gestão de riscos e compliance - observatório social do...
TRANSCRIPT
Gestão de Riscos e Compliance
Ricardo Lemos
Professor
3
• MestreemAdministraçãodeEmpresas(FGV),MBAemControladoria(Fipecafi-USP)egraduadoemAdministraçãodeEmpresas(FGV),CiênciasContábeis(UNIP)eemEstudosTeológicos(SBPV).PossuitambémcerNficaçãopeloIIA(InsTtuteofInternalAuditors)emPerformingExternalQualityAssessmentsoftheInternalAudiNngAcNvity(IIA-EUA).
• PossuiConhecimentostécnicosemadministraçãodeempresas,contábeis,risco,compliance,fraude,FCPA,SOX,auditoriaecontrolesintermos.Temexperiêncianodesenvolvimentoenagestãodenegóciosefusõeseexperiênciaempreendedoranodesenvolvimentodestartups.Foiinstrutordecursosdenegócios,riscoeconsultoriaemdiversospaíseseéprofessorconvidadolecionandogovernançacorporaNvaegestãoderiscoemcursosdeeducaçãoexecuNvadaFECAP,InsNtutoARC,Trevisan,eEscolaNacionaldeSeguros.
Professor
4
• Maisde30anosdeexperiênciaprofissionalecarreiradesenvolvidaaparNrdaArthurAndersen,comatuaçãonasáreasdeAuditoria,BusinessConsulNngeBusinessRiskConsulNng,alémdeDiretordenovosnegóciosdaNewZealandTradeDevelopmentBoardnoBrasil.NosúlNmosanosexerceuliderançadapráNcadeGovernançaRiscoeCompliancenaProNviN,CTIeParkerRandall.ÉmembrodaComissãodeRiscosdoIBGC(InsTtutoBrasileirodeGovernançaCorporaNva).
GovernançaCorporaNva–DefiniçãoIBGC
5
• GovernançacorporaNvaéosistemapeloqualasempresasedemaisorganizaçõessãodirigidas,monitoradaseincenNvadas,envolvendoosrelacionamentosentresócios,conselhodeadministração,diretoria,órgãosdefiscalizaçãoecontroleedemaispartesinteressadas.
IBGC–CódigodasMelhoresPrá5casdeGovernançaCorpora5va–5ªedição.
GovernançaCorporaNva-Finalidade
6
Asboasprá)casdegovernançacorporaNvaconvertemprincípios básicosemrecomendaçõesobjeNvas,alinhandointeressescomafinalidadede:• preservareoNmizarovaloreconômicodelongoprazodaorganização,
• facilitandoseuacessoarecursose• contribuindoparaaqualidadedagestãodaorganização,sualongevidadeeobemcomum.
IBGC–CódigodasMelhoresPrá5casdeGovernançaCorpora5va–5ªedição.
Governança–PrincípiosBásicos–Transparência(Disclosure)
7
Éodesejodedisponibilizarparaaspartesinteressadasasinformaçõesquesejamdeseuinteresseenãoapenasasobrigatórias(leisouregulamentos). • Adequadatransparênciaresultaemumclimadeconfiança.• Nãodeveselimitaraodesempenhoeconômicofinanceiro,masdevecontemplardemaisfatoresinclusiveintangíveisquenorteiamaaçãogerencialequeconduzemàpreservaçãoeàoNmizaçãodovalordaorganização.
Governança–PrincípiosBásicos–Equidade(Fairness)
8
Tratamentojustoeisonômicodetodosossóciosedemaispartesinteressadas.NãotoleraraNtudesdiscriminatórias.Respeitopelosdireitosdetodasaspartesinteressadas(stakeholders).CulNvarumgrandesensodejusNçalevandoemconsideraçãoseusdireitos,deveres,necessidades,interesseseexpectaNvas.
Governança–PrincípiosBásicos–PrestaçãodeContas(Accountability)
9
OsagentesdagovernançacorporaNvadevemprestarcontasdesuaatuaçãoaquemoselegeuounomeoudemodoclaro,conciso,compreensíveletempesNvo,assumindointegralmenteasconsequênciasdosatoseomissõesquepraNcaremnoexercíciodeseusmandatoseatuandocomdiligênciaeresponsabilidadenoâmbitodosseuspapéis.
Governança–PrincípiosBásicos–ResponsabilidadeCorporaNva(Compliance)
10
Osagentesdegovernançadevemzelarpelaviabilidadeeconômico-financeiradasorganizações(sustentabilidade,visãodelongoprazo),incorporandoconsideraçõesdeordemsocialeambientalnadefiniçãodosnegócioseoperações(modelodenegócio).Éumavisãomaisampladaestratégiaempresarial,contemplandotodososrelacionamentosdaempresaeosdiversoscapitais(financeiro,manufaturado,intelectual,humano,social,ambiental,reputacionaletc.)nocurto,médioelongoprazos.
GestãodeRiscosDefinições
OqueéRisco?
12
• Termoriscoéprovenientedapalavrarisicuouriscu,emlaNm,quesignificaousar(todare,eminglês).
• Gestãoderiscos: Dirigir,pilotaraousadia! Administraraousadia!
• Gerenciarriscoséumaquestãodeaomesmotempoaproveitaroportunidadesvantajosaseevitarriscosdesvantajosos.
OqueéRisco?
13
(ISO31000:2009)• “EfeitodaincertezanosobjeNvos”• Relacionaeventosesuasconsequências• Efeito=desvio(+/-)• ObjeNvos=diferentesaspectoseníveis• Incerteza=deficiênciadeinformaçõescomrelaçãoaoevento
IBGC“quanNficaçãoequalificaçãodaincerteza,tantonoquedizrespeitoàs“perdas”comoaos“ganhos”,comrelaçãoaorumodosacontecimentosplanejados,sejaporindivíduos,sejapororganizações”
Definições
14
• OriscoéinerenteaqualqueraNvidadenavidapessoal,profissionalounasorganizaçõeseaculturaemadministrá-loéumelemento-chave.Asensibilidadedaorganizaçãoaoriscoéumafunçãodetrêsaspectos:• Tamanhoourelevânciaaorisco;• Apossibilidade/frequênciadeocorrência;• ComoreagirouresponderacadaNpoderisco.
GovernançaCorporaNvaeRisco
15
• ArelaçãodaGovernançaCorporaNvaeoGerenciamentodeRiscosse dáaparNrdomomentoqueo riscoéum fatodavida corporaNvaea eficáciadaGestãodessesriscospodeafetardiretamenteosobjeNvosdeumaboaGovernançaCorporaNva.
• Assumiregerenciarriscosépartedoqueasempresasprecisamparaobterlucros,realizarobjeNvosimportantes(sociais,ambientais,etc.)ecriarvalor.
• NamedidaemquetodasasaNvidadesempresariaisenvolvemriscos,osadministradoresdevemavaliaremensurarosriscosenvolvidosemdeterminadadecisãoedeveadministrá-loscombasenoapeNte ariscodefinidopeloConselhodeAdministração,ouseja,paraoretornoesperadoquantoseestádispostoainves)r/perdereventualmente.
ApeNteeTolerânciaaoRisco
16
Considerandoque:• ancoramosnossasesNmaNvasnosdadosquetemosàmão;
• temosoviésdaprivilegiarinformaçõesquecorroboramnossaposiçãoeignorarinformaçõesqueacontradigam;
• pelascaracterísNcasindividuais,temosdiferentesopiniões(tolerância;tamanhodoimpactoeprobabilidadedeocorrência);
Éfundamentalchegaraumentendimentocomum,paragaranNrasustentabilidadedonegócio.
O sucesso vai depender do nível de compreensão dos riscos.
ApeNteeTolerância(PerfildeRisco)
17
Inve
stim
ento
/ B
enef
ício
s
Investimento em Controles e Ações Mitigadoras
Potenciais Perdas associadas ao Risco
Nível Ótimo
Intensidade dos Controles / Grau de Incerteza
Definir os limites de uma estratégia é a essência de Gestão de Riscos. Se os limites foram estreitos demais, oportunidades são perdidas – e se
forem amplos demais, o negócio pode assumir um nível excessivo de risco.
IdenNficandoosRiscosdoNegócio
• Ondevocêdedicaconsiderávelesforçoafimdecontrolar?• QueàreasrecebemquanNdadesignificaNvaderelatóriosdegestão?Ondevocê
uNlizaamaiorpartedosseusrecursos?• Oqueosanalistasdemercadoestãointeressados?• Qualamanchetenosjornaisquevocênãogostariadever?
• Quaissãoosprincipaisobstáculosqueoimpedemdeavançaremoportunidades?
• Oqueimpedeocrescimento?• Oqueaconcorrênciafazmelhor?• Oquetemantêmacordadoanoite?• Oqueoscolaboradoresreclamam?• Sevocêpudessemudarumacoisanaempresaoqueseria?
18
CategorizaçãodeRiscos
19
• Origemdosriscos:idenNficaçãodaorigemdoseventos(externosouinternos),poisauxilianadefiniçãodaabordagemaserempregadaporpartedaorganização.
• Naturezadosriscos:IgualmenteimportanteéaNpologiadosriscos,oquepermiteidenNficarasuanatureza–estratégico,imagem,financeiro,operacionaletc.
• Comportamentodosriscos:determinarseoseventossãoconxnuosoupontuais.Riscosconxnuosrequeremmonitoramentoconstante.Riscospontuaisocorremsobdeterminadascircunstânciasquedevemsermonitoradas.
• Controlesobreosriscos: determinaçãodoníveldecontrolesobreoseventos.Riscoscontroláveisrequeremaçõesqueprevinamaocorrênciadorisco.Riscosnãocontroláveissão,emsuamaioria,causadosporeventosexternos,easaçõesderespostaaosriscossãoaplicadasnormalmenteparagerenciarsuasconsequências.
CategorizandoosRiscosIdenNficados(Exemplo2)
20
IdenNficadososriscos,osistemadegovernançaderiscosdeveserfundadonasmodalidadesderiscoqueaorganizaçãoenfrenta,porqueaformademiNgaçãoédiferente.
Fontesdeincertezas
AmbienteExterno
Processos
InformaçõesEstratégicas
• AfetamaVIABILIDADEdoModelodeNegócios
• AfetamaEXECUÇÃOdoModelodeNegócios
• CONFIABILIDADEERELEVÂNCIADEINFORMAÇÕES
AvaliandoePriorizandoRiscos
21
Impacto • Quão grande impacto que esse risco
tem se vier a ocorrer?
• Impacto poderia ser em muitas áreas, incluindo a financeira, reputação, recursos humanos, avaliação de insumos, etc.
• Considere quão provável é que este risco realmente ocorra, dadas as incertezas inerentes em seu negócio.
• Não considera os efeitos atenuantes de eventuais controles internos.
Probabilidade / Frequência
MapadeRisco(MapadeCalor)
22
O gráfico é um exemplo de mapa de risco - respostas aos riscos devem ser desenvolvidas começando com os riscos encontrados no quadrante superior direito.
PROBABILIDADEBaixa Alta
Bai
xo
Alt
o IM
PAC
TO
Riscos Secundários • Menor probabilidade, mas
poderia ter um impacto adverso significativo sobre os objetivos de negócios
Riscos Chave • Riscos críticos que
potencialmente ameaçam a realização dos objetivos de negócio
RiscosBaixaPrioridade• Monitoramento
significaNvonãoénecessárioamenosqueaclassificaçãomude
• Periodicamentereavaliar
Riscos Secundários • Menorimportância,masé
maisprovávelqueocorra
• Considerarotrade-offdecusto/bene{cio
• Reavaliarcomfrequênciaparamudança nas condições (paraaltoimpacto)
TratamentodosRiscosidenNficados
23
• EvitaroRisco:decisãodenãoseenvolverouagirdeformaasereNrardeumasituaçãoderisco.Exemplo:umaorganizaçãodecidedesfazer-sedeumaunidadedenegócios.
• AceitaroRisco:• Reter:manteroriscononívelatualdeimpactoeprobabilidade(sãotoleráveis).
• Reduzir:açõessãotomadasparaminimizaraprobabilidadee/ouoimpactodorisco.
• Transferire/ouCompar)lhar:aNvidadesquevisamreduziroimpactoe/ouaprobabilidadedeocorrênciadoriscoatravésdatransferênciaou,emalgunscasos,docomparNlhamentodeumapartedorisco
• Explorar:aumentarograudeexposiçãoaorisconamedidaemqueistopossibilitavantagenscompeNNvas
CapacidadedeGerenciamento(Maturidade)
24
OCMM(CapabilityMaturityModel)éomodelouNlizadoparaavaliarograudematuridadedoprocessodegerenciamentodosriscos
Evol
ução
do
Proc
esso
Estágio Descrição Capacidade Características
OTIMIZADO
(“Feedback” contínuo) Gestão de riscos e oportunidades como fonte
de vantagem competitiva
• Gestão de riscos e oportunidades integrada • Ênfase em aceitação e exploração de riscos e oportunidades • Melhores práticas • Conhecimento acumulado e compartilhado
ADMINISTRADO
(Quantitativo) Riscos e oportunidades
mensurados e gerenciados quantitativamente no âmbito
corporativo
• Indicadores, metodologias e análises rigorosas • Avaliação constante do risco e retorno de cada ação • Sistemas de suporte integrados
DEFINIDO
(Qualitativo/Quantitativo) Políticas, processos e padrões estabelecidos e
institucionalizados
• Uniformidade de processos • Metodologias rígidas • Sistemas de suporte isolados
REPETIDO
(Intuitivo) Processo estabelecido e que se
repete, menor dependência de pessoal
• Foco comum • Pessoal qualificado • Tarefas definidas • Componentes iniciais de sistemas de suporte
INICIAL
(Pontual) Forte dependência de pessoal,
ausência de capacidade institucional
• Tarefas indefinidas • Baseado em iniciativas • “Apenas faça” (apagar incêndios) • Confiança nas pessoas
• Conscientização de Riscos
• Melhoria do conhecimento empresarial
• Avaliação de incertezas
• Decisões sobre a perspectiva de prêmio x risco recebem mais atenção
• Tomada de decisões mais efetivas e baseadas em visões de riscos
• Conversão em oportunidades de negócios
• Gerenciamento de riscos é parte fundamental da administração empresarial
• Explorar os efeitos de diversificação
• Riscos agregados para reduzir o risco de transferência de custos
• Gerenciamento de riscos integrado com planejamento e estratégia empresarial
• Antecipação de riscos melhor do que de competidores sem ERM
• Ligação entre gerenciamento de riscos e gerenciamento da linha de operações
• Melhoria do capital e distribuição de recursos
• Transparência dos riscos com stakeholders
Inicial Repetitivo Definido Administrado/Otimizado
Bene{ciosAcumuladoscomoGerenciamentodeRiscos
25
KayThompson,PhD,execuNvadeGestãodeRiscosemembrodeconselhosdeadministraçãoecomitêsdeauditoriaefinanças,listaemseuarNgo‘ABoard’sEyeViewofRiskManagement’,publicadonarevistaNACDDirectorshipdejan/fev-2014,asaçõesquedevemsertomadaspeloCAparadesenvolver,atualizarouredefinircomolidarcomriscosnasorganizações:
GovernançadoRisconaPerspecNvadoConselhodeAdministração
26
Entenderosriscosdaorganização
A responsabilidade quanto aos riscos recai sob o CA. Trabalhar com a gerencia para entender o perfil de riscos da companhia, onde os riscos críticos estão situados, e como os riscos são tratados.
Desenvolveroape)tearisco
O montante aceitável de risco deve ser determinado, para suportar o crescimento planejado. Após, trabalhar com a gerencia para definir métricas para monitorar o alinhamento do apetite a risco com o perfil de risco da companhia.
Definirexpecta)vas
As expectativas relacionadas aos gerenciamento de risco devem ser claramente definidas com o corpo gerencial e operacional da companhia. Incorpore estas expectativas na estrutura de remuneração, benefícios e incentivos.
Conheceroplano
Revisar o plano da gerencia para implementar, monitorar e comunicar o programa de ERM e o apetite a risco através da organização, certificando que os canais estão bem definidos para comunicação das expectativas relacionadas ao gerenciamento de riscos e as consequências quando o apetite a risco é excedido.
Agir
Receberinformações
Definir como o CA vai integrar as discussões de risco com planejamento estratégico, e monitorar os riscos e relatórios de métricas.
Estabelecer com o corpo gerencial e operacional os relatórios necessários quanto ao status do programa e os riscos a nível de entidade que requeiram consideração e ação do CA.
GerenciamentodeRiscosCorporaNvos
27
Conselho de Administração • Entender os riscos da organização • Definir o montante aceitável de risco • Definir expectativas relacionadas ao
gerenciamento de riscos • Conheçer o plano de gerenciamento de riscos • Integrar as discussões de risco com planejamento estratégico • Monitorar os riscos e relatórios de
métricas
GerenciamentodeRiscosCorporaNvos
28
Diretoria Executiva • Identificar, mapear e avaliar os riscos • Elaborar, implementar e monitorar o plano de gerenciamento de riscos. • Preparar informações de gerenciamento de riscos para o Conselho de
Administração
PorqueImplementarGestãodeRiscos?
29
Potencial impacto da materialização de riscos na imagem da companhia
Necessidade de assegurar maior transparência e divulgação ao mercado
Atribuição do risco de crédito pelas Agências de Rating
Ambiente mais Regulamentado
e complexo Elevação do custo do capital
ImplementandooGerenciamentodeRiscos
30
Identificar
Avaliar e Posicionar
Implementar
Monitorar
PlanodeAção
Apetite
Acompanhar Cenários
Sistema de
Gestão de Riscos Articular o estado
desejado para o gerenciamento de riscos
suportado por uma proposta de valor
baseada em análise de gaps dos riscos chave
Conduzir um Enterprise
Risk Assessment (ERA)
para identificar e priorizar
os riscos chave
Aprimorar as capacidades de
gerenciamento de riscos para riscos prioritários
selecionados pela administração
Atualizar o ERA conforme
mudanças e utilizar habilidades para os demais riscos
prioritários enquanto a infra-estrutura do ERM é continuamente
aprimorado
Copyright © 2018 Prof. Ricardo Lemos. Todos direitos reservados. Reprodução ou divulgação total ou parcial deste documento é expressamente proibido sem o consentimento formal, por escrito, do Professor (autor).
31