riscos
TRANSCRIPT
0
Mauro Lúcio Condé
Instituto EndeavorInstituto Endeavor
São Paulo, 02/agosto/2006
CheckupCheckupOrganizacionalOrganizacional
Colaboração: Cezar Bergantini
2
Preparado para correr riscos?
Ernst & Young / Valor Econômico
3
COMO IDENTIFICAR E ADMINISTRAR OS PRINCIPAIS RISCOS QUE AMEAÇAM A SAÚDE DA
EMPRESA ?
Pergunta-chave
1 - Analogia com Checkup2 - Excelência em Gestão e Governança Corporativa3 - Riscos:
- O que são - Quais são - Como identificá-los - Como administrá-los
4 - Exemplos Práticos de Administração de Riscos- Riscos Estratégicos e de Gestão- Riscos em Demonstrações Financeiras- Riscos Operacionais
5 - Conclusão
Agenda
5
1 - Analogia com Checkup
•Método especialista - as empresas não são especialistas em diagnose, mas em seus respectivos negócios
•Ferramentas - os equipamentos, métodos e procedimentos
• Sintomas - Não sentir nenhum mal estar não significa que tudo está bem. É preciso analisar o percebido e rastrear o não percebido
• Exames objetivos - observar e medir o conjunto de variáveis que indiquem a real condição de saúde.
• Junta Médica - somar esforços para criar sinergia na identificação do problema e/ou no posterior tratamento corretivo ou preventivo
• Dados Comparativos - os benchmarkings são as taxas clínicas ideais das empresas
• Causas - os exames devem chegar às causas, para evitar que se trate apenas as consequências, de forma paliativa
• Prescrição - com base nos sintomas, nos fatos, nos exames, nas comparações e nas causas, prescreve-se a terapia mais indicada
1 - Analogia com Checkup
Baseado em Waldir Ciszevski - HSM Management
7
2 - Excelência em Gestão e Governança
Corporativa
8
• "... depois das perdas vultosas sofridas por muitos acionistas (Enron, Wordcom, ...), os mercados de capitais começaram a prestar mais atenção às práticas de governançacorporativa e à possibilidade de refletir nos preços das ações e das debêntures a qualidade e transparência dos novos critérios..."
2 - Excelência em Gestão e Governança Corporativa
9
Código Brasileiro das Melhores Práticas - IBGC
3a Versão - 2004
Transparência
Equidade
Prestação de Contas
Responsabilidade Corporativa
Princípios Básicos:
2 - Excelência em Gestão e Governança Corporativa
10
LegalLegal
Controle Interno e Gestão de Riscos
. . .
Demonstrações FinanceirasDemonstrações Financeiras RiscosRiscos
+ +Conselho de Administração
CEO + Executivos
Comitê de Auditoria
Risco de Crédito
Risco de Mercado
Risco Operacional
Exigências de Órgãos Reguladores SOX Basiléia II
GOVERNANÇA CORPORATIVA
2 - Excelência em Gestão e Governança Corporativa
11
Excelência em Gestão
. . .
+ +Conselho de Administração
CEO + Executivos
Comitê de Auditoria
GOVERNANÇA CORPORATIVA
2 - Excelência em Gestão e Governança Corporativa
12
Elementos Constituintes da Governança
Processos auto-organizados
Reconhecimento das interdependências
Baseados na confiança através de normas e acordos formais ou informais
Implicam a passagem do governo soberano ao governo facilitador
Implicam compartilhar o poder com os atores sociais
2 - Excelência em Gestão e Governança Corporativa
Adaptado de Eugenio Singer e Cristiane Limeira in"Governança Costeira - O Brasil Voltado para o Mar" - Instituto Pharos
13
3 - Riscos
14
Chances de eventos, esperados ou não, causarem impacto adverso no capital e nos resultados da empresa
3 - Riscos
O que são
15
Risco de Mercado
Risco de Crédito
Risco Legal
Risco Operacional
Risco de Liquidez
Risco de Subscrição
3 - Riscos
Quais são
16
TipoTipo DefiniçãoDefinição
Risco deRisco deMercadoMercado
Probabilidade de a variação no valor de ativos Probabilidade de a variação no valor de ativos e passivos, causada por mudanças nos preços e passivos, causada por mudanças nos preços e taxas de mercado causar perdas para a e taxas de mercado causar perdas para a instituição. Inclui o risco de juros, ações, instituição. Inclui o risco de juros, ações, cotações de moedas estrangeiras e preços de cotações de moedas estrangeiras e preços de commodities.commodities.
Risco deRisco deCréditoCrédito
Risco de um devedor deixar de cumprir os Risco de um devedor deixar de cumprir os termos de qualquer contrato, ou deixar de termos de qualquer contrato, ou deixar de cumprir o que foi acordado. Ocorre nas cumprir o que foi acordado. Ocorre nas atividades onde o êxito depende do atividades onde o êxito depende do cumprimento pela contraparte.cumprimento pela contraparte.
3 - Riscos Quais são
17
TipoTipo DefiniçãoDefinição
Risco Risco OperacionalOperacional
Risco de perdas devido a eventos atribuídos a Risco de perdas devido a eventos atribuídos a pessoas, processos, problemas contratuais ou pessoas, processos, problemas contratuais ou documentais, tecnologia, falha de infradocumentais, tecnologia, falha de infra--estrutura e influências externas (desastres). estrutura e influências externas (desastres). Abrange todas as fases dos processos de Abrange todas as fases dos processos de negócio e suporte. negócio e suporte.
Risco Risco LegalLegal
Risco relacionado a possíveis perdas, quando Risco relacionado a possíveis perdas, quando um contrato não pode ser legalmente amparado, um contrato não pode ser legalmente amparado, por nãopor não--aderência a regulamentos, legislação ou aderência a regulamentos, legislação ou normas. Gera demandas indenizatórias normas. Gera demandas indenizatórias civeisciveis ou ou criminais, ou punições de natureza criminais, ou punições de natureza administrativa.administrativa.
3 - Riscos Quais são
• Fraude Interna e externa
• Falhas em sistemas de tecnologia de informação
• Danos às instalações físicas
• Eventos que acarretam interrupção de serviços
3 - Riscos
Risco Operacional - Exemplos
• Práticas de negócio inadequadas
• Falhas humanas
• Demandas Trabalhistas
• Gestão administrativa inadequada ou ineficiente
Fraudes e roubos externos
3 - Riscos Classificação de Eventos de Perdas
• Roubos externos• Fraudes externas não eletrônicas• Fraudes externas eletrônicas• Quebra de segurança de informações
Fraudes internas • Atividades não autorizadas• Atividades fraudulentas
internas• Roubos internos
Ações Judiciais Contra • Cíveis• Tributárias• Trabalhistas
Falhas nos negócios • Perdas na relação de negócios com clientes• Perdas por práticas impróprias de negócios• Perdas por defeitos de produto
1º Nível 2º Nível
Danos ao patrimônio Físico
3 - Riscos Classificação de Eventos de Perdas
• Danos e desastres naturais• Danos não naturais de origem
interna• Danos não naturais de origem
externa
Falhas de sistemas • Indisponibilidade de sistemas• Erros de sistemas
Falhas em processos • Perdas na relação com órgãos reguladores• Perdas por não-conformidade nos
processos com clientes• Perdas na relação com contrapartes• Perdas na relação com fornecedores• Perdas em processos internos
1º Nível 2º Nível
21
• "... a não identificação de um risco operacional, ou a falta de sua oportuna eliminação, pode traduzir-se em uma imensa perda. Mais especificamente, as ações de um único operador no Barings Bank, que conseguiu assumir posições extremamente arriscadas em um mercado, sem que tivesse autoridade para tal ou fosse detectado previamente, levaram a perdas da ordem de US$ 1,5 bilhão, que acabaram por ocasionar a liquidação do banco em 1995..."
3 - Riscos
22
Como IdentificáComo Identificá--loslos
MAPEAMENTO DE PROCESSOS E IDENTIFICAÇÃO DE RISCOS
Entrada
Entrada
3 - Riscos
Processamento Saída
Processamento Saída
23
...
XXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXX
Processo Nível 1...
...xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxXxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxMacroproc....
Processo Nível 2
xxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxx
Macroprocesso Processos Nível 1 Processos Nível 2 Processos Nível 3
Como IdentificáComo Identificá--los los -- Mapa Descritivo do ProcessosMapa Descritivo do Processos
3 - Riscos
24
Como IdentificáComo Identificá--los los -- Matriz de Riscos e Controles do ProcessoMatriz de Riscos e Controles do Processo
SOX Chave
C1
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Sim
C2xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Sim
SOX Chave
R2xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Sim C3
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Sim
R3xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx. Não C4 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx. Não
R4
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Não C5xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Não
1 – Operação xyz
2 – Operação uvhControle
Risco
R1Risco xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Sim
Controle
Risco
3 - Riscos
25
Estimativa da Distribuição Percentual por Unidades
Estimativa da Distribuição dos Riscos de Crédito, Mercado e Operacional
ESTIMATIVA DA DISTRIBUIÇÃO PERCENTUAL DOS RISCOS POR FATOR E ÁREA
100% 100% 100% 100% 100% 100% 100% 100% 100%95%
90%
40%
65% 65%
55%
40% 40% 40% 40%45%
40%35%
10%
35%
30%
15%
60%
35% 35%
10%
60% 60% 60% 60%
50%
30%
50%
5%
5%
0%
20%
40%
60%
80%
100%
AREAAREA AREA
ARO
AREAAREA
AREA
AREA
AREA
AREA
AREAAREA
AREA
AREA ART
AREAIA
REA
AREA
AREA
AREA
AREA
ARREA
Risco Operacional Risco de Mercado Risco de Crédito
3 - Riscos Como Identificá-los
26
Como AvaliComo Avaliáá--loslos
O Alpinista é um perito em avaliar riscos !
Em situações de
stress, ele sempre
avalia a gravidade
do risco versus a
probabilidade de
sua ocorrência.
3 - Riscos
27
Alt
o Alto4
Ação de Melhoriae Controle
Médio2
Ação de Controle
PROBABILIDADE & FREQUÊNCIA
GR
AV
IDA
DE &
SEV
ER
IDA
DE
Baix
o
QUALIDADE DOS PROCESSOS
BaixaAlta
Baixo1
Sem Ação
Médio3
Ação de Controle
Estrutura de Avaliação de Impactos (Nível de Risco)Estrutura de Avaliação de Impactos (Nível de Risco)Como AvaliComo Avaliáá--loslos
3 - Riscos
28
Como AdministrComo Administráá--los los -- Resposta ao RiscoResposta ao Risco
O gerenciamento identifica opções de respostas !
As respostas aosriscos são
consideradas emrelação aos efeitosna probabilidade e impacto do evento
de risco.
Plano Ação
3 - Riscos
29
Definição do Plano de ação com base no impacto
Aplicação do Plano de Ação
Monitoramento dos resultados (planejados x realizados)
Resposta ao Risco Resposta ao Risco -- Modelo de AplicaçãoModelo de Aplicação
Alt
o
Alto4
Ação de Melhoriae Controle
Médio2
Ação de Controle
PROBABILIDADE & FREQUÊNCIAGR
AV
IDA
DE &
SEV
ER
IDA
DE
Baix
o
QUALIDADE DOS PROCESSOS
BaixaAlta
AltaBaixa
Baixo1
Sem Ação
Médio3
Ação de Controle
Parâmetros e ResultadosParâmetros e Resultados
Respostas ao risco, dentro de parâmetros estabelecidos
• Evitar• Aceitar• Mitigar• Compartilhar• Transferir o Risco
3 - Riscos
30
• Regra simplesEmpurre quando for puxado e puxe quando for empurrado
• Exemplos –•• DrypersDrypers
Passou a aceitar os cupons que a concorrentelançou namídia para vender mais fraldas que a própria
Wall MartWall MartAfixava na frente de suas lojas os folhetos de umarica campanha de publicidade da concorrente, prome-tendo igualar ou bater todas as ofertas anunciadas
3 - Riscos Como AdministrComo Administráá--los los -- Resposta ao RiscoResposta ao Risco
31
Como AdministráComo Administrá--los los -- Resposta ao RiscoResposta ao Risco
A importância de Planos de Contingênciae Continuidade de Negócios
3 - Riscos
No caso de ocorrer uma conjunção de riscos graves, que possam colocar em perigo a própria sobrevivência da empresa, o Conselho de Administração deve ter certeza que a gerência executiva dispõe de um plano B.
32
Como AdministrComo Administráá--los los -- Atividade de ControleAtividade de Controle
Procedimentos que asseguram que apropriadas respostas aos riscos são executadas !
As atividades de controle ocorrem em
todos os níveis daorganização, incluindo
atividades como ostestes e as verificações,
por exemplo .
3 - Riscos
33
Riscos SOX, Controles-Chaves e Testes
Como AdministráComo Administrá--los los -- Atividade de Controle Atividade de Controle
Risco Controle Teste
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Periodicidade :xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx Responsável: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
3 - Riscos
34
Como AdministráComo Administrá--los los -- Atividade de Controle Atividade de Controle
3 - Riscos
De Até De Até
30/06/04 13/08/04 19/08/05 28/09/05
Desvio Pad: 01:43 Desvio Pad: 01:06Média: 16:45 Média: 11:13DP/Média: 02:27 DP/Média: 02:22Sigma 1 Sigma 1
DIRETORIA
SUPERINTENDÊNCIA
INDICADORHorário de Liberação -
INDICADORES GPRM - PAINEL DE CONTROLE
CLICAR DUPLO PERÍODO CLICAR DUPLO PERÍODOÁreaAREA
ACIMA OBJETIVO DIÁRIO OBJETIVO DIÁRIODIRETORIA
SUPERINTENDENCIA
Horário de Liberação
06:0007:0008:0009:0010:0011:0012:0013:0014:0015:0016:0017:0018:0019:0020:0021:0022:0023:00
30/ju
n
7/ju
l
14/ju
l
21/ju
l
28/ju
l
4/ag
o
11/a
go
Objetivo Diário Liberação Diária Tendência Atual
Horário de Liberação
06:0007:0008:0009:0010:0011:0012:0013:0014:0015:0016:0017:0018:0019:0020:0021:0022:0023:00
19/a
go
2/se
t
21/s
et
Objetivo Diário Liberação Diária Tendência Atual
35
Risco Operacional
Setoriais de Risco Operacional
SOX
Como AdministráComo Administrá--los los -- Atividade de ControleAtividade de Controle
Hierarquia de Comitês
3 - Riscos
36
Instrumentos de Informação e Comunicação !
Fornecer informaçõespertinentes de fontes
internas e externas paraa efetividade do modelode gestão corporativa
de riscos .
Como AdministrComo Administráá--los los -- InformaInformaçção e Comunicaão e Comunicaççãoão
3 - Riscos
37
Pilhas de dados
e informações
operacionais
sobre riscos
Página executiva
sumarizada com
as conclusões para
tomada de decisão
Abordagem simples - quais são os principais acontecimentos relacionados a riscos (os mais relevantes) sobre os quais o Conselho de Administração deve ser informado? Que decisões precisam ser tomadas? Quais são as más notícias?
Como AdministrComo Administráá--los los -- InformaInformaçção e Comunicaão e Comunicaççãoão3 - Riscos
38
Reportes Estruturados de Riscos (Interno e Externo)
Comitê de Controles Internos e Riscos
Eventos Corporativos de Risco
3 - Riscos Como AdministrComo Administráá--los los -- InformaInformaçção e Comunicaão e Comunicaççãoão
39
Como AdministrComo Administráá--los los -- MonitoramentoMonitoramento
Processo de avaliação da estrutura de gestão de risco !
O monitoramento
assegura que o
gerenciamento de
risco esteja sendo
aplicado em todos
os níveis da
empresa.
3 - Riscos
40
0%
20%
40%
60%
80%
100%
3 - Riscos Monitoramento das Perdas Operacionais
Fraudese roubosexternos
Fraudes internas
AçõesJudiciais
Falhas negócios
DanosPatrim. físico
FalhasSistemas
Falhasprocessos
(exemplo fictício)
41
Comissão Superior
Comissão de Controles Internos
Comissão de Riscos Operacionais
Comitê de Auditoria
Trimestral
Trimestral
Mensal
Mensal
• Diretor-Presidente • Auditoria Interna • Diretor Riscos
• Diretor Área• Diretor àrea• Diretor Área
• Diretor Riscos• Coord. Corporativa• Compliance Legal
• Oficiais de Controles• Auditoria Interna
• Especialista Financeiro - Cons. Administração• Membros do Conselho de Administração
• Diretor Riscos• Coord.Corporativa
• Auditoria Interna• Demais Oficiais
Auditoria Interna e externa -
• Auditoria Interna • Empresas de Auditoria Externa
Como AdministráComo Administrá--los los -- Estrutura de MonitoramentoEstrutura de Monitoramento
3 - Riscos
42
4 - Exemplos Práticos de Administração de
Riscos
43
Não invisto na Bolsaporque o risco é muito alto...
44
4 - Exemplos Práticos de Adm. de Riscos
Riscos Estratégicos e
de Gestão
EFQM - FNQ
45
Régua de 1000 pontos
0
0,5
1
1,5
2
2,5
3
out/97
fev/98
jun/98out/9
8fev
/99jun/99out/9
9fev
/00jun/00out/0
0fev
/01jun/01out/0
1fev
/02jun/02out/0
2fev
/03jun/03
Ibovespa Índice FPNQ
BenchmarkingClasse Mundial
Status atualEmpresa
Gap Existente•Índice FPNQ = ações das empresas
que ganharam o PNQ
Desempenho das Empresas Premiadas Vis-a-Vis o mercado
PNQ – Um modelo referencial de Gestäo :
Modelo de Excelência em Gestão-PNQ:
*
4 - Exemplos Práticos de Adm. de Riscos
46
Reunir os principais executivos da empresa e realizar o diagnóstico através do questionário de auto-avaliaçäo e identificar :
•Os pontos fortes•As oportunidades•Os diferenciais
•Os pontos fracos•Os principais Gaps•Os problemas que geram:
•Insatisfações•Frustrações•Riscos•Perda de Sono
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
1
.
1
1
.
2
1
.
3
2
.
1
2
.
2
2
.
3
3
1
3
.
2
4
.
1
4
.
2
5
.
1
5
.
2
5
.
3
6
.
1
6
.
2
6
.
3
7
.
1
7
2
7
.
3
7
4
8
1
8
.
2
8
3
8
.
4
8
.
5
8
.
6
8
.
7
Estágio atual *
Finalista PNQ
Benchmarking Classe Mundial
PNQ Self Assessment-Exemplo Hipotético
Média Avaliações
27 Critérios de Excelência
%
Estágio inicial
* Apuração do Estágio Atual com base nas melhorias já implementadas
Exemplo de Introduçäo do Modelo PNQ nas empresas :
4 - Exemplos Práticos de Adm. de Riscos
47
Indicadores Clientes
IndicadoresFinanceiros
Indicadores Pessoas
Indicadores Processos
Painel de Controle de Gestão
Liderança
Estratégias e Planos
Sociedade e Ética
Informações eConhecimento
4 - Exemplos Práticos de Adm. de Riscos
48
4 - Exemplos Práticos de Adm. de Riscos
Riscos em Demonstrações
Financeiras
S O X
49
SARBANES OXLEY ACTORIGEM :Quebras de empresas em 2001 minaram a confiabilidade do mercado de capitais americano.
Percepção de que todos falharam (em integridade ou competência)
•Executive Management
•Board of Directors
•Contadores, Auditores, Dealers, Advogados
Não intencional
Fraude
Cumplicidade
4 - Exemplos Práticos de Adm. de Riscos
50
O que é
LEI AMERICANA QUE OBRIGA A EMPRESA A CUMPRIR UMA SÉRIE DE EXIGÊNCIAS QUANTO A:
Qualidade das Demonstrações Financeiras e dos dados que divulgamos a mercado
Controles Internos relacionados às DF
Utilização da Auditoria Externa
Fiscalização pelo Comitê de Auditoria
Responsabilidade da Diretoria e do Conselho
4 - Exemplos Práticos de Adm. de Riscos
51
FALHAS RELEVANTES NO CONTROLE INTERNO
ERROS/OMISSÕES NAS CERTIFICAÇÕES DA ADM
Relatório sobre CI auto qualificado
Parecer do AE sobre DF qualificado
Até 10 anos de prisão e/ou US$ 1 milhão
(*) Até 20 anos de prisão e/ou US 5 milhões
(*) Para fatos conhecidos da Adm.
CONSEQUÊNCIAS de falhas no CI (além das ações cíveis de prejudicados)
Assassinato12 anos!!
4 - Exemplos Práticos de Adm. de Riscos
52
SOX SOX –– Empresas SujeitasEmpresas Sujeitas
• Empresas americanas e não americanas registradas na SEC / bolsas de valores dos Estados Unidos
• Efeito no Brasil:
39 empresas (aproximadamente 22 grupos econômicos) brasileiras registradas na SEC
Subsidiárias de empresas americanas e não americanas cujas matrizes são registradas na SEC
4 - Exemplos Práticos de Adm. de Riscos
53
Seção 404 Seção 404 -- Management Assessment of Management Assessment of Internal ControlsInternal Controls
1. Elaboração pela administração (CEO/CFO) de relatório anual sobre a avaliação dos controles internos, incluindo:
Declaração sobre a responsabilidade da administração em estabelecer e manter controles internos adequados (estrutura e procedimentos);
Resultados da avaliação da efetividade dos controles internos.
2. Os auditores externos da Companhia devem auditar:o processo conduzido pela administração; eos controles internos (sua própria avaliação).
4 - Exemplos Práticos de Adm. de Riscos
54
A LEI EXIGE
1
2
3
4
ANALISAR O DESENHO DOS CONTROLES
TESTAR SE O CONTROLE É EFETIVO
CRIAR OS CONTROLES EM FALTA
DOCUMENTAR O SISTEMA DE CONTROLE
4 - Exemplos Práticos de Adm. de Riscos
55
Auditoria integrada das DF e do CI, para :
•Expressar opinião sobre a “certificação” da ADM sobre CI
•Avaliar e opinar sobre a efetividade do CI
•Expressar uma opinião sobre as Demonstr. Financeiras.
ADMINISTRAÇÃO - MAIS UM ENCARGO
Assumir a responsabilidade legal pelo Controle Interno
AuditoriaExterna
Novo Escopo
4 - Exemplos Práticos de Adm. de Riscos
56
EstágiosEstágios de de ImplementaçãoImplementação dada SOXSOX
4 - Exemplos Práticos de Adm. de Riscos
• Definição do escopo (empresas afetadas e contas relevantes)
• Definição da matriz de link entre contas relevantes e processos
• Mapeamento dos processos definidos
• Identificação dos riscos críticos nas etapas dos processos
• Identificação dos controles necessários para mitigar os riscos
• Identificação e realização de testes dos controles
• Identificação de exceções de controle e definição de PAs
• Avaliação dos riscos de acordo com a matriz de relativização
• Documentação das deficiências encontradas no processo
57
Principais Riscos SOX:
Um pequeno Check-List
4 - Exemplos Práticos de Adm. de Riscos
58
Check-list - garantias que damos quanto às nossas DF
Informações quanto a prazo, maturidade, recorrência e natureza estão corretamente apontadas e reveladas
Ativos, passivos, receitas e despesas estão demonstrados pelo valor adequado , conforme GAAP.
Os ativos são os direitos e os passivos são as obrigações na data indicada e em boa fé
Todas as transações e eventos que ocorreram no período foram registradas e consideradas
As transações registradas são fatos econômicos do período base
Os ativos e passivos existem na data indicada
4 - Exemplos Práticos de Adm. de Riscos
59
Check-List- objetivos quanto ao processamento da informação
O sistema bloqueia modificação não autorizadaA confidencialidade está asseguradaOs ativos e dados estão fisicamente protegidos A segregação de funções está assegurada
As transações e alterações nas fórmulas e dados fixos das fórmulas estão autorizadasAs transações não são fictícias e estão efetivamente relacionadas aos negócios
Todos os dados das transações e nºs fixos das fórmulas, admitidos e registrados estão corretosModificações posteriores estão corretas
Todas as transações foram capturadas pelos sistema e uma única vezDuplicidades são rejeitadas pelo sistemaTodas as transações rejeitadas são denunciadas pelo sistema e regularizadas
4 - Exemplos Práticos de Adm. de Riscos
60
Interpretação nos processos
Exemplo
Senha do clienteContabilizar empréstimo fictício
Batimento entre sistemas de captura e de contabilização
Não contabilizar empréstimo concedido
ControleRisco
4 - Exemplos Práticos de Adm. de Riscos
61
Responsabilidade da area de TI para a SOX
1
Avaliar e documentar os Controles Gerais de Informática (hardware e software)
• Ambiente de Controle
• Desenvolvimento de programas
• Manutenção de programas
• Segurança - acessos a programas e dados
• Operações gerais de processamentos de dados
Suporte aos usuários, para entenderem todos os controles existentes em seus processos e não apenas os controles manuais locais que detem .
2
4 - Exemplos Práticos de Adm. de Riscos
62
Métodos mais comuns de engenharia social
• Fingir ser:
• um colega de trabalho.
• empregado de um fornecedor, parceiro ou autoridade legal
• alguém com autoridade
• um empregado novo que precisa de ajuda
• um fornecedor ou fabricante de sistemas que liga com proposta de atualização de sistema
• Enviar software ou e-mail grátis para que a vítima o instale
4 - Exemplos Práticos de Adm. de Riscos
63
Classificação das Exceções
As exceções devem ser classificadas de acordo com os critérios abaixo:
Base: Lucro Antes do IR Base: Lucro Antes do IR
4 - Exemplos Práticos de Adm. de Riscos
Deficiência Significativa
Deficiência Significativa
Deficiência do controle
Fraqueza Material
Fraqueza Material
Deficiência do controle
Deficiência do controle
Deficiência do controle
Inconsequential Material
Magnitude (R$ milhões)
More than inconsequential
Prob
abili
dad e
R em
ota
Ra z
oav.
p oss
ível
Prov
ável
Deficiência do controle
64
CONSIDERAR AS MUDANÇAS GERAIS RELEVANTES, QUE PODERIAM SUSCITAR ALTERAÇÕES NO
CONTROLE.Ex:
1. Alterações em volume 2. Alterações em pessoas3. Alterações em processo (manual computadorizado)
Avaliação contínua do desenho
Avaliação de Mudanças Permanente
4 - Exemplos Práticos de Adm. de Riscos
65
A certificação SOX foi obtida 1 ano antes da data prevista na
regulamentação americana. O Itaú é o primeiro e único banco
brasileiro a alcançá-la.
A certificação SOX foi obtida 1 ano antes da data prevista na
regulamentação americana. O Itaú é o primeiro e único banco
brasileiro a alcançá-la.
4 - Exemplos Práticos de Adm. de Riscos
66
Risco operacional
G P R MGestão de Processos,
Riscos e Melhorias
4 - Exemplos Práticos de Adm. de Riscos
67
Entrada Processamento Saída1ª Fase – AS IS
Entrada Processamento Saída
Conclusões :
• Tempo longo para percorrer os processos de A até Z, perda de tempo, baixo compromisso• Melhoria de todos processos, inclusive os que não são críticos ou gargalos, gerando novos problemas
GPRM Visão Tradicional da Melhoria de Processos
2ª Fase – SHOULD BE
FOCAR NOS PONTOS REALMENTE IMPORTANTES DO PROCESSO
4 - Exemplos Práticos de Adm. de Riscos
68
GPRM Simplicidade & Eficiência
“... O mundo é complexo, os líderes trazem clareza…
...Os melhores presidentes usam sua perspicácia nos negócios para reduzir a complexidade, seja interna ou externa à empresa, ao básico de ganhar dinheiro. Eles curtem esse desafio mental”
Ram Charan
Devemos observar de forma sistêmica e sistemática as questões:
- "O que mudar"
- "Para que mudar "
- "Como Mudar”
4 - Exemplos Práticos de Adm. de Riscos
Obsessão pelo Simples
4 - Exemplos Práticos de Adm. de Riscos
Obsessão pelo Simples
4 - Exemplos Práticos de Adm. de Riscos
Obsessão pelo Simples
Pesquisa Estou com sorte
4 - Exemplos Práticos de Adm. de Riscos
72
Entrada Processamento Saída
GPRM Método para Melhoria Contínua
FOCO!
• Começar a melhoria pelo final, de trás para frente
• Identificar como os clientes nos medem
• Gerar indicadores que meçam o atendimento aos requisitos dos clientes
• Identificar os gargalos e restrições, priorizando sua correção
4 - Exemplos Práticos de Adm. de Riscos
73
Seleção de Projetos de Alto Impacto
4 - Exemplos Práticos de Adm. de Riscos
74
GPRM Seleção de Projetos de Alto Impacto
ENTENDIMENTO DA HIERARQUIA DAS NECESSIDADES DE CLIENTES
1ª : DISPONIBILIDADE (ATRASOS)
2ª : ACURÁCIA (ERROS)
3ª : CONSULTORIA IMPECÁVEL (ATENDIMENTO DE 1ª LINHA)
FONTE: GALLUP STUDY
4 - Exemplos Práticos de Adm. de Riscos
75
- Mapear Produtos e/ou Serviços ENTREGUES - Identificar aqueles que:
- Geram ALTO índice de:- Frustração- Insatisfação- Reclamações- Risco para o Negócio
- “Tiram o sono”- Geram gargalos, filas e restrições
GPRM Seleção de Projetos de Alto Impacto
4 - Exemplos Práticos de Adm. de Riscos
76
GPRM
ES
FO
RÇ
O
+-
IMPACTO +-
Seleção de Projetos de Alto Impacto
4 - Exemplos Práticos de Adm. de Riscos
77
GPRM
Priorização = Relevância + Esforço
NÃO É PRIORITÁRIO NO
MOMENTO
FILA DE ESPERA
FOCOPRIORIDADE!
IMPACTOBAIXO ALTO
ALTO
BAIXO
ESFORÇO
NÃO É PRIORITÁRIO NO
MOMENTO
Seleção de Projetos de Alto Impacto
4 - Exemplos Práticos de Adm. de Riscos
78
PRODUTO/SERVIÇO
INDICADOR
ACURÁCIADISPONIBILIDADE
• Extratos de Clientes
• Atendimento das dúvidas
• Apuração de Ganhos
• Suporte ao Bankline
• Consultoria financeira
• Prazo de Liberação (5 dias)
• Prazo de Resolução
• Disponibilizar em 5 dias
• Disponibilização 8 hs/dia
• 24Horas / 7 Dias
• Relatórios Substituídos
• Índice de reclamações
• Informação incorreta
• Pesquisa de satisfação
• Rendimento carteira
GPRMEXEMPLO
Seleção de Projetos de Alto Impacto
4 - Exemplos Práticos de Adm. de Riscos
79
Análise deIndicadores
4 - Exemplos Práticos de Adm. de Riscos
Ver link com a palestra “Quem não mede não gere” na videoteca de Endeavor: www.iee.org.br
80
Gestão IntegradaRiscos Operacionais x Processos
4 - Exemplos Práticos de Adm. de Riscos
81
GPRM
bb
A
A
(Sigma/Defeitos/Milhão)
Impacto $ / Gargalo
ou restriçãoAlto
Alto4
Ação de Melhoriae Controle
Médio2
Ação de Controle
(Sigma/Defeitos/Milhão)
PROBABILIDADE & FREQUÊNCIA
GRAVID
AD
E &
SEVERID
AD
E
Impacto $$ / Gargalo
ou restriçãoBaixo
QUALIDADE DOS PROCESSOS
BaixaAlta
AltaBaixa
Baixo1
Sem Ação
Médio3
Ação de Controle
Com indicadorespode-se
entender melhor o processo e associá-lo ao
risco operacional.
Com a melhoriados indicadores
evidencia-se que o riscoassociado
também está sendo mitigado.
Melhorias dos Indicadores
4 - Exemplos Práticos de Adm. de Riscos
. . .. . .
. . .. . .
1. Fraude Interna
2. Fraude Externa
3. Práticas Trabalhistas, Diversidade e Ambiente
4. Clientes, Produtos e Práticas Comerciais
5. Danos aos Ativos Físicos
6. Falhas em Sistemas
7. Adm. de Execução, Entrega e Processos
AREA 2 AREA 3AREA 1
. . .. . .
. . .. . .
. . .. . .
. . .. . .
. . .. . .
. . .. . .
. . .. . .
HOLDING
PROVISÃO
e
ALOCAÇÃO DE
CAPITAL
EVENTOS DE PERDAS(Basiléia II)
MENSURAÇÃO ABERTURA POR ÁREAS
Unidades
Unidades
Unidades
Unidades
GGESTÃOESTÃO DOS DOS PPROCESSOS E ROCESSOS E RRISCOS ISCOS OOPERACIONAISPERACIONAIS
Causas (Ex.: ações cíveis, casos inspetoria ...)
4 - Exemplos Práticos de Adm. de Riscos
83
5 - Conclusão
84
5 - Conclusão
O gerenciamento de riscos pode salvar muitas vidas... inclusive a da sua empresa.
Muito Obrigado !
Mauro Lúcio Condé