O Caso do Grupo EDP
Transcrição
O Caso do Grupo EDP
Um modelo global e integrado de gestão do risco O Caso do Grupo EDP Programa Anual de Desenvolvimento para Administradores não Executivos Pedro Neves Ferreira (Chief Risk Officer do Grupo EDP) [email protected] Lisboa, 7 de Outubro de 2015 Agenda Principais conceitos de risco no contexto empresarial Elementos chave do modelo integrado de gestão do risco Reflexão sobre o modelo de governo do risco Direcção de Gestão de Risco 2 Agenda Principais conceitos de risco no contexto empresarial Elementos chave do modelo integrado de gestão do risco Reflexão sobre o modelo de governo do risco Direcção de Gestão de Risco 3 O conceito de risco tem várias definições distintas, dependendo da fonte específica que se esteja a considerar Risco… …é o “efeito da incerteza na consecução dos objetivos” NP ISO31000 …é “a possibilidade de ocorrer um evento e afetar de forma adversa a realização dos objetivos” Enterprise Risk Management Framework – COSO (www.coso.org) …“é frequentemente expresso como a combinação das consequências de um dado evento (incluindo alteração das circunstâncias) e a respetiva probabilidade de ocorrência” ISO/IEC Guide 73 – Risk Management – Vocabulary - Guidelines …corresponde à “probabilidade de que um investimento (ou iniciativa empresarial) tenha um retorno diferente do esperado” Investopedia, http//www.investopedia.com Direcção de Gestão de Risco 4 0.10 A gestão do risco empresarial deve considerar não apenas o risco, mas também o retorno associado, maximizando este binómio 0.06 0.08 Distribuição de retorno de portfolio - conceptual Risco B 0.04 Em condições típicas a uma maior volatilidade dos resultados (risco) corresponde um maior retorno 0.02 − Risco A > Risco B 0.00 Risco A Retorno A Retorno B -50 0 − Retorno A > Retorno B Retorno 50 n Custo de oportunidade associado à mitigação Direcção de Gestão de Risco 5 Um mapa de riscos é constituído por um conjunto estruturado de eventos com origem em causas e com uma série de impactos Principais componentes de risco Causa Origem de algo que, com uma determinada probabilidade de ocorrência, desencadeia o evento de risco Exemplos Direcção de Gestão de Risco Desastre natural Impacto Evento Situação, que no caso de materialização, origina um conjunto de possíveis perdas. Relaciona causas com impactos Paralisação de uma central devido ao desastre natural Conjunto das possíveis perdas que se verificariam em caso de se materializar o evento Reparação de danos, perda de lucros, danos no meio ambiente devido à paralisação da central 6 Seguindo esta abordagem é possível obter uma taxonomia exaustiva e estruturada (evitando sobreposição das várias categorias de risco) Ilustração: Taxonomia de risco do Grupo EDP Estratégico 1.1 Ambiente (Externo) Negócio 2.1 Mercados energéticos Financeiro 3.1 Mercado financeiro Operacional 4.1 Ativos físicos 4.4 SI (sistemas infor.) Grave crise macro (saída Euro) Preço da pool e commodities Taxa de câmbio Ativos em desenvolvimento Disponibilidade Crise social e política (expropriação de ativos) Consumo energético Taxa de juro Danos a ativos em operação Segurança e integridade Disrupção tecnológica Volumes de renováveis Inflação Perdas técnicas/ não técnicas Alterações climáticas Margem das vendas Valor de ativos financeiros Alteração do paradigma competitivo 1.2 Estratégia (Interno) 2.2 Regulação 3.2 Crédito 4.2 Processos 4.5 Legal Processos comerciais Administrativo Pacotes sectoriais Clientes Fornecedores e outsourcing Civil M&A Modelo regulatório Contrapartes Faturação, custeio e pagamentos Fiscal Relação com stakeholders Impostos sectoriais e taxas Controlo de gestão e execução orçamental Laboral Governance Normas contabilísticas Modelo de execução de processos Outros Planeamento corporativo Normas ambientais 3.3 Liquidez Tesouraria Acesso a/ custo de capital Concessões Downgrade de rating 3.4 Outras responsabil. Fundo de pensões Outras responsabilidades (e.g., médicas) Direcção de Gestão de Risco Outros 4.3 RH Saúde e segurança Conduta não ética e fraude Relações laborais e sindicatos 7 Agenda Principais conceitos de risco no contexto empresarial Elementos chave do modelo integrado de gestão do risco Reflexão sobre o modelo de governo do risco Direcção de Gestão de Risco 8 Um modelo integrado de gestão de risco deve englobar as fases de identificação, estratégia, gestão e controlo Actualização do inventário de riscos Quantificação do risco (impacto e probabilidade) Prioritização de riscos Monitorização e reporte das posições em risco Acompanhamento da implementação das políticas e planos de acção Direcção de Gestão de Risco 1 2 Identificação 4 Estratégia 3 Controlo Gestão Definição do apetite ao risco Definição/ actualização de políticas de gestão do risco e planos de acção (tendo em conta o apetite) Gestão diária das posições em risco (no âmbito das políticas) Robustecimento de cultura de gestão do risco 9 1 Identificação Existem 3 tipos de risco, devendo a gestão estratégica do risco centrar-se nos chamados known unknows e unknown unknowns 1 Unknown unknowns Riscos empresariais (eventos “black swan1”) 2 Known unknowns 3 Known and avoidable Riscos estratégicos/ negócio/ financeiros Definição Tratamento do Risco Riscos desconhecidos e imprevisíveis Difíceis de mitigar individualmente Traduzem-se em ameaças muito significativas Riscos com grau de incerteza conhecido Têm geralmente downside e upside Erros operacionais Riscos operacionais e Podem expor a organização a de compliance perda significativa 1 Eventos “black swan” são eventos com probabilidade muito baixa e com consequências extremamente adversas Direcção de Gestão de Risco Deve-se dotar a empresa de capacidade e flexibilidade para suportar eventos imprevistos de grande magnitude A empresa deve gerir (não eliminar totalmente) estes riscos A capacidade de gerir estes riscos melhor que o mercado, que cria valor nas empresas Devem-se eliminar estes riscos ou mitigá-los ao máximo Não sejam passíveis de criar valor para a organização 10 1 Identificação As várias exposições devem ser avaliadas através da quantificação e agregação (correlacionada) dos principais riscos Avaliação de riscos individuais Agregação de riscos Avaliação de resultados Determinação das distribuições individuais de risco (e respectivas correlações entre si), combinando análise de histórico e intuição de especialistas (internos e externos) Combinação de riscos para obter simulações agregadas a vários níveis (p.ex., através do método de Montecarlo) Análise de valores globais de exposição (p.ex., CF@R, EBITDA@R) Exposição global inferior à soma das exposições individuais (por efeito de diversificação) Direcção de Gestão de Risco 11 1 Identificação Uma forma intuitiva de representar mapas de riscos é através de matrizes de perda esperada (PE) e máxima (PM) Representação gráfica matricial do mapa de riscos Perda Máxima Alta Risco 1 Risco 3 Média Risco 2 Baixa Baixa Média Alta Perda Esperada A matriz de perda esperada/ perda máxima permite comparar e prioritizar vários riscos − PE – valor de perda anual média − PM – valor máximo de perda em cenário adverso (para determinado nível de confiança, tip. 95%, ou 99,9% para eventos catastróficos) A análise desta matriz permite identificar as várias categorias de riscos de forma intuitiva − Riscos críticos (diagonal superior) − Riscos com perda média reduzida mas com fat-tails (i.e., que podem no limite ter uma materialização relevante)1 − Riscos com perda expectável elevada mas relativamente reduzida volatilidade2 1 P.ex., riscos catastróficos, financeiros 2 P.ex., riscos de crédito B2C, riscos operacionais Direcção de Gestão de Risco 12 2 Estratégia Uma vez determinada a exposição, deve ser avaliado de forma estruturada um conjunto de alternativas para a sua gestão Alternativas de planos de acção para gestão do risco Descrição Exemplos Eliminar a possibilidade de materialização do risco Desinvestimento em linha de negócio Reduzir Diminuir o impacto e/ou frequência do risco Medidas físicas (p.ex., extinção de incêndio) Planeamento: p.ex., planos de manutenção Responsabilização/ incentivo à cooperação Transferir Repassar o impacto do risco para terceiros Cobertura de posições (hedging) Joint ventures/ project finance Seguros Reter Manter de forma deliberada e consciente o risco na organização Auto seguros (e.g., cativas) Aumentar Aumentar de forma deliberada a exposição ao risco na organização Concentração em linha de negócio Subscrição de posições especulativas Evitar Mitigar Direcção de Gestão de Risco 13 2 Estratégia O plano de acção deve incorporar o risco que a Administração está disposta a assumir (i.e. o seu apetite ao risco) Conceitos fundamentais Return Capacidade de (suportar) risco Níveis máximos de risco que uma empresa consegue suportar - transgressão de traduz-se em stress financeiro e pode ameaçar viabilidade a prazo Tolerância ao risco Nível máximo de exposição que uma empresa está preparada para assumir relativamente ao seu apetite (violação implica implementação de plano correctivo) Stress Apetite ao risco Exposição total que uma empresa assume de forma consciente (com base no seu entendimento de onde está o trade-off risco-retorno óptimo) Risk appetite Direcção de Gestão de Risco Risk tolerance Risk capacity Risk 14 3 Gestão A gestão das exposições deve ser potenciada por uma cultura de risco sólida Elementos essenciais para uma cultura do risco madura Cultura na qual os indivíduos se desafiam mutuamente Cultura na qual a gestão e colaboradores são encorajados a aprender com o erro Desafio Conhecimento Prudência Cultura na qual sinais de alerta internos e externos são partilhados Comunicação Cultura na qual a organização entende os riscos que enfrenta Rapidez de resposta Abertura Cultura na qual não se crê que a organização esteja imune ao risco Cultura na qual a liderança tem comunicado um apetite ao risco claro Cultura na qual a organização reage agilmente a mudanças externas e/ ou aceita a inovação ou impacto da mudança Capacidade de resposta Definição: Normas comportamentais que determinam a abertura a e capacidade de perceber e agir Trans- sobre o risco parência Respeito Clareza/ coerência Nível de percepção Alinhamento com a regras Zelo Cooperação Cultura que incute a responsabilidade de reacção a situações ou de preocupação com o resultado de decisões Cultura na qual grupos não tomam riscos que os beneficiem em detrimento da organização ou estejam desalinhados com o apetite da organização Cultura na qual os apetites ao risco pessoais estão alinhados com o da organização Fonte: McKinsey Risk Management Practice Direcção de Gestão de Risco 15 4 Controlo Devem ser estabelecidos KRIs que complementem os KPIs existentes e permitam avaliar a evolução dos principais riscos Exemplos Grupo EDP Indicador de Performance (consumo de combustível) Fornece visão de alto nível da performance da organização Analisa a performance histórica Evolução da dívida de clientes Dívida vencida/ vendas 12 meses Empresa 1 Empresa 2 5,0% 4,0% 3,0% Avaliação da performance 2,0% KPI 1,0% Métricas de avaliação 0,0% Decisão KRI Avaliação do risco mar-12 ago-12 jan-13 jun-13 nov-13 abr-14 Profit@Risk Limite Indicador de Risco (nível de reserva de combustível) Fornece um sinal precoce do aumento da exposição ao risco Identifica riscos emergentes e oportunidades Direcção de Gestão de Risco 16 4 Controlo Os KRIs e restante informação relevante devem ser compilados em relatórios a partilhar periodicamente Síntese de relatórios de risco elaborados no Grupo EDP Riscos-chave Outros riscos Grau de materialidade do risco Dashboard Trimestral Relatório semanal Exposição ao mercado P@R, V@R e EBITDA@R Exposição a contrapartes Riscos financeiros Mapa de riscos (anual) Visão agregada e quantificada de PE/PM Estável Condições macro-económicas Fundo de pensões Custo de capital Risco de crédito Investimentos operacionais Standard Volátil Volatilidade do risco Direcção de Gestão de Risco 17 Principais questões para avaliar a maturidade do modelo integrado de gestão de riscos (não exaustivo) 1 Identificação 2 Estratégia 3 Gestão 4 Controlo Direcção de Gestão de Risco A gestão tem uma visão articulada e concertada sobre a definição de risco e principais riscos? Existe uma taxonomia única, abrangente e consistente de todos os riscos? Quão fundamentados são os racionais de prioritização (e são tidas em conta interligações)? Este mapeamento é actualizado com uma frequência adequada (e com envolvimento senior)? São devidamente aprofundados os riscos mais relevantes e/ou emergentes? Existe um entendimento claro e consensual sobre riscos (in)aceitáveis, i.e., o apetite ao risco? Este apetite ao risco é expresso de forma explícita, inequívoca, accionável e é divulgado? O apetite ao risco está devidamente integrado com e impacta a tomada de decisão estratégica? Existem e a que nível foram aprovadas as políticas de gestão de risco para as principais exposições? Para além das anteriores, que planos de actuação estão estabelecidos para exposições mitigáveis? Qual o grau de maturidade da cultura de gestão do risco na organização (em particular no incentivo à identificação, partilha, actuação proactiva e avaliação post-mortem de incidentes)? Existem programas formais para promoção dessa cultura (formações presenciais, online interactivas, literatura adicional)? Até que ponto são rigorosamente observadas todas as políticas de gestão do risco em vigor? Que processos formais existem para monitorização de riscos pela gestão de topo? Que tipo de materiais (p.ex., análises, relatórios, dashboards) suportam esses processos? Esse relatórios são consistentes com os conhecimentos adquiridos pelo mapeamento de riscos (i.e.., são escolhidos KRIs pertinentes e que acompanhem os riscos mais materiais/ voláteis)? Existe um acompanhamento regular do estado de avanço dos planos de acção identificados? 18 Agenda Principais conceitos de risco no contexto empresarial Elementos chave do modelo integrado de gestão do risco Reflexão sobre o modelo de governo do risco Direcção de Gestão de Risco 19 Um modelo adequado de governo do risco deverá incorporar 3 linhas de defesa Riscos Modelo das três linhas de defesa - conceptual Exemplo Direcção de Gestão de Risco Primeira linha: UNs (responsáveis pelo risco) Segunda linha: Gestão do Risco e Compliance Terceira linha: Auditoria Gestão diária da posição em risco (dentro do âmbito das políticas externas e limites internos) Proposta/ contribuição para a definição de políticas de gestão do risco Avaliação da posição em risco Apoio a decisões essenciais relacionadas com risco Co-propôr políticas para a optimização do trade-off risco-retorno Auditar se existem os processos adequados e se estão correctamente implementados Análise/ validação de excepções às políticas de gestão do risco Interagir com contrapartes de acordo com a política definida Definir política de gestão do risco de contraparte e controlar exposição a este risco Validar o processo de gestão de risco de contraparte 20 Ao nível da gestão de risco e do respectivo relacionamento com as Unidades de Negócio existem 4 arquétipos fundamentais Alternativas para o papel da função central de gestão do Risco Descrição Applicabilidade Inexistente: áreas independentes Agregação de informação Controlo sobre áreas Gestão central do risco Negócio é responsável por risco Não existe função central de gestão do Risco (oueapenas existe pequena equipa de suporte ao processo) Negócio é responsável por risco Pequena equipa central agrega/ partilha informação de risco Negócio é responsável por risco Equipa central reforçada suporta decisões estratégicas e co propõe políticas de gestão de risco CRO reporta à Administração Equipa central reforçada é responsável por e gere riscos centralmente CRO reporta à Administração Riscos relevantes (sobretudo) a nível local Riscos simples/ estáveis/ diversificados Riscos específicos e dispersos (reduzidas sinergias de perspectiva integrada) Cultura local de gestão de risco madura Riscos relevantes ao nível do Grupo Riscos complexos/ correlacionados/ voláteis Riscos transversais (sinergias relevantes de perspectiva integrada) Cultura de gestão do risco insipiente Evolução típica de instituições não financeiras Direcção de Gestão de Risco Instituições financeiras 21 O Grupo EDP tem consistentemente adoptado a manutenção do perfil de baixo risco como um dos seus pilares estratégicos Agenda estratégica 2014 1 Continuar a crescer Agenda estratégica 2012 2 1 Risco controlado 3 2 Eficiência superior Manter desalavancagem financeira Preservar perfil de negócio de baixo risco 4 3 Melhorar eficiência Crescimento orientado 5 Proporcionar retornos atrativos 22 Direcção de Gestão de Risco No Grupo EDP existe uma estrutura de risk-officers com duplo reporte que acompanham o risco em cada Unidade de Negócio Estrutura organizativa Grupo EDP (simplificado) Reporte Hierárquico Funcional Funções corporativas Apoio ao Governo da Sociedade Responsável máximo pela decisão, supervisão e controlo da gestão do risco; Conselho de Administração Executivo Estratégia Gestão do Risco … Finanças Recursos Comité de Risco suporta decisões do CAE na identificação, avaliação, gestão e controlo do risco Comité de Risco Comunicação e Marketing CAs das UNs estabelecem a tolerância ao risco (em coerência com o Grupo) Unidades de Negócio (UNs) CA CA CA CA CA CA CA CA CA CA RO RO RO RO RO RO RO RO RO RO EDPP EDPD EDPC EDPSC HC UNGE EDPBR EDPR EDP Gas EDP Valor Direcção de Gestão de Risco Risk-officers são responsáveis em cada UN pelo acompanhamento do risco e interlocução com Centro Corporativo Duplo reporte às hierarquias locais e Gestão de Risco 23 Os Conselhos de Administração, Supervisão e Comités de Risco têm um papel crítico na operacionalização das 3 linhas de defesa Modelo das três linhas de defesa – detalhe para o Grupo EDP 1ª linha: Unidades de Negócio 2ª linha: Gestão do Risco Conselho de Administração Executivo Definição de objectivos globais e perfil de risco-retorno Aprovação de políticas de gestão do risco e iniciativas-chave Riscos CA (a nível de UN) Deveres equivalentes ao CAE (a nível de UN) Comité de Risco Monitorização, análise e debate de riscos (e políticas de gestão associadas) 3ª linha: Auditoria Conselho Geral de Supervisão Monitorização de processo de gestão de risco e auditoria Comité de Matérias Financeiras/ Comité de Auditoria Discussão de processos de risco, controlo interno e auditoria Comité de Risco Local Deveres equivalentes ao CR (a nível de UN) Unidades de negócio Gestão da posição em risco Contribuição para a definição de políticas Gestão do Risco1 Avaliação da posição em risco Optimização do trade-off risco-retorno Responsabilidade pelo risco Visão integrada do risco Auditoria Validação da implementação adequada de processos e controlos centrais (e respectivas excepções) Perspectiva de controlo do processo 1 A nível de Grupo e Unidade de Negócio Direcção de Gestão de Risco 24 Principais questões para avaliar a maturidade do modelo de governo do risco (não exaustivo) 1 Responsabilidade pelo risco 2 Órgãos de Gestão do Risco (Comités de Risco, riskofficers) 3 Arquétipos de gestão de risco Direcção de Gestão de Risco Existe uma definição clara e segregada de responsabilidades entre os intervenientes no processo de assurance (negócio/ suporte, risco, compliance e auditoria)? Existe na organização uma área de risco corporativa devidamente qualificada e um Chief Risk Officer designado (com reporte directo à administração)? Existem responsáveis claros formalmente assignados para os principais riscos (riskowners)? Até que ponto é que a administração (e órgãos de supervisão) são activamente envolvidos no processo de identificação e actuação sobre os principais riscos? Existem fóruns seniores de debate sobre temas de risco (Comités de Risco)? As principais áreas críticas (p.ex., estratégia, negócio, financeira, planeamento, jurídica) estão devidamente representadas (e com um nível de senioridade adequado)? Existem nas Unidades de Negócio interlocutores formalmente designados para temas de risco (risk-officers)? Os vários risk-officers têm reporte funcional à área de risco corporativa (caso exista), ou outros mecanismos de articulação? Quais são as áreas de intervenção prioritárias para a função de risco? Para estas, qual o arquétipo de gestão de risco adoptado actualmente (e qual é o entendimento sobre o arquétipo que deveria existir, caso não seja coincidente)? 25