riscos

Mauro Lúcio Condé

Instituto EndeavorInstituto Endeavor

São Paulo, 02/agosto/2006

CheckupCheckupOrganizacionalOrganizacional

Colaboração: Cezar Bergantini

2

Preparado para correr riscos?

Ernst & Young / Valor Econômico

3

COMO IDENTIFICAR E ADMINISTRAR OS PRINCIPAIS RISCOS QUE AMEAÇAM A SAÚDE DA

EMPRESA ?

Pergunta-chave

1 - Analogia com Checkup2 - Excelência em Gestão e Governança Corporativa3 - Riscos:

- O que são - Quais são - Como identificá-los - Como administrá-los

4 - Exemplos Práticos de Administração de Riscos- Riscos Estratégicos e de Gestão- Riscos em Demonstrações Financeiras- Riscos Operacionais

5 - Conclusão

Agenda

5

1 - Analogia com Checkup

•Método especialista - as empresas não são especialistas em diagnose, mas em seus respectivos negócios

•Ferramentas - os equipamentos, métodos e procedimentos

• Sintomas - Não sentir nenhum mal estar não significa que tudo está bem. É preciso analisar o percebido e rastrear o não percebido

• Exames objetivos - observar e medir o conjunto de variáveis que indiquem a real condição de saúde.

• Junta Médica - somar esforços para criar sinergia na identificação do problema e/ou no posterior tratamento corretivo ou preventivo

• Dados Comparativos - os benchmarkings são as taxas clínicas ideais das empresas

• Causas - os exames devem chegar às causas, para evitar que se trate apenas as consequências, de forma paliativa

• Prescrição - com base nos sintomas, nos fatos, nos exames, nas comparações e nas causas, prescreve-se a terapia mais indicada

1 - Analogia com Checkup

Baseado em Waldir Ciszevski - HSM Management

7

2 - Excelência em Gestão e Governança

Corporativa

8

• "... depois das perdas vultosas sofridas por muitos acionistas (Enron, Wordcom, ...), os mercados de capitais começaram a prestar mais atenção às práticas de governançacorporativa e à possibilidade de refletir nos preços das ações e das debêntures a qualidade e transparência dos novos critérios..."

2 - Excelência em Gestão e Governança Corporativa

9

Código Brasileiro das Melhores Práticas - IBGC

3a Versão - 2004

Transparência

Equidade

Prestação de Contas

Responsabilidade Corporativa

Princípios Básicos:


10

LegalLegal

Controle Interno e Gestão de Riscos

. . .

Demonstrações FinanceirasDemonstrações Financeiras RiscosRiscos

+ +Conselho de Administração

CEO + Executivos

Comitê de Auditoria

Risco de Crédito

Risco de Mercado

Risco Operacional

Exigências de Órgãos Reguladores SOX Basiléia II

GOVERNANÇA CORPORATIVA


11

Excelência em Gestão

. . .

+ +Conselho de Administração

CEO + Executivos


GOVERNANÇA CORPORATIVA


12

Elementos Constituintes da Governança

Processos auto-organizados

Reconhecimento das interdependências

Baseados na confiança através de normas e acordos formais ou informais

Implicam a passagem do governo soberano ao governo facilitador

Implicam compartilhar o poder com os atores sociais


Adaptado de Eugenio Singer e Cristiane Limeira in"Governança Costeira - O Brasil Voltado para o Mar" - Instituto Pharos

13

3 - Riscos

14

Chances de eventos, esperados ou não, causarem impacto adverso no capital e nos resultados da empresa

3 - Riscos

O que são

15

Risco de Mercado

Risco de Crédito

Risco Legal

Risco Operacional

Risco de Liquidez

Risco de Subscrição

3 - Riscos

Quais são

16

TipoTipo DefiniçãoDefinição

Risco deRisco deMercadoMercado

Probabilidade de a variação no valor de ativos Probabilidade de a variação no valor de ativos e passivos, causada por mudanças nos preços e passivos, causada por mudanças nos preços e taxas de mercado causar perdas para a e taxas de mercado causar perdas para a instituição. Inclui o risco de juros, ações, instituição. Inclui o risco de juros, ações, cotações de moedas estrangeiras e preços de cotações de moedas estrangeiras e preços de commodities.commodities.

Risco deRisco deCréditoCrédito

Risco de um devedor deixar de cumprir os Risco de um devedor deixar de cumprir os termos de qualquer contrato, ou deixar de termos de qualquer contrato, ou deixar de cumprir o que foi acordado. Ocorre nas cumprir o que foi acordado. Ocorre nas atividades onde o êxito depende do atividades onde o êxito depende do cumprimento pela contraparte.cumprimento pela contraparte.

3 - Riscos Quais são

17

TipoTipo DefiniçãoDefinição

Risco Risco OperacionalOperacional

Risco de perdas devido a eventos atribuídos a Risco de perdas devido a eventos atribuídos a pessoas, processos, problemas contratuais ou pessoas, processos, problemas contratuais ou documentais, tecnologia, falha de infradocumentais, tecnologia, falha de infra--estrutura e influências externas (desastres). estrutura e influências externas (desastres). Abrange todas as fases dos processos de Abrange todas as fases dos processos de negócio e suporte. negócio e suporte.

Risco Risco LegalLegal

Risco relacionado a possíveis perdas, quando Risco relacionado a possíveis perdas, quando um contrato não pode ser legalmente amparado, um contrato não pode ser legalmente amparado, por nãopor não--aderência a regulamentos, legislação ou aderência a regulamentos, legislação ou normas. Gera demandas indenizatórias normas. Gera demandas indenizatórias civeisciveis ou ou criminais, ou punições de natureza criminais, ou punições de natureza administrativa.administrativa.

3 - Riscos Quais são

• Fraude Interna e externa

• Falhas em sistemas de tecnologia de informação

• Danos às instalações físicas

• Eventos que acarretam interrupção de serviços

3 - Riscos

Risco Operacional - Exemplos

• Práticas de negócio inadequadas

• Falhas humanas

• Demandas Trabalhistas

• Gestão administrativa inadequada ou ineficiente

Fraudes e roubos externos

3 - Riscos Classificação de Eventos de Perdas

• Roubos externos• Fraudes externas não eletrônicas• Fraudes externas eletrônicas• Quebra de segurança de informações

Fraudes internas • Atividades não autorizadas• Atividades fraudulentas

internas• Roubos internos

Ações Judiciais Contra • Cíveis• Tributárias• Trabalhistas

Falhas nos negócios • Perdas na relação de negócios com clientes• Perdas por práticas impróprias de negócios• Perdas por defeitos de produto

1º Nível 2º Nível

Danos ao patrimônio Físico

3 - Riscos Classificação de Eventos de Perdas

• Danos e desastres naturais• Danos não naturais de origem

interna• Danos não naturais de origem

externa

Falhas de sistemas • Indisponibilidade de sistemas• Erros de sistemas

Falhas em processos • Perdas na relação com órgãos reguladores• Perdas por não-conformidade nos

processos com clientes• Perdas na relação com contrapartes• Perdas na relação com fornecedores• Perdas em processos internos

1º Nível 2º Nível

21

• "... a não identificação de um risco operacional, ou a falta de sua oportuna eliminação, pode traduzir-se em uma imensa perda. Mais especificamente, as ações de um único operador no Barings Bank, que conseguiu assumir posições extremamente arriscadas em um mercado, sem que tivesse autoridade para tal ou fosse detectado previamente, levaram a perdas da ordem de US$ 1,5 bilhão, que acabaram por ocasionar a liquidação do banco em 1995..."

3 - Riscos

22

Como IdentificáComo Identificá--loslos

MAPEAMENTO DE PROCESSOS E IDENTIFICAÇÃO DE RISCOS

Entrada

Entrada

3 - Riscos

Processamento Saída

Processamento Saída

23

...

XXXXXXXXXXXXXXXXXXX

XXXXXXXXXXXXXXXXXXX

XXXXXXXXXXXXXXXXXXX

XXXXXXXXXXXXXXXXXXX

Processo Nível 1...

...xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxXxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxMacroproc....

Processo Nível 2

xxxxxxxxxxxxxxxx

xxxxxxxxxxxxxxxxxxxx

xxxxxxxxxxxxxxxxx

xxxxxxxxxxxxxxxxx

xxxxxxxxxxxxxxxxxx

xxxxxxxxxxxxxxx

xxxxxxxxxxxxxxxxx

Macroprocesso Processos Nível 1 Processos Nível 2 Processos Nível 3

Como IdentificáComo Identificá--los los -- Mapa Descritivo do ProcessosMapa Descritivo do Processos

3 - Riscos

24

Como IdentificáComo Identificá--los los -- Matriz de Riscos e Controles do ProcessoMatriz de Riscos e Controles do Processo

SOX Chave

C1

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Sim

C2xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Sim

SOX Chave

R2xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Sim C3

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Sim

R3xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx. Não C4 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx. Não

R4

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Não C5xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Não

1 – Operação xyz

2 – Operação uvhControle

Risco

R1Risco xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Sim

Controle

Risco

3 - Riscos

25

Estimativa da Distribuição Percentual por Unidades

Estimativa da Distribuição dos Riscos de Crédito, Mercado e Operacional

ESTIMATIVA DA DISTRIBUIÇÃO PERCENTUAL DOS RISCOS POR FATOR E ÁREA

100% 100% 100% 100% 100% 100% 100% 100% 100%95%

90%

40%

65% 65%

55%

40% 40% 40% 40%45%

40%35%

10%

35%

30%

15%

60%

35% 35%

10%

60% 60% 60% 60%

50%

30%

50%

5%

5%

0%

20%

40%

60%

80%

100%

AREAAREA AREA

ARO

AREAAREA

AREA

AREA

AREA

AREA

AREAAREA

AREA

AREA ART

AREAIA

REA

AREA

AREA

AREA

AREA

ARREA

Risco Operacional Risco de Mercado Risco de Crédito

3 - Riscos Como Identificá-los

26

Como AvaliComo Avaliáá--loslos

O Alpinista é um perito em avaliar riscos !

Em situações de

stress, ele sempre

avalia a gravidade

do risco versus a

probabilidade de

sua ocorrência.

3 - Riscos

27

Alt

o Alto4

Ação de Melhoriae Controle

Médio2

Ação de Controle

PROBABILIDADE & FREQUÊNCIA

GR

AV

IDA

DE &

SEV

ER

IDA

DE

Baix

o

QUALIDADE DOS PROCESSOS

BaixaAlta

Baixo1

Sem Ação

Médio3

Ação de Controle

Estrutura de Avaliação de Impactos (Nível de Risco)Estrutura de Avaliação de Impactos (Nível de Risco)Como AvaliComo Avaliáá--loslos

3 - Riscos

28

Como AdministrComo Administráá--los los -- Resposta ao RiscoResposta ao Risco

O gerenciamento identifica opções de respostas !

As respostas aosriscos são

consideradas emrelação aos efeitosna probabilidade e impacto do evento

de risco.

Plano Ação

3 - Riscos

29

Definição do Plano de ação com base no impacto

Aplicação do Plano de Ação

Monitoramento dos resultados (planejados x realizados)

Resposta ao Risco Resposta ao Risco -- Modelo de AplicaçãoModelo de Aplicação

Alt

o

Alto4


Médio2

Ação de Controle

PROBABILIDADE & FREQUÊNCIAGR

AV

IDA

DE &

SEV

ER

IDA

DE

Baix

o


BaixaAlta

AltaBaixa

Baixo1

Sem Ação

Médio3

Ação de Controle

Parâmetros e ResultadosParâmetros e Resultados

Respostas ao risco, dentro de parâmetros estabelecidos

• Evitar• Aceitar• Mitigar• Compartilhar• Transferir o Risco

3 - Riscos

30

• Regra simplesEmpurre quando for puxado e puxe quando for empurrado

• Exemplos –•• DrypersDrypers

Passou a aceitar os cupons que a concorrentelançou namídia para vender mais fraldas que a própria

Wall MartWall MartAfixava na frente de suas lojas os folhetos de umarica campanha de publicidade da concorrente, prome-tendo igualar ou bater todas as ofertas anunciadas

3 - Riscos Como AdministrComo Administráá--los los -- Resposta ao RiscoResposta ao Risco

31

Como AdministráComo Administrá--los los -- Resposta ao RiscoResposta ao Risco

A importância de Planos de Contingênciae Continuidade de Negócios

3 - Riscos

No caso de ocorrer uma conjunção de riscos graves, que possam colocar em perigo a própria sobrevivência da empresa, o Conselho de Administração deve ter certeza que a gerência executiva dispõe de um plano B.

32

Como AdministrComo Administráá--los los -- Atividade de ControleAtividade de Controle

Procedimentos que asseguram que apropriadas respostas aos riscos são executadas !

As atividades de controle ocorrem em

todos os níveis daorganização, incluindo

atividades como ostestes e as verificações,

por exemplo .

3 - Riscos

33

Riscos SOX, Controles-Chaves e Testes

Como AdministráComo Administrá--los los -- Atividade de Controle Atividade de Controle

Risco Controle Teste

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Periodicidade :xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx Responsável: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

3 - Riscos

34

Como AdministráComo Administrá--los los -- Atividade de Controle Atividade de Controle

3 - Riscos

De Até De Até

30/06/04 13/08/04 19/08/05 28/09/05

Desvio Pad: 01:43 Desvio Pad: 01:06Média: 16:45 Média: 11:13DP/Média: 02:27 DP/Média: 02:22Sigma 1 Sigma 1

DIRETORIA

SUPERINTENDÊNCIA

INDICADORHorário de Liberação -

INDICADORES GPRM - PAINEL DE CONTROLE

CLICAR DUPLO PERÍODO CLICAR DUPLO PERÍODOÁreaAREA

ACIMA OBJETIVO DIÁRIO OBJETIVO DIÁRIODIRETORIA

SUPERINTENDENCIA

Horário de Liberação

06:0007:0008:0009:0010:0011:0012:0013:0014:0015:0016:0017:0018:0019:0020:0021:0022:0023:00

30/ju

n

7/ju

l

14/ju

l

21/ju

l

28/ju

l

4/ag

o

11/a

go

Objetivo Diário Liberação Diária Tendência Atual

Horário de Liberação

06:0007:0008:0009:0010:0011:0012:0013:0014:0015:0016:0017:0018:0019:0020:0021:0022:0023:00

19/a

go

2/se

t

21/s

et

Objetivo Diário Liberação Diária Tendência Atual

35

Risco Operacional

Setoriais de Risco Operacional

SOX

Como AdministráComo Administrá--los los -- Atividade de ControleAtividade de Controle

Hierarquia de Comitês

3 - Riscos

36

Instrumentos de Informação e Comunicação !

Fornecer informaçõespertinentes de fontes

internas e externas paraa efetividade do modelode gestão corporativa

de riscos .

Como AdministrComo Administráá--los los -- InformaInformaçção e Comunicaão e Comunicaççãoão

3 - Riscos

37

Pilhas de dados

e informações

operacionais

sobre riscos

Página executiva

sumarizada com

as conclusões para

tomada de decisão

Abordagem simples - quais são os principais acontecimentos relacionados a riscos (os mais relevantes) sobre os quais o Conselho de Administração deve ser informado? Que decisões precisam ser tomadas? Quais são as más notícias?

Como AdministrComo Administráá--los los -- InformaInformaçção e Comunicaão e Comunicaççãoão3 - Riscos

38

Reportes Estruturados de Riscos (Interno e Externo)

Comitê de Controles Internos e Riscos

Eventos Corporativos de Risco

3 - Riscos Como AdministrComo Administráá--los los -- InformaInformaçção e Comunicaão e Comunicaççãoão

39

Como AdministrComo Administráá--los los -- MonitoramentoMonitoramento

Processo de avaliação da estrutura de gestão de risco !

O monitoramento

assegura que o

gerenciamento de

risco esteja sendo

aplicado em todos

os níveis da

empresa.

3 - Riscos

40

0%

20%

40%

60%

80%

100%

3 - Riscos Monitoramento das Perdas Operacionais

Fraudese roubosexternos

Fraudes internas

AçõesJudiciais

Falhas negócios

DanosPatrim. físico

FalhasSistemas

Falhasprocessos

(exemplo fictício)

41

Comissão Superior

Comissão de Controles Internos

Comissão de Riscos Operacionais


Trimestral

Trimestral

Mensal

Mensal

• Diretor-Presidente • Auditoria Interna • Diretor Riscos

• Diretor Área• Diretor àrea• Diretor Área

• Diretor Riscos• Coord. Corporativa• Compliance Legal

• Oficiais de Controles• Auditoria Interna

• Especialista Financeiro - Cons. Administração• Membros do Conselho de Administração

• Diretor Riscos• Coord.Corporativa

• Auditoria Interna• Demais Oficiais

Auditoria Interna e externa -

• Auditoria Interna • Empresas de Auditoria Externa

Como AdministráComo Administrá--los los -- Estrutura de MonitoramentoEstrutura de Monitoramento

3 - Riscos

42

4 - Exemplos Práticos de Administração de

Riscos

43

Não invisto na Bolsaporque o risco é muito alto...

44

4 - Exemplos Práticos de Adm. de Riscos

Riscos Estratégicos e

de Gestão

EFQM - FNQ

45

Régua de 1000 pontos

0

0,5

1

1,5

2

2,5

3

out/97

fev/98

jun/98out/9

8fev

/99jun/99out/9

9fev

/00jun/00out/0

0fev

/01jun/01out/0

1fev

/02jun/02out/0

2fev

/03jun/03

Ibovespa Índice FPNQ

BenchmarkingClasse Mundial

Status atualEmpresa

Gap Existente•Índice FPNQ = ações das empresas

que ganharam o PNQ

Desempenho das Empresas Premiadas Vis-a-Vis o mercado

PNQ – Um modelo referencial de Gestäo :

Modelo de Excelência em Gestão-PNQ:

*


46

Reunir os principais executivos da empresa e realizar o diagnóstico através do questionário de auto-avaliaçäo e identificar :

•Os pontos fortes•As oportunidades•Os diferenciais

•Os pontos fracos•Os principais Gaps•Os problemas que geram:

•Insatisfações•Frustrações•Riscos•Perda de Sono

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

1

.

1

1

.

2

1

.

3

2

.

1

2

.

2

2

.

3

3

1

3

.

2

4

.

1

4

.

2

5

.

1

5

.

2

5

.

3

6

.

1

6

.

2

6

.

3

7

.

1

7

2

7

.

3

7

4

8

1

8

.

2

8

3

8

.

4

8

.

5

8

.

6

8

.

7

Estágio atual *

Finalista PNQ

Benchmarking Classe Mundial

PNQ Self Assessment-Exemplo Hipotético

Média Avaliações

27 Critérios de Excelência

%

Estágio inicial

* Apuração do Estágio Atual com base nas melhorias já implementadas

Exemplo de Introduçäo do Modelo PNQ nas empresas :


47

Indicadores Clientes

IndicadoresFinanceiros

Indicadores Pessoas

Indicadores Processos

Painel de Controle de Gestão

Liderança

Estratégias e Planos

Sociedade e Ética

Informações eConhecimento


48


Riscos em Demonstrações

Financeiras

S O X

49

SARBANES OXLEY ACTORIGEM :Quebras de empresas em 2001 minaram a confiabilidade do mercado de capitais americano.

Percepção de que todos falharam (em integridade ou competência)

•Executive Management

•Board of Directors

•Contadores, Auditores, Dealers, Advogados

Não intencional

Fraude

Cumplicidade


50

O que é

LEI AMERICANA QUE OBRIGA A EMPRESA A CUMPRIR UMA SÉRIE DE EXIGÊNCIAS QUANTO A:

Qualidade das Demonstrações Financeiras e dos dados que divulgamos a mercado

Controles Internos relacionados às DF

Utilização da Auditoria Externa

Fiscalização pelo Comitê de Auditoria

Responsabilidade da Diretoria e do Conselho


51

FALHAS RELEVANTES NO CONTROLE INTERNO

ERROS/OMISSÕES NAS CERTIFICAÇÕES DA ADM

Relatório sobre CI auto qualificado

Parecer do AE sobre DF qualificado

Até 10 anos de prisão e/ou US$ 1 milhão

(*) Até 20 anos de prisão e/ou US 5 milhões

(*) Para fatos conhecidos da Adm.

CONSEQUÊNCIAS de falhas no CI (além das ações cíveis de prejudicados)

Assassinato12 anos!!


52

SOX SOX –– Empresas SujeitasEmpresas Sujeitas

• Empresas americanas e não americanas registradas na SEC / bolsas de valores dos Estados Unidos

• Efeito no Brasil:

39 empresas (aproximadamente 22 grupos econômicos) brasileiras registradas na SEC

Subsidiárias de empresas americanas e não americanas cujas matrizes são registradas na SEC


53

Seção 404 Seção 404 -- Management Assessment of Management Assessment of Internal ControlsInternal Controls

1. Elaboração pela administração (CEO/CFO) de relatório anual sobre a avaliação dos controles internos, incluindo:

Declaração sobre a responsabilidade da administração em estabelecer e manter controles internos adequados (estrutura e procedimentos);

Resultados da avaliação da efetividade dos controles internos.

2. Os auditores externos da Companhia devem auditar:o processo conduzido pela administração; eos controles internos (sua própria avaliação).


54

A LEI EXIGE

1

2

3

4

ANALISAR O DESENHO DOS CONTROLES

TESTAR SE O CONTROLE É EFETIVO

CRIAR OS CONTROLES EM FALTA

DOCUMENTAR O SISTEMA DE CONTROLE


55

Auditoria integrada das DF e do CI, para :

•Expressar opinião sobre a “certificação” da ADM sobre CI

•Avaliar e opinar sobre a efetividade do CI

•Expressar uma opinião sobre as Demonstr. Financeiras.

ADMINISTRAÇÃO - MAIS UM ENCARGO

Assumir a responsabilidade legal pelo Controle Interno

AuditoriaExterna

Novo Escopo


56

EstágiosEstágios de de ImplementaçãoImplementação dada SOXSOX


• Definição do escopo (empresas afetadas e contas relevantes)

• Definição da matriz de link entre contas relevantes e processos

• Mapeamento dos processos definidos

• Identificação dos riscos críticos nas etapas dos processos

• Identificação dos controles necessários para mitigar os riscos

• Identificação e realização de testes dos controles

• Identificação de exceções de controle e definição de PAs

• Avaliação dos riscos de acordo com a matriz de relativização

• Documentação das deficiências encontradas no processo

57

Principais Riscos SOX:

Um pequeno Check-List


58

Check-list - garantias que damos quanto às nossas DF

Informações quanto a prazo, maturidade, recorrência e natureza estão corretamente apontadas e reveladas

Ativos, passivos, receitas e despesas estão demonstrados pelo valor adequado , conforme GAAP.

Os ativos são os direitos e os passivos são as obrigações na data indicada e em boa fé

Todas as transações e eventos que ocorreram no período foram registradas e consideradas

As transações registradas são fatos econômicos do período base

Os ativos e passivos existem na data indicada


59

Check-List- objetivos quanto ao processamento da informação

O sistema bloqueia modificação não autorizadaA confidencialidade está asseguradaOs ativos e dados estão fisicamente protegidos A segregação de funções está assegurada

As transações e alterações nas fórmulas e dados fixos das fórmulas estão autorizadasAs transações não são fictícias e estão efetivamente relacionadas aos negócios

Todos os dados das transações e nºs fixos das fórmulas, admitidos e registrados estão corretosModificações posteriores estão corretas

Todas as transações foram capturadas pelos sistema e uma única vezDuplicidades são rejeitadas pelo sistemaTodas as transações rejeitadas são denunciadas pelo sistema e regularizadas


60

Interpretação nos processos

Exemplo

Senha do clienteContabilizar empréstimo fictício

Batimento entre sistemas de captura e de contabilização

Não contabilizar empréstimo concedido

ControleRisco


61

Responsabilidade da area de TI para a SOX

1

Avaliar e documentar os Controles Gerais de Informática (hardware e software)

• Ambiente de Controle

• Desenvolvimento de programas

• Manutenção de programas

• Segurança - acessos a programas e dados

• Operações gerais de processamentos de dados

Suporte aos usuários, para entenderem todos os controles existentes em seus processos e não apenas os controles manuais locais que detem .

2


62

Métodos mais comuns de engenharia social

• Fingir ser:

• um colega de trabalho.

• empregado de um fornecedor, parceiro ou autoridade legal

• alguém com autoridade

• um empregado novo que precisa de ajuda

• um fornecedor ou fabricante de sistemas que liga com proposta de atualização de sistema

• Enviar software ou e-mail grátis para que a vítima o instale


63

Classificação das Exceções

As exceções devem ser classificadas de acordo com os critérios abaixo:

Base: Lucro Antes do IR Base: Lucro Antes do IR


Deficiência Significativa

Deficiência Significativa

Deficiência do controle

Fraqueza Material

Fraqueza Material




Inconsequential Material

Magnitude (R$ milhões)

More than inconsequential

Prob

abili

dad e

R em

ota

Ra z

oav.

p oss

ível

Prov

ável


64

CONSIDERAR AS MUDANÇAS GERAIS RELEVANTES, QUE PODERIAM SUSCITAR ALTERAÇÕES NO

CONTROLE.Ex:

1. Alterações em volume 2. Alterações em pessoas3. Alterações em processo (manual computadorizado)

Avaliação contínua do desenho

Avaliação de Mudanças Permanente


65

A certificação SOX foi obtida 1 ano antes da data prevista na

regulamentação americana. O Itaú é o primeiro e único banco

brasileiro a alcançá-la.

A certificação SOX foi obtida 1 ano antes da data prevista na

regulamentação americana. O Itaú é o primeiro e único banco

brasileiro a alcançá-la.


66

Risco operacional

G P R MGestão de Processos,

Riscos e Melhorias


67

Entrada Processamento Saída1ª Fase – AS IS

Entrada Processamento Saída

Conclusões :

• Tempo longo para percorrer os processos de A até Z, perda de tempo, baixo compromisso• Melhoria de todos processos, inclusive os que não são críticos ou gargalos, gerando novos problemas

GPRM Visão Tradicional da Melhoria de Processos

2ª Fase – SHOULD BE

FOCAR NOS PONTOS REALMENTE IMPORTANTES DO PROCESSO


68

GPRM Simplicidade & Eficiência

“... O mundo é complexo, os líderes trazem clareza…

...Os melhores presidentes usam sua perspicácia nos negócios para reduzir a complexidade, seja interna ou externa à empresa, ao básico de ganhar dinheiro. Eles curtem esse desafio mental”

Ram Charan

Devemos observar de forma sistêmica e sistemática as questões:

- "O que mudar"

- "Para que mudar "

- "Como Mudar”


Obsessão pelo Simples


Obsessão pelo Simples

Pesquisa Estou com sorte


72

Entrada Processamento Saída

GPRM Método para Melhoria Contínua

FOCO!

• Começar a melhoria pelo final, de trás para frente

• Identificar como os clientes nos medem

• Gerar indicadores que meçam o atendimento aos requisitos dos clientes

• Identificar os gargalos e restrições, priorizando sua correção


73

Seleção de Projetos de Alto Impacto


74

GPRM Seleção de Projetos de Alto Impacto

ENTENDIMENTO DA HIERARQUIA DAS NECESSIDADES DE CLIENTES

1ª : DISPONIBILIDADE (ATRASOS)

2ª : ACURÁCIA (ERROS)

3ª : CONSULTORIA IMPECÁVEL (ATENDIMENTO DE 1ª LINHA)

FONTE: GALLUP STUDY


75

- Mapear Produtos e/ou Serviços ENTREGUES - Identificar aqueles que:

- Geram ALTO índice de:- Frustração- Insatisfação- Reclamações- Risco para o Negócio

- “Tiram o sono”- Geram gargalos, filas e restrições

GPRM Seleção de Projetos de Alto Impacto


76

GPRM

ES

FO

RÇ

O

+-

IMPACTO +-



77

GPRM

Priorização = Relevância + Esforço

NÃO É PRIORITÁRIO NO

MOMENTO

FILA DE ESPERA

FOCOPRIORIDADE!

IMPACTOBAIXO ALTO

ALTO

BAIXO

ESFORÇO

NÃO É PRIORITÁRIO NO

MOMENTO



78

PRODUTO/SERVIÇO

INDICADOR

ACURÁCIADISPONIBILIDADE

• Extratos de Clientes

• Atendimento das dúvidas

• Apuração de Ganhos

• Suporte ao Bankline

• Consultoria financeira

• Prazo de Liberação (5 dias)

• Prazo de Resolução

• Disponibilizar em 5 dias

• Disponibilização 8 hs/dia

• 24Horas / 7 Dias

• Relatórios Substituídos

• Índice de reclamações

• Informação incorreta

• Pesquisa de satisfação

• Rendimento carteira

GPRMEXEMPLO



79

Análise deIndicadores


Ver link com a palestra “Quem não mede não gere” na videoteca de Endeavor: www.iee.org.br

80

Gestão IntegradaRiscos Operacionais x Processos


81

GPRM

bb

A

A

(Sigma/Defeitos/Milhão)

Impacto $ / Gargalo

ou restriçãoAlto

Alto4


Médio2

Ação de Controle

(Sigma/Defeitos/Milhão)

PROBABILIDADE & FREQUÊNCIA

GRAVID

AD

E &

SEVERID

AD

E

Impacto $$ / Gargalo

ou restriçãoBaixo


BaixaAlta

AltaBaixa

Baixo1

Sem Ação

Médio3

Ação de Controle

Com indicadorespode-se

entender melhor o processo e associá-lo ao

risco operacional.

Com a melhoriados indicadores

evidencia-se que o riscoassociado

também está sendo mitigado.

Melhorias dos Indicadores


. . .. . .

. . .. . .

1. Fraude Interna

2. Fraude Externa

3. Práticas Trabalhistas, Diversidade e Ambiente

4. Clientes, Produtos e Práticas Comerciais

5. Danos aos Ativos Físicos

6. Falhas em Sistemas

7. Adm. de Execução, Entrega e Processos

AREA 2 AREA 3AREA 1

. . .. . .

. . .. . .

. . .. . .

. . .. . .

. . .. . .

. . .. . .

. . .. . .

HOLDING

PROVISÃO

e

ALOCAÇÃO DE

CAPITAL

EVENTOS DE PERDAS(Basiléia II)

MENSURAÇÃO ABERTURA POR ÁREAS

Unidades

Unidades

Unidades

Unidades

GGESTÃOESTÃO DOS DOS PPROCESSOS E ROCESSOS E RRISCOS ISCOS OOPERACIONAISPERACIONAIS

Causas (Ex.: ações cíveis, casos inspetoria ...)


83

5 - Conclusão

84

5 - Conclusão

O gerenciamento de riscos pode salvar muitas vidas... inclusive a da sua empresa.

Muito Obrigado !

Mauro Lúcio Condé

riscos

Technology