O aperto regulatório e os riscos cibernéticos constituem os principais riscos enfrentados pelos bancos globais atualmente, de acordo com uma pesquisa feita com instituições financeiras de vários países.

Levantamento feito com 67 bancos de 29 países pelo Instituto Internacional de Finanças (IIF) e pela consultoria EY apontou que metade dos executivos entrevistados disse que a adaptação de suas empresas a novas normas e métodos de supervisão é um dos três principais riscos na mesa dos conselhos de administração.

Uma proporção um pouco menor (48%) incluiu os riscos cibernéticos, e 37% destacaram a definição do apetite de risco das organizações.

Em quarto lugar, com 27%, vem a cultura e os valores dos bancos, um tema que voltou às manchetes dos jornais com recentes escândalos envolvendo grandes bancos nos Estados Unidos e na Europa.

Com relação especificamente aos Chief Risk Officers (CROs), os dois temas principais se repetem, porém com mais ênfase, já que os aspectos regulatórios e de supervisão estão no topo da agenda de 68% dos entrevistados, e os riscos cibernéticos, de 51%.

Mudanças constantes

A presença dos riscos cibernéticos entre as principais preocupações dos bancos se insere em um contexto mais amplo de crescimento da importância da gestão dos riscos não-financeiros nas atividades bancárias, segundo os autores do estudo.

Essa é uma das três grandes mudanças que estão alterando a forma como os bancos gerem seus riscos. As outras duas são a necessidade de prestar mais informações aos stakeholders sobre os riscos enfrentados pelos bancos e as mudanças nos modelos de negócio dos bancos para que eles sejam negócios sustentáveis no longo prazo.

“Os bancos vivem hoje um período de mudanças e evolução constante”, disse Andreas Portilla, chefe do Departamento de Assuntos Regulatórios do IIF, durante webcast de apresentação do estudo.

Trata-se de um processo que começou com a crise simbolizada pela quebra do Lehman Brothers, em 2008, e que tem fôlego para seguir na agenda dos bancos por um bom tempo, segundo Patricia Jackson, uma especialista em controle prudencial da EY no Reino Unido.

“O processo atual poderia durar mais de 15 anos”, afirmou ela. “Os reguladores subestimaram o tempo que se leva para mudar a forma com que os bancos fazem negócios.”

Linhas de defesa

Para acompanhar os desafios que estão sendo criados, os bancos estão reformulando suas estruturas de gestão de riscos, de acordo com os especialistas.

O tradicional sistema das “três linhas de defesa” está sendo adaptado a um ambiente em que se exige maior responsabilidade, com relação à gestão de riscos, dos profissionais que estão mais diretamente envolvidos com as atividades comerciais dos bancos.

Trata-se das unidades de negócios, ou a chamada primeira linha de defesa, que hoje cada vez mais são vistas como as “proprietárias” dos riscos implícitos às suas atividades.

Já a segunda linha inclui as atividades como os gestores de riscos, que identificam e medem os riscos e definem sistema de controle e prevenção dos mesmos, e a terceira é constituída pela auditoria interna.

“A questão é como este sistema evoluiu com o tempo. As empresas tradicionalmente tenderam a reduzir a segunda linha e retirar responsabilidades da primeira”, disse Jackson.

Mas 60% dos bancos entrevistados afirmaram que estão mudando o sistema, e para 38%, a prioridade é tornar as unidades de negócio mais responsáveis pelos riscos que assumem. Já 28% estão enfatizando a necessidade de que a primeira linha assuma maior propriedade dos riscos não financeiros.

Uma proporção similar (27%) está fazendo o mesmo, mas com relação aos riscos financeiros, e 23% estão reforçando a independência de gestores de riscos e outras funções da chamada segunda linha de defesa.

Para aumentar a responsabilidade das unidades de negócio, quase três quartos das empresas pesquisadas estão investindo no treinamento sobre gestão de risco dos profissionais que trabalham diretamente nas atividades comerciais, observou Jackson.

“Mas está claro que é preciso pensar de uma forma mais ampla, incluindo por exemplo o sistema de incentivos aos funcionários”, afirmou a especialista da EY.

As técnicas de motivação comercial dos bancos estão sendo severamente questionadas após episódios como o escândalo das aberturas de contas falsas pelo banco americano Wells Fargo, que resultou na demissão do CEO da empresa.

CROs

Por sua vez, Portilla ressaltou que, ainda que o processo de fortalecimento da gestão de risco nas operações comerciais seja essencial, não se deve perder de vista a importância das funções da chamada segunda linha, que define o apetite de risco, identifica as ameaças ao bom funcionamento da empresa, e estabelece os mecanismos de controle e transferência de riscos.

Segundo ele, a continuada relevância destas funções se reflete no aumento da importância que os Chief Risk Officers estão assumindo nos grupos financeiros com o aperto regulatório dos últimos anos.

“Não há dúvida de que os CROs se tornaram o principal ponto de contato entre os reguladores e as empresas”, afirmou ele. “Isso vem acompanhado de um aumento das expectativas a respeito da responsabilidade da função.”

Clique aqui para ler o estudo, e aqui para assistir ao webcast, ambos em inglês.

Concluído o afastamento da presidente Dilma Roussef (PT) e com as primeiras semanas de governo efetivo de Michel Temer (PMDB), o risco político está mais brando no Brasil, de acordo com a corretora Aon.

O relatório de análise da área, referente ao terceiro trimestre do ano, encerrado em setembro, diz que o panorama continua a melhorar, quadro complementado com a avaliação de que o pior da recessão econômica já passou. “O Brasil pode muito bem sair mais forte da crise”, pondera o documento.

De acordo com a Aon, no entanto, para investidores de longo prazo o risco político prossegue num nível “médio”, nota que vem sendo mantida ao longo dos trimestres mesmo com as intensas movimentações recentes na política.

A corretora ressalta que “os persistentes desafios no ambiente de negócios e as dificuldades para remediar anos de intervenção governamental excessiva na economia” continuam no horizonte.

Outros problemas são o Congresso “ainda fragmentado” e o prosseguimento das investigações de corrupção, cujos resultados podem “quebrar a coalizão governista” e implicar o próprio novo presidente, situação que cria um cenário de ameaça potencial ao governo.

Embora o nível geral de risco político seja “médio”, algumas áreas ficam um degrau acima no campo das preocupações. A categoria “médio-alta” se aplica para a possibilidade de interferência na economia e para regulamentação, bem como para o risco de interrupção de cadeias de suprimentos — risco mantido pela má qualidade de estradas, ferrovias e portos do país.

De qualquer forma, o estudo avalia que a gestão Temer, efetivada em 31 de agosto, está em melhores condições de implementar reformas estruturais e fiscais de que o país “necessita tanto” para melhorar o quadro geral.

Economia

O estudo da corretora afirma que a volta do crescimento a partir de 2017 dependerá principalmente da capacidade de o governo federal implementar reformas.

Depois que o trabalho foi concluído, o governo obteve sua mais importante vitória política desde que Temer assumiu definitivamente a presidência da República. A PEC 241 (proposta de emenda constitucional), que estabelece teto para gastos públicos por 20 anos, foi aprovada em 10 de outubro por larga margem de votos dos deputados — o texto ainda precisa ser aprovado em segunda votação.

Outra medida considerada importante, no entanto, não teve o mesmo sucesso. Sem consenso, o projeto que prevê alterações na lei de repatriação de recursos mantidos no exterior ainda não foi à votação.

E a vitória na PEC vai demandar novas investidas do governo. Segundo analistas, a PEC engedra a necessidade de se aprovar a reforma da Previdência, à qual o governo Temer promete esforços, mas que demandará um trabalho árduo e provavelmente mais complicado, haja vista a tendência de gerar resistências de vários setores organizados da sociedade.

E o resto do mundo?

Na América Latina, apesar de alguns problemas na Argentina, a Aon considera que a Venezuela foi a única “fonte notável de deterioração” do risco político no terceiro trimestre deste ano. A violência com causas políticas é elevada e crescente, e a oposição tenta tirar o presidente Nicolas Maduro do poder, mas sem ter suporte suficiente para isso, aponta o relatório.

Considerando o cenário global, a Aon informa que quatro países apresentaram quadro de deterioração do risco político no terceiro trimestre.

São eles o Azerbaijão (que passou para risco “médio-alto” com o aumento da violência de conflitos regionais, principalmente com a Armênia), Djibuti (“alto” risco, em decorrência do aumento do fluxo de refugiados do Iêmen e de conflitos na vizinha Somália), Kuait (“médio” risco, pelo enfraquecimento das finanças do governo em meio a ajustes no preço do petróleo) e Zimbábue (“alto” risco, decorrente de instabilidade política e dificuldades fiscais).

O mapa dos riscos políticos globais é feito pela Aon em parceria com o instituto do economista Nouriel Roubini. A escala inclui: baixo, médio-baixo, médio, médio-alto, alto e muito alto.

Clique aqui para acessar o portal sobre riscos políticos globais da Aon (em inglês)

Os gestores de riscos europeus estão ganhando importância em suas empresas, participando em um crescente número de decisões estratégicas e cada vez mais reportando diretamente a membros dos conselhos das companhias.

Mas a profissão continua sendo dominada por homens, que constituem quase três quartos dos gestores de riscos europeus, e segue concentrada nas empresas de grande porte.

A boa notícia é que a diversificação está aumentando na profissão, e entre os profissionais com menos de 25 anos já quase há equilíbrio na participação de homens e mulheres no mercado.

Estas são algumas das conclusões do estudo sobre a gestão de riscos e de seguros publicado a cada dois anos pela Ferma, a federação europeia de associações de gestão de riscos.

O estudo, divulgado nesta semana pela organização em um seminário em Malta, também constatou que 46% dos gestores de riscos entrevistados recebem salários superiores a € 100 mil por ano – o equivalente a mais de R$ 360 mil.

Um pequeno grupo, estimado em 7% do total, ganha salários equivalentes ao dobro desse valor.

Principais riscos

“A pesquisa nos mostra que os gestores de risco estão chegando a uma posição em que eles estão ajudando a integrar a gestão de riscos no modelo de negócio e na cultura de suas organizações”, disse Jo Willaert, presidente da Ferma, ao apresentar o estudo.

“Eles estão assumindo uma visão ampla dos riscos das empresas, incluindo o ambiente de negócios de uma forma mais abrangente, e a maioria já se reporta a um membro do conselho.”

A pesquisa apurou que dois terços dos gestores de riscos entrevistados estão subordinados diretamente a membros dos conselhos das empresas. Entre gestores de riscos puros, 26% se reportam aos CFOs, e 16%, aos CEOs. Entre os diretores de seguro, as proporções são de 35% e 12%, respectivamente.

A pesquisa da Ferma também revela que as difíceis condições econômicas da Europa, que já duram quase uma década, ocupam o topo das preocupações da profissão. O tema foi mencionado por 63% dos 634 entrevistados como um dos seus principais riscos; em 2014, esse item ocupava a quarta colocação no ranking.

O segundo principal risco é da continuidade das atividades, que nem aparecia no top 10 em 2014, seguido pela instabilidade política e risco-país.

Segundo a Ferma, o envolvimento dos profissionais de risco em temas estratégicas é ilustrado pelo fato de que 68% dizem ter, entre suas atribuições, a responsabilidade de difundir a cultura de risco por toda a organização.

Além disso, 62% dizem que a gestão de riscos já faz parte da cultura de suas empresas, e 59% estão envolvidos em temas como a gestão da continuidade do negócio e de crises.

Seis em cada dez gestores de riscos entrevistados trabalham em empresas com faturamento superior a € 1 bilhão, e 80%, em companhias com mais de 20 mil empregados.

Mais cyber, menos cativas

A pesquisa também revela alguns fatos interessantes sobre as políticas de transferência de riscos das grandes empresas europeias.

Ela mostra, por exemplo, que a aquisição de apólices de risco cibernético, ainda que em crescimento, continua sendo limitada a umas poucas empresas. Apenas 37% dos entrevistados afirmam ter tais coberturas em suas companhias.

As que adquirem o seguro, porém, tendem a fazê-lo com grandes limites. Mais de dois terços das empresas que compram apólices de risco cibernético adquirem limites superiores a € 50 milhões.

Outra importante revelação é a queda no uso de empresas cativas, que são utilizadas para empresas de grande porte para implementar políticas de altas retenções de risco.

Em 2014, 39% dos entrevistados pela Ferma faziam uso de cativas. Neste ano, a proporção caiu para 34%.

A queda pode ser um efeito do longo mercado brando, que torna altos níveis de retenção menos atraentes, mas também um efeito do endurecimento da legislação sobre empresas cativas por meio de medidas como a diretriz europeia Solvência II e o acordo BEPS, da OCDE.

Clique aqui para ler o estudo em inglês.

Os ataques cibernéticos contra o setor de energia são cada vez mais frequentes e sofisticados e possuem o potencial de causar sérios distúrbios para a economia como um todo, alertou o Conselho Mundial de Energia (CME).

Em relatório divulgado nesta semana, a organização convoca as empresas a levar o risco cibernético a sério, uma vez que o setor energético é um “alvo atraente” para os hackers devido a seu potencial de causar efeitos econômicos e destruição física.

Segundo o documento, 80% das empresas de petróleo e gás afirmaram ter identificado um aumento do número de ataques cibernéticos bem sucedidos no útimo ano. Nos Estados Unidos, em 2015, o governo respondeu a uma quantidade de ataques contra o setor energético que foi 20% maior do que no ano anterior.

Os autores afirmam que a crescente digitalização do setor energético, por meio por exemplo do uso de medidores de energia inteligentes, está aumentando sua eficiência, mas também incrementando sua exposição a ataques cibernéticos.

Por esse motivo, os riscos cibernéticos já são uma das principais preocupações das organizações que atuam no setor, especialmente na Europa e nos Estados Unidos, onde a infraestrutura energética está mais desenvolvida.

“Nessas regiões, os líderes do setor energético estão cada vez mais reconhecendo a importância de encarar os ataques cibernéticos como uma ameaça fundamental à continuidade do negócio, além da necessidade de fomentar uma cultura de consciência cibernética que incorpore toda a organização, estendendo-se para além dos departamentos de informáticas tradicionais”, afirmam os autores do documento, que foi elaborado com a colaboração da corretora Marsh e da resseguradora Swiss Re.

Risco operacional

O CME afirma que os riscos cibernéticos devem ser alvos de um aprofudado trabalho de gestão de riscos pelas empresas do setor de energia.

Isso implica o envolvimento das esferas mais altas da administração, incluindo o conselhos de administração, que necessita supervisionar a implementação das medidas de gestão do risco.

O CME também orienta as empresas do setor a buscar uma maior colaboração com outros ramos da economia no que se refere às ameaças cibernéticas. O órgão também defende que boas práticas e informações sobre ataques sejam compartilhadas internacionalmente.

“Se o setor de energia implementar medidas de proteção do risco e de resiliência, as comunidades financeiras e de seguros serão capazes de prover coberturas para sinistros a preços acessíveis”, afirma o relatório.

Com a conscientização sobre o risco em alta, as empresas do setor estão gastando cada vez mais em medidas de prevenção e mitigação. O estudo cita dados segundo os quais as empresas de petróleo e gás em todo o mundo poderiam arcar com US$ 1,87 bilhão em custos relacionados à defesa contra riscos cibernéticos em 2018.

Efeitos dos ataques

O CME listou 11 ataques contra infraestrutura energética ocorridos nos últimos 15 anos. Não se tratam de todos os ataques realizados, mas apenas aqueles que foram detectados e tornados de conhecimento público.

Até o momento, os eventos não foram especialmente destrutivos, mas já ajudam a ilustrar o potencial de danos que eles representam. Por exemplo, na Ucrânia, um ataque contra três usinas em 2013 causou a interrupção do fornecimento de energia para 80.000 pessoas. Foi a primeira vez que hackers estiveram na origem de um blecaute de energia.

O potencial de danos é ressaltado por cenários hipotéticos desenvolvidos pelos autores do relatório. Por exemplo, uma situação em que um vírus seja inserido no sistema de uma empresa, permitindo que hackers assumam o controle de seus processos industriais.

O resultado poderia ser o corte do suprimento de energia por meio de uma explosão ou destruição dos sistemas de informática, afetando todas as empresas e famílias que dependem do uso de energia elétrica.

O relatório também lista 22 tipos de sinistros que poderiam ser originados por tal ataque e que poderiam estar cobertos por contratos de seguros. Eles incluem D&O, E&O, responsabilidade ambiental, danos à reputação, invasão de privacidade, sequestro virtual, lucro cessante e lucro cessante contingente, que é originado de causas não relacionadas a danos materiais.

Clique aqui para baixar o relatório em inglês.

Os riscos políticos não são o único, mas representam um desafio importante a ser vencido pelo novo programa de concessões de infraestrutura anunciado pelo governo, segundo especialistas ouvidos por Risco Seguro Brasil.

O quadro de instabilidade ainda não superado, casos recentes de interferências e eleições presidenciais daqui a dois anos contribuem para um cenário de insegurança que costuma travar decisões de grande investidores, principalmente quando se trata de obras complexas e com estrutura de financiamento ainda indefinida.

“O programa de concessões está acontecendo num momento muito complicado, não só política como economicamente”, avalia Thomaz Fávaro, diretor associado do departamento de análise política da consultoria Control Risks.

“O cenário é de retração forte do PIB e o histórico recente de instabilidade política gera incerteza com relação a alguns dos contratos”, diz ele. “Houve muitas mudanças no ambiente de negócios causados ou potencializados por conta dessa instabilidade.”

Num programa que contempla 34 projetos, Fávaro avalia que há diferentes graus de riscos políticos envolvidos. Há desde obras já em fase de licitação até outras que ainda dependem de licenciamento ambiental — um risco regulatório que ficou mais presente depois do caso Samarco.

“[Um projeto de] rodovia na Amazonia varia muito de um aeroporto no Sul do país”, exemplifica. Há ainda outros fatores: “O tema da corrupção também varia muito dependendo o estado da federação. Há questões de interação com os governos locais e ainda relações ambientais e sociais. O leque de riscos políticos é bastante amplo.”

Conceito e segurança

No conceito da Control Risks, risco político envolve medidas adotadas pelo governo que possam ter impacto direto ou indireto nas operações, estratégias e no ambiente de negócios das empresas.

Várias medidas adotadas durante o governo Dilma Rousseff são apontadas como fonte de insegurança nesta área.

Para o diretor, no entanto, a influência política sobre os contratos aparentemente não será repetida. “Espera-se que as empresas vejam as condições oferecidas como mais atraentes”, diz. “Havia influencia direta da presidente ou dos assessores mais próximos em pontos bem específicos dos contratos. Ao que tudo indica esse não será o caso agora.”

De acordo com Keith Martin, consultor de comércio e investimentos internacionais da corretora Aon, o governo atual vem tentando dar mais segurança aos investidores, “mas ainda faltam muitos detalhes”.  “[A política anunciada] é uma forma de tranquilizá-los, mas há limites. Ninguém pode garantir o resultado das eleições [presidenciais], por exemplo; ninguém pode garantir que depois de 2018 não haverá um novo marco regulatório.”

Para Fávaro, o pleito gera duas situações distintas. “A polarização entre PT e PSDB, que foi uma constante nas últimas cinco eleições, está posta em xeque, e isso com certeza é um componente de incerteza política forte”, afirma, lembrando que as próximas eleições presidenciais deverão ser as mais fragmentadas desde 1989. Naquele ano, 22 candidatos disputaram a Presidência da República, e o vencedor foi Fernando Collor.

Por outro lado, o analista considera que boa parte das mudanças políticas esperadas no Brasil necessitam de um governo com mandato forte para serem implementadas, o que pode vir a ocorrer depois de 2018. “Em parte, as eleições geram incerteza, mas ao mesmo tempo existe a possibilidade de trazer mais clareza de um governo com mandato vindo das urnas.”

Grau de investimento

Martin, por sua vez, acrescenta que os riscos políticos — “que são desafio em qualquer país emergente do mundo” — estão gerando atualmente demandas maiores no Brasil em decorrência também da perda do grau de investimento, o certificado de segurança a investidores conferido agências de avaliação de risco, ocorrida no final de 2015 e início de 2016.

De modo geral, a perda do grau de investimento é um empecilho a mais para atrair investidores.

No caso do Programa de Parcerias de Investimento, o crédito para tocar as obras é apontado por diversos especialistas como um elo ainda fraco. “Por conta do ajuste fiscal, o BNDES passa por um processo de reestruturação importante e ainda não se tem clareza sobre que projetos serão afetados e de que maneira serão afetados”, diz Fávaro.

Além disso, a situação fiscal da União não permite imaginar que o governo terá muita margem para enfiar fundo a mão no bolso.

As dificuldades nesta área devem atingir principalmente as empresas nacionais. Fávaro lembra que, historicamente, os principais players de concessões de grandes obras de infraestrutura são as grandes empreiteiras nacionais. As principais já vinham com problemas para obter dinheiro dos bancos por causa do envolvimento na Lava Jato.

Janela para estrangeiros

Com essa situação, Martin vê uma janela de oportunidade para empresas estrangeiras entrarem mais ativamente neste setor. Com taxas de retorno que prometem ser mais atraentes, ele diz que “há apetite” de vários investidores internacionais.

Segundo ele, o investidor de fora chega com capital e, normalmente, com o respaldo de agência de fomento às exportações de seu país de origem, o que dá mais garantias para as empresas participantes. “Estou muito otimista com os investidores estrangeiros”, diz o consultor da Aon. “Para os brasileiros, o desafio vai ser o crédito.”

Fávaro lembra que as tentativas anteriores de atração desses investidores de fora não deram o resultado esperado por diversos motivos. “O Brasil continua sendo um país difícil para fazer negócios, principalmente no setor de infraestrutura. Há uma série de  medidas que o governo precisaria tomar para melhorar o ambiente de negócios.”

Calma aí

Embora com um ambiente político bastante conturbado, os dois especialistas lembram que não o Brasil não registra questões “clássicas” — e graves — de riscos nessa área, como rompimento de contratos ou expropriação de ativos. Ao contrário, a praxe é de respeito aos contratos.

Por isso, Fávaro diz que, ao mesmo tempo em que são relevantes, os riscos políticos brasileiros não devem ser sobrevalorizados. Além de respeito aos contratos, ele avalia que o processo de concessões públicas vem se modificando positivamente desde 2012.  “O governo atual teve oportunidade de aprender com os erros do passado.”

Já Keith Martin lembra que a situação brasileira fica distante da ocorrida, por exemplo, na Venezuela e até recentemente na Argentina. “O Brasil não tem histórico de sinistro [em risco político segurável], não fez expropriações ou quebra de contratos”, afirma. “Isso é importante.”

Mesmo no caso das interferências do governo no setor elétrico, diz, as mudanças efetuadas não configuraram quebra de contrato. “As empresas tinham opção de mudar ou não ter as concessões renovadas. Apesar da polêmica, e de não ter sido positivo, não foi quebra de contrato; o governo estava no direito dele”, afirma.

Alvo de várias medidas diretas do governo, o setor elétrico em anos recentes é um exemplo do impacto dos riscos políticos. Fávaro lembra que a área enfrentou uma crise hídrica e passou de um quadro de pouca oferta para o de sobreoferta de energia em poucos meses, impactando bastante o caixa das empresas. As mudanças geraram um grande volume de processos judiciais para discutir os contratos.

Para ele, a capacidade gerencial do novo governo em lidar com esses problemas e também de tocar o plano de concessões ainda será posta à prova. Esse foi um dos problemas da gestão Dilma: “O corpo técnico do governo Dilma tinha dificuldade em entregar os projetos de concessão no tempo certo ou com a qualidade que os investidores desejavam”, diz.

Compasso de espera

Seja como for, o mercado dá sinais claros de que espera ações concretas para se mexer mais. Para Fávaro, um exemplo disso é o fato de o programa anunciado ter apenas duas obras de rodovias. Segundo reportagem do Valor Econômico, não há empresas interessadas em participar das concessões. Elas estariam esperando uma medida provisória para tratar das relicitações de trechos problemáticos e prorrogação das concessões atuais.

Há riscos políticos que podem ser transferidos para o mercado segurador e outros que não são cobertos por nenhum tipo de seguro, explica Keith Martin, consultor de comércio e investimentos internacionais da corretora Aon.

De qualquer forma, trata-se de uma operação que contempla o fluxo de investimentos internacionais. Ou seja: quem contrata é uma empresa estrangeira, que vem atuar no país e já traz a proteção junto.

Não é possível, diz Martin, que uma empresa brasileira contrate o seguro de risco político para operações no próprio país. Nesse caso, as empresas locais precisam utilizar proteção de outros produtos, como o seguro garantia, por exemplo. Outra alternativa possível, explica Martin, é uma empresa nacional que tem filiais no exterior contratar o seguro de risco político por meio de uma dessas unidades.

Os riscos políticos seguráveis clássicos cobrem danos causados por violência (guerra civil ou mesmo tumultos causados por protestos), impossibilidade de transferir recursos para a sede e expropriação de ativos da empresa sem a compensação adequada, explica Martin. Incluem ainda quebra de contrato entre governo e empresa privada e o chamado descumprimento de garantia soberana (que é quando um governo não honra garantia claras dadas em determinados projetos, normalmente aplicados em países com alto grau do risco).

Segundo o consultor da Aon, o Brasil não apresenta alto grau de exposição a esses riscos.

No caso de quebra de contratos, por exemplo, a seguradora prefere não entrar no mérito da disputa. Por isso, diz ele, 90% dos contratos contem uma cláusula que estabelece que o sinistro somente será pago depois de o caso ser julgado numa câmara de arbitragem.

Já os riscos não seguráveis são mais facilmente identificados com problemas brasileiros. Os principais deles, diz Martin, são o sistema jurídico e as mudanças regulatórias. “Não há seguro nenhum que cubra demora da Justiça”, exemplifica. Trata-se de uma característica do sistema judicial bem conhecida no Brasil. Mas em outros países, esse risco contempla também a possibilidade de a corte não julgar os casos de maneira propriamente independente — agravando a situação de um eventual litígio —, explica o consultor da Aon.

Os gestores de risco devem estar plenamente envolvidos nos trabalhos de integração de empresas após um processo de fusão e aquisição, afirma a associação americana RIMS.

Em um relatório publicado nesta semana sobre o tema, a organização que representa os gestores de risco dos Estados Unidos ressalta os desafios que uma fusão ou aquisição representa para o setor e as tarefas que os profissionais da área devem desempenhar durante o processo.

A associação observa, por exemplo, que os gestores de riscos tendem a possuir um profundo conhecimento operacional das empresas envolvidas, e isso pode ser muito útil na medida em que as partes envolvidas integram suas atividades.

Além disso, os gestores de riscos de ambas as partes só têm a ganhar ao trabalhar juntos na identificação de desafios e oportunidades estratégicas resultantes da transação.

“O envolvimento do departamento de gestão de riscos da empresa adquirida pode abrir as portas para informações valiosas sobre por que alguns protocolos e políticas foram implementadas”, afirma Gordon Adams, da corretora Servco Pacific, que é citado no estudo.

“Iniciar esta relação permite [ao gestor de risco] prover os altos executivos de uma perspectiva que, do contrário, eles poderiam não ter.”

Due diligence

Uma das principais tarefas dos gestores de riscos em um processo de F&A é realizar a due diligence, ou avaliação criteriosa, dos riscos envolvidos no processo.

O estudo se baseia em entrevistas com gestores de riscos e corretores de seguros americanos, que afirmam que muitas empresas já integram os profissionais da área na equipe que vai cuidar da operação desde o princípio.

Outras, porém, não o fazem. Neste caso, eles recomendam que o gestor de risco tome a iniciativa para criar um canal de comunicação com a equipe responsável.

Em qualquer envolvimento no processo, porém, o gestor de riscos deve estar ciente de que alguns cuidados são fundamentais, como a manutenção da confidencialidade da operação antes de que ela seja concluída e anunciada publicamente.

Além disso, o uso eficiente do tempo é essencial, o que impõe uma pressão extra sobre os trabalhos de due diligence sobre os riscos do processo.

Um dos pontos que devem estar no topo da lista dos gestores de riscos é o histórico de sinistros assegurados sofridos pela empresa a ser adquirida.

Mas também é necessário prestar atenção no histórico de perdas que não foram cobertas pelo seguro, especialmente aquelas que não acionaram as coberturas por não ultrapassar os limites de retenção, orientam os especialistas da RIMS.

A análise do histórico de sinistros é uma importante ferramenta para identificar os setores que, no futuro, podem vir a causar dores-de-cabeça para a empresa que faz a aquisição.

Coberturas de seguros

Uma vez concluída a operação, uma das preocupações do gestor de risco será a integração das coberturas de seguros das empresas envolvidas.

Algumas coberturas deverão ser canceladas imediatamente, outras poderão ser preservadas, e algumas podem ser mantidas temporiariamente para ajudar a realizar a transição administrativa das empresas de forma mais harmoniosa. Em alguns casos, o cancelamento de programas redundantes pode até resultar na devolução de dinheiro para as empresas.

Os autores do estudo recomendam que os responsáveis pela área da empresa adquirida sejam envolvidos neste trabalho, uma vez que eles conhecem a fundo as exposições e as dinâmicas da organização.

Também vale a pena alimentar uma boa relação com os corretores de seguros da empresa adquirida, já que eles podem ser muito úteis na hora de consolidar os programas de seguros.

Ao mesmo tempo, porém, não se deve descuidar das relações com os corretores originais da empresa que faz a aquisição.

O mesmo vale para os subscritores dos programas de seguros envolvidos. Como as seguradoras podem se mostrar algo inseguras a respeito da empresa originada pela operação, os gestores de riscos devem lhes fornecer a maior quantidade possível de informação, afirma o relatório.

Clique aqui para baixar o relatório em inglês (exige registro no site da RIMS).

Fernando Carbone, diretor sênior da prática de segurança cibernética da Kroll Brasil, recomenda a adoção de políticas de uso e protocolos de ação para gerir os riscos associados ao uso de dispositivos móveis pelos funcionários de uma empresa.

Esse tipo de equipamento está aumentando a exposição aos riscos cibernéticos nas empresas.

Leia abaixo alguns dos pontos que, na opinião dele, elas devem contemplar:

1. Definir políticas de utilização

É necessário estabelecer uma política clara de utilização de smartphones, abordando regras e restrições de uso.

Temas a serem abordados pela política incluem a instalação de aplicativos, a manipulação dos dados sigilosos, conexões em redes desconhecidas, cuidados com o dispositivo etc.

2. Definição de senhas

A empresa precisa definir uma política sobre a complexidade das senhas de acesso aos dispositivos e aos sistemas corporativos.

Além disso, deve garantir a possibilidade do uso do duplo fator de autenticação (senha + código recebido por SMS, por exemplo), para a autenticação em serviços de e-mails e mídias sociais.

3. Uso de aplicativos homologados

Deve-se garantir que os aplicativos instalados venham de fontes confiáveis e que tratam-se de softwares oficiais e originais.

4. Uso de software de segurança

Conhecida como MDM (Mobile Device Management), este tipo de solução garante uma maior segurança na gestão dos dispositivos corporativos, permitindo a sua localização, e até mesmo a deleção dos dados remotamente, em caso de roubo ou furto.

Além disso, permite a criação de regras de uso das informações e aplicativos e a criptografia dos dados sensíveis, entre outras funcionalidades.

5. Utilização de VPN

A Rede Virtual Particular – VPN na sigla em inglês – permite que os dispositivos corporativos troquem dados pela internet de maneira segura e confidencial.

Deve ser utilizada sempre que for necessário conectar-se em redes desconhecidas, como hotéis, restaurantes e aeroportos.

Na medida em que as empresas acordam para os riscos cibernéticos, elas aprendem que as ameaças não param de se multiplicar – e que existem não só em seus sistemas de informáticas, mas também nos dispositivos móveis de seus funcionários.

O crescente uso de smartphones e tabletes multiplica a exposição das empresas a ataques cibernéticos, uma vez que as informações circulam cada vez mais em ambientes não controlados, como as redes wifi de bares e cafés. Um prato cheio para hackers que muitas vezes estão à espera de uma oportunidade para invadir um sistema corporativo.

Fernando Carbone, diretor sênior da prática de segurança cibernética da Kroll Brasil, alerta que, para enfrentar esta ameaça, as empresas necessitam antes de mais nada atualizar seus conceitos sobre o que é o risco cibernético e como é possível defender-se dele.

“Muitas empresas ainda não sabem o que é cybersecurity”, disse Carbone a Risco Seguro Brasil. “Trata-se de uma mentalidade que a gente ainda está tentando implantar na cabeça dos executivos.”

Isso porque a visão tradicional da segurança da informação tende a focar no que acontece dentro da própria empresa. “Mas hoje o ecossistema tecnológico é muito maior”, afirma o executivo. “A empresa se relaciona com parceiros, fornecedores e clientes, compartilhando informações em uma mesma rede, o que aumenta em muito o risco.”

Por isso, muita gente já fala que as empresas precisam implementar estratégias amplas de gestão de dispositivos móveis – tarefa para a qual já há até uma sigla, EMM, ou enterprise mobility management.

Minutos

Segundo os especialistas, um dos motivos porque é preciso investir na prevenção é que, enquanto um hacker leva minutos para comprometer o sistema de uma empresa, muitas vezes passam meses até que o problema seja detectado.

Com frequência, são terceiros, como parceiros comerciais ou a mídia, quem desvela o problema, já que os controles internos detectam uma minoria muito pequena dos casos, afirma Carbone.

Na opinião do executivo da Kroll, o baixo nível de detecção de ataques pelos controles internos pode dar uma sensação de falsa segurança para as empresas. “Cybersecurity deve fazer parte da gestão de riscos operacional”, afirma.

É essencial, portanto, reduzir as oportunidades de acesso dos hackers ao sistema, e um ponto fundamental é controlar o uso de informações corporativas por parte dos funcionários em seus próprios dispositivos eletrônicos.

Hoje, é difícil para uma empresa impedir que um colaborador utilize seu próprio smartphone ou tablete para fins de trabalho. Muitas empresas até incentivam a prática, que ganhou um nome simpático, BYOD, ou Bring Your Own Device, que significa “traga o seu próprio dispositivo” em inglês.

A argumentação é que os funcionários já estão acostumados a usar seus smartphones e os customizaram de acordo com seus gostos pessoais, e por isso tendem a ser mais eficientes e a trabalhar com maior satisfação quando os utilizam.

No Brasil, esta é uma tendência ainda incipiente, e por questões legais, muitas empresas também ainda preferem fornecer os dispositivos para seus empregados. Mas a tendência é de alta, afirma Carbone.

“O BYOD está começando a se popularizar também no Brasil”, observa o executivo. “Mas a ideia é que não se misturem as informações pessoais com as da empresa, então muitas proveem smartphones corporativos para seus funcionários.”

MDM e VPN

Seja como um dispositivo próprio ou um smartphone corporativo, o acesso de informações sensíveis fora da rede da empresa ocorre com uma frequência cada vez maior, e por isso há no mercado soluções que ajudam a mitigar o problema.

Por exemplos, os chamados programas MDM, ou Mobile Device Management, que criptografam as informações no interior do dispositivo e permitem que elas sejam monitoradas e controladas remotamente.

Por meio de uma central de controle, os MDMs possibilitam, por exemplo, que um smartphone seja bloqueado pela empresa caso o funcionário reporte seu furto ou perda. A empresa também pode eliminar informações mais sensíveis sem necessidade de ter acesso ao aparelho.

Uma vantagem adicional dos programas MDM, segundo a assessoria Frost & Sullivan, é que é possível restringir o acesso dos funcionários a emails e outras ferramentas de trabalho fora do expediente, o que pode ser bastante útil para evitar ações trabalhistas.

Outra ferramenta recomendada por Carbone é a chamada rede virtual privada, ou VPN na sigla em inglês. Ela cria um ambiente protegido pelo qual o usuário pode acessar as informações mesmo usando conexões públicas.

“Em qualquer momento que o funcionário quiser se contatar com uma rede fora da empresa, uma VPN tem que ser criada automaticamente para que o canal de informação seja criptografado”, explica Carbone.

Camadas de proteção

Em geral, porém, o que as soluções tecnológicas fazem é atrasar o acesso dos hackers às informações, dando às empresas tempo suficiente para reagir e evitar maiores problemas.

“Não vai existir uma bala de prata que elimine todos os riscos”, afirma Carbone. “Mas quanto mais camadas de proteção forem colocadas, melhor, desde que elas não afetem a funcionalidade dos dispositivos.”

Para que essas camadas sejam eficientes, porém, é necessário que sejam criados protocolos de atuação para quando um evento aconteça. As políticas de prevenção devem incluir desde a adoção de medidas de segurança no acesso às informações corporativas em espaços públicos até os procedimentos que se devem tomar caso um smartphone seja perdido ou furtado.

O tempo, nesse caso, é um fator primordial, e os funcionários devem avisar a empresa o mais rapidamente possível sobre a ocorrência de um evento. Para isso, a empresa necessita disponibilizar um canal aberto 24 horas para receber este tipo de comunicação.

“O primeiro passo é a conscientização do usuário”, diz Carbone. “A empresa deve passar ao funcionário as informações sobre os riscos.”

A área de riscos não pode ser atrelada ao departamento financeiro, como ocorre em muitas empresas. Se ela ficar subordinada a um diretor que não seja específico do setor — e não fizer parte, portanto, de uma diretoria própria — não terá uma abordagem realmente corporativa.

Quem defende esse desenho organizacional é o diretor de Governança, Riscos e Compliance da construtora Camargo Corrêa, João Carlos Orzzi Lucas. “A área de riscos não pode ser uma área dependente, deve ser independente; e estar diretamente ligada ao presidente, senão não vai para a frente”, avalia.

Além disso, para ser eficiente, o setor precisa ser percebido como real pelos funcionários da organização, diz Orzzi. “O modelo de Governança, Riscos e Compliance só funciona se entenderem que é para valer”, afirma. “Senão é PIV, Para Inglês Ver. Está cheio de PIV por aí.”

Em bem-humoradas frases, o diretor tocou, durante sua participação no XV Encontro Anual do Comitê do Setor Elétrico da ABGR (Associação Brasileira de Gerência de Riscos), realizado no fim de agosto em São Paulo, em pontos considerados fundamentais por especialistas para uma empresa ter governança, riscos e compliance eficientes: desfrutar de independência de atuação, ter real engajamento dos principais diretores da organização e fazer parte da cultura corporativa.

No geral

Em nenhum momento de suas explanações no evento, Orzzi falou da empresa em que trabalha ou outra qualquer, tampouco nomeou executivos ou citou casos concretos. Abordou, enfim, conceitos gerais da área em que atua, sem fazer analogias particulares.

Embora não tenha sido feita pelo executivo, a associação das considerações ao contexto trazido desde 2014 pela Operação Lava Jato e o envolvimento da Camargo Corrêa é direta.

Difícil imaginar que haja muitos outros cargos na área com mais desafios internos do que o de Orzzi. A Camargo Corrêa é uma das principais empresas envolvidas na Lava Jato. Três ex-executivos da cúpula, incluindo o presidente e o vice, foram presos e fizeram acordo de delação premiada — eles dificilmente servirão de exemplo de conduta ética para a maioria dos cerca de 27 mil funcionários da organização.

O envolvimento na operação expôs situações que demonstram desalinhamento com práticas boas e éticas, mesmo que já dispusesse de instrumentos de controle. No ano passado, ela foi a primeira das grandes construtoras a fechar acordo de leniência com a força tarefa, reconheceu ter participado de cartel, fraudado licitações, lavado dinheiro e promovido corrupção. Por isso, se comprometeu a devolver RS$ 700 milhões, a título de ressarcimento de prejuízos, e a implementar um programa de integridade efetivo, que está sendo tocado por Orzzi.

A tarefa da diretoria de Governança, Riscos e Compliance, portanto, parece gigantesca. O currículo de Orzzi mostra que lidar com riscos não é uma novidade para o executivo.

Ele acumula duas passagens pela Camargo Corrêa. Foi diretor de GRC da construtora de janeiro de 2011 a dezembro de 2013. Saiu e em 2014 estourou a Lava Jato, que desde seu início tragou a construtora. Orzzi voltou ao cargo em julho de 2015 e desde então toca a implementação do setor conforme a orientação prevista no acordo de leniência. A experiência dele ainda inclui ter ocupado a diretoria de riscos da Oi/Telemar, entre 2009 e 2011. Atualmente, a empresa está envolvida no maior caso de recuperação judicial do país.

Mudanças

Em grande parte estimuladas pela Lava Jato, as políticas de Governança, Riscos e Compliance estão na ordem do dia das corporações. Para Orzzi, a operação trouxe à tona o questionamento sobre a postura de dirigentes de todos os tipos de empresa, públicas ou privadas, familiares ou não, de capital aberto ou fechado. “Mas é no mundo todo que se esta cobrando este tipo de coisa”, afirmou ele ao ser questionado por Risco Seguro Brasil.  “O que está acontecendo hoje é uma grande mudança, não só em uma empresa, mas principalmente numa visão de responsabilidade corporativa e sustentabilidade. Nenhuma empresa nasce para morrer.”

De acordo com ele, a área exige atenção de todos por uma série de motivos, que incluem fraudes e corrupção, mas também trabalho escravo ou infantil, manipulação fiscal ou tributária e desastres ambientais, entre outros temas.

Problemas como esses, diz ele, “por vezes” estão relacionados à atuação dos executivos. Na medida em que nenhum negócio está livre de riscos, a grande questão é como gerenciá-los. “Muita gente ainda vê os riscos como problema; não são”, defende. “O problema é não conhecer os riscos.”

Cabe à estrutura de GRC interna equilibrar a balança entre controles e tolerância a riscos e os riscos efetivos. “A gestão de riscos é o grande diferencial”, afirma. “O principal papel é a fiscalização da administração. Se a gente cobrar que a administração tenha determinadas posturas e siga o que manda a legislação e as normas, já estaremos indo bem.”

Do ponto de vista administrativo, o controle precisa fazer com que os benefícios gerados por ele sejam maiores do que o custo de implementá-lo, advoga o diretor. A ausência de controles resulta numa exposição “intolerável” a riscos; já controles em excesso geram exposição a custos muito altos. A balança ideal, segundo ele, estabelece uma relação equilibrada entre controles eficientes e riscos.

Orzzi diz acreditar que o intenso noticiário calcado na Lava Jato levou a opinião pública a pensar que o problema de desvios reside na empresa “A, B ou C” que está em evidência na imprensa. Mas a questão, avalia ele, é maior e envolve traços culturais ainda muito presentes nos brasileiros.

“Normalmente quem faz a crítica [às envolvidas na Lava Jato] é a mesma pessoa que estaciona o carro na vaga de deficiente ou que paga para não ser multada no trânsito”, compara ele. “Temos de tirar do nosso DNA a lei de Gérson.”

Orzzi defende participação e cobrança mais ativas de todos contra posturas como as que citou. Ele acredita que isso já está ocorrendo, mas pode levar tempo para os resultados do que chama “mudança de cultura” aparecerem de forma mais consistente.

Segundo o executivo, um sinal de mudanças internas na Camargo Corrêa é uma confiança maior dos funcionários em instrumentos como, por exemplo, o canal de denúncias da empresa, “que existe há mais de dez anos”.

“Pior do que descobrir que teve um problema é não saber que ele existe”, afirma. “Internamente, as pessoas que estão lá acreditam no papel social da empresa e querem seguir em frente. Estão imbuídas de trazer melhores resultados.”

Aviso legal

No início de sua palestra para os gestores de risco do setor elétrico, João Orzzi fez questão de destacar um “aviso”: as opiniões que seriam expressas refletiriam a experiência adquirida na atuação em grandes organizações de diversos segmentos “por um time de profissionais altamente qualificados e comprometidos”, apontou. “Portanto, representam nossa visão e prática, que vêm ao encontro da necessidade de aprimorar o posicionamento de governança, riscos e compliance nas organizações”, ponderou. “Inclusive nas que atuamos.”