Como estabelecer Valores e Grau de relevância de Riscos de
Transcrição
Como estabelecer Valores e Grau de relevância de Riscos de
Como estabelecer Valores e Grau de relevância de Riscos de acordo com as Vulnerabilidades do Negócio Paulo Ayres CIA Gerente de Riscos e Auditoria Interna Grupo RBS Como estabelecer Valores e Grau de relevância de Riscos de acordo com as Vulnerabilidades do Negócio • Grupo RBS • Construindo a avaliação de riscos Mensurar e quantificar os riscos reduzindo a subjetividade desta avaliação Definir os critérios para identificação dos riscos e determinar as estratégias de controle Priorizar os riscos mais relevantes para o negócio, a probabilidade de impactos e as áreas mais suscetíveis • Autoavaliação de Controles (control self assessment) 6,8 MIL COLABORADORES PRESENTES EM 8 ESTADOS BRASILEIROS PLATAFORMA MULTIMÍDIA 21 EMISSORAS DE TV 25 EMISSORAS DE RÁDIO 8 JORNAIS 4 PORTAIS DE INTERNET 1 EMPRESA DE EVENTOS OPERAÇÃO MOBILE MARKETING OPERAÇÃO SEGMENTO RURAL OPERAÇÃO SEGMENTO JOVEM 1 EDITORA 1 GRAVADORA 1 EMPRESA DE LOGÍSTICA FUNDAÇÃO MAURÍCIO SIROTSKY SOBRINHO TELEVISÃO JORNAL Rede de 8 títulos diários RÁDIO Líder do segmento de jornalismo e esportes Maior audiência no público adulto classe AB Segmento popular Maior audiência relativa no Brasil: share 49,3% Maior rede de rádio jovem do sul do país 13 emissoras Foco no público jovem popular Líder das rádios FM no Rio Grande do Sul Segmento formador de opinião: público qualificado 5 emissoras Afiliação do Sistema Globo de Rádio Transmissão 24h de jornalismo em POA e FLOPS Rádio musical voltada ao regionalismo do Rio Grande do Sul DIGITAL ATUAÇÃO NACIONAL NO MUNDO DIGITAL Relembrando o que envolve o Gerenciamento de Riscos... É um processo de avaliação e gerenciamento Pessoas Processos de incertezas enfrentadas pelas Organizações (“riscos”), por meio de um enfoque estruturado de controles que alinha Estratégia estratégia, processos, pessoas, tecnologia e conhecimentos, objetivando a criação de valor. Tecnologia Conhecimento Mensuração e quantificação dos riscos Quais são nossas referências quando procuramos mensurar e quantificar riscos? Resposta: a área de Finanças. A ênfase é em métodos estatísticos, geralmente com base em dados históricos. • • • • • • • • • • Métodos estatísticos: Variância (desvio-padrão) dos retornos; Coeficiente de variação; Down side risk (semivariância) dos retornos dos títulos; Shortfall probability; Volatilidade; Duration; Valor de mercado; Value at Risk (V@R). Simulação: Monte Carlos; Stress Testing e análise de cenários. Mensuração e quantificação dos riscos Desafio: como mensurar e quantificar riscos sem bases históricas, dados inconfiáveis e em situações que modelos matemáticos são de difícil aplicação? Alguns exemplos de riscos: ► Compra realizada fora da melhor alternativa de mercado - preço. (Processo Compras) ► Incapacidade de processamento em situações emergenciais. (Processo TI) ► Multas ou sanções legais pelo não cumprimento da legislação vigente. (Processo Contabilidade) ►Multas ou sentenças judiciais desfavoráveis pelo descumprimento da legislação trabalhista. (Processo RH) Mensuração e quantificação dos riscos Estabelecer uma métrica padronizada e aceitável dentro da organização para casos em que houvesse a materialização do risco. Ou seja, definir qual será o IMPACTO. Classificação do Impacto Matriz de Riscos – Grupo RBS Mensuração e quantificação dos riscos Passo seguinte: analisar o processo e buscar dados ou referências que auxiliem na melhor mensuração possível do risco. Importante: sempre validar com o principal gestor do processo. RISCO: R.07 Compra realizada fora da melhor alternativa de mercado (preço). Aquisição de Matéria Prima PAPEL NACIONAL PAPEL ESTRANGEIRO TINTAS CHAPAS DE ALUMÍNIO PRODUTOS QUÍMICOS FILMES P/FOTOCOMPOSIÇÃO TINTA COR OUTROS MATERIAIS EMBALAGENS 17.366.545,09 39.245.189,27 1.011.772,57 3.511.398,42 658.216,14 733.248,97 4.301.687,20 588.258,17 1.109.447,05 68.517.406,74 Considerar no Cálculo? Sim Não Sim Sim Sim Sim Sim Sim Sim % Difer. estimada entre maior e menor cotação 5% 5% 5% 5% 5% 5% 10% 10% Cenários Melhor 16.498.217,84 39.245.189,27 961.183,94 3.335.828,50 625.305,33 696.586,52 4.086.602,84 529.432,35 998.502,35 66.968.492,80 Pior 17.366.545,09 39.245.189,27 1.011.772,57 3.511.398,42 658.216,14 733.248,97 4.301.687,20 588.258,17 1.109.447,05 68.517.406,74 Vlr de Compra Atual Permite retirar aquelas compras que a empresa julga ter um maior controle. Estimativa (pode ser alterado) Perda Máxima Estimada Grau de Confiabilidade (868.327,25) (50.588,63) (175.569,92) (32.910,81) (36.662,45) (215.084,36) (58.825,82) (110.944,71) 70% 70% 70% 70% 70% 70% 30% 30% (1.548.913,94) Perda Média Estimada (260.498,18) (15.176,59) (52.670,98) (9.873,24) (10.998,73) (64.525,31) (41.178,07) (77.661,29) (532.582,39) Estimativa % da probabilidade de obter a melhor alternativa de compra Considera a compra efetuada com o % estimado de redução (col. E) É a diferença entre a pior' e a 'melhor' compra. Perda líquida Estimada Matriz de Riscos – Grupo RBS R Critérios para identificação do risco 1. Estratégia 2. Mapeamento de processo e Identificação de riscos 6. Monitoramento (KRI and CSA) Gestão de Riscos 3. Avaliação do risco e teste do controle 5. Planos de Ação 4. Matriz de Riscos Critérios para identificação do risco Sistemática 1. Estratégia 2. Mapeamento de processo e Identificação de riscos 6. Monitoramento (KRI and CSA) Gestão de Riscos 3. Avaliação do risco e teste do controle 5. Planos de Ação 4. Matriz de Riscos Critérios para identificação do risco ● Mapeamento de Processo ● Exemplo: Processo Distribuição e Subprocesso Contratação e Gerenciamento de Terceiros Critérios para identificação do risco ● Identificação e teste de controles ● Exemplo: Processo Distribuição e Subprocesso Contratação e Gerenciamento de Terceiros Metodologia – Grupo RBS Durante o diagnóstico era necessário estabelecer uma métrica, baseada no Impacto e na Probabilidade, que orientasse o Grupo a estabelecer prioridades. Ou seja, definir priorização de ações e definição de estratégia a ser adotada com relação aos riscos do processo. Os riscos, após a avaliações de Impacto e Probabilidade foram inseridos na Matriz de Riscos. A localização de cada risco na Matriz evidencia o seu grau de exposição. Matriz de Riscos – Grupo RBS Classificação do Impacto Classificação de Probabilidade Critérios para Probabilidade (exemplo) Risco: Compras realizadas fora da melhor alternativa de mercado (preço). Elaboração da cotação, seleção, registro e arquivamento conforme solicitação de compras e critérios pré estabelecidos. Controle Avaliação do Controle Pontuação Características Controle Chave Não Efetivo 4 Tipo Manual 2 Ação Preventivo 1 Freqüência Por evento 6 TOTAL Classificação da Probabilidade 13 PROVÁVEL Matriz de Riscos – Grupo RBS R Impacto e Probabilidade (pós Plano de Ação) Probabilidade (pós Plano de Ação) Risco: Compras realizadas fora da melhor alternativa de mercado (preço). Elaboração da cotação, seleção, registro e arquivamento conforme solicitação de compras e critérios pré estabelecidos. Controle Avaliação do Controle Pontuação Características Controle Chave Efetivo (1) Tipo Manual 2 Ação Preventivo 1 Freqüência Por evento 6 TOTAL Classificação da Probabilidade 8 IMPROVÁVEL Impacto e Probabilidade (pós Plano de Ação) R Autoavaliação de Controle - CSA 1. Estratégia 2. Mapeamento de processo e Identificação de riscos 6. Monitoramento (KRI and CSA) Gestão de Riscos 3. Avaliação do risco e teste do controle 5. Planos de Ação 4. Matriz de Riscos Definições • Key Risk Indicator (Indicador chave de risco) Os KRI’s resultam da identificação dos principais riscos de cada processo e servem para dimensionar o grau de exposição. Através de um “painel” será possível acompanhar os riscos relevantes de um determinado processo, proporcionando ao gestor um monitoramento efetivo e contínuo. O conjunto de KRI’s é dinâmico e deverá ser atualizado regularmente. Definições • Control Self Assessment (Auto avaliação de controle) O CSA é uma rotina de acompanhamento da efetividade dos controles integrantes de cada um dos processos. Através deste procedimento o gestor terá a oportunidade de detectar, avaliar e agir sobre sua exposição aos riscos. É na execução do CSA que as dificuldades de mitigação dos riscos serão identificadas para serem adequadamente tratadas. Definições • Auditoria Interna A Auditoria Interna terá a responsabilidade de monitorar o grau de exposição ao risco indicado pelo KRI e, em conjunto com as áreas, elaborar o Plano de Ação. Em relação a aplicação do CSA, a Auditoria Interna fará os testes dos controles, visando a corroborar a percepção do gestor quanto a qualidade dos controles existentes em sua área. Quando o gestor do processo indicar necessidades de melhoria, a Auditoria Interna também terá a tarefa de elaborar e acompanhar a implementação do Plano de Ação. Exemplo de Aplicação de CSA (TI) 1 Gestor 2 Exemplo de Aplicação de CSA (TI) 1 Gestor 2 Exemplo de Aplicação de CSA (TI) 1 Gestor 2 Atualização da Avaliação de Riscos Objetivo: estimular o “dono do processo” a realizar uma avaliação completa dos riscos inerentes ao seu processo. R R R R R R Exemplo de perguntas de TI Visão geral da estrutura de CSA Processos Corporativos Unidades Tela do sistema de CSA Tela do sistema de CSA Tela do sistema de CSA Considerações Finais Gestão de Riscos é uma ferramenta de gestão e tem como grande desafio auxiliar a Administração a encontrar o ‘ponto de equilíbrio’ entre Custo versus Controle. Considerações Finais O gerenciamento de riscos é uma ferramenta de gestão, que melhora resultados e está ligado diretamente à cultura da organização e da correta visão do seu custo-benefício. Gerenciar riscos não deve ser encarado apenas como uma forma de proteger o valor esperado do acionista, mas pensar em como criar valor para o acionista. Considerações Finais Na definição de Impactos, envolva os principais responsáveis por processos na organização. Jamais pontue um grau de exposição do risco na Matriz, sem uma discussão prévia. Elabore o Control Self Assessment com perguntas objetivas e focadas nos principais riscos do processo. Procure alinhar as questões aos testes de auditoria. Considerações Finais Estabeleça indicadores chave de risco (KRI), baseado na Matriz de Risco. Esteja alinhado com a estratégia da organização, pois isso repercute na percepção de valor gerado pela área de Gestão de Riscos e Auditoria Interna. Paulo Ayres E-mail: [email protected] (51) 3218-6841