coso 2 - gerenciamento de riscos
TRANSCRIPT
COSO 2 – COSO 2 – Gerenciamento Gerenciamento
de Riscos de Riscos CorporativosCorporativos
COSO
Sigla de Committee of Sponsoring Organizations da National Comission on Fraudlent Financial Reporting, também conhecida como Treadeway Comission.
Criada em 1985, é uma entidade do setor privado, sem fins lucrativos, voltada para o aperfeiçoamento da qualidade de relatórios financeiros por meio de éticas profissionais, implementação de controles internos e governança corporativa.
Organizações patrocinadoras: American Institute of Certified Public Accountants – AICPA; American Accounting Association – AAA, The Institute of Internal Auditors - IIA, Institute of Management Accountants - IMA e Financial Executives Institute – FEI.
Controles Internos
Controles internos são um processo, conduzido pelo conselho de diretores, por todos os níveis de gerência e por outras pessoas da entidade, projetado para fornecer segurança razoável quanto à consecução de objetivos nas seguintes categorias:
eficácia e eficiência das operações; confiabilidade de relatórios financeiros; e cumprimento de leis e regulamentações
aplicáveis.
Controles Internos
controles internos representam um processo que consiste em uma série de ações que permeiam a infra-estrutura de uma entidade e a ela se integram;
controles internos são operados por pessoas, constituindo o resultado da interação de pessoas em todos os níveis da organização;
controles internos fornecem apenas segurança razoável, e não absoluta, à administração e ao conselho de administração; e
controles internos vinculam-se à consecução de objetivos nas três categorias (relatórios financeiros, conformidade e operações).
Incertezas
Incertezas geram riscos e oportunidades Incerteza: incapacidade em determinar com precisão a probabilidade de ocorrência de determinados eventos Derivam das próprias escolhas estratégicas das organizações
Riscos
Possibilidade de que um evento ocorrerá e afetará negativamente a realização dos objetivos Eventos de impacto negativo podem originar-se de situações aparentemente positivas (inflação de demanda)
Gerenciamento de Riscos:
“… um processo, efetivado pela diretoria, gerência e funcionários, aplicado em toda a empresa, para identificar eventos potenciais que podem afetar a organização e gerenciar riscos adequados à sua disposição de exposição a riscos, para propiciar segurança razoável quanto ao atingimento de seus objetivos
Fonte: COSO Enterprise Risk Management – Integrated Framework. 2004. COSO.
Importância do Gerenciamento de Riscos
Princípios Básicos:
Toda organização, de fins lucrativos ou não, existe para gerar valor para seus “stakeholders”
Valor é criado, preservado ou destruído pelas decisões de gestão em todas as atividade, desde as definições estratégicas até a operação do dia-a-dia
O Gerenciamento de Riscos propicia que a organização se posicione quanto a eventos futuros que podem criar incertezas e comprometer sua capacidade de gerar valor
Importância do Gerenciamento de Riscos
Aspectos conceituais:
Visão de risco de portfólio, aplicado à definição das estratégias – visão combinada possibilita avaliar se a carteira de risco é condizente com o apetite a risco da organização – atenção aos riscos inter-relacionados
Identificação de eventos em potencial que podem afetar a organização
O Gerenciamento de riscos inicia-se na própria definição da estratégia – o caminho escolhido implica a sujeição a determinados riscos
Estrutura de Gerenciamento de Riscos COSO
Componentes
Ambiente Interno – o ambiente interno compreende o tom de uma organização e fornece a base pela qual os riscos são identificados e abordados pelo seu pessoal, inclusive a filosofia de gerenciamento de riscos, o apetite a risco, a integridade e os valores éticos, além do ambiente em que estes estão.
Ambiente Interno
Abrange a cultura e estilo operacional de uma organização sobre o tratamento de riscos, a influência sobre a consciência de risco de seu pessoal, sendo a base para todos os outros componentes do gerenciamento de riscos corporativos, possibilita disciplina e estrutura.
Filosofia administrativa de uma organização no que diz respeito aos riscos
A filosofia estabelece a medida em que a organização tem a expectativa de que eventos inesperados ocorram
Requisito de Governança: conselheiros e diretores independentes
Componentes
Fixação de Objetivos – os objetivos devem existir antes que a administração possa identificar os eventos em potencial que poderão afetar a sua realização. O gerenciamento de riscos corporativos assegura que a administração disponha de um processo implementado para estabelecer os objetivos que propiciem suporte e estejam alinhados com a missão da organização e sejam compatíveis com o seu apetite a riscos.
Fixação de Objetivos
Os objetivos são fixados no âmbito estratégico, estabelecendo-se uma base para os objetivos operacionais, de comunicações (relatórios) e de conformidade.
Toda organização enfrenta uma variedade de riscos oriundos de fontes externas e internas, sendo o estabelecimento de objetivos, condição prévia para a identificação eficaz de eventos, avaliação de riscos e resposta a riscos.
Os objetivos são alinhados ao apetite a riscos, que impulsiona os níveis de tolerância a riscos para a organização.
Fixação de Objetivos
Os objetivos podem ser agrupados em quatro categorias:
Estratégicos: suportam a missão da organização Operacionais: eficácia e eficiência na utilização dos recursos
Salvaguarda de ativos
De comunicação: confiabilidade dos dados e informações produzidas pela organização
De conformidade: com leis e regulamentos
Sujeitos a eventos externos
Maior controlabilidade
Tolerância a riscos
Objetivo
Baixatolerância
a riscos
Alta tolerância a riscos
Apetite a risco: quantidade de risco que a organizaçãoestá disposta a aceitar na busca de sua missão\visão
Componentes
Identificação de Eventos – os eventos internos e externos que influenciam o cumprimento dos objetivos de uma organização devem ser identificados e classificados entre riscos e oportunidades. Essas oportunidades são canalizadas para os processos de estabelecimento de estratégias da administração ou de seus objetivos.
Identificação de Eventos
A administração identifica os eventos em potencial que, se ocorrerem, afetarão a organização e seus objetivos e determina se estes representam oportunidades ou se podem ter algum efeito adverso na sua capacidade de implementar adequadamente a estratégia e alcançar os objetivos.
Eventos de impacto negativo representam riscos que exigem avaliação e resposta da administração.
Os eventos de impacto positivo representam oportunidades que são canalizadas de volta aos processos de fixação das estratégias e dos objetivos.
Identificação de Eventos
Ao identificar eventos, a administração considera uma variedade de fatores internos e externos que podem dar origem a riscos e a oportunidades no contexto de toda a organização.
Observação de tendências passadas e emergentes que podem provocar a ocorrência de eventos
mesmo os eventos com possibilidade de ocorrência relativamente baixa não devem ser ignorados se o impacto na realização de um objetivo importante for elevado.
Identificação de Eventos Externos
Econômicos – oscilações de preços, disponibilidade de capital ou redução nas barreiras à entrada da concorrência
Meio ambiente – incêndios, inundações ou terremotos.
Políticos – eleição de agentes do governo com novas agendas políticas e novas leis e regulamentos.
Sociais – alterações nas condições demográficas, nos costumes sociais, nas estruturas da família, nas prioridades de trabalho/vida
Tecnológicos – novas formas de comércio eletrônico
Identificação de Eventos Internos
Infra-estrutura – disponibilidade e capacidade dos bens, alocação de capital em atividades de suporte x atividades finalísticas
Pessoal – acidentes de trabalho, saúde e segurança, atividades fraudulentas e expiração de acordos de trabalho
Processo – modificações de processos sem alteração adequada nos protocolos administrativos, erros de execução de processo e terceirização da entrega a clientes sem uma supervisão adequada
Tecnologia – integridade dos dados, aumento de recursos para fazer face à variabilidade de volume, violações da segurança e paralisação, em potencial, de sistemas
22
SWOT Analysis
S – StrengthsW – WeaknessesO – OpportunitiesT – Threats
I. Ambiente externo: oportunidades e ameaças (SWOT)
II. Ambiente interno: pontos fortes e fracos (SWOT)
Análise SWOT
23
Strengths
Um Ponto Forte (Strength) é algo que você tem mais do que seus concorrentes mais importantes e que pode lhe conferir vantagem competitiva.
Possíveis Pontos Fortes: Recursos financeiros abundantes Liderança do mercado Economias de escala Conhecimento proprietário Boa reputação
24
Weaknesses
Um Ponto Fraco (Weakness) é algo que seus concorrentes mais importantes têm mais do que você e que lhe impede de ter vantagem competitiva.
Possíveis Pontos Fracos: Falta de direção estratégica Custos mais altos Qualidade deficiente Produtos antiquados
25
Opportunities
Uma Oportunidade (Opportunity) é uma possibilidade de crescimento ou de progresso para a empresa devida a uma conjuntura favorável no ambiente de negócios.
Possíveis Oportunidades: Necessidades emergentes dos clientes Melhorias na qualidade Mercados globais em expansão Integração vertical
26
Threats Uma Ameaça (Threat) é um fator no ambiente
externo da sua empresa que representa um perigo para o seu progresso ou sobrevivência.
Possíveis Ameaças: Entrada no mercado de um novo
concorrente Mudanças na demografia ou na demanda Surgimento de tecnologias mais baratas Novas exigências legais
27
Chavão Pontos Fortes Potenciais Pontos Fracos Potenciais
Atendimento pós-venda estável Antiquado
Experiente Inflexível
Confiável Sem inovação
Linha de produtos abrangente Burocrático
Especialização técnica Só fornece a empresas grandes
Suprimento estável Impessoal
Status elevado
Ampla variedade Suprimento raso de peças e componentes
Fornecedor único Especialização limitada em cada produto
Conveniente
Adoção ampla do produto Vulnerável a mudanças na tecnologia
Imagem e status elevados Visão limitada de concorrência potencial
Boa alavancagem no mercado
"Temos longa tradição no ramo."
"Somos um fornecedor de peso."
"Temos uma linha de produtos abrangente."
"Detemos o padrão do ramo."
Certas afirmações sobre as vantagens competitivas da empresa podem ter valor ambíguo:
SWOT Analysis
28
29
Componentes
Avaliação de Riscos – os riscos são analisados, considerando-se a sua probabilidade e o impacto como base para determinar o modo pelo qual deverão ser administrados. Esses riscos são avaliados quanto à sua condição de inerentes e residuais.
Avaliação de Riscos
A avaliação de riscos permite que uma organização considere até que ponto eventos em potencial podem impactar a realização dos objetivos.
A administração avalia os eventos com base em duas perspectivas – probabilidade e impacto – e, geralmente, utiliza uma combinação de métodos qualitativos e quantitativos.
Avaliação de Riscos
Os impactos positivos e negativos dos eventos em potencial devem ser analisados isoladamente ou por categoria em toda a organização. Os riscos são avaliados com base em suas características inerentes e residuais.
Risco inerente é o risco que uma organização terá de enfrentar na falta de medidas que a administração possa adotar para alterar a probabilidade ou o impacto dos eventos.
Risco residual é aquele que ainda permanece após a resposta da administração.
Baixo
Alto
Alta
IMPACTO
PROBABILIDADE
Risco Alto
Sob avaliação
Sob Avaliação
Risco Baixo
Examplo: Call Center
• Desparecimentos de equipamentos
• Alto tempo de espera• Cliente não consegue ser
atendido• Cliente não consegue
respostas
• Obsolescência de equipamentos
• Chamadas para mesmos problemas
• Fraudes• Perda de transações
• Moral dos empregados
Um exemplo de avaliação de risco
Um ganho certo de $240 ou 25% de chancede ganhar $1.000, e 75% de chance de não ganhar nada.
Um prejuízo certo de $750, ou 75% de chance de perder $1.000, e 25% de chance de não perder nada
Segundo a teoria de expectativas, as pessoas não desejam colocar em risco o que já tem ou pensam que podem ter, porém apresentarão maior tolerância a riscos quando podem minimizar os prejuízos.
Componentes
Resposta a Risco – a administração escolhe as respostas aos riscos - evitando, aceitando, reduzindo ou compartilhando – desenvolvendo uma série de medidas para alinhar os riscos com a tolerância e com o apetite a risco.
Resposta a Riscos
Após ter conduzido uma avaliação dos riscos pertinentes, a administração determina como responderá aos riscos.
As respostas incluem evitar, reduzir, compartilhar ou aceitar os riscos. Ao considerar a própria resposta, a administração avalia o efeito sobre a probabilidade de ocorrência e o impacto do risco, assim como os custos e benefícios, selecionando, dessa forma, uma resposta que mantenha os riscos residuais dentro das tolerâncias a risco desejadas.
A administração identifica as oportunidades que possam existir e obtêm, assim, uma visão dos riscos em toda organização ou de portfólio, determinando se os riscos residuais gerais são compatíveis com o apetite a riscos da organização.
Objetivo: obter um nível de risco residual compatível com o nível de tolerância a riscos da organização
Resposta a Riscos - Exemplos
Evitar – Uma organização sem fins lucrativos identificou e avaliou os riscos de fornecer serviços médicos diretos aos seus membros e decidiu, desse modo, não aceitar os riscos associados.
Reduzir – Uma Companhia avaliou o risco de seus sistemas permanecerem inoperantes por um período superior a três horas. A Companhia investiu em tecnologia no aprimoramento de sistemas de auto-detecção de falhas e sistemas de back-up para reduzir a probabilidade de indisponibilidade do sistema.
Resposta a Riscos - Exemplos
Compartilhar – Uma universidade avaliou os riscos associados com a administração de seus dormitórios de estudantes e concluiu que não possuía os requisitos necessários para administrar eficazmente essas grandes propriedades residenciais. Terceirizou a administração do dormitório a uma empresa de administração de patrimônio, a fim de apresentar melhores condições de reduzir o impacto e a probabilidade de riscos relacionados com a propriedade.
Aceitar – Um órgão do governo identificou e avaliou os riscos de incêndio de sua infraestrutura por meio de diversas regiões geográficas e o custo de compartilhar o impacto de seu risco mediante cobertura de seguro. O órgão concluiu que o custo adicional dos seguros e os dedutíveis associados ultrapassavam o custo provável de substituição e decidiram aceitar esse risco.
Resposta a Riscos
Evitar – Descontinuação das atividades que geram os riscos. Evitar riscos pode implicar a descontinuação de uma linha de produtos, o declínio da expansão em um novo mercado geográfico ou a venda de uma divisão.
Reduzir – São adotadas medidas para reduzir a probabilidade ou o impacto dos riscos, ou, até mesmo, ambos. Tipicamente, esse procedimento abrange qualquer uma das centenas de decisões do negócio no dia-a-dia.
Compartilhar – Redução da probabilidade ou do impacto dos riscos pela transferência ou pelo compartilhamento de uma porção do risco. As técnicas comuns compreendem a aquisição de produtos de seguro, a realização de transações de headging ou a terceirização de uma atividade.
Aceitar – Nenhuma medida é adotada para afetar a probabilidade ou o grau de impacto dos riscos.
Componentes
Atividades de Controle – políticas e procedimentos são estabelecidos e implementados para assegurar que as respostas aos riscos sejam executadas com eficácia.
Atividades de Controle
As atividades de controle são as políticas e os procedimentos que contribuem para assegurar que as respostas aos riscos sejam executadas.
Essas atividades ocorrem em toda a organização, em todos os níveis e em todas as funções, pois compreendem uma série de atividades – tão diversas, como aprovação, autorização, verificação, reconciliação e revisão do desempenho operacional, da segurança dos bens e da segregação de responsabilidades.
Tipos de atividades de Controle
Revisões da Alta Direção – a alta direção compara o desempenho atual em relação ao orçado, às previsões, aos períodos anteriores e aos de concorrentes, para medir até que ponto as metas estão sendo alcançadas. A implementação de planos é monitorada no caso de desenvolvimento de novos produtos, join ventures ou novos financiamentos.
Administração Funcional Direta ou de Atividade – gerentes, no exercício de suas funções ou atividades examinam relatórios de desempenho. Um gerente responsável pelos empréstimos bancários a consumidores revisa os relatórios por filial, região e tipo de empréstimo (com caução), verificando resumos e identificando tendências e associando os resultados a estatísticas econômicas e metas.
Tipos de atividades de Controle
Processamento da Informação – uma variedade de controles é realizada para verificar a precisão, a integridade e a autorização das transações. O desenvolvimento de novos sistemas e as mudanças nos já existentes são controlados da mesma forma que o acesso a dados, arquivos e programas.
Controles Físicos – os equipamentos, estoques, títulos, dinheiro e outros bens são protegidos fisicamente, contados periodicamente e comparados com os valores apresentados nos registros de controle.
Tipos de atividades de Controle
Indicadores de Desempenho – relacionar diferentes conjuntos de dados, sejam eles operacionais sejam financeiros, em conjunto com a realização de análises dos relacionamentos e das medidas de investigação e correção, funciona como uma atividade de controle. Ao investigar resultados inesperados ou tendências incomuns, a administração poderá identificar circunstâncias nas quais a falta de capacidade para concluir processos fundamentais pode significar menor probabilidade dos objetivos serem alcançados
Segregação de funções – as obrigações são atribuídas ou divididas entre pessoas diferentes com a finalidade de reduzir o risco de erro ou de fraude. Por exemplo, as responsabilidades de autorização de transações, do registro e da entrega do bem em questão são divididas.
Componentes
Informação e Comunicação – as informações relevantes são identificadas, colhidas e comunicadas de forma e no prazo que permitam que cumpram suas responsabilidades. A comunicação eficaz também ocorre em um sentido mais amplo, fluindo em todos níveis da organização.
Informação e Comunicação
As informações são necessárias em todos os níveis de uma organização, para identificar, avaliar e responder a riscos. Requisitos: pontualidade e profundidade
Dados de eventos passados, presentes e futuros, relativos a uma ou mais categorias de objetivos.
Comunicação interna: papéis e responsabilidades
Comunicação externa: stakeholders (clientes, fornecedores, sociedade)
Infra-estrutura de TI: suporte à conversão de dados em informações
Informação e Comunicação – requisitos de qualidade
Conteúdo é apropriado – detalhamento necessário
Informações oportunas e disponíveis quando necessário
Informações atualizadas Exatidão e correção Acessibilidade Comunicação deve transmitir:
Importância do gerenciamento de risco Objetivos da organização Apetite e tolerância a risco Linguagem de riscos Funções e responsabilidades
Informação e Comunicação – requisitos de qualidade
O conteúdo é apropriado – está no nível de detalhes adequado?
As informações são oportunas – estarão disponíveis quando necessário?
As informações são atuais – são as mais recentes?
As informações são exatas – os dados estão corretos?
As informações são de fácil acesso – são de fácil obtenção por aqueles que as necessitam?
Componentes
Monitoramento – a integridade da gestão de riscos corporativos é monitorada e são feitas as modificações necessárias. O monitoramento é realizado através de atividades gerenciais contínuas ou avaliações independentes ou de ambas as formas.
Monitoramento
O gerenciamento de riscos corporativos é monitorado, avaliando-se a presença e o funcionamento de seus componentes ao longo do tempo.
Essa tarefa é realizada mediante atividades contínuas de monitoramento, avaliações independentes ou uma combinação de ambas.
O monitoramento contínuo ocorre no decurso normal das atividades de administração. As deficiências no gerenciamento de riscos corporativos são relatadas aos superiores, sendo as questões mais graves relatadas ao Conselho de administração e à diretoria executiva.
Auditoria interna: avaliação dos desenhos de controle Comunicações de partes externas confirmam
informações geradas internamente
Estrutura de Gerenciamento de Riscos COSO
O gerenciamento de riscos não é um processo em série, pelo qual um dos componentes afeta apenas o próximo
É multidirecional e interativo: todos os componentes influenciam os outros
Eficácia do Gerenciamento de Riscos
O processo de gerenciamento de riscos é eficaz quando os agentes: Entendem até que ponto objetivos estratégicos
estão sendo alcançados (efetividade) Entendem até que ponto objetivos operacionais
estão sendo alcançados (eficácia e eficiência) Têm segurança razoável quanto à confiabilidade
dos relatórios e das informações Têm segurança razoável de que leis e
regulamentos estão sendo observados
Papel da Auditoria Interna
Avaliar a eficácia do gerenciamento de riscos corporativos e recomendar melhorias.
Avaliação da confiabilidade das informações, a eficácia e a eficiência das operações e o cumprimento de leis e normas aplicáveis.
Objetividade da avaliação da auditoria interna refletida pela posição e autoridade dentro da organização.