gigantesco tsunami de 2004 no sul da Ásia deixou 227.899 mortos, o maior número de fatalidades registradas pelo estudo.

Outros eventos de grande porte listados pelos cientistas incluem um tsunami que atingiu o Peru em 1868, matando ao menos 25.000 pessoas, e o que se seguiu ao grande terremoto de Lisboa, em 1755, que deixou cerca de 50.000 vítimas mortais.

A tragédia portuguesa é o exemplo mais claro de que, ainda que os tsunamis tendam a acontecer mais na região dos oceanos Pacífico e Índico, eles também podem ter lugar no oceano Atlântico. Nenhum grande evento, porém, foi observado no Atlântico sul, que banha o Brasil.

Outra área de risco incluem o mar Mediterrâneo, o mar Negro e o Caribe. Na América do Sul, o Chile e o Peru são os países mais expostos.

Nova Zelândia

Nesta segunda-feira, a Nova Zelândia sofreu um terremoto de 7,5 pontos na escala Richter que gerou alarme de tsunami por todo o país.

Ao final, porém, os alertas foram rebaixados para eventos menos graves. Há notícias porém de que ondas de vários metros de altura causaram devastação em partes do país.

Vários tremores secundários ocorreram após o terremoto principal.

Dezenas de milhares de pessoas deixaram suas casas como medida de prevenção a um possível tsunami. O terremoto causou ao menos duas vítimas mortais.

A eleição de Donald Trump como presidente dos Estados Unidos eleva a possibilidade de guerras comerciais com outros países, incluindo o Brasil, de acordo com analistas.

A surpreendente vitória do candidato republicano sobre a democrata Hillary Clinton também suscita dúvidas sobre os próximos passos da política monetária do Fed, o Banco Central americano, o regime fiscal das empresas que operam no país e a situação fiscal do próprio governo.

Acima de tudo, analistas dizem que a falta de clareza e as contradições em temas econômicos expressadas por Trump durante a campanha eleitoral adicionam um elemento extra de incerteza a uma economia global que está em dificuldades para voltar a crescer.

A consultoria The Economist Intelligence Unit, por exemplo, qualificou a eleição de Trump, que terá o controle tanto do Senado quanto da Casa de Representantes (o equivalente à Câmara dos Deputados no Brasil), como um “terremoto político” que a obrigará a revisar todas as suas previsões a respeito do futuro da economia americana.

“A vitória eleitoral de Trump causará um alarme generalizado ao redor da economia global devido ao seu frouxo domínio de política econômica, seu populismo político desenfreado e sua tendência para a contradição”, afirmou a EIU em uma nota após a divulgação do resultado da eleição.

“Esperamos ver fortes movimentos nos mercados de renda fixa, de renda variável e de câmbio até que Trump forneça alguma clareza sobre sua agenda política.”

Comércio

Um dos temas que preocupam os analistas é a ameaça feita por Trump de renegociar os tratados comerciais assinados com países que, segundo ele, se aproveitaram da generosidade americana para aumentar seus superávits com a maior economia do mundo.

O México pode ser o mais afetado na América Latina. O país tem um acordo de livre comércio com Estados Unidos e Canadá, por meio do Nafta, e viu sua moeda despencar com a eleição de Trump.

“Em nossa opinião, o maior potencial de um impacto negativo sobre os mercados emerge da possibilidade de [Trump] dar início a uma guerra comercial”, disse James Carthew, diretor da empresa de pesquisa financeira QuotedData. “E o México está no topo da lista.”

Outro país que deve estar na mira do presidente eleito é a China, de acordo com os analistas.

Mas a consultoria Verisk Maplecroft lembra que o Brasil também foi mencionado pelo republicano como beneficiário dos acordos comerciais que, em sua opinião, são injustos para os norte-americanos.

“A revisão das relações de comércio e acordos bilaterais com parceiros comerciais pode afetar os exportadores brasileiros, para quem os Estados Unidos constituem o segundo maior mercado”, afirma a consultoria em nota.

A Verisk Maplecroft também advertiu que as moedas e os mercados de capitais das economias emergentes devem se encontrar sob forte pressão dos investidores nos próximos dias.

Política monetária

Economistas têm expressado preocupação com os planos de Trump de baixar os impostos e aumentar os gastos em defesa e infraestrutura, entre outras medidas econômicas que têm o objetivo de dar novo impulso à economia.

Na opinião da Verisk Maplecroft, o desequilíbrio fiscal que políticas desse viés poderiam causar arriscam até mesmo ameaçar a posição do dólar como uma moeda de referência para a economia internacional.

Saker Nusseibeh, CEO da gestora de ativos britânica Hermes, alertou que, se Trump voltar a falar na renegociação da dívida americana, muita volatilidade pode ser criada no mercado, incluindo nos títulos da dívida americana, um tradicional refúgio para investidores.

No curto prazo, um efeito quase imediato da eleição de Trump deve ser a mudança de ritmo do aumento das taxas de juros por parte do Fed, o Banco Central americano, afirmou Paul Jackson, chefe da área de Pesquisas da Source ETF.

Para ele, o mais provável é que o Fed, diferentemente do esperado, não aumente os juros em dezembro, e se mostre relutante em fazê-lo no futuro próximo após ter sido criticado por Trump durante a campanha por manter os juros baixos demais. A Hermes lembra que há temores no mercado de que Trump tente interferir nas atividades do Fed, algo que presidentes anteriores evitaram fazer.

Por outro lado, Jackson acredita que o consumo americano, um elemento vital para a recuperação da economia global, pode se beneficiar por um aumento da confiança das famílias trabalhadoras no país. “O principal problema agora é a falta de clareza”, disse Jackson.

Impostos

Trump prometeu durante sua campanha reduzir os impostos pagos pelas empresas americanas, o que lhe valeu o apoio de pesos-pesados do mercado de capitais, como o megainvestidor Carl Icahn.

Segundo o escritório de advocacia tributária Crowe Horwarth, caso os planos de Trump se concretizem, a taxa de imposto de sociedades mais elevado no país deve passar de 35% para 15%.

Com isso, seria possível simplificar o código tributário americano e eliminar exceções que, segundo críticos, possibilitam que empresas paguem menos impostos do que deveriam.

O presidente eleito dos Estados Unidos também prometeu harmonizar os impostos pagos por profissionais da área de investimentos, como os gestores private equity, com os que são pagos por outros tipos de investidores – uma medida que durante anos tem enfrentado resistência em Wall Street.

O movimento de desregulamentação da economia pregado por Trump também poderia chegar ao mercado de seguros.

A Associação Americana de Seguradores (AIA, na sigla inglês) expressou esperança de que a ação conjunta de um presidente e um Congresso republicanos possibilite a adoção de um regime regulatório mais equilibrado que “permita à indústria crescer e desenvolver novos mercados que respondam a avanços tecnológicos como a telemática, o big data e os veículos autônomos”.

O comprometimento de um dos componentes de controles internos previstos nas boas técnicas de gestão desencadeou a série de problemas — e desvios bilionários — revelados na Petrobras pela Operação Lava Jato.

Essa análise faz parte de um trabalho de conclusão do curso de Ciências Contábeis da Trevisan Escola de Negócios, de São Paulo. O grupo de formandos resolveu analisar — à luz dos conceitos e técnicas de controles internos estabelecidos pelo COSO — as causas que levaram ao maior escândalo de corrupção já relevado publicamente no país.

No caso, uma falha anulou um dos pilares clássicos de gestão — o “Ambiente de controle” —, “que, por consequência, comprometeu o funcionamento dos demais”.

Os componentes que formam a espinha dorsal dos controles internos, estabelecidos pelo sistema que é uma das referências mundiais para o gerenciamento de riscos, são o “Ambiente de controle”, a “Avaliação de risco”, as “Atividades de controle”, a “Informação e comunicação” e as “Atividades de monitoramento”.

No resumo da ópera, a situação apurada pela turma da Trevisan é aquela exposta de maneira mais dispersa em boa parte do noticiário envolvendo os desvios apontados pela Lava Jato na petroleira: “Ambiente de controles internos falho, suscetível à manipulação”.

“A principal falha de controles é reconhecidamente a quebra do primeiro componente do COSO, relacionado ao comprometimento ético de alguns membros da alta administração”, aponta o estudo, que teve orientação do professor Fabio Coimbra, responsável pela disciplina de Governança Corporativa.

A partir dessa situação, houve espaço para uma série de outras falhas nos demais pilares dos controles internos, tais como problemas na identificação do risco de a direção burlar o sistema ou não agir conforme padrões éticos, bem como no risco de fraude em si, monitoramento deficiente na companhia, irregularidades na contratação de terceiros e comunicação precária ao público externo .

O estudo lembra que as investigações ainda estão em andamento, mas os prejuízos decorrentes de ignorar as boas práticas de gestão somaram R$ 6 bilhões só em valores oficialmente reconhecidos pela companhia com os desvios.

Avaliação de risco

Como agora se sabe, havia um campo aberto à ocorrência de fraudes e desvios na maior empresa brasileira e uma das principais petroleiras do mundo. Apesar disso, o quadro de riscos apresentado pela companhia não apontou essa possibilidade, tampouco os possíveis impactos se eles viessem a ocorrer. “O que demonstra uma falha das aplicações”, diz o estudo.

“As evidências levam a entender que o risco de fraude na Petrobras não foi considerado como significativo, provavelmente pelo fato de a companhia estar apta a atender aos requerimentos internacionais de estrutura de controles internos, altos níveis de governança corporativa e transparência das suas operações.”

Essa passagem revela que, formalmente, a empresa cumpria as exigências de estrutura de controles internos, tanto da legislação brasileira quanto da dos EUA, onde é listada em Bolsa de Valores.

Como membro de um mercado fiscalizado pela Securities and Exchance Comission (SEC, a CVM dos Estados Unidos), por exemplo, a Petrobras precisa necessariamente atender às regras estabelecidas pela comissão, que prevêem alinhamento às normas norte-americanas da Lei Sarbane-Oxley (SOX).

Uma delas determina que as companhias listadas no órgão devem “implantar e manter sistemas de gestão de controles internos” a fim de mitigar fraudes — o que é também um dos princípios do COSO.

Isso existia na companhia, sem no entanto ter sido suficiente para impedir os desvios. Após o início da divulgação dos casos de corrupção, a empresa criou o Comitê Especial Independente para acompanhar as investigações internas.

O estudo aponta também a necessidade de atuação efetiva do Conselho de Administração, como estabelece o COSO. No caso, ele deveria ser o responsável por  evitar o descasamento entre a estrutura de controles existente e a prática real na companhia.

Segundo o COSO, o conselho precisa ter independência da administração, sendo responsável por fiscalizar a realização dos controles internos.

“Cabe ao conselho [de administração] identificar e analisar a possibilidade de um risco, mesmo de baixa probabilidade, de grande impacto à organização acontecer”, aponta o estudo, lembrando que posteriormente a Petrobras perdeu o grau de investimento de três agências de rating (Moody’s, S&P e Fitch) e o valor das ações no início de 2016 era quase um quinto do registrado antes do escândalo.

“É visível a falha em todo o processo de identificação e avaliação do risco, ainda que a companhia alegue adoção de medidas diretas no processo de gestão de risco.”

Em decorrência da Lava Jato, a Petrobras responde a ação coletiva e outros 23 processos individuais movidos por investidores na Justiça norte-americana. Eles pedem ressarcimento por se considerarem lesados com a queda no valor das ações decorrente da corrupção na empresa.

Guarda-chuva

No sistema do COSO, debaixo do guarda-chuva dos cinco componentes dos controles internos encontram-se 17 princípios de administração.

Alguns deles passaram a ser familiares, mesmo que de forma indireta, ao leitor leigo do noticiário da Lava Jato.

Ao componente “Ambiente de controle”, por exemplo, estão associados princípios como compromisso da organização com integridade e ética, além da independência do conselho de administração.

Já a “Informação e comunicação” estabelece princípios tais como comunicar-se com público externo sobre assuntos que afetam o funcionamento dos controles internos; enquanto “Atividades de monitoramento” prevêem que a organização comunique deficiências de controle interno aos responsáveis “por tomar ações corretivas”.

Tratam-se de aplicações de gestão que a Lava Jato demonstrou —e o estudo aponta — não existirem ou terem sido de alguma forma negligenciadas na estrutura da companhia.

De acordo com os autores, os componentes e princípios do COSO precisam se interrelacionar para formar o “mínimo” necessário para a existência de um sistema de controles internos que atue de maneira eficaz dentro de uma empresa.

O princípio número 1 do sistema (comprometimento com integridade), apontado como uma espécie e “erro original” de gestão na Petrobras, precisa consolidar políticas e ações éticas, tendo como “fator estratégico” o envolvimento da alta direção nesse processo, aponta o estudo.

“A não aderência às regras implantadas, por motivações diversas, inclusive no que concerne a condutas inconsistentes com a integridade e os valores éticos por parte da alta administração, pode acarretar má reputação à organização e até mesmo prejuízo, …, em decorrência de práticas criminosas”, dizem os autores.

O que é?

O trabalho “O Caso de Corrupção da Petrobras sob a perspectiva do COSO 2013” foi realizado por Carla Cristina de Oliveira Santos, Priscilla Ferreira Augusto Silva, Taís da Silva França e Webert Ferreira de Almeida e apresentado em junho passado.

O trabalho foi inteiramente baseado nas informações públicas disponíveis sobre o caso. Segundo seus autores, pretende contribuir com o amadurecimento das estratégias de Governança Corporativa de forma a mitigar falhas e riscos de fraude que comprometem as empresas.

Motivação que está na origem do COSO. O Committee of Sponsoring Organizations of the Treadway Comission é a marca registrada de uma organização criada nos EUA em 1985 voltada a ações de prevenção de fraudes nos processos das empresas.

As recomendações expressas pela comissão são consideradas referência e aplicadas nas áreas de controles internos e gestão de riscos de empresas ao redor do mundo, incluindo as do Brasil.

O Instituto dos Auditores Internos do Brasil, por exemplo, baseia nele seu modelo conceitual de sistemas de controle interno.

O objetivo da metodologia é prover uma “razoável segurança” para as empresas.

O termo “razoável” é empregado em decorrência das limitações de abrangência dos controles internos. Limitações impostas pelo fato de que todo sistema é operado por pessoas, passíveis de erros ou de más ações.

“De acordo com o COSO (2013) a probabilidade de eficácia do ambiente de controles está limitada pelos riscos inerentes a todo sistema de controles internos, incluindo possíveis falhas no julgamento humano para tomada de decisão, e eventos externos”, aponta o trabalho do pessoal da Trevisan. “Adicionalmente, os controles podem ser burlados por duas ou mais pessoas em conluio ou pela administração na tentativa de suplantar o sistema.”

A publicação dos modelos criados pelo COSO chama-se Framework for Internal Control Systems, cuja primeira versão é de 1992 e a mais recente, de 2013 (sendo aplicada a partir de 2014).

Lacunas

Como o estudo se baseou em informações públicas sobre o caso, não tendo acesso a informações internas da companhia, algumas lacunas continuam em aberto. Uma delas é saber se a companhia utilizava-se de tecnologia eficiente para apoiar os controles interno. Outra, seria ver como a Petrobras fazia a divulgação interna das ações nesta área.

Poderia ser assim

De qualquer forma, com base no COSO, o trabalho aponta uma série de medidas preventivas que poderiam ter sido tomadas para evitar a ocorrência das falhas reveladas no caso.

São elas: políticas rígidas para nomeação de cargos, com independência e vínculo do profissional à função, e monitoramento desses requisitos; análise rigorosa dos riscos motivados por fatores internos ou externos que possam comprometer os resultados da companhia; revisão periódica da política de controles internos da companhia; estabelecimento de canais de comunicação que garantam sigilo e anonimato; implantação de sistemas de controles rígidos, principalmente em áreas de risco elevado (como fornecedores) e avaliar continuamente esse sistema.

As empresas tendem a utilizar cada vez mais serviços de economia compartilhada, como o Uber e o Airbnb, criando uma série de novos riscos que elas vão ter que aprender a administrar, alerta uma consultoria especializada em viagens de negócios.

Segundo um relatório da International SOS, é só uma questão de tempo para que o transporte e a hospedagem compartilhados tenham um grande peso nas viagens de negócios, assim como está acontecendo no dia-a-dia das pessoas.

As vantagens econômicas de usar tais serviços são muitas vezes evidentes, mas o relatório alerta que não são todos os países que oferecem as garantias legais ou de segurança para que as empresas estejam tranquilas com a sua utilização.

Ainda que o relatório não cite o Brasil, o país aparece como um caso lógico de lugar onde as empresas devem tomar cuidado com estes novos recursos.

Durante a Rio2016, consultorias alertaram seus clientes internacionais sobre o fato de que os motoristas do Uber muitas vezes eram abordados e até agredido por taxistas que protestavam contra a legalização do serviço de transporte compartilhado.

“As empresas devem compreender que o uso da economia compartilhada para viagens de negócios cria novos riscos e desafios que precisam ser geridos e mitigados”, afirmou Tim Daniel, vice-presidente executivo da International SOS.

Em aumento

A International SOS fez uma pesquisa com empresas de vários países e descobriu que 27% delas já usam o Uber ou outros serviços similares em suas viagens internacionais, e quase metade espera que a utilização aumente no futuro.

Já 22% esperam que seus funcionários façam mais uso do Airbnb e outros sistemas de compartilhamento de hospedagem. Tanto o Uber quanto o Airbnb já possuem departamentos dedicados a atender os clientes corporativos.

Por outro lado, três quartos das empresas não possuem políticas de utilização de serviços compartilhados.

No estudo, a empresa de advocacia Herbert Smith Freehills aponta três fatores legais que as empresas devem considerar a respeito do uso destes serviços em viagens internacionais.

Em primeiro lugar, é preciso estar seguro de sua legalidade no país onde o funcionário está viajando. Em segundo, a empresa deve se assegurar de que o nível de segurança oferecido é comparável aos dos meios de transporte e hospedagem tradicionais.

Finalmente, para evitar problemas legais, a empresa deve estabelecer uma política com critérios claros a respeito das situações e condições em que os empregados podem fazer uso da economia compartilhada. Esses critérios devem ser definidos por meio de uma análise cuidadosa do risco envolvido.

Hospedagem

O relatório observa que muitas empresas já identificaram as vantagens de serviços como o Airbnb em termos de contenção de custos, por exemplo, ao poder hospedar vários funcionários em um mesmo apartamento.

Mas vários aspectos necessitam ser levados em conta antes de dar esse passo. Por exemplo, as empresas devem verificar se os imóveis alugados possuem procedimentos de evacuação em caso de emergência – uma prática comum nos hotéis, mas rara nos apartamentos de particulares.

Os imóveis privados também raramente oferecem fontes alternativas de energia elétrica ou telecomunicações, o que pode causar transtorno para os profissionais hospedados, caso haja um corte na provisão destes serviços.

Os hotéis mais gabaritados muitas vezes colocam à disposição de clientes corporativos serviços de tradução, de aluguel de veículos, motoristas e até assistência médica, além de recepção 24 horas, e isso não é o caso dos imóveis alugados por particulares, lembra o relatório.

Por outro lado, os autores observam que as empresas de economia compartilhada já estão começando a providenciar serviços adicionais que podem contemplar algumas destas necessidades em termos de hospedagem.

No entanto, em países de elevado risco para os viajantes, conforme a classificação de empresas como a própria International SOS, os autores afirmam que as propriedades particulares são quase certamente inapropriadas, do ponto-de-vista da segurança dos funcionários.

Transportes

Quanto aos provedores de meios de transporte compartilhados, como o Uber, o americano Lyft e o chinês Didi Chuxing, a International SOS observa que as empresas mais consolidadas tendem a fazer um trabalho cuidadoso de seleção dos membros de suas redes, o que reduz o risco de entrar em um carro de um malfeitor ao usar estes aplicativos.

Mas a consultoria diz que há outros riscos envolvidos, como a possibilidade de que o automóvel em que o funcionário esteja seja atacado por opositores deste serviço, como aconteceu nos últimos meses no Brasil, no Quênia e no Canadá, entre outros países.

A consultoria também alerta que, na América Latina, os serviços de transporte privado de mais alta categoria muitas vezes utilizam automóveis de luxo padronizados, o que torna seus passageiros potenciais alvos para possíveis assaltantes.

De qualquer maneira, a International SOS recomenda que as empresas busquem provedores estabelecidos no mercado, e que os funcionários sejam orientados a somente usar automóveis que podem ser rastreados por meio dos aplicativos que os conectam.

Além disso, devem se recusar terminantemente a aceitar que o motorista recolha outros passageiros, sentar-se no banco traseiro e, caso sintam-se seguros, pedir ao motorista que pare em um lugar movimentado.

A consultoria observa ainda que, tanto no caso dos automóveis compartilhados quanto nas acomodações, as condições variam de país a país, e uma política única para todas as viagens internacionais pode se mostrar inadequada para garantir a segurança dos funcionários.

Um importante lembrete feito pela consultoria é que as empresas precisam checar se suas apólices de seguro de viagem contemplam eventuais sinistros sofridos durante o uso de serviços de economia compartilhada.

Clique aqui para ler o relatório em inglês.

A liquidação extrajudicial da seguradora Nobre, determinada pela Susep no início de outubro, reforça a importância do papel do gestor de riscos nas empresas e também o grau de complexidade dos assuntos com os quais ele precisa lidar, na opinião de especialistas ouvidos por Risco Seguro Brasil.

Apesar de as seguradoras do mercado brasileiro terem em geral uma estrutura sólida, cinco delas quebraram nos últimos cinco anos, conforme levantamento da Superintendência de Seguros Privados.

Para quem detinha seguro com uma delas, os problemas são inevitáveis e os prejuízos, prováveis, uma vez que os contratos viram pó no momento em que se decreta a liquidação, cessando qualquer tipo de cobertura ou pagamento de sinistro não regulado ocorrido na vigência do contrato.

No caso mais recente, mesmo depois de a Nobre entrar em Regime de Direção Fiscal (uma intervenção feita na companhia pelo órgão regulador), em março, ela manteve a angariação de seguros num ritmo de R$ 30 milhões em prêmios diretos mensais até ser liquidada, de acordo com os dados publicados no site da Susep.

Portanto, mesmo diante de dificuldades que se mostrariam incontornáveis, clientes renovaram ou compraram novas apólices na companhia.

Houve situação similar com a Confiança, que ficou 50 dias em RDF até ser liquidada em dezembro de 2012, tendo registrado R$ 11 milhões em prêmios emitidos nesse período. Já a Mutual, liquidada pela Susep em junho de 2015, teve ao longo do primeiro semestre daquele ano prêmios mensais na casa dos R$ 20 milhões (em valores nominais da época).

Outras seguradoras liquidadas foram a Edel, com sede no Rio Grande do Sul, em julho de 2012, e a Federal, em agosto de 2014. Elas não têm, no entanto, registro de prêmios no site da superintendência.

Problemas como os que levaram essas seguradoras para o buraco podem rondar não apenas empresas consideradas de menor relevância num mercado com 120 seguradoras formalmente registradas.

Na crise mundial de 2008, por exemplo, a poderosa AIG foi parar na beira do precipício, numa das piores crises da história do capitalismo contemporâneo. A seguradora estava acompanhada de outras instituições financeiras que à época popularizaram a expressão “grandes demais para quebrar”.

Menos mal que crises deste porte ocorram com menos frequência. Mas além de prejuízos colossais e insegurança geral, o terremoto das finanças globais desencadeado em 2008 teve o efeito de colocar em xeque todo o sistema de avaliação e controle de bancos e empresas financeiras em geral.

Os sinais de que uma crise sistêmica se aproximava e que iria sobrar problemas em escala global não foram emitidos nem ouvidos por quase ninguém.

Em situações menos catastróficas e mais regulares de administração da carteira de seguros, no entanto, os gestores de risco têm condições de avaliar adequadamente onde e como estão contratando os seguros para sua empresa. E é papel fundamental deles que isso seja feito de forma saudável para a companhia, avaliam os especialistas.

“Não dá achar que [este tipo de problema] vai atingir só o segurado que compra com seguradora menor”, afirma Cristiane França Alves, presidente da Associação Brasileira de Gerenciamento de Riscos (ABGR). “Pode atingir uma grande também. São situações que acontecem e para as quais tem de ter um plano B.”

Responsabilidade

Para Vanderlei Moreira, vice-presidente da ABGR e gerente global de Riscos e Seguros da WEG Equipamentos, o gestor de riscos tem “100% de responsabilidade” sobre a análise da seguradora para a qual transfere seus riscos.

No caso de uma seguradora que já entrou em RDF, por exemplo, a orientação dele é direta e clara: “Cancelar a apólice em vigor e emitir em outra seguradora”. A razão: “É muito arriscado. Até hoje todas as seguradoras que entraram em Regime de Direção Fiscal pela Susep foram liquidadas financeiramente”.

Com essa responsabilidade na ordem do dia, a avaliação pré e pós contratação da apólice exige uma atenção cada vez mais apurada e técnica.

Marcelo D’Alessandro, do conselho de ética e diretor da regional Paraná da ABGR, resume que é preciso lançar mão de alguns “itens de segurança” para desenvolver bem este trabalho.

Segundo ele, é importante acompanhar com outros contratantes como anda o histórico de regulação dos sinistros por parte da seguradora e também avaliar criteriosamente como “ela abre a porta para você” — ou seja, até que ponto há disposição para discutir assuntos pertinentes ao seguro que está sendo comprado.

Moreira, por sua vez, lembra que o mais importante critério para análise da seguradora é a classificação de risco emitida por agências especializadas — como a S&P ou a AMBest. Ao lado desse rating, é preciso analisar o grupo econômico da seguradora, suas reservas técnicas e balanços, orienta ele.

De acordo com o advogado especializado em seguros Walter Polido, no entanto, diferentemente das resseguradoras, não há obrigatoriedade de as seguradoras contratarem os ratings.

“Não resolveria toda a questão da exposição dos segurados, mas seria mais um mecanismo a favor deles e que poderia servir de parâmetro para a colocação ou não dos riscos em determinada seguradora”, avalia. “Os consumidores têm de ser garantidos e protegidos de todas as formas possíveis.”

Preço bom

Diante desse quadro, o preço do seguro cobrado perde peso na equação que define a escolha da seguradora, avaliam os especialistas.

Trata- se de um ponto que coloca ainda mais foco no trabalho do gestor de risco. “Muitos gerentes de risco ainda sofrem com a pressão por redução de custos, ainda mais em tempos de recessão”, diz Moreira. “Mas ele tem obrigação de apresentar à diretoria de sua empresa quais são os riscos das seguradoras.”

O mais prudente, defende, “é ter aprovação da classificação de risco das seguradoras” avaliado pela diretoria, o que liberaria o gestor para transferir os riscos.

D’Alessandro reforça ainda a importância de trabalhar com seguradoras bem estruturadas nos pilares consagrados de Governança, Riscos e Compliance. “Se não se apoiar, não ponho meu seguro nela”, diz.

Este tema, inclusive, vem sendo discutido no âmbito da ABGR, segundo ele, uma vez que foi alvo de normativa da Susep. Em novembro de 2015, o supervisor emitiu a Circular 521, estabelecendo entre outras coisas que as seguradoras tenham um gestor de risco. Segundo D’Alessandro, isso vai melhorar a compreensão sobre como elas estão tomando seus riscos no mercado.

Em evolução

Ter um profissional com estrutura para dar conta de todas essas responsabilidades ainda é um processo que está se desenvolvendo no Brasil.

A presidente da ABGR chama atenção para o fato de que a gestão de risco ainda tem abordagens muito distintas nas empresas brasileiras. “Nem todas têm um gestor de riscos qualificado, que vai prestar atenção em tudo isso”, afirma. “Nas grandes empresas, isso está mais disseminado.”

Para Moreira, os setores mais bem estruturados do mercado desenvolvem trabalho de alta qualidade, têm acesso às diretorias das seguradoras e contam com apoio de grandes corretoras. “Mas em outras empresas essa obrigação [de contratar seguro] é da tesouraria ou de compras; essas duas áreas analisam somente o custo ou a redução do prêmio.”

Dessa forma, podem aflorar situações que nem sempre fazem parte das melhores práticas de gerenciamento de riscos.

Segundo Moreira, no caso, por exemplo, de um corretor de seguro lidar com o pessoal de compras (normalmente envolvido com uma série de outras atividades dentro da companhia), pode ter receio de perder a conta e não expor ao seu cliente  algum risco que eventualmente a seguradora do menor preço esteja enfrentando. “Muitas vezes o corretor de seguros dessas empresas não está qualificado para dar assessoria em riscos corporativos.”

D’Alessandro reforça a responsabilidade desses profissionais contribuírem para que o processo se desenvolva bem. “Os corretores são os vetores responsáveis por colocar os seguros [nas empresas]; devem estar atentos ao mercado.”

A concentração de mercado e, em muitos casos, políticas restritivas de seleção de riscos das seguradoras complicam o trabalho de gestão de risco, segundo a presidente da Associação Brasileira de Gerenciamento de Riscos (ABGR), Cristiane França Alves.

A situação pode ser resumida por: 1) há concentração do mercado em poucas seguradoras em ramos dos seguros corporativos; e 2) elas podem declinar de cobrir determinados riscos que consideram muito altos dentro de suas estratégias comerciais.

Quando isso acontece, o gestor de risco pode ficar na delicada posição de não conseguir contratar um seguro de que precisa ou então ter de fechar apólice com uma seguradora que não seria sua primeira escolha (mas que atua num nicho evitado por outras).

A situação é mais generalizada em alguns setores econômicos — como as indústrias madeireira, química e têxtil —, considerados de alto risco, elenca a presidente. “Às vezes, as seguradoras nem olham para as empresas desses setores; e há muitas que fazem boa gestão de riscos.”

Segundo Alves, mesmo seguros de contratação obrigatória, devido à legislação da área em que a empresa atua, podem ser difíceis de contratar.

Nesses casos, fazer parte de um grupo forte ajuda, já que haverá uma série de outros seguros que interessam à seguradora no programa. Dessa forma, pode-se pressionar pela contratação de alguma apólice que a seguradora preferiria declinar, explica Alves.

O cenário descrito pela presidente da ABGR ajuda a explicar em parte, por exemplo, o fato de que mesmo seguradoras em dificuldades de solvência continuarem emitindo prêmios. Outras razões seriam o desconhecimento da situação da seguradora por parte do comprador ou a opção de assumir o risco contratando o seguro.

“Às vezes, o comprador fica sem opção. Mas é importante que a contratação do seguro seja feita com o gestor tendo acesso a todas as informações”, diz Cristiane Alves. “A função do gestor de risco é afastar aquilo que é ameaça para o negócio da empresa. Se eu estou fazendo seguro para cobrir perdas financeiras por causa de um acidente ou de outro evento, é preciso saber se quem vai me indenizar está com a saúde financeira em dia.”

Menos players

Com essa situação, o movimento de concentração do mercado de seguros tende a ser negativo para os compradores de proteção, avalia ela. “O mercado está se fechando mais, com um número menor de competidores”, diz Alves. “Em pouco tempo, aqui no Brasil de três restou uma”, exemplifica ela, citando o caso de negócios envolvendo Ace, Chubb e Itaú.

Diante das responsabilidades de analisar a saúde financeira das seguradoras com as quais contratam suas apólices, os gestores de riscos dispõem de transparência e acesso suficiente às informações importantes para desempenhar bem essa função?

Por um lado, sim. Muitas seguradoras são de capital aberto, negociando, portanto, ações em Bolsa, o que as obrigada a dar publicidade trimestralmente de seus balanços e a comunicar formalmente ao mercado fatos relevantes no seu negócio.

O site da Superintendência de Seguros Privados, por sua vez, também traz uma série de informações sobre as empresas supervisionadas, mas nem sempre de forma completa ou transparente, avaliam profissionais que o acompanham de perto.

Segundo eles, caberia justamente à Susep desempenhar um papel mais ativo na melhoria da transparência do setor, com vistas a resguardar melhor os compradores de seguros — trabalho dificultado pelo perfil político que muitas vezes é preponderante no órgão.

Para Vanderlei Moreira, vice-presidente da Associação Brasileira de Gerenciamento de Riscos (ABGR) e gerente global de Riscos e Seguros da WEG Equipamentos, as informações disponibilizadas pela Susep “nem sempre são suficientes para uma análise clara do risco” de uma seguradora.

“O site da Susep tinha de ter informações mais claras”, completa Cristiane França Alves, presidente da ABGR. “Nem todas as seguradoras colocam suas demonstrações financeiras lá. No mínimo, ela tinha de reunir todas essas informações.”

Moreira ressalva que o problema de falta de transparência do regulador não é exclusivo do Brasil ou da área de seguros. “A Susep, como outras agências, não ampara o consumidor, já que há implicações políticas se o fizerem”, afirma. “Como todos sabemos, o superintendente da Susep é um cargo político, não técnico.”

O advogado e consultor Walter Polido, por sua vez, lembra que a Susep é a responsável legal por fiscalizar a saúde financeira das seguradoras. E que o processo de deterioração de uma companhia não ocorre de forma tão rápida que os consumidores não possam ser alertados.

“Nenhuma seguradora quebra de um mês para o outro, e o diagnóstico da pré-insolvência pode e deve ser detectado, assim como devem ser tomadas todas as medidas saneadoras cabíveis”, defende ele. “Mas este procedimento não tem sido adequado no país, na medida em que seguradoras têm sido liquidadas.”

Polido considera injusto o consumidor ter de entrar numa lista para se habilitar a ser restituído por prêmio já pago ou sinistro não ressarcido em instituições que quebraram. “O Estado tem o dever de protegê-los.”

As empresas podem estar vivendo uma “ilusão de segurança” com relação aos riscos cibernéticos, de acordo um estudo da Swiss Re e da gigante de informática IBM.

O alerta é motivado pela baixa penetração de seguros cibernéticos entre as companhias, especialmente fora dos Estados Unidos.

Uma das razões porque a contratação de soluções de seguros para riscos cibernéticos segue restrita é a pouca clareza, no mercado, a respeito dos riscos cibernéticos que já são cobertos pelas apólices de seguros patrimoniais e de responsabilidades que as empresas já possuem.

Ainda assim, o mercado está confiante de que a demanda vai aumentar consideravelmente no futuro, e metade das seguradoras que ainda não oferecem o produto planejam lançar suas próprias coberturas nos próximos anos.

A pesquisa foi feita com 1.004 empresas e 802 executivos de seguros de todo o mundo.

Um total de 48% das empresas respondentes afirmou que os riscos cibernéticos já são ameaças mais graves que outros riscos que elas enfrentam, e 60% acredita que eles se tornarão ainda mais relevante na próxima década.

Na América Latina, os números são 52% e 69%, respectivamente. As empresas latino-americanas aparecem como as mais preocupadas sobre o tema, junto com as norte-americanas, e isso reflete a forte atividade de hackers na região, segundo o relatório.

Riscos

Os riscos que mais tiram o sono das empresas são a alteração de dados, seu roubo e exposição pública, mas as preocupações variam de acordo com o setor onde elas atuam.

No setor farmacêutico, por exemplo, existe um forte temor com respeito à ocorrência de fraudes. O mesmo ocorre nas indústrias automobilística e varejista.

Segundo os autores do estudo, é crescente a preocupação com destruição física originada por ataques cibernéticos, enquanto que no setor de saúde as empresas temem sofrer perdas na área de erros e omissões como resultado da ação de hackers.

Outro tema que ganha peso é a exposição das empresas a perdas causadas por danos sofridos por terceiros, algo que tende a se tornar cada vez mais relevante na medida em que novas leis de proteção de dados pessoais são implementadas ao redor do mundo.

Mais da metade (52%) dos entrevistados acredita que este é um risco que vai se tornar mais grave nos próximos dez anos. A proporção é especialmente alta, 57%, entre as empresas da América Latina.

Em termos de setores da economia, as companhias de aviação (63%) e hoteleiras (62%) apresentam maior preocupação com o tema.

Seguro

Uma outra conclusão do estudo é que poucas empresas já institucionalizaram a gestão do risco cibernético, e isso vale até mesmo para aquelas que estão muito preocupadas com o tema.

Ainda que mais de 40% das empresas entrevistadas façam análises periódicas de suas exposições ao risco, a grande maioria ainda lida com o tema de uma maneira ad hoc – ou seja, depois que acontece um evento.

As transferências do risco cibernético ao mercado de seguros também constituem uma prática minoritária entre as empresas globais, mesmo entre as maiores corporações.

O estudo apurou que 55% das 190 empresas com mais de 10 mil funcionários entrevistadas ainda não têm coberturas para riscos cibernéticos. Entre as empresas médias, 54% estão descobertas, e entre as pequenas a proporção é de 63%.

O motivo apontado com maior frequência é a falta de interesse em buscar soluções de seguro, apontado por 144 empresas, seguido pelo uso de auto-seguro (136) e a crença de que a exposição da empresa não é grande o suficiente para justificar o investimento em seguro (135).

Mas o mercado parece acreditar que a demanda vai se acelerar no futuro. Quase metade (46%) dos executivos do setor entrevistados afirmou que suas seguradoras já oferecem coberturas para riscos cibernéticos, seja de forma independente ou como parte de apólices já existentes. Deste grupo, 63% têm em seus portfólios produtos específicos para esse risco.

Entre as que ainda não oferecem a cobertura, 31% planejam lançar um produto nos próximos dois anos, e 19%, dentro de três anos ou mais. Outras 35% afirmaram ainda não ter decidido se vão entrar ou não no segmento.

Clique aqui para ler o estudo em inglês.

Grandes bancos americanos podem ser obrigados a adotar uma série de medidas para gerir o risco de ataques cibernéticos, caso seja aprovada uma proposta dos reguladores do mercado financeiro do país.

Como resultado, os gestores de risco podem ter uma maior participação no processo de análise e combate aos riscos cibernéticos nos bancos e outros atores do setor.

A proposta foi elaborada pelo Fed, o banco central americano, o Departamento do Tesouro do governo e o FDIC, a agência que garante os depósitos dos clientes dos bancos. Ela foi apresentada na semana passada e está aberta para discussão pública até a metade de janeiro.

O documento prevê que as normas sejam obrigatórias para entidades que apresentam risco sistêmico para os mercados financeiros.

Além dos bancos, também seriam afetadas, por exemplos, entidades que realizam a compensação de pagamentos e outras atividades de interconexão dos diversos atores do sistema.

As normas também podem ter repercussões para empresas não-financeiras, já que incluem medidas que os bancos terão de adotar para garantir que fornecedores como provedores de serviços de eletricidade e telecomunicações não lhe exponham a riscos cibernéticos.

Risco setorial

O alvo da futura regulamentação são as grandes instituições financeiras de maior porte e nível de interconexão com o restante do sistema financeiro.

O objetivo é reforçar suas estruturas de gestão de riscos cibernéticos, reduzindo a possibilidade de que todo o sistema venha a ser atingido devido a um ataque sofrido por um de seus participantes.

Uma das medidas que estão sendo estudadas é a classificação das empresas financeiras em diferentes níveis de risco, com as mais expostas se sujeitando a parâmetros mais elevados ou de proteção.

As estruturas de informática destas empresas seriam classificadas como “sistemas de risco setorial”. As novas regras reforçariam os programas de fiscalização do risco informático já implementados pelas agências regulatórias do sistema financeiro dos Estados Unidos.

As empresas visadas seriam instituições financeiras com ativos consolidados superiores a US$ 50 bilhões, que seria o patamar a partir do qual, na avaliação dos reguladores, a interrupção de suas atividades poderia causar significativos problemas para outras empresas e o sistema financeiro como um todo.

Sucursais de empresas financeiras estrangeiras que atuam nos Estados Unidos e ultrapassem este patamar também estarão obrigadas a seguir as recomendações, caso elas sejam adotadas.

Cinco prioridades

O objetivo dos reguladores é que as organizações consideradas de risco sistêmico demonstrem ter adotado medidas eficazes em cinco áreas.

A primeira é a governança do risco cibernético, o que implica a definição de uma estratégia de gestão do risco e os procedimentos para sua implementação.

Um dos requisitos analisados é que tais estratégias sejam aprovadas, e sua adoção, fiscalizada pelo conselho de administração da empresa, assumindo a responsabilidade por elas. Outro seria a inclusão de membros com expertise no tema de segurança cibernética, e que os responsáveis pela área tenham autonomia, reportando diretamente ao conselho.

A segunda área a ser contemplada é a implementação de uma estrutura de gestão de riscos que integre elemento como as chamadas três linhas de defesa – as unidades de negócio, a gestão de risco corporativa e a auditoria.

Isto inclui a designação de um gestor de risco independente responsável pela área cibernética, que reportaria diretamente ao Chief Risk Officer da organização.

“A função do gestor de riscos independente deveria estabelecer e manter a compreensão atualizada da estrutura dos programas de segurança cibernética da entidade (…) e os processos e sistemas de apoio, assim como sua relação com a evolução da ameaça cibernética”, afirma o documento.

A terceira área abrange o que o relatório chama de “dependências internas”, ou os riscos que se originam na própria atividade das empresas por meio de seu pessoal, recursos tecnológicos ou equipamentos, ou em negócios que são agregados à organização por meio de fusões ou aquisições.

Já a gestão de “dependências externas” diz respeito à possibilidade de que as empresas sofram com eventos cibernéticos originados em fornecedores e clientes.

Os reguladores planejam, por exemplo, exigir que as empresas financeiras implementam sistemas que identifiquem vulnerabilidades originados em terceiros e assegurem que seus parceiros comerciais estão fazendo o possível para lidar com estes problemas da forma mais adequada.

As empresas também devem ser obrigadas a estabelecer parâmetros e procedimentos relacionados à capacidade de responder a incidentes de uma forma efetiva, reforçar a resiliência cibernética e aumentar a conscientização dos funcionários sobre o risco.

Desta maneira, terão de garantir que poderão desempenhar funções essenciais mesmo no caso de um ataque cibernético, incluindo a manutenção de centros de armazenamento de dados off-line ou até mesmo processos de transferência de informações para outras entidades em caso de emergência.