Gestão de Riscos nas Organizações:
Riscos x Valor aos Acionistas.
Como o mercado percebe e
remunera as organizações que
implementaram processos
efetivos de Gestão de Riscos
(ERM).
Outubro de 2010
Agenda
• Tendências e perspectivas
• Gestão de Riscos (ERM) com foco na Geração
de Valor aos acionistas
• Modelos para ERM
• Novos padrões de mercado para ERM
• Papéis e Responsabilidades no processo de ERM
• Abordagem
• Ferramentas
© 2010 Deloitte Touche Tohmatsu
Tendências e
perspectivas
Tendências e Perspectivas
Mercado Internacional
“Governança corporativa é o
sistema pelo qual as
sociedades são dirigidas e
monitoradas, envolvendo os
relacionamentos entre
Acionistas, Diretoria,
Auditoria e Órgaos
regulamentares.
O objetivo das praticas de
governança corporativa é a
criação e operacionalização
de um conjunto de
Reguladores
“mecanismos” que visam a
fazer com que as decisões
sejam tomadas de forma a
otimizar o desempenho de
longo prazo das empresas.
É o sistema que assegura
aos sócios-proprietários o
governo estratégico da
empresa e a efetiva
monitoração da diretoria
executiva. "
Fonte: IBGC
4
Deloitte
Agências de
Rating
Governança
Corporativa
Inteligência
em Riscos
Bancos
Investidores
© 2010 Deloitte Touche Tohmatsu
Tendências e Perspectivas
IGC X IBOVESPA – Reconhecimento pelo Mercado das
Empresas com boa governança corporativa – Índice Relativo
700
669
667
600
508
500
470
438
400
364
360
305
300
250
200
181
152
100
100
99
93
257
229
179
101
77
0
jun/01
dez/01
dez/02
dez/03
dez/04
IBOVESPA
5
Deloitte
dez/05
dez/06
dez/07
dez/08
dez/09
IGC
© 2010 Deloitte Touche Tohmatsu
Tendências e Perspectivas
Pesquisa “Confiança em um cenário de riscos”
A pesquisa detectou aumento da
importância da Gestão de Riscos e
Governança Corporativa, como
ferramentas para alinhar a gestão
das empresas com os interesses dos
investidores, dos acionistas e dos
mercados.
Fonte: Pesquisa “Confiança em um cenário de riscos”, realizada pela Deloitte em parceria com o IBRI.
Pesquisa Deloitte - IBRI 2009
6
Deloitte
© 2010 Deloitte Touche Tohmatsu
Tendências e Perspectivas
Pesquisa “Confiança em um cenário de riscos”
Para as empresas, os principais objetivos do ERM são:
Fonte: Pesquisa “Confiança em um cenário de riscos”, realizada pela Deloitte em parceria com o IBRI.
Pesquisa Deloitte - IBRI 2009
7
Deloitte
© 2010 Deloitte Touche Tohmatsu
Tendências e Perspectivas
Seis Erros que o Executivo Comente na Gestão de Riscos
“É quase impossível prever um “cisne negro”. Em vez de insistir na ilusão de que dá para
antever o futuro, o gerente de risco deve tentar reduzir o impacto de ameaças que fogem á
compreensão”
Neste contexto, para mudar o modo de encarar o risco, é preciso evitar seis erros:
1. Achar que, ao prever eventos extremos, será possível administrar o risco;
2. Acreditar que estudar o passado vai nos ajudar a controlar o risco;
3. Ignorar conselhos sobre o que não fazer;
4. Achar que o risco pode ser medido pelo desvio padrão;
5. Não entender que equivalência matemática não significa equivalência psicológica e
6. Acreditar que eficiência e maximização do valor ao acionista não permitem redundância.
Matéria publicada na revista - Harvard Business Review – outubro de 2009
8
Deloitte
© 2010 Deloitte Touche Tohmatsu
Gestão de Riscos
(ERM) com foco na
Geração de Valor
aos acionistas
ERM com foco na Geração de Valor aos acionistas
Definição de ERM
A Gestão de Riscos (ERM) é um processo continuo
e conduzido pela Administração para melhor
identificar, entender e responder aos riscos
prioritários, como por exemplo, (1) estratégicos, (2)
financeiros, (3) operacionais e (4) regulamentares.
10
Deloitte
© 2010 Deloitte Touche Tohmatsu
ERM com foco na Geração de Valor aos acionistas
VALOR AOS ACIONISTAS
Atendimento
das
Expectativas
Otimização
dos custos
operacionais
Eficiência
dos Ativos
Aumento da
receita
Estratégicos
Operacionais
Monitorar,
Monitor,
Assure &
Garantir
eEscalate
Escalar
6
Financeiros
Risk Intelligence
Identificar
Identify
INTELIGÊNCIA
To Create & Riscos
Risks
EM
RISCOS
Preserve
Value
Definir
eDesign
Testar &
Controles
Test
Controls
5
Regulamentares
2
Responder
Respond
aos
toRiscos
Risks
Processos de
Governança
Corporativa
Processos
Operacionais
3
Avaliar
Assesse and
Medir
Riscos
Measure
Risks
4
Processos de
Apoio
PROCESSOS DE NEGÓCIO
RISCOS CORPORATIVOS
1
Melhoria
Sustain &
Desenvolver
Contínua e
Develop and
7 Continuously
e Deploy
Preparar
Sustentável
Improve
Strategies
Estratégias
CONTROLE E GERENCIAMENTO
Gestão de Riscos
© 2010 Deloitte Touche Tohmatsu
ERM com foco na Geração de Valor aos acionistas
“Value Map” (Ex.: Varejo)
© 2010 Deloitte Touche Tohmatsu
ERM com foco na Geração de Valor aos acionistas
“Value Map” (Ex.: Varejo)
© 2010 Deloitte Touche Tohmatsu
ERM com foco na Geração de Valor aos acionistas
Definição e Abrangência da Gestão de Riscos Corporativos
Valor aos acionistas
Riscos de Negócio
Decisões, ações ou
eventos que podem
impactar o atendimento
dos objetivos de
negócio
Assegurar
Receita
Otimização dos
Custos
Operacionais
• Rentabilidade
• Obrigação
Contratual (ex:
covenants)
• Inadimplência
• Acesso e
confidencialidade
Empresas que sejam
efetivas e eficientes na
gestão de riscos que
possam causar impacto
no seu crescimento irão,
no longo prazo, ter
performance superior à
de seus concorrentes
com menor habilidade de
ERM. Isto implica em:
14
Deloitte
Eficiência
dos Ativos
• Capacidade
Operacional
• Obsolescência
Atendimento das
Expectativas
• Sucessão
• Satisfação do
Cliente
1. Distinguir entre riscos recompensáveis / não recompensáveis e efetuar
relação entre criação e preservação de valor;
2. Desenvolver capacidade sustentável de ERM, contemplando a totalidade
dos riscos aos quais a organização está exposta;
3. Comunicar a estrutura e ações de gerenciamento de riscos para o
mercado, contribuindo para facilitar o acesso a capital;
4. Não criar estruturas que aumentem a burocracia, mantendo foco na
gestão integrada e corporativa dos riscos para tornar esta atividade parte
da rotina de tomada de decisões;
5. Entender as vulnerabilidades nos cenários adversos e favoráveis, bem
como os gatilhos que envolvem a entrada / saída de uma
situação.
© 2010 Deloitte Touche Tohmatsu
ERM com foco na Geração de Valor aos acionistas
Definição e Abrangência da Gestão de Riscos Corporativos
A visão consolidada dos riscos é um instrumento gerencial que auxilia na definição das estratégias e
na tomada de decisões, gerando vantagem competitiva.
REGULAMENTA
R
ESTRATÉGICO
Governança
15
Modelo de Negócios
Regulamentação
16
Aderência às
Políticas
Comunicação e
Divulgação
Responsabilidade Social
Incentivo de
Desempenho
Reputação e
Imagem
Planejamento e
Orçamento
Sucessão
Conduta Antiética / Fraude
Desenvolv. de
Produto/Serviços
Concorrência e
Mercado
17
Estrutura
Organizacional
Continuidade de
Negócios
Inovação
Tecnológica
Satisfação do
Cliente
Rentabilidade
Indicadores de
Perform e Riscos
1
13
Investimento e
Projetos
7
Legal
18
Marcas e
Patentes
Contábil e
Financeira
Trabalhista
18
FINANCEIRO
Crédito
Mercado
Liquidez
Processo
5
14
Concentração
Garantia
Captação
Câmbio
10
Derivativos
11
Fluxo de Caixa
Inadimplência
Taxa de Juros
8
15
Deloitte
Pessoal
4
Logística
Obrigação
Contratual
Capacitação
Capacidade
Operacional
Práticas
Comerciais
Dependência
de Pessoal
Efetividade e
Eficiência
Perda e/ou
Obsolescência
Limite de
Autoridade
Falha de
Produto/Serv.
Fornecimento
Retenção de
Talentos
12
6
2
Tributário / Fiscal
OPERACIONAL
Informação e
Tecnologia
9
3
Acesso e
Confidencialidade
Integridade
18
Meio
Ambiente
Civil
Resíduos,
Efluentes e
Emissões
Ambiental
Saúde e
Segurança
Disponibilidade
© 2010 Deloitte Touche Tohmatsu
ERM com foco na Geração de Valor aos acionistas
Definição e Abrangência da Gestão de Riscos Corporativos
Valor aos Acionistas
OBJETIVOS
DE NEGÓCIO
Riscos de
Negócio
1
Estratégico
Operacional
2
Financeiro
Deloitte
Falhas em
procedimentos,
relativos a margem,
precificação ou
condições comerciais
(descontos)
divergentes das
diretrizes de negócio.
Inadimplência de novos
clientes potencializada
por falhas no processo
de análise de crédito.
3
Falhas operacionais no
contas a receber.
4
Pagamento
inadequado de
comissões de venda.
Regulamentar
16
Otimização dos
Custos
Operacionais
Assegurar
Receita
Eficiência
dos Ativos
5 Pagamentos realizados em 10 Operações de
derivativos em
desacordo com as
diretrizes/ políticas de
negócio ou ausência de
instrumentos efetivos de
gestão e monitoramento
desacordo com contratos
firmados e/ou alçadas
definidas.
6 Compras efetuadas
divergentes das
necessidades da
Organização.
Falhas nas composição
Pagamentos
11 emergenciais que
afetam o fluxo de caixa.
7 dos custos dos produtos
produzidos
8
Falhas na fabricação de
produtos ou na gestão da
prestação de serviços.
Acesso não autorizado a
9 dados e informações
e/ou definição
inadequada de
parâmetros de
segurança.
12
Divergências
significativas na previsão
de fluxo de caixa.
Concentração indevida
13 no portofólio de
investimento
14 Variação Cambial
Atendimento das
Expectativas
Aumento de ações
15 jurídicas, devido ao
descumprimento das
obrigações contratuais, leis
ou regulamentações do
setor.
Não atendimento
16 adequado dos requisitos/
pronunciamentos
contábeis (ex: IFRS)
Tomada de decisões ou
17 execução de atividades
divergentes aos objetivos e
diretrizes da Organização,
devido a diversidade de
modelos e padrões.
Multas decorrentes de
18 divergências fiscais,
ambientais e trabalhistas.
© 2010 Deloitte Touche Tohmatsu
ERM com foco na Geração de Valor aos acionistas
Definição e Abrangência da Gestão de Riscos Corporativos
Valor aos Acionistas
OBJETIVOS
DE NEGÓCIO
Natureza dos
Riscos
Exposição
Otimização dos
Custos
Operacionais
Assegurar
Receita
Eficiência
dos Ativos
Atendimento das
Expectativas
Internos
Processos
Externos
Corporativos
Operação
Suporte
Estratégicos
1
5
10
15
Operacionais
2
6
11
16
Financeiros
3
7
12
17
Regulamentares
4
9
13
18
Alto
Médio
Baixo
Tendência
Aumento
Estável
Redução
17
Deloitte
© 2010 Deloitte Touche Tohmatsu
ERM com foco na Geração de Valor aos acionistas
Definição e Abrangência da Gestão de Riscos Corporativos
Valor aos Acionistas
Assegurar
Receita
Otimização dos
Custos
Operacionais
Eficiência
dos Ativos
Atendimento das
Expectativas
Muito Alto
OBJETIVOS
DE NEGÓCIO
1
Alto
13
3
8
11
Médio
6
18
Risco Estratégico
Risco Financeiro
Risco Operacional
Risco Regulamentar
Deloitte
Muito Baixo
18
2
5
4
Muito Baixo
COSO ERM
10
17
Baixo
Impacto
15
12
9
Baixo
Médio
Alto
Muito Alto
Vulnerabilidade
© 2010 Deloitte Touche Tohmatsu
ERM com foco na Geração de Valor aos acionistas
Metodologia da Inteligência em Riscos
Papéis e Responsabilidades
Metodologia da
Inteligência em
Riscos
Envolvimento da Alta Administração
Programa de ERM “Top Down”
Infraestrutura para Gestão de Riscos
Avaliação Periódica da Gestão de Riscos
Responsabilidade das Áreas de Negócio
9 Princípios para a construção de
Utilização de Padrões e Metodologias
um processo de Inteligência em Risco
Definição e Entendimento dos Riscos
Apoio das Áreas de Suporte
19
Deloitte
© 2010 Deloitte Touche Tohmatsu
Deloitte
2. Utilização de padrões e metodologias (ex.: COSO ERM) para
gestão uniforme dos riscos em toda a Organização
3. Estabelecimento de papéis, responsabilidades e autoridade
na gestão de riscos
4. Envolvimento do Conselho Fiscal / Comitê de Auditoria e
Comitê Executivo na gestão de riscos.
Infraestrutura e
Supervisão do Risco
20
1. Linguagem comum de riscos direcionada tanto à
preservação como à criação de valor, conhecida e utilizada
de forma consistente por todas as áreas de negócio e de
suporte da Organização
5. Responsabilidade da Alta Administração no desenho,
implantação e monitoramento do programa de ERM
Propriedade
do Risco
Governança do Risco
9 Princípios da Inteligência em Riscos
Visão Geral
Princípios da Inteligência em Riscos
8. Responsabilidade das áreas de negócio por sua
performance, dentro dos limites de exposição à risco
definidos pela Alta Administração
6. Infraestrutura comum de gestão (ex.: sistema) para apoiar
as Áreas de Negócio no cumprimento das suas
responsabilidades
7. Análise periódica e independente da efetividade do
processo de ERM
9. Apoio das áreas de suporte (ex.: Financeiro, Jurídico, TI, RH)
aos responsáveis pela gestão de riscos
nas áreas de negócio
© 2010 Deloitte Touche Tohmatsu
20
Nossa Abordagem
Avaliação da Capacidade de Gestão e Priorização dos Riscos
Papéis e Responsabilidades
Metodologia da
Inteligência em
Riscos
Envolvimento da Alta Administração
Programa de ERM “Top Down”
Infraestrutura para Gestão de Riscos
Avaliação Periódica do Gestão de Riscos
Responsabilidade das Áreas de Negócio
9 Princípios para a construção de
Utilização de Padrões e Metodologias
um processo de Inteligência em Risco
Definição e Entendimento dos Riscos
Apoio das Áreas de Suporte
•
Entendimento do estágio atual do processo de ERM, considerando:
Governança de Riscos;
Definição de papéis e responsabilidades;
Capacitação e Treinamento;
Cultura da Organização;
Resposta e apetite ao risco;
Metodologia para avaliação dos riscos.
21
•
Análise Geral de Riscos – Risk Assessment.
•
Avaliação da Capacidade de ERM
Deloitte
© 2010 Deloitte Touche Tohmatsu
Nossa Abordagem
Preparação para ERM
Papéis e Responsabilidades
Metodologia da
Inteligência em
Riscos
Envolvimento da Alta Administração
Programa de ERM “Top Down”
Infraestrutura para Gestão de Riscos
Avaliação Periódica do Gestão de Riscos
Responsabilidade das Áreas de Negócio
9 Princípios para a construção de
Utilização de Padrões e Metodologias
um processo de Inteligência em Risco
Definição e Entendimento dos Riscos
Apoio das Áreas de Suporte
22
•
Definição do modelo de avaliação baseada nos processos atuais e nas melhores
práticas de mercado;
•
Estabelecimento da estrutura e metodologia de gerenciamento de riscos (Estratégico,
Financeiro, Regulamentar e Operacional).
•
Elaboração de Política e Manual de ERM para atingir ao processo proposto.
Deloitte
© 2010 Deloitte Touche Tohmatsu
Nossa Abordagem
Implementação da Estrutura e do Processo de Gerenciamento
Papéis e Responsabilidades
Metodologia da
Inteligência em
Riscos
Envolvimento da Alta Administração
Programa de ERM “Top Down”
Infraestrutura para Gestão de Riscos
Avaliação Periódica do Gestão de Riscos
Responsabilidade das Áreas de Negócio
9 Princípios para a construção de
Utilização de Padrões e Metodologias
um processo de Inteligência em Risco
Definição e Entendimento dos Riscos
Apoio das Áreas de Suporte
23
•
•
•
•
•
•
Estruturação do Comitê (ou grupo) de Riscos para atendimento do modelo de ERM;
•
•
Priorização das recomendações a partir do custo versus benefício potencial;
Desenvolvimento de planos de comunicação, treinamento e conscientização corporativa;
Estruturação de modelos de relatórios internos e externos;
Implantação dos KRI’s e definição dos níveis de exposição aos riscos de negócio
Avaliação dos riscos prioritários e mapeamento dos processos críticos de negócio;
Configuração de ferramentas e sistemas aplicativos para automatizar a metodologia e o
processo de ERM;
Definição e implantação de planos de ação.
Deloitte
© 2010 Deloitte Touche Tohmatsu
Nossa Abordagem
Sustentabilidade
Papéis e Responsabilidades
Metodologia da
Inteligência em
Riscos
Envolvimento da Alta Administração
Programa de ERM “Top Down”
Infraestrutura para Gestão de Riscos
Avaliação Periódica do Gestão de Riscos
Responsabilidade das Áreas de Negócio
9 Princípios para a construção de
Utilização de Padrões e Metodologias
um processo de Inteligência em Risco
Definição e Entendimento dos Riscos
Apoio das Áreas de Suporte
•
Definição de metas para o gerenciamento de riscos, considerando:
KRI’s – grau de maturidade dos riscos;
Melhores práticas de controle.
24
•
Estabelecimento de mecanismos de monitoramento periódico quanto ao atendimento
dos objetivos definidos para resposta ao risco;
•
Integração das métricas de riscos com os modelos de gestão existentes (exemplos:
BSC);
•
Desenvolvimento da estratégia de capacitação contínua dos colaboradores de forma a
disseminar a cultura e a tolerância a riscos da Organização;
•
Reavaliação contínua do canal de comunicação entre a Gestão de Riscos e as demais
áreas envolvidas.
Deloitte
© 2010 Deloitte Touche Tohmatsu
Papéis e Responsabilidades
Nossa Abordagem
Avaliação da Capacidade de Gestão e Priorização dos Riscos
Mapa resumo com os principais desvios frente às melhores
práticas
25
Deloitte
Envolvimento da Alta Administração
Programa de ERM “Top Down”
Infraestrutura para Gestão de Riscos
Avaliação Periódica do Gestão de Riscos
Responsabilidade das Áreas de Negócio
Apoio das Áreas de Suporte
© 2010 Deloitte Touche Tohmatsu
9 Princípios para a construção de
Utilização de Padrões e Metodologias
um processo de Inteligência em Risco
Definição e Entendimento dos Riscos
Metodologia da
Inteligência em
Riscos
Nossa Abordagem
Implementação da Estrutura e do Processo de Gerenciamento
Tratamento dos Riscos nos Processos
Papéis e Responsabilidades
Envolvimento da Alta Administração
Programa de ERM “Top Down”
Infraestrutura para Gestão de Riscos
Avaliação Periódica do Gestão de Riscos
Responsabilidade das Áreas de Negócio
Apoio das Áreas de Suporte
Produtos Finais:
Objetivos: Avaliar a vulnerabilidade dos riscos
classificados como prioritários considerando:
Macro-fluxo do processo:
Atividades:
- Entendimento dos processos relacionados
aos riscos prioritários.
- Identificação das causas e origem dos
riscos prioritários.
Riscos específicos: Identificação dos riscos
específicos.
- Identificação da estrutura de controles
existente (manuais e automatizados).
- Análise da situação atual considerando as
melhores práticas de ERM e controles
(“gap analysis”).
- Avaliação qualitativa e quantitativa dos
riscos residuais.
Control Gap: Sumários da situação dos controles
- Catalogação das oportunidades de
melhoria identificadas.
- Definição de Plano de Ação / Remediação,
base para a implementação das
oportunidades identificadas.
26
Deloitte
Matriz de Riscos e Planos de Ação:
© 2010 Deloitte Touche Tohmatsu
9 Princípios para a construção de
Utilização de Padrões e Metodologias
Metodologia da
Inteligência em
Riscos
um processo de Inteligência em Risco
Definição e Entendimento dos Riscos
Modelos para ERM
Modelos para ERM
Integração entre os Riscos
O Objetivo da Inteligência em riscos consiste em integrar as visões de risco da Alta
Administração ao dia-a-dia das operações da Organização:
Crédito
Rentabilidade
Investimento e
Projetos
Variação de Preços
em Commodities
Riscos Corporativos
Board
Governança
of Directors
do Risco
Common
Risk
Infraestrutura
Infrastructure
e supervisão
do risco
INTEGRAÇÃO
Data
Pessoas
Proces
Processos
s
Tech
Tecnologia
Propriedade do Risco
Operations
Operações
& IT
& TI
Finance
Financeiro
Legal &
Jurídico
e
Compliance
Compliance
Riscos Operacionais
Práticas Comerciais
Concentração de
captações
28
Deloitte
Logística
Flutuação Cambial
acima do previsto
Não atendimento de
covenants
Inadimplência
Concessão excessiva
de descontos
© 2010 Deloitte Touche Tohmatsu
Modelos para ERM
Abordagem Integrada de Gestão de Riscos
Situação Futura - Exemplo
Administração/Conselho
Situação Atual
Administração
Auditoria
Gestão de
Interna
Comitês de
Riscos
Gestão
Negócio
C
O
N
V
E
R
G
Ê
N
C
I
A
Reporte
Independente
Reporte Alinhado
Eficácia dos
Controles
Comitê/ Grupo de Risco
Vendas
Produção
Gestão de
Comitês de
Riscos
Gestão
Auditoria
Interna
TI
Compras
Estoques
Área de Processos
Negócio
• Diversas funções de gestão de riscos
acessando as áreas de negócios.
• Falta de uniformidade no reporte para a Alta
Administração.
• Atuação de diversos comitês.
29
Deloitte
• Minimiza questionamentos às áreas de negócios devido ao
alinhamento prévio.
• Reportes na mesma linguagem, usando a mesma escala de
avaliação.
• Comunicação entre as áreas antes da emissão dos relatórios para
a Alta Administração e Comitê de Auditoria.
© 2010 Deloitte Touche Tohmatsu
Modelos para ERM
Modelos de reporte da área de Gestão de Riscos
o
mpl
e
x
E
MODELO DE COORDENAÇÃO
Coordenação do processo por meio de metodologia comum para Gestão de Riscos, porém tratamento
ocorre de forma descentralizada por várias áreas na Companhia.
Solicitações Coordenadas
de Informações
Coordenação de Gestão de Riscos
Auditoria Interna
30
Deloitte
Área Geográfica 3
Área Geográfica 2
Área Geográfica 1
Comitê de Auditoria
Gestão de Riscos / ERM
CoordenaçãoCompliance
ERM
Gestão Executiva
SOX
Continuidade do Negócio/Gestão
de Crise
Partilha de Informações
Coordenada
© 2010 Deloitte Touche Tohmatsu
Modelos para ERM
Modelos de reporte da área de Gestão de Riscos
o
mpl
e
x
E
MODELO DE COMITÊ
Um Comitê e estrutura de riscos única para uma maior consistência da análise e do reporte dos riscos.
Processo e Infraestrutura de Gestão de Riscos descentralizadas para manter a autonomia das áreas de negócio.
Comitê de Auditoria
Auditoria Interna
Gestão de Risco
Segurança de TI
Comitê de Risco
Empresarial
Conselho Administrativo
Processos
Compliance
Gestão Executiva
Áreas de Negócio
31
Deloitte
© 2010 Deloitte Touche Tohmatsu
Modelos para ERM
Modelos de reporte da área de Gestão de Riscos
o
mpl
e
x
E
MODELO CRO
Estrutura de reporte de riscos centralizada; estratégia de risco e reporte ao Conselho conduzidos de
forma centralizada; processo e estrutura para avaliação de riscos são utilizadas por toda a organização.
Área Geográfica 3
Área Geográfica 2
Área Geográfica 1
ERM
Deloitte
Comitê de Auditoria
Segurança de Dados
Compliance Corporativa
Risco de Crédito
Risco Operacional
32
Auditoria
Interna
Chief Risk
Officer
CEO
© 2010 Deloitte Touche Tohmatsu
Papéis e
Responsabilidades no
processo de ERM
Papéis e Responsabilidades no processo de ERM
o
mpl
e
x
E
ÁREAS DE NEGÓCIO
ALTA
ADMINISTRAÇÃO
RISK SPONSOR
COMITÊ DE RISCOS
AUDITORIA INTERNA
CONTROLES INTERNOS
Toma e Gerencia
Riscos
Aprova
Supervisiona
Monitora e Aprova
Valida
Agrega e Consolida
•
Assumir os riscos
conforme os limites de
tolerância definidos.
•
Contribuir para o
processo de avaliação
de Riscos (Self
Assessment)
•
Implementar as ações
mitigantes
•
Garantir a
conformidade das
operações e
estratégia de ERM
•
•
Monitorar as
operações e tomada
de decisões
Priorizar as ações e
investimentos
considerando os
riscos identificados
34
Deloitte
•
•
•
Aprovar os limites de
exposição a risco em
linha com a
estratégia de
negócio.
Designar os Risk
Sponsors
Fornecer o
emporwerment e
aprovar os recursos
necessários
•
Identificar as áreas
de negócio
envolvidas
•
Auxiliar na avaliação dos
riscos de negócio
•
Aprovar as metodologias
de gestão dos riscos
•
Monitorar os riscos
•
Definir as ações
mitigantes
•
Auxiliar na definição das
ações mitigantes
•
Buscar os recursos
necessários para
mitigar os riscos
•
Acompanhar a
implementação das
ações mitigantes e
monitorar os riscos.
•
Assegurar a
implementação das
ações mitigantes
•
Aprovar os planos de
ação e divulgar os
resultados
•
•
Priorizar os riscos no
plano de auditoria com
base no Risk
Assessment
Realizar trabalhos de
revisão de aspectos
operacionais,
financeiros, estratégicos
e regulamentares
•
Certificar controles e
ações implementadas
•
Comunicar novos riscos
identificados ao Comitê
de Riscos
•
Fornecer uma avaliação
independente do
ambiente de controles
internos
•
Auxiliar a organização a
melhorar seu ambiente
de controles
•
Coordenar o Comitê de
Riscos
•
Propor metodologias para
avaliação e
acompanhamento dos
riscos
•
Consolidar os riscos e
ações mitigantes e
comunicar/ reportar os
resultados à Alta
Administração
•
Conduzir processos de
identificação e avaliação
dos riscos junto às áreas
de negócio.
•
Coordenar as melhorias
de processos necessárias
para mitigar os riscos
•
Documentar e avaliar o
desenho dos processos
de negócio quanto a
exposição aos riscos
© 2010 Deloitte Touche Tohmatsu
Novos padrões de
mercado para ERM
© 2010 Deloitte Touche Tohmatsu
Novos padrões de mercado para ERM
Standard&Poors – Principais questões analisadas
A partir do terceiro trimestre de 2008 a Standard & Poor's começou a considerar o ERM em seus
critérios de ratings também para as empresas não-financeiras.
• Quais são os principais riscos da Organização? Qual o impacto dos mesmos e a sua
probabilidade de ocorrência?
• Com que periodicidade a lista dos riscos prioritários é atualizada? O que os gestores estão
fazendo para gerenciar estes riscos?
• Qual o tamanho do prejuízo operacional ou do impacto negativo no caixa que a Alta
Administração entende como tolerável para ser reportado trimestralmente?
• Onde está posicionada a estrutura de ERM no organograma?
• Como é medido o sucesso das atividades de ERM?
• Como a ocorrência de um risco prioritário afeta a remuneração variável da Alta Administração
e o processo de planejamento e orçamento?
• O que foi discutido sobre gerenciamento de riscos nas reuniões da Alta Administração ou dos
Comitês, quando decisões estratégicas foram tomadas no passado?
• Exemplifique como sua Organização respondeu a uma mudança inesperada ocorrida
recentemente no seu setor de atuação. Como essa “surpresa” afetou sua Organização de
forma diferente das outras?
Fonte: Standard&Poors Progress Report: Integrating ERM Analysis Into Corporate Credit Ratings (julho de 2009)
36
Deloitte
© 2010 Deloitte Touche Tohmatsu
Novos padrões de mercado para ERM
Standard&Poors – Conclusões preliminares
• Poucas empresas apresentaram definições claras de apetite e tolerância aos riscos, o que dificulta
assegurar um comportamento uniforme de ERM por toda a empresa.
• Muitas empresas possuem uma gestão ativa dos riscos, revisando continuamente tanto a lista
dos riscos prioritários quanto a avaliação da sua exposição (impacto e probabilidade).
• A gestão de riscos é realizada principalmente em silos, com maior dedicação da gerência
operacional.
• Aparentemente existe uma relação entre confiança da empresa na gestão de riscos e transparência,
existindo interesse e capacidade das empresas em divulgar detalhes sobre suas melhores
práticas.
• Organizações com uma abordagem verdadeiramente abrangente de ERM entendem a necessidade
de não se limitar aos riscos quantificáveis ou aos 10 riscos prioritários, reconhecendo cada vez mais
a importância dos novos riscos.
• A gestão de riscos é normalmente realizada por áreas segregadas, com funções e responsabilidades
claramente definidas. A área de gestão de riscos tipicamente se reporta para o CFO ou CEO,
mantendo comunicação direta tanto com a Diretoria quanto com o Comitê de Auditoria. Entretanto
existem inúmeros casos onde a gestão de riscos tem pouca importância na hierarquia /
influência nas decisões.
• Nos setores onde os riscos são quantificáveis e gerenciáveis as empresas discutem a gestão de
riscos com mais segurança, mas tendem a focar somente em controles para esses riscos específicos.
• Poucas empresas estão reconhecendo as vantagens competitivas de aprimorar a gestão de riscos.
O foco ainda é maior para evitar os riscos do que para aproveitar as oportunidades associadas.
Fonte: Standard&Poors Progress Report: Integrating ERM Analysis Into Corporate Credit Ratings (julho de 2009)
37
Deloitte
© 2010 Deloitte Touche Tohmatsu
Novos padrões de mercado para ERM
Standard&Poors – Estágio de Maturidade
S&P ERM Scoring
INICIAL
Inexistência de Controles
Falta de controles para um ou mais riscos importantes. Capacidade limitada para identificar, mensurar e
gerenciar o grau de exposição aos riscos de forma a minimizar perdas.
Perdas Generalizadas
Execução esporádica do processo de ERM, resultando na ocorrência de eventos acima dos limites de
exposição/perda predeterminados.
ERM não é foco
O gerenciamento dos riscos é pouco considerado no julgamento corporativo.
ADEQUADO
Gestão de riscos
por silos
Gerenciamento de riscos por “silos”, mas com o controle completo dos processos. Capacidade
estabelecida para identificar, mensurar e gerenciar os riscos mais importantes e as perdas observadas.
Limites pouco desenvolvidos
Diretrizes para tolerância à perdas /riscos pouco desenvolvidas, sendo observada a ocorrência de perdas
inesperadas, especialmente em áreas fora do âmbito das práticas de ERM.
ERM está implantado
O gerenciamento dos riscos está incorporado no processo decisório.
AVANÇADO
Controle abrangente de perdas
Toda a empresa visualiza os riscos, mas ainda com foco no controle de perdas. Existem processos de
controle dos maiores riscos.
Perdas dentro da tolerância
Capacidade de consistentemente identificar, mensurar e gerenciar a exposição aos riscos. Perdas acima
dos níveis de tolerância ocorrem com pouca freqüência, mesmo em tempos adversos.
ERM é importante
O gerenciamento dos riscos é considerado importante no julgamento corporativo.
EXCELÊNCIA
Risco x Retorno
Todas as características do estágio Avançado, incorporando a avaliação da relação risco x retorno.
Perdas altamente improváveis
Capacidades muito bem desenvolvidas para identificar, mensurar e gerenciar a exposição aos riscos.
Perdas acima dos níveis de tolerância são altamente improváveis.
ERM é muito importante
O gerenciamento dos riscos é considerado como muito importante para o julgamento corporativo.
Fonte: Standard&Poors Progress Report: Integrating ERM Analysis Into Corporate Credit Ratings (julho de 2009)
38
Deloitte
© 2010 Deloitte Touche Tohmatsu
Novos padrões de mercado para ERM
ISO 31.000
Estabelecida pela ABNT, define um conjunto de princípios que devem ser endereçados para que as
organizações desenvolvam, implementem e melhorem continuamente o processo de ERM. Recomenda o
alinhamento entre governança corporativa, estratégia e planejamento, acompanhamento, reporte de
informações e de resultados, políticas, valores e cultura em toda a organização.
Os princípios estabelecidos para ERM são:
• Criar e proteger valor.
• Integrar-se em todos os processos organizacionais.
• Incorporar-se na tomada de decisões.
• Abordar explicitamente a incerteza.
• Ter uma abordagem sistemática, estruturada e tempestiva.
• Basear-se nas melhores informações disponíveis.
• Alinhar-se com o contexto interno e externo da organização.
• Considerar fatores humanos e culturais.
• Envolver todas as partes interessadas.
• Manter interação e dinamismo para reagir a mudanças.
• Facilitar a melhoria contínua da organização.
Fonte: Projeto ABNT 63:000.01-001 - Gestão de Riscos – Princípios e Diretrizes – divulgado em 17/09/2009
39
Deloitte
© 2010 Deloitte Touche Tohmatsu
Abordagem
Modelo de
Classificação de
Processos - MCP
©2010 Deloitte Touche Tohmatsu
©2007 Deloitte Touche Tohmatsu
Processos
Operacionais
Modelo de Classificação de Processos
Comercial
Obras / Contratos
Serviços Especializados
Suprimentos
Processos de
Suporte
Recursos Humanos
Financeiro (Tesouraria, Contas a Pagar e Contas a Receber)
Tecnologia da Informação
Ativo Imobilizado
Controladoria (Relatórios Financeiros, Contábeis e Gerenciais)
Jurídico
Fiscal
Qualidade, Segurança, Meio Ambiente, Saúde, e Responsabilidade Social (QSMSRS)
©2010 Deloitte Touche Tohmatsu
©2007 Deloitte Touche Tohmatsu
Linguagem Comum
de Riscos - LCR
©2010 Deloitte Touche Tohmatsu
©2007 Deloitte Touche Tohmatsu
Gestão Riscos
Definição e Abrangência da Gestão de Riscos Corporativos
ESTRATÉGICO
Governança
Político e
Econômico
Modelo de Negócios
Aderência às
regras
Comunicação e
divulgação
Relacionamento
com acionista
Concorrência e
mercado
Estrutura
organizacional
Fusão e aquisição
Inovação
tecnológica
Mudança
governamental
Incentivo de
desempenho
Reputação e
imagem
Responsabilidade social
Planejamento e
orçamento
Continuidade de
negócios
Gestão de
conhecimento
Satisfação do
cliente
Cenário econômico
Sucessão
Conduta anti-ética
/ Fraude
Desenvolv. de
produtos / serviços
Investimento e
projetos
Marcas e patentes
Indicadores de
performance e
riscos
Política pública
FINANCEIRO
OPERACIONAL
REGULAMENTAR
Pessoal
Informação e
Tecnologia
Meio Ambiente
Regulamentação
Obrigação
contratual
Capacitação
Acesso e
confidencialidade
Resíduos,
efluentes e
Emissões
Contábil e
financeira
Capacidade
operacional
Terceirização e
parceria
Dependência de
pessoal
Credibilidade
Recursos
naturais
Legal
Efetividade e
eficiência
Perda e/ou
obsolescência
Limite de
autoridade
Disponibilidade
Saúde e
segurança
Trabalhista
Taxa de juros
Falha de
produto /
serviço
Segurança
patrimonial
Retenção de
talentos
Integridade
Participações
Fornecimento
Práticas
comerciais
Crédito
Mercado
Liquidez
Processo
Concentração
Câmbio
Custo de
oportunidade
Canal de
distribuição
Garantia
Commodities
Disponibilidade
de capital
Inadimplência
Derivativos
Fluxo de caixa
Tributário / Fiscal
Civil
Ambiental
44
Análise Geral de
Riscos
©2010 Deloitte Touche Tohmatsu
©2007 Deloitte Touche Tohmatsu
Análise Geral de Riscos
Passos para avaliação
•
Identificação do Risco (descrição e classificação).
•
Análise da origem.
•
Avaliação do Impacto.
•
Discussão de controles existentes/inexistentes.
•
Avaliação da probabilidade.
•
Determinação do nível de risco.
•
Identificação do responsável pelo risco.
©2007 Deloitte Touche Tohmatsu
Análise Geral de Riscos
Passos para avaliação
• Identificação do Risco
– O que pode dar errado?
– Em que processos/áreas?
– Qual a complexidade e volume das operações?
– Em que situação o risco pode ocorrer?
– Existem outros aspectos a serem considerados?
• Histórico do risco (apenas como informação. O passado não é parâmetro para o
futuro - Ex.: Case IBM)
– Durante os últimos 12-18 meses, o risco se materializou?
– Com que freqüência isso ocorreu?
– Que tipo de perda foi verificada?
– Qual a magnitude aproximada?
©2007 Deloitte Touche Tohmatsu
Análise Geral de Riscos
Escala para avaliação Empresa A
Impacto
Grau
Interrupção do processo
Catastrófica
gerando impactos
irreversíveis de diversas
naturezas (Financeira,
Imagem, Legal)
Interrupção do processo
Crítica
gerando impactos
significativos na instituição,
porém passíveis de
recuperação.
Degradação na operação
Moderada
do processo causando
pequenos impactos para a
instituição.
Degradação na operação
Baixa
do processo causando
mínimos impactos para a
instituição.
Vulnerabilidade
Grau
Evento extraordinário para os padrões conhecidos
de gestão e operação do processo. O histórico
desses eventos nem sempre é disponível, embora
possa assumir dimensão estratégica para a
manutenção do processo e/ou negócio.
Eventos casual, eventual, as vezes inesperado,
mas com histórico normalmente de conhecimento
dos gestores dos processos e dos operadores
mais experientes.
Incomum
Evento usual, normalmente encarado de modo
natural devido a sua habitualidade, chamado
também de corriqueiro. São eventos de amplo
conhecimento dos envolvidos no processo.
Evento que se reproduz muitas vezes, que se
repete seguidamente, de maneira assídua,
numerosa e não raro de modo acelerado.
Interferem de modo claro no ritmo das atividades,
de modo a se tornarem evidentes mesmo para os
que conhecem pouco o processo.
Ocasional
Comum
Freqüente
©2007 Deloitte Touche Tohmatsu
Análise Geral de Riscos
Escala para avaliação Empresa B
Impacto
Grau
Perdas e/ou fatos que afetem
Máximo
profundamente o patrimônio e a
reputação da Organização, podendo
levá-la a situações irreversíveis.
Perdas que acarretem acentuado
Alto
declínio da lucratividade e/ou fatos que
produzam desgastes marcantes à
imagem da Organização, porém
contornáveis.
Perdas setorizadas que afetem
Moderado
moderadamente a rentabilidade de
determinados produtos e/ou fatos que
comprometam de forma passageira a
imagem da Organização.
Pequenas perdas setorizadas e/ou fatos
Baixo
que não afetam a imagem da
Organização.
Perdas irrelevantes e/ou fatos que não
guardam qualquer relação com a
imagem da Organização.
Mínimo
Vulnerabilidade
Grau
A possibilidade do evento ocorrer
é muito grande
Máximo
A possibilidade do evento ocorrer
é grande.
Alto
O evento poderá ocorrer
eventualmente.
Moderado
A possibilidade do evento ocorrer
é pequena.
Baixo
A possibilidade do evento ocorrer
é muito pequena.
Mínimo
©2007 Deloitte Touche Tohmatsu
Análise Geral de Riscos
Escala para avaliação DTT – Sugestão Qualitativa
Grau
Alto
(7,8,9)
Médio
(4,5,6)
Baixo
(1,2,3)
Impacto
• Perdas financeiras significativas.
• Perda de clientes ou de um grande número
de transações.
• Pagamento de multas elevadas ou
penalidades severas.
• Perda de grandes oportunidades de
negócio.
• Perdas financeiras consideráveis.
• Insatisfação de clientes podendo resultar
em perda de transações.
• Pagamentos de multas ou outras
penalidades.
• Perda de oportunidades de negócio.
• Descumprimento de procedimentos
internos, leis e regulamentações.
• Perdas financeiras imateriais.
• Insatisfação de clientes.
• Pagamentos de multas ou outras
penalidades.
Vulnerabilidade
• Pouca ou nenhuma atividade de monitorização.
• Baixo grau de formalização dos procedimentos.
• Alto volume de operações, com histórico
conhecido (pela área e/ou auditoria) de muitas
ocorrências do risco.
• Pouca atividade de monitorização.
• Procedimentos formalizados, porém não muito
específicos.
• Médio volume de operações.
• Histórico conhecido (pela área e/ou auditoria)
de ocorrências do risco.
• Estrutura de controles internos eficiente, com
procedimentos formalizados e monitorização
contínua.
• Baixo volume de operações.
• Histórico conhecido (pela área e/ou auditoria)
de poucas de ocorrências ou não materialização
do risco.
©2007 Deloitte Touche Tohmatsu
Análise Geral de Riscos
Escala para avaliação DTT – Impacto – Sugestão Numérica
Grau
Alto
(7,8,9)
Médio
(4,5,6)
Baixo
(1,2,3)
(A)
Impacto (Qualitativo)
• Perdas financeiras significativas.
• Perda de clientes ou de um grande número de
transações.
• Pagamento de multas elevadas ou penalidades
severas.
• Perda de grandes oportunidades de negócio.
• Perdas financeiras consideráveis.
• Insatisfação de clientes podendo resultar em
perda de transações.
• Pagamentos de multas ou outras penalidades.
• Perda de oportunidades de negócio.
• Descumprimento de procedimentos internos,
leis e regulamentações.
• Perdas financeiras imateriais.
• Insatisfação de clientes.
• Pagamentos de multas ou outras penalidades.
Valores R$ (A)
9. Mais de 60%
8. De 40% a 60%
7. De 20% a 40%
6. De 15% a 20%
5. De 10% a 15%
4. De 05% a 10%
3. De 2,5% a 5%
2. De 1% a 2,5%
1. Menos de 1%
Percentuais a serem calculados da receita/ despesas/ resultado anual ou total de ativos da organização.
©2007 Deloitte Touche Tohmatsu
Análise Geral de Riscos
Escala para avaliação DTT – Probabilidade – Sugestão Numérica
Grau
Alto
(7,8,9)
Médio
(4,5,6)
Baixo
(1,2,3)
Probabilidade
Número de Ocorrências
• Pouca ou nenhuma atividade de monitorização.
• Baixo grau de formalização dos procedimentos.
• Alto volume de operações, com histórico
conhecido (pela área e/ou auditoria) de muitas
ocorrências do risco.
9. Mais de 1 vez por dia
8. De 1 vez por semana a
1 vez por dia
7. De 1 vez por quinzena a
1 vez por semana
• Pouca atividade de monitorização.
• Procedimentos formalizados, porém não muito
específicos.
• Médio volume de operações.
• Histórico conhecido (pela área e/ou auditoria) de
ocorrências do risco.
6. De 1 vez por mês a
1 vez por quinzena
5. De 1 vez por trimestre a
1 vez por mês
4. De 1 vez por semestre a
1 vez por trimestre
• Estrutura de controles internos eficiente, com
procedimentos formalizados e monitorização
contínua.
• Baixo volume de operações.
• Histórico conhecido (pela área e/ou auditoria) de
poucas ou inexistência de ocorrências do risco
3. De 1 vez por ano a
1 vez por semestre
2. De 1 vez em 3 anos a
1 vez por ano
1. Menos de 1 vez em 3 anos
©2007 Deloitte Touche Tohmatsu
Análise Geral de Riscos
Priorização dos Riscos
ESTRATÉGICO
Governança
Político e
Econômico
Modelo de Negócios
Aderência às
regras
Comunicação e
divulgação
Relacionamento
com acionista
Concorrência e
mercado
Estrutura
organizacional
Fusão e aquisição
Inovação
tecnológica
Mudança
governamental
Incentivo de
desempenho
Reputação e
imagem
Responsabilidade social
Planejamento e
orçamento
Continuidade de
negócios
Gestão de
conhecimento
Satisfação do
cliente
Cenário econômico
Sucessão
Conduta anti-ética
/ Fraude
Desenvolv. de
produtos / serviços
Investimento e
projetos
Marcas e patentes
Indicadores de
performance e
riscos
Política pública
FINANCEIRO
OPERACIONAL
REGULAMENTAR
Pessoal
Informação e
Tecnologia
Meio Ambiente
Regulamentação
Obrigação
contratual
Capacitação
Acesso e
confidencialidade
Resíduos,
efluentes e
Emissões
Contábil e
financeira
Capacidade
operacional
Terceirização e
parceria
Dependência de
pessoal
Credibilidade
Recursos
naturais
Legal
Efetividade e
eficiência
Perda e/ou
obsolescência
Limite de
autoridade
Disponibilidade
Saúde e
segurança
Trabalhista
Taxa de juros
Falha de
produto /
serviço
Segurança
patrimonial
Retenção de
talentos
Integridade
Participações
Fornecimento
Práticas
comerciais
Crédito
Mercado
Liquidez
Processo
Concentração
Câmbio
Custo de
oportunidade
Canal de
distribuição
Garantia
Commodities
Disponibilidade
de capital
Inadimplência
Derivativos
Fluxo de caixa
Tributário / Fiscal
Civil
Ambiental
53
Avaliação Geral de Riscos
Mapa de Riscos
Relação com
Acionistas
Alto
Concentração
Ambiental
Médio
Reputação e
Imagem
Planejamento
e orçamento
Capacitação
SMS
Práticas
Comercial
Disponibilidad
e
Dependência
de Pessoal
Aderência
às Regras
Satisfação
do Cliente
Concorrência
e
Mercado
Baixo
Impacto
Tributário/
Fiscal
Retenção de
talentos
Acesso e
confidencialid
ade
Integridade
Limite de
Autoridade
Trabalhista
Obrigação
Contratual
Segurança
Patrimonial
Inovação
Tecnológica
Inadimplência
Câmbio
Taxa de
Juros
Conduta Antiética /
Fraude
Gestão de
Obras e
Projetos
Planejamento
estratégico
Parceria e
Terceirização
Incentivo e
desempenho
Perda e
Obsolescênci
Fornecimento
a
Comunicação
e
Divulgação
Fluxo de
Caixa
Garantia
Legal
Baixa
Informação
Contábil
e Financeira
Sucessão
Média
Alta
Vulnerabilidade
Risco Estratégico
Risco Operacional
Risco Financeiro
Risco Regulamentar
©2007 Deloitte Touche Tohmatsu
Análise Geral de Riscos
Definição e Abrangência da Gestão de Riscos Corporativos
Risco inerente
ao modelo de
administração
ou às
operações
normais
Sim
Reter
Manter o risco,
planejado
conforme o grau
de tolerância
Aceitar
Reduzir
Controlar ou
diversificar o risco
Rejeitar
Transferir
Requer que
alguém esteja
disposto e tenha
capacidade
financeira para
correr o risco
Não
Fora da estratégia
Retornos não
compensam os riscos
Explorar
Pode aumentar o
grau de exposição
na medida em
que possibilita
vantagens
Evitar
Qualquer ação
que elimine
totalmente a
fonte de um risco
específico
Análise Geral de Riscos
Definição e Abrangência da Gestão de Riscos Corporativos
1
Certificar
CERTIFICAR
Mitigar
Impacto
(Risco Inerente)
Risco pode causar
perdas acima da
tolerância
R$
Otimizar
Acompanhar
Vulnerabilidade
(Risco Residual)
Risco possui
mecanismos
suficientes para
sua mitigação
ESTRATÉGIA:
Testar
periodicamente os
controles de
Mitigação para
certificar sua
eficácia
Análise Geral de Riscos
Definição e Abrangência da Gestão de Riscos Corporativos
1
Certificar
Impacto
(Risco Inerente)
Mitigar
Risco não deve
causar perdas
acima da
tolerância
R$
OTIMIZAR
Otimizar
Acompanhar
Vulnerabilidade
(Risco Residual)
Risco possui
mecanismos
suficientes para
sua mitigação
ESTRATÉGIA:
Reavaliar
mecanismos para
mitigação do risco
e identificar
excessos de
controles
Análise Geral de Riscos
Definição e Abrangência da Gestão de Riscos Corporativos
Impacto
(Risco Inerente)
Certificar
Risco não deve
causar perdas
acima da
tolerância
Mitigar
R$
1
Otimizar
ACOMPANHAR
Acompanhar
Vulnerabilidade
(Risco Residual)
Risco não possui
mecanismos
suficientes para
sua mitigação
ESTRATÉGIA:
Acompanhar o risco
verificando se as
possíveis perdas
não aumentam em
decorrência de
novos cenários
Análise Geral de Riscos
Definição e Abrangência da Gestão de Riscos Corporativos
1
Certificar
Impacto
(Risco Inerente)
Mitigar
MITIGAR
Risco pode causar
perdas acima da
tolerância
R$
Otimizar
Acompanhar
Vulnerabilidade
(Risco Residual)
Risco não possui
controles
suficientes para
sua mitigação
ESTRATÉGIA:
Desenhar e
implementar plano
de ação para
mitigar o risco
Análise Geral de Riscos
Análise dos riscos por processo
ESTRATÉGICO
Governança
Modelo de Negócios
Político e Econômico
Aderência às regras
Comunicação e
divulgação
Relacionamento com
acionista
Concorrência e
mercado
Estrutura
organizacional
Fusão e aquisição
Inovação tecnológica
Mudança governamental
Incentivo de
desempenho
Reputação e imagem
Planejamento
Estratégico
Planejamento e
orçamento
Continuidade de
negócios
Gestão de
conhecimento
Satisfação do cliente
Cenário econômico
Sucessão
Conduta anti-ética /
Fraude
Desenvolv. de
produtos / serviços
Investimento e
projetos
Marcas e patentes
Indicadores de
performance e riscos
FINANCEIRO
OPERACIONAL
Política pública
REGULAMENTAR
Mercado
Liquidez
Pessoal
Informação e
Tecnologia
Meio Ambiente
Regulamentação
Concentração
Câmbio
Custo de
oportunidade
Gestão de
Projetos/Obras
Obrigação
contratual
Capacitação
Acesso e
confidenciali-dade
Resíduos,
efluentes e
Emissões
Contábil e financeira
Garantia
Commodities
Disponibilidade de
capital
Capacidade
operacional
Terceirização e
parceria
Dependência de
pessoal
Credibilidade
Recursos naturais
Legal / Civil
Inadimplência
Derivativos
Fluxo de caixa
Efetividade e
eficiência
Perda e/ou
obsolescência
Limite de
autoridade
Disponibilidade
Saúde e
segurança
Taxa de juros
Falha de produto /
serviço
Segurança
patrimonial
Retenção de
talentos
Integridade
Participações
Fornecimento
Práticas
comerciais
Crédito
Processo
Trabalhista
Tributário / Fiscal
Ambiental
Categoria do Risco:
60
Definição do
Risco:
Descrição dos
principais eventos
que podem
influenciar o
atingimento dos
objetivos de
negócio.
Classificação dos riscos
identificados nos processos, de
acordo com a Linguagem
Comum de Riscos - LCR.
Percepção do Risco por
Processo:
Avaliação preliminar no risco
com base nas entrevistas
realizadas com os executivos.
Agravantes do Risco:
Características específicas da
Companhia que potencializam
a materialização do risco.
© 2010 Deloitte Touche Tohmatsu. Todos os direitos reservados.
Atenuantes do Risco:
Características específicas da
Companhia que amenizam a
materialização do risco
60
Análise Geral de Riscos
Análise dos riscos por processo
OPERACIONAL
Terceirização e Parceria
Empresas terceirizadas não atuarem em conformidade com a legislação em vigor,
os valores, os objetivos e os limites de autoridade definidos pela Companhia ou
tornarem-se concorrentes devido à terceirização de processos estratégicos.
Avaliação do Risco por Processo
Suprimentos e Obras / Contratos
Agravantes do Risco
ALTO
Atenuantes do Risco
• Existe a necessidade de definir o papel e
responsabilidades do gestor de contrato. Várias pessoas
respondem pelo contrato.
• Utilização de um modelo padrão de contrato definido
pela Empresa.
• Percepção de que os contratos de terceiros são mal
gerenciados e que pode ocorrer perdas financeiras.
• Clientes realizam auditorias nos projetos e obras e
exigem que prestadores de serviços terceirizados da
Empresa siga as mesmas regras da Contratante.
• Histórico de pedido de compra complementar sem
aditivo.
• Tem um risco inerente de empresas locais pequenas em
que o Grupo opta por assumir o risco.
• O módulo de gestão de contratos encontra-se em
implantação.
• Contratações eventuais direto pelas obras a um custo
acima de mercado.
•
Existem causas trabalhistas de ex-funcionários de
empresas subcontratadas.
©2010 Deloitte Touche Tohmatsu
©2007 Deloitte Touche Tohmatsu
Análise Geral de Riscos
Matriz de Categorias de Riscos versus Processos
Recursos Humanos
Tecnologia da
Informação
Financeiro
Controladoria
Fiscal
Jurídico
Ativo Imobilizado
Qualidade,
Segurança, Meio
Ambiente, Saúde
Governança
Planejamento Estratégico
Alto
Alto
Alto
Sucessão
Alto
Alto
Alto
Relacionamento com acionista
Médio
Médio
Médio
Aderência às Regras
Médio
Médio
Médio
C omunicação e divulgação
Médio
Médio
Médio
Incentivo de desempenho
Alto
Alto
Alto
C onduta anti-ética / Fraude
Alto
Alto
Alto
Reputação e Imagem
Baixo
Baixo
Baixo
Modelo de Negócios
C oncorrência e Mercado
Baixo
Baixo
Baixo
Planejamento e Orçamento
Baixo
Médio
Médio
Inovação Tecnológica
Baixo
Baixo
Satisfação do cliente
Médio
Riscos Financeiros
C oncentração
Baixo
Inadimplência
Garantia
Baixo
Taxa de Juros
Fluxo de C aixa (liquidez)
C âmbio
Riscos Operacionais – Processos
Gestão de Projetos/ Obras
Alto
Alto
Fornecimento
Médio
Médio
Obrigação contratual
Médio
Terceirização e parceria
Alto
Perda e/ou obsolescência
Médio
Segurança patrimonial
Médio
Práticas C omerciais
Baixo
Riscos Operacionais – Pessoas
C apacitação
Médio
Dependência de pessoal
Alto
Alto
Alto
Limite de autoridade
Médio
Retenção de talentos
Médio
Médio
Médio
Riscos Operacionais – TI
Acesso e confidencialidade
Alto
Alto
Alto
Disponibilidade
Alto
Alto
Alto
Integridade
Alto
Alto
Alto
Meio Ambiente
Meio Ambiente, Saúde e Segurança
Baixo
Baixo
Regulamentar
C ontábil e financeiro
Trabalhista
Médio
Médio
Médio
Tributário / Fiscal
Alto
C ivel /Legal
Baixo
Ambiental
Baixo
Baixo
Baixo
Avaliação dos riscos do processo
MédioTouche
AltoTohmatsu
Alto
©2008 Deloitte
Processos de Suporte
Suprimentos
Serviços
Especializados
Obras/Contratos
Categorias de Risco
Comercial
Processos Operacionais
Alto
Alto
Médio
Médio
Médio
Alto
Alto
Baixo
Alto
Alto
Médio
Médio
Médio
Alto
Alto
Baixo
Alto
Alto
Médio
Médio
Médio
Alto
Alto
Baixo
Alto
Alto
Médio
Médio
Médio
Alto
Alto
Baixo
Alto
Alto
Médio
Médio
Médio
Alto
Alto
Baixo
Alto
Alto
Médio
Médio
Médio
Alto
Alto
Baixo
Alto
Alto
Médio
Médio
Médio
Alto
Alto
Baixo
Alto
Alto
Médio
Médio
Médio
Alto
Alto
Baixo
Alto
Alto
Médio
Médio
Médio
Alto
Alto
Baixo
Baixo
Baixo
Baixo
Avaliação
final do
risco
Baixo
Médio
Baixo
Médio
Baixo
Baixo
Baixo
Baixo
Médio
Baixo
Baixo
Baixo
Baixo
Baixo
Médio
Baixo
Baixo
Alto
Médio
Médio
Alto
Médio
Médio
Baixo
Alto
Médio
Médio
Alto
Médio
Médio
Médio
Alto
Médio
Médio
Alto
Alto
Alto
Médio
Alto
Alto
Médio
Alto
Alto
Alto
Médio
Médio
Alto
Alto
Alto
Alto
Alto
Médio
Alto
Médio
Médio
Médio
Médio
Médio
Médio
Médio
Médio
Alto
Médio
Médio
Alto
Alto
Alto
Alto
Alto
Alto
Alto
Alto
Alto
Alto
Alto
Alto
Alto
Alto
Alto
Alto
Alto
Alto
Alto
Alto
Alto
Alto
Alto
Alto
Baixo
Baixo
Baixo
Baixo
Alto
Alto
Alto
Alto
Alto
Médio
Médio
Médio
Alto
Alto
Baixo
Médio
Médio
Alto
Médio
Alto
Médio
Alto
Alto
Médio
Alto
Baixo
Baixo
Baixo
Médio
©2007
Médio
Alto
Médio
Alto
Baixo
Baixo
Deloitte Touche Tohmatsu
Análise Geral de Riscos
Processos
Operacionais
Resumo de Avaliação dos Processos
Comercial
Obras / Contratos
Serviços
Especializados
Suprimentos
Recursos Humanos
Processos de
Suporte
Financeiro (Tesouraria, Contas a Pagar e Contas a Receber)
Tecnologia da Informação
Ativo Imobilizado
Controladoria (Relatórios Financeiros, Contábeis e Gerenciais)
Jurídico
Fiscal
Qualidade, Segurança, Meio Ambiente, Saúde, e Responsabilidade Social (QSMSRS)
Comunicação e Marketing
© 2010 Deloitte Touche Tohmatsu. Todos os direitos reservados.
63
Plano Anual
de Auditoria
(2010)
© 2010 Deloitte Touche Tohmatsu. Todos os direitos reservados.
64
Plano Anual de Auditoria Interna (2010)
Cronograma Equipe e Horas
(*)
© 2010 Deloitte Touche Tohmatsu. Todos os direitos reservados.
65
Ferramentas
© 2010 Deloitte Touche Tohmatsu. Todos os direitos reservados.
66
Monitoramento Contínuo de Indicadores de Risco (KRI)
Visão complementar aos indicadores de performance
VISÃO ATRAVÉS DO KPI
(medição de performance)
67
VISAO ATRAVÉS DO KRI
(medição de ameaças)
• Acompanhamento do cumprimento
dos resultados esperados.
• Visibilidade do impacto de
eventos não esperados e
monitoramento de situações
indesejadas.
• Tomada de decisão para reação a
performances insuficientes.
• Tomada de decisão preventiva,
antes que o risco se materialize.
• Padronização das métricas para
avaliação de profissionais.
• Decisão sobre a relação risco e
retorno.
©2010 Deloitte Touche Tohmatsu.
Monitoramento Contínuo de Indicadores de Risco (KRI)
Implementando KRIs
1 Definindo os
KRIs
Análise Geral de Riscos
Revisões de processo
com foco em riscos e
controles
2.
Mapeamento
dos fontes de
informação
3. Extração de
Dados
4. Cálculo dos
Indicadores e
Repositório de
Dados
Extrator de Dados
Data Mining / BI
5. Dashboard Priorização
de
resultados
Sistema
1
Sistema
2
Sistema
Sistema
3
4
Definição das estratégias
de gestão dos riscos
mapeados
Avaliar o nível de
automação dos
processos relacionados
aos riscos identificados e
priorizados.
Sistema
5
Sistema
8
Definir os KRIs e os
agentes que o afetam
68
Repositório Único de
Dados
Sistema
6
Sistema
7
©2010 Deloitte Touche Tohmatsu.
Nossa Abordagem
Implementação da Estrutura e do Processo de Gerenciamento
Exemplos de painéis para monitorar os riscos
Papéis e Responsabilidades
Envolvimento da Alta Administração
Programa de ERM “Top Down”
Infraestrutura para Gestão de Riscos
Avaliação Periódica do Gestão de Riscos
Responsabilidade das Áreas de Negócio
69
Deloitte
Apoio das Áreas de Suporte
© 2010 Deloitte Touche Tohmatsu
9 Princípios para a construção de
Utilização de Padrões e Metodologias
Metodologia da
Inteligência em
Riscos
um processo de Inteligência em Risco
Definição e Entendimento dos Riscos
Nossa Abordagem
Implementação da Estrutura e do Processo de Gerenciamento
Exemplos de painéis para monitorar os riscos
Papéis e Responsabilidades
Envolvimento da Alta Administração
Programa de ERM “Top Down”
Infraestrutura para Gestão de Riscos
Avaliação Periódica do Gestão de Riscos
Responsabilidade das Áreas de Negócio
70
Deloitte
Apoio das Áreas de Suporte
© 2010 Deloitte Touche Tohmatsu
9 Princípios para a construção de
Utilização de Padrões e Metodologias
Metodologia da
Inteligência em
Riscos
um processo de Inteligência em Risco
Definição e Entendimento dos Riscos
Nossa Abordagem
Implementação da Estrutura e do Processo de Gerenciamento
Exemplos de painéis para monitorar os riscos
Papéis e Responsabilidades
Envolvimento da Alta Administração
Programa de ERM “Top Down”
Infraestrutura para Gestão de Riscos
Avaliação Periódica do Gestão de Riscos
Responsabilidade das Áreas de Negócio
71
Deloitte
Painel de Indicadores
Indicador de Riscos
Painel de Indicadores
Indicador de Riscos
Apoio das Áreas de Suporte
© 2010 Deloitte Touche Tohmatsu
9 Princípios para a construção de
Utilização de Padrões e Metodologias
Metodologia da
Inteligência em
Riscos
um processo de Inteligência em Risco
Definição e Entendimento dos Riscos
Benefícios
© 2010 Deloitte Touche Tohmatsu
Benefícios decorrentes da implantação
• Postura preventiva e tempestiva na identificação de riscos relevantes e na
antecipação de eventos;
• Evita perdas de diversas naturezas (financeiras, operacionais, de imagem) por falhas
de controle e possibilita tomada de decisão com base em informações confiáveis e
fidedignas.
• Aprimoramento da estrutura de controles e gestão de riscos
• Evita perdas de diversas naturezas (financeiras, operacionais, de imagem) por falhas
de controle e possibilita tomada de decisão com base em informações confiáveis e
fidedignas.
• Preparar a empresa para períodos de expansão;
• Fortalece a estrutura de controles e facilita a implementação dos planos estratégicos
(expansão da abrangência geográfica, novas linhas de serviços, compra de outras
empresas, etc.).
• Aumentar o valor da sociedade;
• Fator diferenciador numa eventual negociação junto a investidores institucionais (evita
redução no “valuation” ou postergação da entrada do investidor).
• Facilitar seu acesso ao capital;
• Fornece maior credibilidade ao mercado, reduzindo o custo de captação junto aos
bancos, atraindo investidores, além de ser fator diferenciador numa eventual
negociação junto a investidores institucionais.
• Contribuir para a sua perenidade
• Continuidade dos negócios independente da permanência de pessoas chaves no
Comando;
73
©2010 Deloitte Touche Tohmatsu.
Considerações Finais
Informações Adicionais
www.deloitte.com
Ricardo Teixeira
Sócio
[email protected]
(071)-2103-9429
74
Deloitte
© 2010 Deloitte Touche Tohmatsu
A Deloitte oferece serviços nas áreas de Auditoria, Consultoria Tributária, Consultoria em Gestão de Riscos Empresariais, Corporate Finance, Consultoria Empresarial, Outsourcing, Consultoria em Capital
Humano e Consultoria Atuarial para clientes dos mais diversos setores. Com uma rede global de firmas-membro em mais de 140 países, a Deloitte reúne habilidades excepcionais e um profundo
conhecimento local para ajudar seus clientes a alcançar o melhor desempenho, qualquer que seja o seu segmento ou região de atuação.
Os 165 mil profissionais da Deloitte estão comprometidos a tornarem-se o padrão de excelência do mercado e estão unidos por uma cultura colaborativa, que encoraja a integridade, o comprometimento, a
força da diversidade e a geração de valor aos clientes. Eles vivenciam um ambiente de aprendizado contínuo, experiências desafiadoras e oportunidades de carreira enriquecedoras, dedicando-se ao
fortalecimento da responsabilidade corporativa, à conquista da confiança do público e à geração de impactos positivos em suas comunidades.
No Brasil, onde atua desde 1911, a Deloitte é uma das líderes de mercado e seus cerca de 4.000 profissionais são reconhecidos pela integridade, competência e habilidade em transformar seus
conhecimentos em soluções para seus clientes. Suas operações cobrem todo o território nacional, com escritórios em São Paulo, Belo Horizonte, Brasília, Campinas, Curitiba, Fortaleza, Joinville, Porto
Alegre, Rio de Janeiro, Recife e Salvador.
A Deloitte refere-se a uma ou mais Deloitte Touche Tohmatsu, uma verein (associação) estabelecida na Suíça, e sua rede de firmas-membro, sendo cada uma delas uma entidade independente e
legalmente separada. Acesse www.deloitte.com/about para a descrição detalhada da estrutura legal da Deloitte Touche Tohmatsu e de suas firmas-membro.