compliance e gerenciamento de riscos operacionais prof. josé carlos de assunção...
TRANSCRIPT
ComplianceCompliance e e Gerenciamento de Riscos Gerenciamento de Riscos
operacionaisoperacionaisProf. José Carlos de Assunção
[email protected] 8161 3223
2014
2
Governança Governança CorporativaCorporativa
Foto: http://carros.ig.com.br/album/a+evolucao+do+volante/132.htmlmmmmmmFoto: http://carros.ig.com.br/album/a+evolucao+do+volante/132.htmlmmmmmm
3
Governança Corporativa: “é o sistema pelo qual as organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre proprietários, Conselho de Administração, Diretoria e órgãos de controle.” IBGC - Código das Melhores Práticas de Governança Corporativa (pág. 19)
4
shareholder stakeholder
Organização empresarial
5
relação de agência:
Principal Agente
Agir em seu nome, realizando atividades que envolvem a
delegação de autoridade. Jensen, Michael C. & Meckiling, William H., 1976
Será que o agente sempre agirá observando os interesses dos principais?
contrata
6
Empresa familiar
Abordagem: controleO que difere uma de outras?
7
O principal pode:
Estabelecer incentivos apropriados para o agente;
Implementar monitoramento (custos ?) destinados a limitar atividades não desejadas do agente;
Pagar o agente para investir/gastar recursos adequadamente;
Estabelecer regras que garantam que o principal seja compensado se decisões inapropriadas forem tomadas.
Custos de agência: custos de monitoramento
8
9
PrincipalPropriedade
AgenteGestão
Assimetria de informaçõesDivergência de objetivos
GOVERNANÇA
10
“o conselho de administração deve atuar de forma a proteger o patrimônio da companhia, perseguir a consecução de seu objeto social e orientar a diretoria a fim de maximizar o retorno do investimento, agregando valor ao empreendimento”
(Recomendações sobre Governança - CVM, 2002, p. 4)
11
“a missão do Conselho de Administração é proteger e valorizar a organização, otimizar o retorno do investimento no longo prazo e buscar o equilíbrio entre os anseios das partes interessadas (shareholders e demais stakeholders), de modo que cada um receba benefício apropriado e proporcional ao vínculo que possui com a organização e ao risco a que está exposta”
12
PrincipalAcionista
AgenteDiretor
GOVERNANÇACOOPERATIVA
Associado DiretorQuais as diferenças?
13
princípios de governança:
transparência,
equidade,
(accountability) prestação de contas; e
responsabilidade corporativa(Recomendações sobre Governança - CVM, 2002, p. 4)
14
“As cooperativas de crédito com conselho de administração podem criar diretoria executiva a ele subordinada, na qualidade de órgão estatutário composto por pessoas físicas associadas ou não, indicadas por aquele conselho.”
Artigo 5º - LC 130/2009
As cooperativas singulares:livre admissão, de empresários, de pequenos empresários, microempresários e microempreendedores e [as de vinculação associativa, como sindicatos]
devem adotar estrutura administrativa integrada por conselho de administração e por diretoria executiva a ele subordinada,
cujos membros sejam eleitos pelo referido conselho entre pessoas físicas associadas ou não associadas (...) de 2009, admitida a acumulação de cargos entre os dois órgãos para, no máximo, um dos membros do conselho, e vedada a acumulação das presidências.
Resolução 3.859/2010, artigo 18
16
“As cooperativas de crédito devem observar política de governança corporativa aprovada pela assembleia geral, que aborde os aspectos de representatividade e participação, direção estratégica, gestão executiva e fiscalização e controle, e que contemple a aplicação dos princípios de segregação de funções na administração, transparência, equidade, ética, educação cooperativista, responsabilidade corporativa e prestação de contas”Resolução 3.859/2010, artigo 17
17
Governança Corporativasistema pelo qual as organizações são dirigidas, monitoradas e incentivadas,
envolvendo os relacionamentos entre proprietários, Conselho de Administração, Diretoria e órgãos de controle.
IBGC - Código das Melhores Práticas de Governança Corporativa (pág. 19)
Gerenciamento Gerenciamento de Riscosde Riscos
que situações podem configurar conflito de interesse entre diretoria
executiva e acionistas ou ou grupo de associados?
19
Gerenciamento de Riscos
Corporativos
20
Fogo
Uso de cavernas Armas
Qual a correlação entre sobreviver e
gerir riscos?
Que evento ruim pode acontecer a mim?
A nossa empresa?
22
Daniel Kahneman e Amos Tversky
AcionistaAssociado
Bossidy, Larry e Charan, Ram. Execução: A Disciplina para Atingir Resultados.
Bossidy, Larry e Charan, Ram. Execução: A Disciplina para Atingir Resultados.
25Marshall, 2002
IMPULSIONADORES DE MUDANÇAS IMPULSIONADORES DE MUDANÇAS OPERACIONAISOPERACIONAIS
Demanda Oferta
Mercadosem mutação
Produtos e serviços em
mutação
Tecnologias em mutação
Técnicas em mutação
Operações em Mutação
Eventosesperados/
inesperados
CÍCLICO
Marshal
27
28
“somos uma espécie cuja visão é estreita demais para que consideremos a possibilidade de eventos divergirem de nossas projeções mentais
Taleb
além disso, somos focados demais em questões inerentes ao projeto para que levemos em consideração a incerteza externa, o “desconhecido desconhecido”, por assim dizer – o conteúdo dos livros não-lidos.”
Taleb, 2007, pág. 207
Peter Senge
Avesso a riscos?
“Não se trata de que as pessoas odeiam a incerteza – mas, pelo contrário, de que odeiam perder”
Kahneman e Tversky
A FORÇA DA MÉDIA....A FORÇA DA MÉDIA....
O extremo pode ocorrer?
PRO
BA
BIL
IDA
DE
IMPACTOBaixa probabilidade e alto impacto
Que evento ruim pode me acontecer?
Que evento ruim pode acontecer a minha empresa?
“a emoção muitas vezes destrói o autocontrole que é essencial à tomada racional de decisões”
Kahneman e Tversky
Kahneman e Tversky
“as pessoas muitas vezes não conseguem entender plenamente com que estão lidando”Quebra do 4º maior banco dos EUA
marcou agravamento da crise mundial.
Taleb, 2007
“acho escandaloso que, apesar do histórico empírico, continuemos a projetar o futuro como se fôssemos bons nisso, usando ferramentas e métodos que excluem eventos raros ”
Taleb, 2007
“deixa a vida me levar, vida leva eu....”
Zeca Pagodinho
41
Minimização de
destruição de
valor?
Cumprimento de
norma?
Agregação de
valor?
Gerenciamento de Riscos
Corporativos
Gerenciamento de riscos corporativos:
“é um processo
conduzido em uma organização pelo conselho de administração, diretoria e demais empregados,
aplicado no estabelecimento de estratégias, formuladas para identificar em toda a organização eventos em potencial, capazes de afetá-la,
e administrar os riscos de modo a mantê-los compatível com o apetite a risco da organização e possibilitar garantia razoável do cumprimento dos seus objetivos.”
Coso, 2007, pág, 10
RISCO OPERACIONALRISCO OPERACIONALPo
ssib
ilida
de
de p
erda
falha, deficiência ou inadequação
eventos externos
Processos internos
Pessoas
Sistemas
inadequação ou deficiência em contratos
sanções pelo descumpriment
o de dispositivos
legaisindenizações por danos a
terceiros
Resolução 3.380/2006, artigo 2º
1ª linha: o gerenciamento do negócio
2ª linha: profissionais especialistas em GRO
3ª linha: revisão independente
Gerenciamento de Riscos OperacionaisLinhas de defesa
Principles for the Sound Management of Operational Risk de junho de 2011
Coso, 2007, pág, 10
FINALIDADES
46
OBJETIVOSCO
MPO
NEN
TES
CUBO
COSO
Coso Resolução do CMN 3.380/2006
Ambiente interno Fixação de objetivos Identificação de eventos IdentificaçãoAvaliação de riscos AvaliaçãoResposta a risco monitoramento, controle e
mitigação do risco operacional
Atividades de controle
Informações e comunicações elaboração, com periodicidade mínima anual, de relatórios que permitam a identificação e correção tempestiva das deficiências de controle e de gerenciamento do risco operacional;
Monitoramento monitoramento, controle e mitigação do risco operacional
48
O presidente executivo é o principal responsável e deve assumir a responsabilidade da iniciativa. Cabe aos outros diretores executivos apoiar a filosofia de administração de riscos da organização, incentivar a observação de seu apetite a risco e administrar os riscos dentro de suas esferas de responsabilidade, conforme as tolerâncias a risco.
O conselho de administração executa importante atividade de supervisão do gerenciamento de riscos da organização, estando ciente e de acordo com o grau de apetite a risco da organizaçãoCoso, 2007, pág. 14
AssociadosConselheiros
DiretoresExecutivos
Empregados
Bom conhecimento e entendimento de políticas e atividades
o jeito de pensar e
entender a organização
Jeito de pensar e entender o
gerenciamento de riscos
Bom conhecimento e entendimento de normas e metodologias
Normas e decisões formaisLeitura de normas e
entendimento
Processos discutidos e documentados
Comunicação adequada
E N T E N D I M E N T O
E N T E N D I M E N T O
E N
T E
N D
I M
E N
T
OE N
T E N D
I M E N
T O
O QU
E FA
ZER
QUANDO
FAZER
COMO FAZER
RECURSOS
ADEQUADOS
VONTADE DO ASSOCIADO
RESPONSABILIDADES
precondição à identificação de evento, à avaliação de riscos e às respostas aos
riscos. é necessário que os objetivos existam
para que a administração possa identificar e avaliar os riscos quanto a sua realização, bem como adotar as medidas
necessárias para administrá-los.
CAMINHO
Coso (2007, pág. 43)
Objetivos
Eventos:
incidentes ou ocorrências originadas a partir de fontes internas ou externas que afetam a implementação da estratégia ou a realização dos objetivos.
Os eventos podem provocar impacto positivo, negativo ou ambos.
Coso, pág. 52
58Resolução 3.380/2006, artigo 2º
1- Fraudes internas1- Fraudes internas
2- Fraudes externas2- Fraudes externas
3- Demandas trabalhistas e segurança deficiente 3- Demandas trabalhistas e segurança deficiente do local de trabalhodo local de trabalho4- Práticas inadequadas relativas a clientes, 4- Práticas inadequadas relativas a clientes, produtos e serviçosprodutos e serviços5- Danos a ativos físicos próprios ou em uso pela 5- Danos a ativos físicos próprios ou em uso pela instituiçãoinstituição6- Aqueles que acarretem a interrupção das 6- Aqueles que acarretem a interrupção das atividades da intituiçãoatividades da intituição7- Danos a ativos físicos próprios ou em uso pela 7- Danos a ativos físicos próprios ou em uso pela instituiçãoinstituição8- Falhas na execução, cumprimento de prazos, e 8- Falhas na execução, cumprimento de prazos, e gerenciamento das atividades na instituiçãogerenciamento das atividades na instituição
Identificação de riscos
Discussão sincera e
objetiva de processos
Apontamentos de auditoriasMapeamento dos processos internos da cooperativa
Experiência do gestor/colaboradores
Informações do Depto. Jurídico
Riscos já identificados
Perdas ocorridas
Qual o montante financeiro envolvido no processo?
O controle está descrito?
Como funciona esse processo? Envolve outras áreas? Quais?
Você tem certeza dessa informação? Qual a fonte?
E “se” o risco se materializar?
E se alguém estiver mal intencionado?
Como esse controle mitiga o risco?
Existem mais riscos na área e que não foram identificados?
Análise da coerência das informações e documentos pelo Agente
Questionário de Auto avaliaçãopelo menos uma pergunta para cada evento
listado no parágrafo 2º, do Artigo 2º, da Resolução 3380/06:
Que
stio
nári
o de
Aut
o av
alia
ção
Na Identificação, devem ser considerados:
a)o histórico de perdas já ocorridas; b)os riscos identificados em ciclos anteriores; c)apontamentos de auditorias; d)informações da área Jurídica; e e)a experiência do(s) gestor(es) e de todos os empegados da Cooperativa.
RESPONSABILIDADE:De quem processa as operações (gestor e
funcionários)
profissionais de gestão de riscos e de controles podem ajudar muito.
É econômica e gerencialmente viável tratar todos os riscos identificados?
É comum a adoção de um roteiro, buscando diminuir a subjetividade na avaliação: a aplicação de matriz de
avaliação de riscos
Matriz de avaliação: ferramenta para estimar a probabilidade e o impacto
É possível fazer a avaliação de probabilidade e impacto de risco sem
bom conhecimento do processo?
O momento da avaliação da probabilidade e do impacto financeiro
pode redundar em adoção de procedimentos relacionados à boa gestão
de processos?
Na avaliação de probabilidade, pode ser usada a frequência de perdas já ocorridas,
portanto, utilizando a experiência passada.
Esse é um processo que exige que se tenha o registro de perdas passadas pelo período de, pelo menos cinco anos, de acordo com o item 8, do Comunicado Bacen 19.217, de 24
de dezembro de 2009.
Evitar [ou Recusar] – Descontinuação das atividades que geram os riscos. Evitar riscos pode implicar a descontinuação de uma linha de produtos, o declínio da expansão em um novo mercado geográfico ou a venda de uma divisão. Reduzir [mitigar ou minimizar] – São adotadas medidas para reduzir a probabilidade ou o impacto dos riscos, ou, até mesmo, ambos. Tipicamente, esse procedimento abrange qualquer uma das centenas de decisões do negócio no dia-a-dia.
Tratamento de riscos ou resposta aos riscos
Adoção de procedimentos de controlesObservar benefício em relação ao custo do(s)
controle(s)
Compartilhar [ou transferir] – Redução da probabilidade ou do impacto dos riscos pela transferência ou pelo compartilhamento de uma porção do risco. As técnicas comuns compreendem a aquisição de produtos de seguro, a realização de transações de headging ou a terceirização de uma atividade. Aceitar – Nenhuma medida é adotada para afetar a probabilidade ou o grau de impacto dos riscos
Adoção de procedimentos de monitoramento
Tratamento de riscos ou resposta aos riscos
Controlar ou Mitigar riscos
controles geralmente atuam na
redução da probabilidade
do risco
Controle(s):
relação benefício/custo
$
As atividades de controle são políticas e procedimentos que direcionam as ações individuais na implementação das políticas de gestão de riscos, diretamente ou mediante a aplicação de tecnologia, a fim de assegurar que as respostas aos riscos sejam executadas. Essas atividades podem ser classificadas com base na natureza dos objetivos da organização aos quais os riscos de estratégia, operação, comunicação e cumprimento de diretrizes estão associados.
Coso (2007, pág. 73)
Monitoramento:
Adoção de procedimentos de acompanhamento do risco e dos controles, objetivando analisar o seu comportamento, podendo a qualquer momento ser empreendida uma ação de correção.
Monitoramento geralmente é realizado por meio de indicadores, com emissão de relatórios e acompanhamento periódico.
Monitorar, controlar e mitigar riscos pressupõe:
a) conhecimento adequado do processo e do risco; e
b) vigilância constante - gestores e empregados envolvidos com a operacionalidade e bem treinados para revisar frequentemente os processos.
“elaboração, com periodicidade mínima anual, de relatórios que
permitam a identificação e correção tempestiva das deficiências de controle e de gerenciamento do
risco operacional
Resolução CMN 3.380/2006, artigo 3º, inciso III
Processo de arregimentação de informações para gerenciamento
de RO:
As comunicações precisam transmitir com eficácia: a)a importância e a pertinência do gerenciamento de riscos corporativos eficaz; b)os objetivos da organização; c)o apetite a riscos e a respectiva tolerância [resultado do processo]; d)uma linguagem comum de riscos; ee)as funções e as responsabilidades do pessoal ao conduzir e apoiar os componentes do gerenciamento de riscos corporativos.”
Coso (2007, pág. 86)
“toda organização identifica e coleta uma ampla gama de informações relacionadas a atividades e eventos externos e internos, pertinentes à administração.
Essas informações são transmitidas ao pessoal em uma forma e um prazo que lhes permita desempenhar suas responsabilidades na administração de riscos corporativos e outras.”
Coso (2007, pág. 81)
87
Perdas operacionais...
Ocorrem em nossas organizações?
Falamos com imparcialidade desse assunto?
Podem ser permanentemente zeradas?
Podem provocar desequilíbrios importantes?
90
Registro de perda operacional
91
É possível trabalhar com perdas É possível trabalhar com perdas zero em IF?zero em IF?
Melhoria de
processo
Planejamento
Comparabilida-de
Registro de perdasRegistro de perdas
Back testing da metodologia de Back testing da metodologia de gerenciamento de riscogerenciamento de risco
92
“A prevenção de perdas tem o efeito de reduzir a frequência das perdas (...)”
“Ela é mais adequada para eventos de alta freqüência”
Marshall, 2002, pág. 273
93
PERDPERDAA
o risco estava identificado e
avaliado?
A perda aconteceu dentro dos
parâmetros de avaliação
considerados?
Os controles atuaram
adequadamente?
Há necessidade de adequação dos
controles?Há necessidade de
reavaliação do risco?
Plano Plano de de
ação?ação?
Plano Plano de de
ação?ação?
Plano Plano de de
ação?ação?
Plano Plano de de
ação?ação?
Plano Plano de de
ação?ação?
94
95
Gestão de Gestão de perdasperdas
Melhoria Melhoria contínuacontínua
“descreve as atividades que tornam o evento menos provável de ocorrer.
A maioria dessas atividades busca redesenhar certos aspectos operacionais, tornando-os menos passíveis de terem problemas no futuro.
A prevenção de perdas tem o efeito de reduzir a frequência das perdas em lugar de afetar a severidade das perdas quando elas ocorrem. Ela é mais adequada para eventos de alta freqüência por causa de seus grandes efeitos marginais sobre o risco.” (*)Marshall, 2002
(*) Marshall
Prevenção de perdas...
Registro de perda:
a unidade de negócio em que a perda ocorreu;
as datas de ocorrência, descoberta e lançamento contábil;
a descrição do evento de perda operacional, ao menos para as perdas consideradas relevantes, conforme critério interno da
instituição;a descrição da causa da perda, ao menos para as perdas consideradas relevantes, conforme critério interno da instituição;
Comunicado Bacen 19.217/2009
Registro de perda:
o valor bruto da perda e o valor recuperado, separadamente e independentemente do
prazo decorrido entre a ocorrência da perda e a recuperação, devendo ser identificados
os valores recuperados por seguro;- as fontes de informação sobre a perda
Comunicado Bacen 19.217/2009
METODOLOGIAS DE GESTÃO DE METODOLOGIAS DE GESTÃO DE RISCOSRISCOS
Qualitativa
Quantitativa
Subjetiva Experiência profissionalAuditorias/Controles InternosPerdas conhecidasBase de perdas (mínimo de 5 anos – item 8, Comunicado 19217/2009)Modelo estatístico de distribuição Crítica do profissional
Bacen pode:Bacen pode:
Determinar adoção de controles adicionais
Resolução 3380/06, Artigo 10
Imputar limites operacionais mais restritivos
Planos de contingênciaPlanos de contingência
Cumprimento de norma ou ação de gestão?
“a estrutura de gerenciamento de risco operacional deve prever a existência de plano de contingência contendo as estratégias a serem adotadas para assegurar condições de continuidade das atividades e para limitar graves perdas decorrentes de risco operacional.” Resolução 3.380/2006, artigo 3º, Inciso VI
103
Exercício
1- Em grupos de .... participantes;2- Escolher um processo de trabalho ou de atividades rotineiras de um dois membros;3 – Identificar riscos constantes na pág. 23 da apostila;4 – Avaliar esses riscos em % de probabilidade de ocorrerem (0% a 100%) e impacto financeiro, se ocorrerem (possibilidade máxima de perda);5 – Propor ou não controles adicionais, dependendo da relação benefício/custo.
104
Obrigado!