compliance e gerenciamento de riscos operacionais prof. josé carlos de assunção...

ComplianceCompliance e e Gerenciamento de Riscos Gerenciamento de Riscos

operacionaisoperacionaisProf. José Carlos de Assunção

josec@sicoob.com.br61 8161 3223

2014

2

Governança Governança CorporativaCorporativa

Foto: http://carros.ig.com.br/album/a+evolucao+do+volante/132.htmlmmmmmmFoto: http://carros.ig.com.br/album/a+evolucao+do+volante/132.htmlmmmmmm

3

Governança Corporativa: “é o sistema pelo qual as organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre proprietários, Conselho de Administração, Diretoria e órgãos de controle.” IBGC - Código das Melhores Práticas de Governança Corporativa (pág. 19)

4

shareholder stakeholder

Organização empresarial

5

relação de agência:

Principal Agente

Agir em seu nome, realizando atividades que envolvem a

delegação de autoridade. Jensen, Michael C. & Meckiling, William H., 1976

Será que o agente sempre agirá observando os interesses dos principais?

contrata

6

Empresa familiar

Abordagem: controleO que difere uma de outras?

7

O principal pode:

Estabelecer incentivos apropriados para o agente;

Implementar monitoramento (custos ?) destinados a limitar atividades não desejadas do agente;

Pagar o agente para investir/gastar recursos adequadamente;

Estabelecer regras que garantam que o principal seja compensado se decisões inapropriadas forem tomadas.

Custos de agência: custos de monitoramento

8

9

PrincipalPropriedade

AgenteGestão

Assimetria de informaçõesDivergência de objetivos

GOVERNANÇA

10

“o conselho de administração deve atuar de forma a proteger o patrimônio da companhia, perseguir a consecução de seu objeto social e orientar a diretoria a fim de maximizar o retorno do investimento, agregando valor ao empreendimento”

(Recomendações sobre Governança - CVM, 2002, p. 4)

11

“a missão do Conselho de Administração é proteger e valorizar a organização, otimizar o retorno do investimento no longo prazo e buscar o equilíbrio entre os anseios das partes interessadas (shareholders e demais stakeholders), de modo que cada um receba benefício apropriado e proporcional ao vínculo que possui com a organização e ao risco a que está exposta”

12

PrincipalAcionista

AgenteDiretor

GOVERNANÇACOOPERATIVA

Associado DiretorQuais as diferenças?

13

princípios de governança:

transparência,

equidade,

(accountability) prestação de contas; e

responsabilidade corporativa(Recomendações sobre Governança - CVM, 2002, p. 4)

14

“As cooperativas de crédito com conselho de administração podem criar diretoria executiva a ele subordinada, na qualidade de órgão estatutário composto por pessoas físicas associadas ou não, indicadas por aquele conselho.”

Artigo 5º - LC 130/2009

As cooperativas singulares:livre admissão, de empresários, de pequenos empresários, microempresários e microempreendedores e [as de vinculação associativa, como sindicatos]

devem adotar estrutura administrativa integrada por conselho de administração e por diretoria executiva a ele subordinada,

cujos membros sejam eleitos pelo referido conselho entre pessoas físicas associadas ou não associadas (...) de 2009, admitida a acumulação de cargos entre os dois órgãos para, no máximo, um dos membros do conselho, e vedada a acumulação das presidências.

Resolução 3.859/2010, artigo 18

16

“As cooperativas de crédito devem observar política de governança corporativa aprovada pela assembleia geral, que aborde os aspectos de representatividade e participação, direção estratégica, gestão executiva e fiscalização e controle, e que contemple a aplicação dos princípios de segregação de funções na administração, transparência, equidade, ética, educação cooperativista, responsabilidade corporativa e prestação de contas”Resolução 3.859/2010, artigo 17

17

Governança Corporativasistema pelo qual as organizações são dirigidas, monitoradas e incentivadas,

envolvendo os relacionamentos entre proprietários, Conselho de Administração, Diretoria e órgãos de controle.

IBGC - Código das Melhores Práticas de Governança Corporativa (pág. 19)

Gerenciamento Gerenciamento de Riscosde Riscos

que situações podem configurar conflito de interesse entre diretoria

executiva e acionistas ou ou grupo de associados?

19

Gerenciamento de Riscos

Corporativos

20

Fogo

Uso de cavernas Armas

Qual a correlação entre sobreviver e

gerir riscos?

Que evento ruim pode acontecer a mim?

A nossa empresa?

22

Daniel Kahneman e Amos Tversky

AcionistaAssociado

Bossidy, Larry e Charan, Ram. Execução: A Disciplina para Atingir Resultados.

Bossidy, Larry e Charan, Ram. Execução: A Disciplina para Atingir Resultados.

25Marshall, 2002

IMPULSIONADORES DE MUDANÇAS IMPULSIONADORES DE MUDANÇAS OPERACIONAISOPERACIONAIS

Demanda Oferta

Mercadosem mutação

Produtos e serviços em

mutação

Tecnologias em mutação

Técnicas em mutação

Operações em Mutação

Eventosesperados/

inesperados

CÍCLICO

Marshal

27

28

“somos uma espécie cuja visão é estreita demais para que consideremos a possibilidade de eventos divergirem de nossas projeções mentais

Taleb

além disso, somos focados demais em questões inerentes ao projeto para que levemos em consideração a incerteza externa, o “desconhecido desconhecido”, por assim dizer – o conteúdo dos livros não-lidos.”

Taleb, 2007, pág. 207

Peter Senge

Avesso a riscos?

“Não se trata de que as pessoas odeiam a incerteza – mas, pelo contrário, de que odeiam perder”

Kahneman e Tversky

A FORÇA DA MÉDIA....A FORÇA DA MÉDIA....

O extremo pode ocorrer?

PRO

BA

BIL

IDA

DE

IMPACTOBaixa probabilidade e alto impacto

Que evento ruim pode me acontecer?

Que evento ruim pode acontecer a minha empresa?

“a emoção muitas vezes destrói o autocontrole que é essencial à tomada racional de decisões”

Kahneman e Tversky

Kahneman e Tversky

“as pessoas muitas vezes não conseguem entender plenamente com que estão lidando”Quebra do 4º maior banco dos EUA

marcou agravamento da crise mundial.

Taleb, 2007

“acho escandaloso que, apesar do histórico empírico, continuemos a projetar o futuro como se fôssemos bons nisso, usando ferramentas e métodos que excluem eventos raros ”

Taleb, 2007

“deixa a vida me levar, vida leva eu....”

Zeca Pagodinho

41

Minimização de

destruição de

valor?

Cumprimento de

norma?

Agregação de

valor?

Gerenciamento de Riscos

Corporativos

Gerenciamento de riscos corporativos:

“é um processo

conduzido em uma organização pelo conselho de administração, diretoria e demais empregados,

aplicado no estabelecimento de estratégias, formuladas para identificar em toda a organização eventos em potencial, capazes de afetá-la,

e administrar os riscos de modo a mantê-los compatível com o apetite a risco da organização e possibilitar garantia razoável do cumprimento dos seus objetivos.”

Coso, 2007, pág, 10

RISCO OPERACIONALRISCO OPERACIONALPo

ssib

ilida

de

de p

erda

falha, deficiência ou inadequação

eventos externos

Processos internos

Pessoas

Sistemas

inadequação ou deficiência em contratos

sanções pelo descumpriment

o de dispositivos

legaisindenizações por danos a

terceiros

Resolução 3.380/2006, artigo 2º

1ª linha: o gerenciamento do negócio

2ª linha: profissionais especialistas em GRO

3ª linha: revisão independente

Gerenciamento de Riscos OperacionaisLinhas de defesa

Principles for the Sound Management of Operational Risk de junho de 2011

Coso, 2007, pág, 10

FINALIDADES

46

OBJETIVOSCO

MPO

NEN

TES

CUBO

COSO

Coso Resolução do CMN 3.380/2006

Ambiente interno  Fixação de objetivos  Identificação de eventos IdentificaçãoAvaliação de riscos AvaliaçãoResposta a risco monitoramento, controle e

mitigação do risco operacional

Atividades de controle

Informações e comunicações elaboração, com periodicidade mínima anual, de relatórios que permitam a identificação e correção tempestiva das deficiências de controle e de gerenciamento do risco operacional;

Monitoramento monitoramento, controle e mitigação do risco operacional

48

O presidente executivo é o principal responsável e deve assumir a responsabilidade da iniciativa. Cabe aos outros diretores executivos apoiar a filosofia de administração de riscos da organização, incentivar a observação de seu apetite a risco e administrar os riscos dentro de suas esferas de responsabilidade, conforme as tolerâncias a risco.

O conselho de administração executa importante atividade de supervisão do gerenciamento de riscos da organização, estando ciente e de acordo com o grau de apetite a risco da organizaçãoCoso, 2007, pág. 14

AssociadosConselheiros

DiretoresExecutivos

Empregados

Bom conhecimento e entendimento de políticas e atividades

o jeito de pensar e

entender a organização

Jeito de pensar e entender o

gerenciamento de riscos

Bom conhecimento e entendimento de normas e metodologias

Normas e decisões formaisLeitura de normas e

entendimento

Processos discutidos e documentados

Comunicação adequada

E N T E N D I M E N T O

E N T E N D I M E N T O

E N

T E

N D

I M

E N

T

OE N

T E N D

I M E N

T O

O QU

E FA

ZER

QUANDO

FAZER

COMO FAZER

RECURSOS

ADEQUADOS

VONTADE DO ASSOCIADO

RESPONSABILIDADES

precondição à identificação de evento, à avaliação de riscos e às respostas aos

riscos. é necessário que os objetivos existam

para que a administração possa identificar e avaliar os riscos quanto a sua realização, bem como adotar as medidas

necessárias para administrá-los.

CAMINHO

Coso (2007, pág. 43)

Objetivos

Eventos:

incidentes ou ocorrências originadas a partir de fontes internas ou externas que afetam a implementação da estratégia ou a realização dos objetivos.

Os eventos podem provocar impacto positivo, negativo ou ambos.

Coso, pág. 52

58Resolução 3.380/2006, artigo 2º

1- Fraudes internas1- Fraudes internas

2- Fraudes externas2- Fraudes externas

3- Demandas trabalhistas e segurança deficiente 3- Demandas trabalhistas e segurança deficiente do local de trabalhodo local de trabalho4- Práticas inadequadas relativas a clientes, 4- Práticas inadequadas relativas a clientes, produtos e serviçosprodutos e serviços5- Danos a ativos físicos próprios ou em uso pela 5- Danos a ativos físicos próprios ou em uso pela instituiçãoinstituição6- Aqueles que acarretem a interrupção das 6- Aqueles que acarretem a interrupção das atividades da intituiçãoatividades da intituição7- Danos a ativos físicos próprios ou em uso pela 7- Danos a ativos físicos próprios ou em uso pela instituiçãoinstituição8- Falhas na execução, cumprimento de prazos, e 8- Falhas na execução, cumprimento de prazos, e gerenciamento das atividades na instituiçãogerenciamento das atividades na instituição

Identificação de riscos

Discussão sincera e

objetiva de processos

Apontamentos de auditoriasMapeamento dos processos internos da cooperativa

Experiência do gestor/colaboradores

Informações do Depto. Jurídico

Riscos já identificados

Perdas ocorridas

Qual o montante financeiro envolvido no processo?

O controle está descrito?

Como funciona esse processo? Envolve outras áreas? Quais?

Você tem certeza dessa informação? Qual a fonte?

E “se” o risco se materializar?

E se alguém estiver mal intencionado?

Como esse controle mitiga o risco?

Existem mais riscos na área e que não foram identificados?

Análise da coerência das informações e documentos pelo Agente

Questionário de Auto avaliaçãopelo menos uma pergunta para cada evento

listado no parágrafo 2º, do Artigo 2º, da Resolução 3380/06:

Que

stio

nári

o de

Aut

o av

alia

ção

Na Identificação, devem ser considerados:

a)o histórico de perdas já ocorridas; b)os riscos identificados em ciclos anteriores; c)apontamentos de auditorias; d)informações da área Jurídica; e e)a experiência do(s) gestor(es) e de todos os empegados da Cooperativa.

RESPONSABILIDADE:De quem processa as operações (gestor e

funcionários)

profissionais de gestão de riscos e de controles podem ajudar muito.

É econômica e gerencialmente viável tratar todos os riscos identificados?

É comum a adoção de um roteiro, buscando diminuir a subjetividade na avaliação: a aplicação de matriz de

avaliação de riscos

Matriz de avaliação: ferramenta para estimar a probabilidade e o impacto

É possível fazer a avaliação de probabilidade e impacto de risco sem

bom conhecimento do processo?

O momento da avaliação da probabilidade e do impacto financeiro

pode redundar em adoção de procedimentos relacionados à boa gestão

de processos?

Na avaliação de probabilidade, pode ser usada a frequência de perdas já ocorridas,

portanto, utilizando a experiência passada.

Esse é um processo que exige que se tenha o registro de perdas passadas pelo período de, pelo menos cinco anos, de acordo com o item 8, do Comunicado Bacen 19.217, de 24

de dezembro de 2009.

Evitar [ou Recusar] – Descontinuação das atividades que geram os riscos. Evitar riscos pode implicar a descontinuação de uma linha de produtos, o declínio da expansão em um novo mercado geográfico ou a venda de uma divisão. Reduzir [mitigar ou minimizar] – São adotadas medidas para reduzir a probabilidade ou o impacto dos riscos, ou, até mesmo, ambos. Tipicamente, esse procedimento abrange qualquer uma das centenas de decisões do negócio no dia-a-dia. 

Tratamento de riscos ou resposta aos riscos

Adoção de procedimentos de controlesObservar benefício em relação ao custo do(s)

controle(s)

Compartilhar [ou transferir] – Redução da probabilidade ou do impacto dos riscos pela transferência ou pelo compartilhamento de uma porção do risco. As técnicas comuns compreendem a aquisição de produtos de seguro, a realização de transações de headging ou a terceirização de uma atividade. Aceitar – Nenhuma medida é adotada para afetar a probabilidade ou o grau de impacto dos riscos

Adoção de procedimentos de monitoramento

Tratamento de riscos ou resposta aos riscos

Controlar ou Mitigar riscos

controles geralmente atuam na

redução da probabilidade

do risco

Controle(s):

relação benefício/custo

$

As atividades de controle são políticas e procedimentos que direcionam as ações individuais na implementação das políticas de gestão de riscos, diretamente ou mediante a aplicação de tecnologia, a fim de assegurar que as respostas aos riscos sejam executadas. Essas atividades podem ser classificadas com base na natureza dos objetivos da organização aos quais os riscos de estratégia, operação, comunicação e cumprimento de diretrizes estão associados.

Coso (2007, pág. 73)

Monitoramento:

Adoção de procedimentos de acompanhamento do risco e dos controles, objetivando analisar o seu comportamento, podendo a qualquer momento ser empreendida uma ação de correção.

Monitoramento geralmente é realizado por meio de indicadores, com emissão de relatórios e acompanhamento periódico.

Monitorar, controlar e mitigar riscos pressupõe:

a) conhecimento adequado do processo e do risco; e

b) vigilância constante - gestores e empregados envolvidos com a operacionalidade e bem treinados para revisar frequentemente os processos.

“elaboração, com periodicidade mínima anual, de relatórios que

permitam a identificação e correção tempestiva das deficiências de controle e de gerenciamento do

risco operacional

Resolução CMN 3.380/2006, artigo 3º, inciso III

Processo de arregimentação de informações para gerenciamento

de RO:

As comunicações precisam transmitir com eficácia: a)a importância e a pertinência do gerenciamento de riscos corporativos eficaz; b)os objetivos da organização; c)o apetite a riscos e a respectiva tolerância [resultado do processo]; d)uma linguagem comum de riscos; ee)as funções e as responsabilidades do pessoal ao conduzir e apoiar os componentes do gerenciamento de riscos corporativos.”

Coso (2007, pág. 86)

“toda organização identifica e coleta uma ampla gama de informações relacionadas a atividades e eventos externos e internos, pertinentes à administração.

Essas informações são transmitidas ao pessoal em uma forma e um prazo que lhes permita desempenhar suas responsabilidades na administração de riscos corporativos e outras.”

Coso (2007, pág. 81)

87

Perdas operacionais...

Ocorrem em nossas organizações?

Falamos com imparcialidade desse assunto?

Podem ser permanentemente zeradas?

Podem provocar desequilíbrios importantes?

90

Registro de perda operacional

91

É possível trabalhar com perdas É possível trabalhar com perdas zero em IF?zero em IF?

Melhoria de

processo

Planejamento

Comparabilida-de

Registro de perdasRegistro de perdas

Back testing da metodologia de Back testing da metodologia de gerenciamento de riscogerenciamento de risco

92

“A prevenção de perdas tem o efeito de reduzir a frequência das perdas (...)”

“Ela é mais adequada para eventos de alta freqüência”

Marshall, 2002, pág. 273

93

PERDPERDAA

o risco estava identificado e

avaliado?

A perda aconteceu dentro dos

parâmetros de avaliação

considerados?

Os controles atuaram

adequadamente?

Há necessidade de adequação dos

controles?Há necessidade de

reavaliação do risco?

Plano Plano de de

ação?ação?

Plano Plano de de

ação?ação?

Plano Plano de de

ação?ação?

Plano Plano de de

ação?ação?

Plano Plano de de

ação?ação?

94

95

Gestão de Gestão de perdasperdas

Melhoria Melhoria contínuacontínua

“descreve as atividades que tornam o evento menos provável de ocorrer.

A maioria dessas atividades busca redesenhar certos aspectos operacionais, tornando-os menos passíveis de terem problemas no futuro.

A prevenção de perdas tem o efeito de reduzir a frequência das perdas em lugar de afetar a severidade das perdas quando elas ocorrem. Ela é mais adequada para eventos de alta freqüência por causa de seus grandes efeitos marginais sobre o risco.” (*)Marshall, 2002

(*) Marshall

Prevenção de perdas...

Registro de perda:

a unidade de negócio em que a perda ocorreu;

as datas de ocorrência, descoberta e lançamento contábil;

a descrição do evento de perda operacional, ao menos para as perdas consideradas relevantes, conforme critério interno da

instituição;a descrição da causa da perda, ao menos para as perdas consideradas relevantes, conforme critério interno da instituição;

Comunicado Bacen 19.217/2009

Registro de perda:

o valor bruto da perda e o valor recuperado, separadamente e independentemente do

prazo decorrido entre a ocorrência da perda e a recuperação, devendo ser identificados

os valores recuperados por seguro;- as fontes de informação sobre a perda

Comunicado Bacen 19.217/2009

METODOLOGIAS DE GESTÃO DE METODOLOGIAS DE GESTÃO DE RISCOSRISCOS

Qualitativa

Quantitativa

Subjetiva Experiência profissionalAuditorias/Controles InternosPerdas conhecidasBase de perdas (mínimo de 5 anos – item 8, Comunicado 19217/2009)Modelo estatístico de distribuição Crítica do profissional

Bacen pode:Bacen pode:

Determinar adoção de controles adicionais

Resolução 3380/06, Artigo 10

Imputar limites operacionais mais restritivos

Planos de contingênciaPlanos de contingência

Cumprimento de norma ou ação de gestão?

“a estrutura de gerenciamento de risco operacional deve prever a existência de plano de contingência contendo as estratégias a serem adotadas para assegurar condições de continuidade das atividades e para limitar graves perdas decorrentes de risco operacional.” Resolução 3.380/2006, artigo 3º, Inciso VI

103

Exercício

1- Em grupos de .... participantes;2- Escolher um processo de trabalho ou de atividades rotineiras de um dois membros;3 – Identificar riscos constantes na pág. 23 da apostila;4 – Avaliar esses riscos em % de probabilidade de ocorrerem (0% a 100%) e impacto financeiro, se ocorrerem (possibilidade máxima de perda);5 – Propor ou não controles adicionais, dependendo da relação benefício/custo.

104

Obrigado!