SISTEMAS DE GESTÃO DE RISCOS (RISK MANAGEMENT) – PARTE V Por Pedro Aleixo Dias e Luís Jorge Monteverde IV – A ABORDAGEM ESPECÍFICA DO COSO O Comité COSO (Committee of Sponsoring Organization of the Tradeway Commission) publicitou o Sumário Executivo do seu Enterprise Risk Management Framework (ERMF), III – UMA ABORDAGEM METODOLÓGICA Continuamos a abordagem metodológica analisando um possível conteúdo para o Manual de Risk Management (RM): em Setembro de 2004. As suas recomendações são geralmente aceites como um bom padrão para dar cumprimento à legislação e regulamentação internacional relativamente quer ao RM quer especificamente às exigências a que deve satisfazer o sistema de controlo • Organização – A organização e responsabilidades devem envolver toda a entidade, desde a gestão de topo aos responsáveis operacionais, à auditoria interna, ao gestor de riscos e ao auditor independente. A gestão de topo implementa e mantém o processo, assume a gestão do risco em tudo o que seja relevante e relata aos accionistas e interno. O EMRF propõe disponibilizar às empresas uma ferramenta apropriada para a gestão do RM, a qual incorpora o seu próprio sistema de controlo interno. Vantagens do Risk Management segundo o ERMF do Comité COSO: outros stakeholders os factos, as decisões e as respectivas consequências em matéria de Risk Management. As linhas • Alinhar apetência para o risco e a estratégia até intermédias detectam, tomam medidas, tratam e informam a porque não há negócio sem risco e há estratégia porque há risco. gestão de topo sobre todas as situações de risco nos processos pelos quais respondem. • Ligar crescimento, risco e retorno. • Detecção – Planear e avaliar sistemática e consistentemente as oportunidades e ameaças da empresa e os seus pontos fortes e fracos, bem como avaliar as consequências das acções que pretenda desenvolver, manter, suspender ou cancelar. Este nível deve ser • Intensificar as decisões de resposta ao risco com base no rigor da identificação e selecção de alternativas e facilitando a escolha entre evitar, reduzir, partilhar e aceitar o risco. articulado, como se vê, com o planeamento estratégico. • Controlo – Tomar as medidas necessárias a controlar e combater os riscos identificados na fase de detecção, através de medidas de resposta e minimização dos riscos e via implementação de sistemas e de procedimentos que garantam a concretização das medidas decididas. • Minimizar surpresas e prejuízos como contrapartida da capacidade acrescida para identificar, avaliar e responder às situações de risco. • Identificar e gerir riscos transversais via identificação e avaliação dos impactos de risco nas diversas áreas. • Graduação – A graduação dos riscos pressupõe uma visão global do negócio, como condição da avaliação relativa entre • Proporcionar respostas integradas a riscos múltiplos. todos os riscos envolvidos. O risco deve ser graduado depois de adoptadas as medidas de minimização e controlo. Muitas vezes esta graduação só pode ser feita em termos • Aproveitar melhor oportunidades decorrentes de qualitativos. • Racionalizar o capital via optimização das alocações de capital face à avaliação do risco total do negócio. eventos que não apenas acarretam riscos • Quantificação – Esta é uma área muito trabalhada desde há décadas, havendo metodologias muito consistentes de quantificação estatística dos riscos. Os riscos mais estudados têm sido os financeiros, os de crédito e os Alguns conceitos fundamentais do Risk Management de acordo com o EMRF do Comité COSO: operacionais. Entretanto, estes métodos têm sempre que ser complementados pela avaliação resultante da experiência e do conhecimento da natureza do negócio e dos mercados. • Processo que percorre toda a empresa. • Monitorização – A monitorização tem como referência central os instrumentos de mensuração. Medeia a graduação • Envolve pessoas de todos os níveis da empresa. dos riscos com os sistemas de informação. Os riscos bem controlados pedem ser monitorizados apenas com • Aplicado na implementação da estratégia. acompanhamento, sendo que os mais gravosos exigem medidas mais fortes de controlo. • Aplicado através da empresa, em todos os níveis e unidades, e que inclui a tomada em linha de conta de um dado nível de risco que se decidiu aceitar. • Relato – Tem como base uma sólida visão estratégica do negócio e bons sistemas de informação e controlo. O seu • Desenhado para identificar eventos potenciais que conteúdo deve descrever o risco e as medidas adoptadas, bem como as consequências, e ser adequado a cada caso ocorram afectarão a empresa e a gestão do risco dentro do nível de risco aceite. destinatário. A caracterização do risco deve incluir: o tipo de risco (financeiro, estratégico, ambiental ...), a sua descrição, • Capaz de assegurar um nível razoável de segurança à o seu rating, as principais actividades de gestão desse risco, a abordagem de monitorização utilizada e os seus resultados, as acções conduzidas para a sua minimização, o “dono” do risco e a sua eventual expressão contabilística, os processos, iniciativas ou objectivos afectados. gestão da empresa. • Conduzido para a realização de objectivos. (Continua) • Avaliação Independente – A avaliação a ser conduzida por auditores independentes é centrada em determinar se os procedimentos estabelecidos para a detecção, controlo, graduação, quantificação, monitorização e relato dos riscos do negócio são adequados e verificar se esses procedimentos são regular e eficazmente obedecidos. file://Y:\iWeb\WEB_DESIGN\2008\AIP­news\06Jul_#45_01\_final\Gest_Fiscalidad...
28­07­2008