Gestão de Riscos e Compliance

Ricardo Lemos

Professor

3

•  MestreemAdministraçãodeEmpresas(FGV),MBAemControladoria(Fipecafi-USP)egraduadoemAdministraçãodeEmpresas(FGV),CiênciasContábeis(UNIP)eemEstudosTeológicos(SBPV).PossuitambémcerNficaçãopeloIIA(InsTtuteofInternalAuditors)emPerformingExternalQualityAssessmentsoftheInternalAudiNngAcNvity(IIA-EUA).

•  PossuiConhecimentostécnicosemadministraçãodeempresas,contábeis,risco,compliance,fraude,FCPA,SOX,auditoriaecontrolesintermos.Temexperiêncianodesenvolvimentoenagestãodenegóciosefusõeseexperiênciaempreendedoranodesenvolvimentodestartups.Foiinstrutordecursosdenegócios,riscoeconsultoriaemdiversospaíseseéprofessorconvidadolecionandogovernançacorporaNvaegestãoderiscoemcursosdeeducaçãoexecuNvadaFECAP,InsNtutoARC,Trevisan,eEscolaNacionaldeSeguros.

Professor

4

•  Maisde30anosdeexperiênciaprofissionalecarreiradesenvolvidaaparNrdaArthurAndersen,comatuaçãonasáreasdeAuditoria,BusinessConsulNngeBusinessRiskConsulNng,alémdeDiretordenovosnegóciosdaNewZealandTradeDevelopmentBoardnoBrasil.NosúlNmosanosexerceuliderançadapráNcadeGovernançaRiscoeCompliancenaProNviN,CTIeParkerRandall.ÉmembrodaComissãodeRiscosdoIBGC(InsTtutoBrasileirodeGovernançaCorporaNva).

GovernançaCorporaNva–DefiniçãoIBGC

5

•  GovernançacorporaNvaéosistemapeloqualasempresasedemaisorganizaçõessãodirigidas,monitoradaseincenNvadas,envolvendoosrelacionamentosentresócios,conselhodeadministração,diretoria,órgãosdefiscalizaçãoecontroleedemaispartesinteressadas.

IBGC–CódigodasMelhoresPrá5casdeGovernançaCorpora5va–5ªedição.

GovernançaCorporaNva-Finalidade

6

Asboasprá)casdegovernançacorporaNvaconvertemprincípios básicosemrecomendaçõesobjeNvas,alinhandointeressescomafinalidadede:•  preservareoNmizarovaloreconômicodelongoprazodaorganização,

•  facilitandoseuacessoarecursose•  contribuindoparaaqualidadedagestãodaorganização,sualongevidadeeobemcomum.

IBGC–CódigodasMelhoresPrá5casdeGovernançaCorpora5va–5ªedição.

Governança–PrincípiosBásicos–Transparência(Disclosure)

7

Éodesejodedisponibilizarparaaspartesinteressadasasinformaçõesquesejamdeseuinteresseenãoapenasasobrigatórias(leisouregulamentos). •  Adequadatransparênciaresultaemumclimadeconfiança.•  Nãodeveselimitaraodesempenhoeconômicofinanceiro,masdevecontemplardemaisfatoresinclusiveintangíveisquenorteiamaaçãogerencialequeconduzemàpreservaçãoeàoNmizaçãodovalordaorganização.

Governança–PrincípiosBásicos–Equidade(Fairness)

8

Tratamentojustoeisonômicodetodosossóciosedemaispartesinteressadas.NãotoleraraNtudesdiscriminatórias.Respeitopelosdireitosdetodasaspartesinteressadas(stakeholders).CulNvarumgrandesensodejusNçalevandoemconsideraçãoseusdireitos,deveres,necessidades,interesseseexpectaNvas.

Governança–PrincípiosBásicos–PrestaçãodeContas(Accountability)

9

OsagentesdagovernançacorporaNvadevemprestarcontasdesuaatuaçãoaquemoselegeuounomeoudemodoclaro,conciso,compreensíveletempesNvo,assumindointegralmenteasconsequênciasdosatoseomissõesquepraNcaremnoexercíciodeseusmandatoseatuandocomdiligênciaeresponsabilidadenoâmbitodosseuspapéis.

Governança–PrincípiosBásicos–ResponsabilidadeCorporaNva(Compliance)

10

Osagentesdegovernançadevemzelarpelaviabilidadeeconômico-financeiradasorganizações(sustentabilidade,visãodelongoprazo),incorporandoconsideraçõesdeordemsocialeambientalnadefiniçãodosnegócioseoperações(modelodenegócio).Éumavisãomaisampladaestratégiaempresarial,contemplandotodososrelacionamentosdaempresaeosdiversoscapitais(financeiro,manufaturado,intelectual,humano,social,ambiental,reputacionaletc.)nocurto,médioelongoprazos.

GestãodeRiscosDefinições

OqueéRisco?

12

•  Termoriscoéprovenientedapalavrarisicuouriscu,emlaNm,quesignificaousar(todare,eminglês).

•  Gestãoderiscos: Dirigir,pilotaraousadia! Administraraousadia!

•  Gerenciarriscoséumaquestãodeaomesmotempoaproveitaroportunidadesvantajosaseevitarriscosdesvantajosos.

OqueéRisco?

13

(ISO31000:2009)•  “EfeitodaincertezanosobjeNvos”•  Relacionaeventosesuasconsequências•  Efeito=desvio(+/-)•  ObjeNvos=diferentesaspectoseníveis•  Incerteza=deficiênciadeinformaçõescomrelaçãoaoevento

IBGC“quanNficaçãoequalificaçãodaincerteza,tantonoquedizrespeitoàs“perdas”comoaos“ganhos”,comrelaçãoaorumodosacontecimentosplanejados,sejaporindivíduos,sejapororganizações”

Definições

14

•  OriscoéinerenteaqualqueraNvidadenavidapessoal,profissionalounasorganizaçõeseaculturaemadministrá-loéumelemento-chave.Asensibilidadedaorganizaçãoaoriscoéumafunçãodetrêsaspectos:•  Tamanhoourelevânciaaorisco;•  Apossibilidade/frequênciadeocorrência;•  ComoreagirouresponderacadaNpoderisco.

GovernançaCorporaNvaeRisco

15

•  ArelaçãodaGovernançaCorporaNvaeoGerenciamentodeRiscosse dáaparNrdomomentoqueo riscoéum fatodavida corporaNvaea eficáciadaGestãodessesriscospodeafetardiretamenteosobjeNvosdeumaboaGovernançaCorporaNva.

•  Assumiregerenciarriscosépartedoqueasempresasprecisamparaobterlucros,realizarobjeNvosimportantes(sociais,ambientais,etc.)ecriarvalor.

•  NamedidaemquetodasasaNvidadesempresariaisenvolvemriscos,osadministradoresdevemavaliaremensurarosriscosenvolvidosemdeterminadadecisãoedeveadministrá-loscombasenoapeNte ariscodefinidopeloConselhodeAdministração,ouseja,paraoretornoesperadoquantoseestádispostoainves)r/perdereventualmente.

ApeNteeTolerânciaaoRisco

16

Considerandoque:•  ancoramosnossasesNmaNvasnosdadosquetemosàmão;

•  temosoviésdaprivilegiarinformaçõesquecorroboramnossaposiçãoeignorarinformaçõesqueacontradigam;

•  pelascaracterísNcasindividuais,temosdiferentesopiniões(tolerância;tamanhodoimpactoeprobabilidadedeocorrência);

Éfundamentalchegaraumentendimentocomum,paragaranNrasustentabilidadedonegócio.

O sucesso vai depender do nível de compreensão dos riscos.

ApeNteeTolerância(PerfildeRisco)

17

Inve

stim

ento

/ B

enef

ício

s

Investimento em Controles e Ações Mitigadoras

Potenciais Perdas associadas ao Risco

Nível Ótimo

Intensidade dos Controles / Grau de Incerteza

Definir os limites de uma estratégia é a essência de Gestão de Riscos. Se os limites foram estreitos demais, oportunidades são perdidas – e se

forem amplos demais, o negócio pode assumir um nível excessivo de risco.

IdenNficandoosRiscosdoNegócio

•  Ondevocêdedicaconsiderávelesforçoafimdecontrolar?•  QueàreasrecebemquanNdadesignificaNvaderelatóriosdegestão?Ondevocê

uNlizaamaiorpartedosseusrecursos?•  Oqueosanalistasdemercadoestãointeressados?•  Qualamanchetenosjornaisquevocênãogostariadever?

•  Quaissãoosprincipaisobstáculosqueoimpedemdeavançaremoportunidades?

•  Oqueimpedeocrescimento?•  Oqueaconcorrênciafazmelhor?•  Oquetemantêmacordadoanoite?•  Oqueoscolaboradoresreclamam?•  Sevocêpudessemudarumacoisanaempresaoqueseria?

18

CategorizaçãodeRiscos

19

•  Origemdosriscos:idenNficaçãodaorigemdoseventos(externosouinternos),poisauxilianadefiniçãodaabordagemaserempregadaporpartedaorganização.

•  Naturezadosriscos:IgualmenteimportanteéaNpologiadosriscos,oquepermiteidenNficarasuanatureza–estratégico,imagem,financeiro,operacionaletc.

•  Comportamentodosriscos:determinarseoseventossãoconxnuosoupontuais.Riscosconxnuosrequeremmonitoramentoconstante.Riscospontuaisocorremsobdeterminadascircunstânciasquedevemsermonitoradas.

•  Controlesobreosriscos: determinaçãodoníveldecontrolesobreoseventos.Riscoscontroláveisrequeremaçõesqueprevinamaocorrênciadorisco.Riscosnãocontroláveissão,emsuamaioria,causadosporeventosexternos,easaçõesderespostaaosriscossãoaplicadasnormalmenteparagerenciarsuasconsequências.

CategorizandoosRiscosIdenNficados(Exemplo2)

20

IdenNficadososriscos,osistemadegovernançaderiscosdeveserfundadonasmodalidadesderiscoqueaorganizaçãoenfrenta,porqueaformademiNgaçãoédiferente.

Fontesdeincertezas

AmbienteExterno

Processos

InformaçõesEstratégicas

•  AfetamaVIABILIDADEdoModelodeNegócios

•  AfetamaEXECUÇÃOdoModelodeNegócios

•  CONFIABILIDADEERELEVÂNCIADEINFORMAÇÕES

AvaliandoePriorizandoRiscos

21

Impacto •  Quão grande impacto que esse risco

tem se vier a ocorrer?

•  Impacto poderia ser em muitas áreas, incluindo a financeira, reputação, recursos humanos, avaliação de insumos, etc.

•  Considere quão provável é que este risco realmente ocorra, dadas as incertezas inerentes em seu negócio.

•  Não considera os efeitos atenuantes de eventuais controles internos.

Probabilidade / Frequência

MapadeRisco(MapadeCalor)

22

O gráfico é um exemplo de mapa de risco - respostas aos riscos devem ser desenvolvidas começando com os riscos encontrados no quadrante superior direito.

PROBABILIDADEBaixa Alta

Bai

xo

Alt

o IM

PAC

TO

Riscos Secundários •  Menor probabilidade, mas

poderia ter um impacto adverso significativo sobre os objetivos de negócios

Riscos Chave •  Riscos críticos que

potencialmente ameaçam a realização dos objetivos de negócio

RiscosBaixaPrioridade•  Monitoramento

significaNvonãoénecessárioamenosqueaclassificaçãomude

•  Periodicamentereavaliar

Riscos Secundários •  Menorimportância,masé

maisprovávelqueocorra

•  Considerarotrade-offdecusto/bene{cio

•  Reavaliarcomfrequênciaparamudança nas condições (paraaltoimpacto)

TratamentodosRiscosidenNficados

23

•  EvitaroRisco:decisãodenãoseenvolverouagirdeformaasereNrardeumasituaçãoderisco.Exemplo:umaorganizaçãodecidedesfazer-sedeumaunidadedenegócios.

•  AceitaroRisco:•  Reter:manteroriscononívelatualdeimpactoeprobabilidade(sãotoleráveis).

•  Reduzir:açõessãotomadasparaminimizaraprobabilidadee/ouoimpactodorisco.

•  Transferire/ouCompar)lhar:aNvidadesquevisamreduziroimpactoe/ouaprobabilidadedeocorrênciadoriscoatravésdatransferênciaou,emalgunscasos,docomparNlhamentodeumapartedorisco

•  Explorar:aumentarograudeexposiçãoaorisconamedidaemqueistopossibilitavantagenscompeNNvas

CapacidadedeGerenciamento(Maturidade)

24

OCMM(CapabilityMaturityModel)éomodelouNlizadoparaavaliarograudematuridadedoprocessodegerenciamentodosriscos

Evol

ução

do

Proc

esso

Estágio Descrição Capacidade Características

OTIMIZADO

(“Feedback” contínuo) Gestão de riscos e oportunidades como fonte

de vantagem competitiva

•  Gestão de riscos e oportunidades integrada •  Ênfase em aceitação e exploração de riscos e oportunidades •  Melhores práticas •  Conhecimento acumulado e compartilhado

ADMINISTRADO

(Quantitativo) Riscos e oportunidades

mensurados e gerenciados quantitativamente no âmbito

corporativo

•  Indicadores, metodologias e análises rigorosas •  Avaliação constante do risco e retorno de cada ação •  Sistemas de suporte integrados

DEFINIDO

(Qualitativo/Quantitativo) Políticas, processos e padrões estabelecidos e

institucionalizados

•  Uniformidade de processos •  Metodologias rígidas •  Sistemas de suporte isolados

REPETIDO

(Intuitivo) Processo estabelecido e que se

repete, menor dependência de pessoal

•  Foco comum •  Pessoal qualificado •  Tarefas definidas •  Componentes iniciais de sistemas de suporte

INICIAL

(Pontual) Forte dependência de pessoal,

ausência de capacidade institucional

•  Tarefas indefinidas •  Baseado em iniciativas •  “Apenas faça” (apagar incêndios) •  Confiança nas pessoas

•  Conscientização de Riscos

•  Melhoria do conhecimento empresarial

•  Avaliação de incertezas

•  Decisões sobre a perspectiva de prêmio x risco recebem mais atenção

•  Tomada de decisões mais efetivas e baseadas em visões de riscos

•  Conversão em oportunidades de negócios

•  Gerenciamento de riscos é parte fundamental da administração empresarial

•  Explorar os efeitos de diversificação

•  Riscos agregados para reduzir o risco de transferência de custos

•  Gerenciamento de riscos integrado com planejamento e estratégia empresarial

•  Antecipação de riscos melhor do que de competidores sem ERM

•  Ligação entre gerenciamento de riscos e gerenciamento da linha de operações

•  Melhoria do capital e distribuição de recursos

•  Transparência dos riscos com stakeholders

Inicial Repetitivo Definido Administrado/Otimizado

Bene{ciosAcumuladoscomoGerenciamentodeRiscos

25

KayThompson,PhD,execuNvadeGestãodeRiscosemembrodeconselhosdeadministraçãoecomitêsdeauditoriaefinanças,listaemseuarNgo‘ABoard’sEyeViewofRiskManagement’,publicadonarevistaNACDDirectorshipdejan/fev-2014,asaçõesquedevemsertomadaspeloCAparadesenvolver,atualizarouredefinircomolidarcomriscosnasorganizações:

GovernançadoRisconaPerspecNvadoConselhodeAdministração

26

Entenderosriscosdaorganização

A responsabilidade quanto aos riscos recai sob o CA. Trabalhar com a gerencia para entender o perfil de riscos da companhia, onde os riscos críticos estão situados, e como os riscos são tratados.

Desenvolveroape)tearisco

O montante aceitável de risco deve ser determinado, para suportar o crescimento planejado. Após, trabalhar com a gerencia para definir métricas para monitorar o alinhamento do apetite a risco com o perfil de risco da companhia.

Definirexpecta)vas

As expectativas relacionadas aos gerenciamento de risco devem ser claramente definidas com o corpo gerencial e operacional da companhia. Incorpore estas expectativas na estrutura de remuneração, benefícios e incentivos.

Conheceroplano

Revisar o plano da gerencia para implementar, monitorar e comunicar o programa de ERM e o apetite a risco através da organização, certificando que os canais estão bem definidos para comunicação das expectativas relacionadas ao gerenciamento de riscos e as consequências quando o apetite a risco é excedido.

Agir

Receberinformações

Definir como o CA vai integrar as discussões de risco com planejamento estratégico, e monitorar os riscos e relatórios de métricas.

Estabelecer com o corpo gerencial e operacional os relatórios necessários quanto ao status do programa e os riscos a nível de entidade que requeiram consideração e ação do CA.

GerenciamentodeRiscosCorporaNvos

27

Conselho de Administração •  Entender os riscos da organização •  Definir o montante aceitável de risco •  Definir expectativas relacionadas ao

gerenciamento de riscos •  Conheçer o plano de gerenciamento de riscos •  Integrar as discussões de risco com planejamento estratégico •  Monitorar os riscos e relatórios de

métricas

GerenciamentodeRiscosCorporaNvos

28

Diretoria Executiva •  Identificar, mapear e avaliar os riscos •  Elaborar, implementar e monitorar o plano de gerenciamento de riscos. •  Preparar informações de gerenciamento de riscos para o Conselho de

Administração

PorqueImplementarGestãodeRiscos?

29

Potencial impacto da materialização de riscos na imagem da companhia

Necessidade de assegurar maior transparência e divulgação ao mercado

Atribuição do risco de crédito pelas Agências de Rating

Ambiente mais Regulamentado

e complexo Elevação do custo do capital

ImplementandooGerenciamentodeRiscos

30

Identificar

Avaliar e Posicionar

Implementar

Monitorar

PlanodeAção

Apetite

Acompanhar Cenários

Sistema de

Gestão de Riscos Articular o estado

desejado para o gerenciamento de riscos

suportado por uma proposta de valor

baseada em análise de gaps dos riscos chave

Conduzir um Enterprise

Risk Assessment (ERA)

para identificar e priorizar

os riscos chave

Aprimorar as capacidades de

gerenciamento de riscos para riscos prioritários

selecionados pela administração

Atualizar o ERA conforme

mudanças e utilizar habilidades para os demais riscos

prioritários enquanto a infra-estrutura do ERM é continuamente

aprimorado

Copyright © 2018 Prof. Ricardo Lemos. Todos direitos reservados. Reprodução ou divulgação total ou parcial deste documento é expressamente proibido sem o consentimento formal, por escrito, do Professor (autor).

31