Como estabelecer Valores e Grau de relevância de Riscos de

Como estabelecer Valores e Grau de relevância
de Riscos de acordo com as Vulnerabilidades do
Negócio
Paulo Ayres
CIA
Gerente de Riscos e Auditoria Interna
Grupo RBS
Como estabelecer Valores e Grau de relevância de
Riscos de acordo com as Vulnerabilidades do Negócio
• Grupo RBS
• Construindo a avaliação de riscos
Mensurar e quantificar os riscos reduzindo a subjetividade desta avaliação
Definir os critérios para identificação dos riscos e determinar as estratégias de controle
Priorizar os riscos mais relevantes para o negócio, a probabilidade de impactos e as áreas mais
suscetíveis
• Autoavaliação de Controles (control self assessment)
6,8 MIL
COLABORADORES
PRESENTES EM
8 ESTADOS BRASILEIROS
PLATAFORMA
MULTIMÍDIA
21 EMISSORAS DE TV
25 EMISSORAS DE RÁDIO
8 JORNAIS
4 PORTAIS DE INTERNET
1 EMPRESA DE EVENTOS
OPERAÇÃO MOBILE MARKETING
OPERAÇÃO SEGMENTO RURAL
OPERAÇÃO SEGMENTO JOVEM
1 EDITORA
1 GRAVADORA
1 EMPRESA DE LOGÍSTICA
FUNDAÇÃO MAURÍCIO SIROTSKY
SOBRINHO
TELEVISÃO
JORNAL
Rede de
8 títulos diários
RÁDIO
Líder do segmento de jornalismo e esportes
Maior audiência no público adulto classe AB
Segmento popular
Maior audiência relativa no Brasil: share 49,3%
Maior rede de rádio jovem do sul do país
13 emissoras
Foco no público jovem popular
Líder das rádios FM no Rio Grande do Sul
Segmento formador de opinião: público qualificado
5 emissoras
Afiliação do Sistema Globo de Rádio
Transmissão 24h de jornalismo em POA e FLOPS
Rádio musical voltada ao regionalismo do
Rio Grande do Sul
DIGITAL
ATUAÇÃO NACIONAL
NO MUNDO DIGITAL
Relembrando o que envolve o Gerenciamento de Riscos...
É um processo de avaliação e gerenciamento
Pessoas
Processos
de incertezas enfrentadas pelas Organizações
(“riscos”), por meio de um enfoque
estruturado de controles que alinha
Estratégia
estratégia, processos, pessoas, tecnologia e
conhecimentos, objetivando a criação de
valor.
Tecnologia
Conhecimento
Mensuração e quantificação dos riscos
Quais são nossas referências quando procuramos
mensurar e quantificar riscos?
Resposta: a área de Finanças.
A ênfase é em métodos estatísticos, geralmente com base em dados
históricos.

•
•
•
•
•
•
•
•

•
•
Métodos estatísticos:
Variância (desvio-padrão) dos retornos;
Coeficiente de variação;
Down side risk (semivariância) dos retornos dos títulos;
Shortfall probability;
Volatilidade;
Duration;
Valor de mercado;
Value at Risk (V@R).
Simulação:
Monte Carlos;
Stress Testing e análise de cenários.
Mensuração e quantificação dos riscos
Desafio: como mensurar e quantificar riscos sem bases históricas, dados inconfiáveis e em
situações que modelos matemáticos são de difícil aplicação?
Alguns exemplos de riscos:
► Compra realizada fora da melhor alternativa de mercado - preço. (Processo Compras)
► Incapacidade de processamento em situações emergenciais. (Processo TI)
► Multas ou sanções legais pelo não cumprimento da legislação vigente. (Processo Contabilidade)
►Multas ou sentenças judiciais desfavoráveis pelo descumprimento da legislação
trabalhista. (Processo RH)
Mensuração e quantificação dos riscos
Estabelecer uma métrica padronizada e aceitável dentro da organização para casos em que
houvesse a materialização do risco. Ou seja, definir qual será o IMPACTO.
Classificação do Impacto
Matriz de Riscos – Grupo RBS
Mensuração e quantificação dos riscos
Passo seguinte: analisar o processo e buscar dados ou referências que auxiliem na melhor
mensuração possível do risco.
Importante: sempre validar com o principal gestor do processo.
RISCO:
R.07 Compra realizada fora da melhor alternativa de mercado (preço).
Aquisição de Matéria Prima
PAPEL NACIONAL
PAPEL ESTRANGEIRO
TINTAS
CHAPAS DE ALUMÍNIO
PRODUTOS QUÍMICOS
FILMES P/FOTOCOMPOSIÇÃO
TINTA COR
OUTROS MATERIAIS
EMBALAGENS
17.366.545,09
39.245.189,27
1.011.772,57
3.511.398,42
658.216,14
733.248,97
4.301.687,20
588.258,17
1.109.447,05
68.517.406,74
Considerar
no
Cálculo?
Sim
Não
Sim
Sim
Sim
Sim
Sim
Sim
Sim
% Difer. estimada entre
maior e menor cotação
5%
5%
5%
5%
5%
5%
10%
10%
Cenários
Melhor
16.498.217,84
39.245.189,27
961.183,94
3.335.828,50
625.305,33
696.586,52
4.086.602,84
529.432,35
998.502,35
66.968.492,80
Pior
17.366.545,09
39.245.189,27
1.011.772,57
3.511.398,42
658.216,14
733.248,97
4.301.687,20
588.258,17
1.109.447,05
68.517.406,74
Vlr de Compra
Atual
Permite retirar aquelas compras que a empresa
julga ter um maior controle.
Estimativa (pode ser
alterado)
Perda Máxima
Estimada
Grau de
Confiabilidade
(868.327,25)
(50.588,63)
(175.569,92)
(32.910,81)
(36.662,45)
(215.084,36)
(58.825,82)
(110.944,71)
70%
70%
70%
70%
70%
70%
30%
30%
(1.548.913,94)
Perda Média
Estimada
(260.498,18)
(15.176,59)
(52.670,98)
(9.873,24)
(10.998,73)
(64.525,31)
(41.178,07)
(77.661,29)
(532.582,39)
Estimativa %
da probabilidade
de obter a melhor
alternativa de compra
Considera a compra
efetuada com o %
estimado de redução
(col. E)
É a diferença entre a
pior' e a 'melhor' compra.
Perda líquida
Estimada
Matriz de Riscos – Grupo RBS
R
Critérios para identificação do risco
1. Estratégia
2. Mapeamento de
processo e
Identificação de
riscos
6. Monitoramento
(KRI and CSA)
Gestão de
Riscos
3. Avaliação do risco
e teste do controle
5. Planos de Ação
4. Matriz de Riscos
Critérios para identificação do risco
Sistemática
1. Estratégia
2. Mapeamento de
processo e
Identificação de
riscos
6. Monitoramento
(KRI and CSA)
Gestão de
Riscos
3. Avaliação do risco
e teste do controle
5. Planos de Ação
4. Matriz de Riscos
Critérios para identificação do risco
● Mapeamento de Processo
● Exemplo: Processo Distribuição e Subprocesso Contratação e Gerenciamento de Terceiros
Critérios para identificação do risco
● Identificação e teste de controles
● Exemplo: Processo Distribuição e Subprocesso Contratação e Gerenciamento de Terceiros
Metodologia – Grupo RBS
Durante o diagnóstico era necessário estabelecer uma
métrica, baseada no Impacto e na Probabilidade, que
orientasse o Grupo a estabelecer prioridades. Ou seja, definir
priorização de ações e definição de estratégia a ser adotada
com relação aos riscos do processo.
Os riscos, após a avaliações de Impacto e Probabilidade foram
inseridos na Matriz de Riscos.
A localização de cada risco na Matriz evidencia o seu grau de
exposição.
Matriz de Riscos – Grupo RBS
Classificação do Impacto
Classificação de Probabilidade
Critérios para Probabilidade (exemplo)
Risco: Compras realizadas fora da melhor alternativa de mercado (preço).
Elaboração da cotação, seleção, registro e arquivamento conforme solicitação
de compras e critérios pré estabelecidos.
Controle
Avaliação do Controle
Pontuação
Características
Controle Chave Não Efetivo
4
Tipo
Manual
2
Ação
Preventivo
1
Freqüência
Por evento
6
TOTAL
Classificação da Probabilidade
13
PROVÁVEL
Matriz de Riscos – Grupo RBS
R
Impacto e Probabilidade (pós Plano de Ação)
Probabilidade (pós Plano de Ação)
Risco: Compras realizadas fora da melhor alternativa de mercado (preço).
Elaboração da cotação, seleção, registro e arquivamento conforme solicitação
de compras e critérios pré estabelecidos.
Controle
Avaliação do Controle
Pontuação
Características
Controle Chave Efetivo
(1)
Tipo
Manual
2
Ação
Preventivo
1
Freqüência
Por evento
6
TOTAL
Classificação da Probabilidade
8
IMPROVÁVEL
Impacto e Probabilidade (pós Plano de Ação)
R
Autoavaliação de Controle - CSA
1. Estratégia
2. Mapeamento de
processo e
Identificação de
riscos
6. Monitoramento
(KRI and CSA)
Gestão de
Riscos
3. Avaliação do risco
e teste do controle
5. Planos de Ação
4. Matriz de Riscos
Definições
• Key Risk Indicator (Indicador chave de risco)
Os KRI’s resultam da identificação dos principais riscos de
cada processo e servem para dimensionar o grau de
exposição. Através de um “painel” será possível
acompanhar os riscos relevantes de um determinado
processo, proporcionando ao gestor um monitoramento
efetivo e contínuo. O conjunto de KRI’s é dinâmico e deverá
ser atualizado regularmente.
Definições
• Control Self Assessment (Auto avaliação de controle)
O CSA é uma rotina de acompanhamento da efetividade
dos controles integrantes de cada um dos processos.
Através deste procedimento o gestor terá a oportunidade
de detectar, avaliar e agir sobre sua exposição aos riscos. É
na execução do CSA que as dificuldades de mitigação dos
riscos serão identificadas para serem adequadamente
tratadas.
Definições
• Auditoria Interna
A Auditoria Interna terá a responsabilidade de monitorar o grau
de exposição ao risco indicado pelo KRI e, em conjunto com as
áreas, elaborar o Plano de Ação.
Em relação a aplicação do CSA, a Auditoria Interna fará os
testes dos controles, visando a corroborar a percepção do
gestor quanto a qualidade dos controles existentes em sua
área. Quando o gestor do processo indicar necessidades de
melhoria, a Auditoria Interna também terá a tarefa de elaborar
e acompanhar a implementação do Plano de Ação.
Exemplo de Aplicação de CSA (TI)
1
Gestor
2
Exemplo de Aplicação de CSA (TI)
1
Gestor
2
Exemplo de Aplicação de CSA (TI)
1
Gestor
2
Atualização da Avaliação de Riscos
Objetivo: estimular o “dono do processo” a realizar uma avaliação completa dos riscos inerentes ao seu
processo.
R
R
R
R
R
R
Exemplo de perguntas de TI
Visão geral da estrutura de CSA
Processos Corporativos
Unidades
Tela do sistema de CSA
Tela do sistema de CSA
Tela do sistema de CSA
Considerações Finais
Gestão de Riscos é uma ferramenta de gestão e tem como grande desafio auxiliar a
Administração a encontrar o ‘ponto de equilíbrio’ entre Custo versus Controle.
Considerações Finais
 O gerenciamento de riscos é uma ferramenta de gestão,
que melhora resultados e está ligado diretamente à cultura da
organização e da correta visão do seu custo-benefício.
 Gerenciar riscos não deve ser encarado apenas como uma
forma de proteger o valor esperado do acionista, mas pensar
em como criar valor para o acionista.
Considerações Finais
 Na definição de Impactos, envolva os principais
responsáveis por processos na organização. Jamais pontue
um grau de exposição do risco na Matriz, sem uma discussão
prévia.
 Elabore o Control Self Assessment com perguntas objetivas
e focadas nos principais riscos do processo. Procure alinhar as
questões aos testes de auditoria.
Considerações Finais
 Estabeleça indicadores chave de risco (KRI), baseado na
Matriz de Risco.
 Esteja alinhado com a estratégia da organização, pois isso
repercute na percepção de valor gerado pela área de Gestão
de Riscos e Auditoria Interna.
Paulo Ayres
E-mail: [email protected]
(51) 3218-6841