Guia - IBGC

Instituto Brasileiro de Governana Corporativa
3
O IBGC, dando seqncia a seus Cadernos de Governana Corporativa, lana o Guia de Orientao para Gerenciamento de Riscos Corporativos. O objetivo desta iniciativa trazer ao mercado informaes prticas que contribuam para o processo da governana corporativa e auxiliem conselheiros e demais administradores a desempenhar melhor as suas funes. Contribui, assim, para aprimorar o funcionamento do mercado, gerar maior confiana dos investidores e, conseqentemente, propiciar maior fluidez de recursos para as empresas.
Cadernos de Governana Corporativa
Guia de Orientao para Gerenciamento de Riscos Corporativos
2007
Cadernos de Governana Corporativa IBGC
Instituto Brasileiro de Governana Corporativa
O IBGC uma organizao exclusivamente dedicada promoo da governana corporativa no Brasil e o principal fomentador das prticas e discusses sobre o tema no Pas, tendo alcanado reconhecimento nacional e internacional. Fundado em 27 de novembro de 1995, o IBGC sociedade civil de mbito nacional, sem ns lucrativos tem o propsito de ser referncia em governana corporativa, contribuindo para o desempenho sustentvel das organizaes e, inuenciando os agentes de nossa sociedade no sentido de maior transparncia, justia e responsabilidade. Presidente do Conselho de Administrao: Jos Guimares Monforte Vice-Presidentes: Gilberto Mifano e Mauro Rodrigues da Cunha Conselheiros: Celso Giacometti, Eliane Lustosa, Fernando Mitri, Francisco Gros, Joo Pinheiro Nogueira Batista e Ronaldo Veirano. Comit Executivo: Edimar Facco, Eliane Lustosa e Ricardo Veirano Secretria Geral: Heloisa B. Bedicks Para mais informaes sobre o Instituto Brasileiro de Governana Corporativa, visite o site: www.ibgc.org.br. Para associar-se ao IBGC ligue para (11) 3043 7008.
I59g Instituto Brasileiro de Governana Corporativa Guia de orientao para o gerenciamento de riscos corporativos / Instituto Brasileiro de Governana Corporativa; coordenao: Eduarda La Rocque. So Paulo, SP: IBGC, 2007 (srie de cadernos de governana corporativa, 3). 48p. ISBN: 978-85-99645-04-8 1. governana corporativa. 2. governana corporativa - risco - gesto I. Ttulo. II. La Rocque, Eduarda, coord. CDD 658.4
Bibliotecria responsvel: Mariusa F. M. Louo CRB-12/330
Crditos
Este trabalho foi desenvolvido pelo Subcomit de Gerenciamento de Riscos Corporativos do Comit de Finanas e Contabilidade do IBGC. Durante sua elaborao, este documento passou por processo intenso de discusso e audincia pblica, tendo recebido diversas contribuies e sugestes. Agradecemos Bovespa, pela cesso de suas instalaes no Rio de Janeiro para algumas das reunies de trabalho e ao staff do IBGC, especialmente Simone Novotny Couto Pereira e Angela Rita Franco Donaggio, que secretariaram os trabalhos. Agradecemos todos os membros do Subcomit de Gerenciamento de Riscos Corporativos, principalmente Eduarda La Rocque, que coordenou a organizao deste documento. Contribuies: Antonio Laporta Antonio Moura Camila Nogueira Carlos Antonio Rocca Clarissa Lins Eduardo de Vasconcellos Heloisa B. Bedicks Ives Pereira Muller Joo Carlos Orzzi Lucas Jose Luiz de Souza Motta Lcio Carlos de Pinho Filho Moacyr Carmo Paulo Baraldi Paulo Conte Vasconcellos Roberto Lamb Coordenao: Eduarda La Rocque
Contribuies especiais: Este guia contou com a participao extremamente relevante de Antonio Cocurullo, Eduardo Lins de Carvalho, Jorge Luiz de Carvalho Brando e Lucia Hauptman, e com a inestimvel colaborao de Carlos Eduardo Lessa Brando para tornar o texto o mais didtico possvel, aproximando-o do que deveria ser um guia do IBGC.
ndice

1 2
Introduo 1.1 Conceituao de Risco 1.2 Benefcios do Modelo de GRCorp
9
11 12
Metodologia de Implantao 2.1 Identicao e Classicao dos Riscos 2.1.1 Associao com os Objetivos Estratgicos e Perl de Riscos 2.1.2 Categorizao dos Riscos 2.1.2.1 Origem dos Eventos 2.1.2.1.1 Riscos Externos 2.1.2.1.2 Riscos Internos 2.1.2.2 Natureza dos Riscos 2.1.2.2.1 Riscos Estratgicos 2.1.2.2.2 Riscos Operacionais 2.1.2.2.3 Riscos Financeiros 2.1.2.3 Exemplos de Tipos de Riscos 2.1.2.3.1 Tecnologia 2.1.2.3.2 Ambiental 2.1.2.3.3 Conformidade 2.2 Avaliao dos Riscos 2.3 Mensurao dos Riscos 2.4 Tratamento dos Riscos 2.4.1 Evitar o Risco 2.4.2 Aceitar o Risco 2.4.2.1 Reter 2.4.2.2 Reduzir 2.4.2.3 Transferir e/ou Compartilhar 2.4.2.4 Explorar 2.4.3 Preveno e Reduo dos Danos 2.4.4 Capacitao 2.5 Monitoramento dos Riscos 2.6 Informao e Comunicao
14
16 16 16 18 18 18 18 18 19 19 19 19 20 20 20 21 22 23 23 23 23 23 24 24 24 25 26
Implementao e Estruturas Adequadas para o Gerenciamento de Riscos 3.1 Arquitetura para o GRCorp 3.1.1 Processos Crticos (para o GRCorp) 3.1.2 Governana de Gerenciamento de Riscos 3.1.3 Organizao e Pessoas 3.1.4 Sistemas de Controle 3.1.5 Comunicao 3.2 Estrutura Funcional 3.3 O Gerenciamento de Riscos e o Conselho de Administrao
27
28 29 29 29 29 30 30 30
Referncias 4.1 Literatura Relacionada 4.1.1 Livros 4.1.2 Artigos e Documentos Tcnicos 4.1.3 Algumas Normas Relacionadas ao Tema 4.1.4 Alguns Websites Relacionados ao Tema
33
34 34 34 35 36
Anexos
A Evoluo Histrica A.1 Introduo A.2 Vertente Financeira A.3 Ramo de Auditoria A.4 Lei Sarbanes-Oxley A.5 Tecnologia da Informao A.6 Norma ISO 31.000 B Gesto da Continuidade de Negcios C Comit(s) de Risco D Marco Legal e Regulatrio no Brasil 38 38 39 40 41 42 42 43 44 45
Apresentao
O Instituto Brasileiro de Governana Corporativa - IBGC, em comemorao aos 10 anos de sua fundao, completados em 2005, lanou a srie de publicaes denominada Cadernos de Governana. O objetivo desta iniciativa trazer ao mercado informaes prticas que contribuam para o processo da governana corporativa e auxiliem conselheiros e demais administradores a desempenhar melhor as suas funes, contribuindo para aprimorar o funcionamento do mercado, gerar maior conana dos investidores e, conseqentemente, propiciar maior uidez de recursos para as empresas. Os Cadernos de Governana do IBGC so editados, de acordo com seu contedo, em trs sries: Documentos Legais de Governana, Documentos sobre Estruturas e Processos de Governana e Temas Especiais de Governana. So contribuies, sugestes e recomendaes elaboradas pelos associados do IBGC que integram seus diversos comits de trabalho. O presente Guia de Orientao para o Gerenciamento de Riscos Corporativos (Guia) um dos Temas Especiais de Governana e tem o propsito de oferecer aos conselheiros de administrao de todos os tipos de organizaes governamentais, civis, limitadas, cooperativas e sociedades annimas brasileiras reexes e orientaes para uma efetiva implementao de modelos de gerenciamento de riscos corporativos, contribuindo para a otimizao da estrutura de governana das organizaes brasileiras. Para a concepo deste Guia, foram consideradas experincias valiosas de projetos e de implementaes em empresas de diversos setores, nos diferentes estgios de desenvolvimento, bem como as provenientes de referncias bibliogrcas. As melhores prticas de gerenciamento de riscos corporativos tambm so geradas e disseminadas por institutos independentes, internacionais ou nacionais, associaes de indstria ou prossionais, bem como organismos de normatizao e entidades reguladoras, tais como as citadas nos Anexos. Embora tenha se buscado um enfoque prtico, este Guia apresenta carter informativo, porque acredita-se que o tema gerenciamento de riscos corporativos ainda pouco conhecido por uma considervel parcela dos conselheiros das organizaes brasileiras. Mesmo entre os especialistas, ainda no h consenso
sobre parte dos conceitos envolvidos1, e as prticas entre as empresas so as mais variadas. Desta forma, julga-se necessrio divulgar os conceitos para, em seguida, introduzir e disseminar a cultura de gerenciamento de riscos corporativos. A partir do entendimento e alinhamento dos conceitos e da formao de um linguajar comum, deve-se implantar o que melhor se aplica realidade de cada organizao no contexto em que se encontra e atua. Dispor de um modelo mental e de termos e jargo adequados para viabilizar a discusso das aplicaes prticas do gerenciamento integrado de riscos (especialmente entre os conselheiros de administrao e especialistas no tema), representa uma das principais contribuies deste Guia para as organizaes. O IBGC acredita que as reexes e sugestes trazidas com este Guia contribuiro para o aperfeioamento do ambiente empresarial, por se tratar de uma valiosa ferramenta de gesto para o desenvolvimento sustentvel das organizaes, beneciando todas as partes interessadas. Sugestes e relatos de experincias com o gerenciamento de riscos corporativos por parte dos leitores deste Guia podem ser enviados para ibgc@ibgc.org.br, como subsdio para a possvel elaborao de um documento complementar a este Guia.
1 No momento da concluso deste Guia, encontra-se em estgio de desenvolvimento a norma ISO 31000: General Guidelines for Principles and Implementation of Risk Management, com o objetivo de uniformizar a terminologia e os conceitos relacionados ao tema. Vide anexo A.6.
1
Introduo
1.1 Conceituao de Risco 1.2 Benefcios do Modelo de GRCorp 11 12
10
Introduo
As atividades envolvidas no Gerenciamento de Riscos Corporativos (GRCorp) devem contribuir para a perenidade da organizao, atendendo aos seus objetivos estatutrios e estratgicos. As recomendaes e sugestes contidas neste Guia de Orientao para Gerenciamento de Riscos Corporativos (Guia) devem ser avaliadas diante da realidade de cada organizao. Apesar de destinar-se primariamente a empresas com ns lucrativos, os conceitos e sugestes podero ser utilizados tambm por entidades do primeiro e do terceiro setores. Aspectos especcos relacionados a organizaes nanceiras so tratados brevemente no Anexo A.2. Este Guia tambm sugere que as organizaes disponham de uma estrutura mnima de governana corporativa, ou seja, um conselho de administrao, conselho deliberativo ou conselho consultivo. As sugestes deste documento contam com a atuao do conselho de administrao no processo de gerenciamento dos riscos. O Guia visa orient-lo tanto para a implantao de um modelo de GRCorp como para a avaliao e introduo de melhorias em modelos existentes. De forma geral, as prticas sugeridas pelo Instituto Brasileiro de Governana Corporativa IBGC vo alm do cumprimento legal e regulatrio e pressupem que a organizao atenda a todas as exigncias desta natureza. A estrutura do Guia se inspirou no item 2.38, 3a edio, do Cdigo das Melhores Prticas de Governana Corporativa do IBGC (Cdigo do IBGC): Gerenciamento de riscos: o Conselho de Administrao deve assegurar-se de que a Diretoria identique preventivamente por meio de sistema de informaes adequado e liste os principais riscos aos quais a sociedade est exposta, sua probabilidade de ocorrncia, bem como as medidas e os planos adotados para sua preveno ou minimizao. Para que o conselho de administrao possa efetivamente identicar, priorizar e garantir a gesto ecaz da exposio da organizao aos diversos riscos que podem afetar o seu negcio, deve apresentar uma atitude pr-ativa, requerendo informaes baseadas no modelo de GRCorp. Isto se tornar possvel na medida em que os conselheiros tenham conhecimento suciente sobre o tema e consigam avaliar os modelos, ferramentas e medidas utilizadas. O Cdigo do IBGC prope que pelo menos um dos conselheiros
11
apresente bons conhecimentos sobre o assunto2, sendo recomendvel que os demais tambm disponham de conhecimento mnimo sobre o tema. Aps introduo conceitual sobre riscos, detalha-se, no captulo 2, o processo de identicao, avaliao e resposta aos riscos. O captulo 3 visa a auxiliar na implementao de um modelo de GRCorp que respeite o estgio de desenvolvimento e a estratgia de longo prazo de cada organizao.
1.1 Conceituao de Risco
O termo risco proveniente da palavra risicu ou riscu, em latim, que signica ousar (to dare, em ingls). Costuma-se entender risco como possibilidade de algo no dar certo, mas seu conceito atual envolve a quanticao e qualicao da incerteza3, tanto no que diz respeito s perdas como aos ganhos, com relao ao rumo dos acontecimentos planejados, seja por indivduos, seja por organizaes: Quando investidores compram aes, cirurgies realizam operaes, engenheiros projetam pontes, empresrios abrem seus negcios e polticos concorrem a cargos eletivos, o risco um parceiro inevitvel. Contudo, suas aes revelam que o risco no precisa ser hoje to temido: administr-lo tornou-se sinnimo de desao e oportunidade. (Bernstein, p., p. VII, 3a edio,1996) O risco inerente a qualquer atividade na vida pessoal, prossional ou nas organizaes, e pode envolver perdas, bem como oportunidades. Em Finanas, a relao risco-retorno indica que quanto maior o nvel de risco aceito, maior o retorno esperado dos investimentos. Esta relao vale tanto para investimentos nanceiros como para os negcios, cujo retorno determinado pelos dividendos e pelo aumento do valor econmico da organizao. Empreender signica buscar um retorno econmico-nanceiro adequado ao nvel de risco associado atividade. Ou seja, o risco inerente atividade de negcios, na qual a conscincia do risco e a capacidade de administr-lo, aliadas disposio de correr riscos e de tomar decises, so elementos-chave. Assumir riscos diferencia empresas lderes, mas tambm pode lev-las a estrondosos fracassos. O resultado das iniciativas de negcios revela que o risco pode ser gerenciado a m de subsidiar os administradores4 na tomada de deciso, visando a alcanar objetivos e metas dentro do prazo, do custo e das condies prestabelecidas.
2 A composio do conselho de administrao (segundo item 2.17 do Cdigo do IBGC) deve buscar diversidade de experincias, conhecimentos e pers, de maneira que se possa reunir, dentre outros fatores, experincia em administrar crises e experincia em identicao e controle de riscos. 3 Risco: evento futuro identicado, ao qual possvel associar uma probabilidade de ocorrncia. Incerteza: evento futuro identicado, ao qual no possvel associar uma probabilidade de ocorrncia. Ignorncia: eventos futuros que, no momento da anlise, no podero sequer ser identicados, muito menos quanticados (exemplo: eventos decorrentes de sistemas complexos como o climtico as conseqncias do aquecimento global so imprevisveis). Faber, Manstetten e Proops, 1996, p. 209-211. 4 Administradores: conselheiros de administrao e diretoria. Tambm chamada de alta administrao.
12
A aplicao do conceito de risco no contexto empresarial requer a denio de indicadores de desempenho (gerao de uxo de caixa, valor de mercado, lucro, reclamaes de clientes, quebras operacionais, fraudes, entre outros) associados a nveis de volatilidade, ou seja, variao dos resultados em torno de uma mdia. Essas possibilidades, tanto de ganho como de perda, que podem ter causas de natureza externa (ambiente competitivo, regulatrio, nanceiro) ou de natureza interna (diferencial tecnolgico, controles, capacitaes, conduta) so oriundas do contexto em que cada organizao atua. O modelo de GRCorp um instrumento de tomada de deciso da alta administrao que visa a melhorar o desempenho da organizao pela identicao de oportunidades de ganhos e de reduo de probabilidade e/ou impacto de perdas, indo alm do cumprimento de demandas regulatrias.
1.2 Benefcios do Modelo de GRCorp
A adoo de um modelo de GRCorp visa a permitir que a alta administrao e demais gestores da organizao lidem ecientemente com a incerteza, buscando um balanceamento timo entre desempenho, retorno e riscos associados. A implantao do GRCorp traz vrios benefcios para a organizao: a) Preserva e aumenta o valor da organizao, mediante a reduo da probabilidade e/ou impacto de eventos de perda, combinada com a diminuio de custos de capital que resulta da menor percepo de risco por parte de nanciadores e seguradoras e do mercado em geral; b) Promove maior transparncia, ao informar aos investidores e ao pblico em geral os riscos aos quais a organizao est sujeita, as polticas adotadas para sua mitigao, bem como a eccia das mesmas; c) Melhora os padres de governana, mediante a explicitao do perl de riscos adotado, em consonncia com o posicionamento dos acionistas e a cultura da organizao, alm de introduzir uma uniformidade conceitual em todos os nveis da organizao, seu conselho de administrao e acionistas. Alm dos benefcios listados acima, a implementao de um modelo de GRCorp ecaz apresenta ainda vrios outros resultados positivos para a organizao: d) Desenho de processos claros para identicar, monitorar e mitigar os riscos relevantes; e) Aprimoramento das ferramentas de controles internos (sistemas de controles) para medir, monitorar e gerir os riscos; f) Melhoria da comunicao entre as reas da organizao; g) Identicao e priorizao dos riscos relevantes (exposio lquida, j considerando os impactos interrelacionados e integrados a diversos tipos de riscos); h) Denio de uma metodologia robusta para mensurar e priorizar riscos; i) Denio e implementao do modelo de governana para gerir a exposio (fruns de deciso, polticas e processos e denio de aladas);
13
j) Identicao de competncias para antecipar riscos relevantes e, se for o caso, mitig-los aps uma anlise custo-benefcio; k) Melhor entendimento do posicionamento competitivo da organizao; l) Promoo de transparncia para os stakeholders5, em relao aos fatores que possam valorizar ou prejudicar a organizao. Em resumo, o GRCorp preserva e agrega valor econmico organizao, contribuindo fundamentalmente para a realizao de seus objetivos e metas de desempenho, representando mais do que um mero conjunto de procedimentos e polticas de controle. Alm disso, facilita a adequao da organizao aos requerimentos legais e regulatrios, fatores crticos para sua perenidade.
5 Stakeholders - partes interessadas: pblicos relevantes com interesses pertinentes organizao, ou ainda, indivduos ou entidades que assumam algum tipo de risco, direto ou indireto, em face da organizao. So elas, alm dos acionistas, os funcionrios, clientes, fornecedores, credores, governos, entre outros.
14
Metodologia da Implantao
16 16 16 18 18 18 18 18 19 19 19 19 20 20 20 21 22 23 23 23 23 23 24 24 24 25 26
2.1 Identicao e Classicao dos Riscos 2.1.1 Associao com os Objetivos Estratgicos e Perl de Riscos 2.1.2 Categorizao dos Riscos 2.1.2.1 Origem dos Eventos 2.1.2.1.1 Riscos Externos 2.1.2.1.2 Riscos Internos 2.1.2.2 Natureza dos Riscos 2.1.2.2.1 Riscos Estratgicos 2.1.2.2.2 Riscos Operacionais 2.1.2.2.3 Riscos Financeiros 2.1.2.3 Exemplos de Tipos de Riscos 2.1.2.3.1 Tecnologia 2.1.2.3.2 Ambiental 2.1.2.3.3 Conformidade 2.2 Avaliao dos Riscos 2.3 Mensurao dos Riscos 2.4 Tratamento dos Riscos 2.4.1 Evitar o Risco 2.4.2 Aceitar o Risco 2.4.2.1 Reter 2.4.2.2 Reduzir 2.4.2.3 Transferir e/ou Compartilhar 2.4.2.4 Explorar 2.4.3 Preveno e Reduo dos Danos 2.4.4 Capacitao 2.5 Monitoramento dos Riscos 2.6 Informao e Comunicao
15
Utilizando-se da denio proposta pelo COSO II6, o GRCorp um processo desenhado para identicar e responder a eventos que possam afetar os objetivos estratgicos da organizao. Suas diretrizes devem ser estabelecidas pelo conselho de administrao e as aes decorrentes devem ser implementadas pelos gestores, com o objetivo de prover, com razovel segurana, a realizao das metas da organizao a partir de um adequado alinhamento da estratgia com o seu apetite a riscos. Em funo desta ampla denio h distintas metodologias e estruturas para o desenvolvimento e implantao do GRCorp. A bibliograa anexa inclui exemplos de metodologias e estruturas que atendem s boas prticas de GRCorp. O Guia se prope a apresentar aspectos relevantes destas metodologias e estruturas. Os aspectos referentes a estruturas adequadas e de como implementar um modelo de GRCorp so tratados no captulo 3. Neste captulo descrevem-se seis etapas fundamentais em uma metodologia de implantao de um modelo de GRCorp: identicao e classicao, avaliao, mensurao, tratamento, monitoramento, informao e comunicao dos riscos. Para mapear, analisar e principalmente tomar decises em termos de priorizao e alocao de recursos em consonncia com o gerenciamento de riscos, recomenda-se a categorizao destes eventos por natureza e origem (na etapa de identicao dos riscos) e por relevncia (nas etapas de avaliao e mensurao dos riscos), sempre associados aos objetivos estratgicos da organizao. Cabe realar que o processo de identicao de riscos (item 2.1) pode resultar na identicao de oportunidades, o que requer a participao de pessoas qualicadas, com viso holstica dos negcios da organizao nos seus diferentes nveis. Os riscos corporativos identicados devem ser conhecidos por toda a organizao e, portanto, devidamente comunicados pela alta administrao. Aps a identicao dos riscos, torna-se necessrio adotar uma mtrica que permita a avaliao da relevncia dos mesmos atravs de informaes relacionadas sua exposio e correspondentes fontes de incertezas. Para determinar a relevncia dos riscos deve-se avaliar seu impacto (no apenas no desempenho econmico-nanceiro do perodo, mas tambm o impacto intangvel) e a probabilidade de ocorrncia (item 2.2). Uma vez denidos os objetivos estratgicos da organizao, estes so traduzidos num conjunto de planos e metas organizados e ordenados de aes sob os pontos de vista fsico e econmico-nanceiro. O modelo de GRCorp deve buscar quanticar a incerteza envolvida neste planejamento econmico-nanceiro e projetar os resultados da empresa em cenrios alternativos de preos, condies macroeconmicas e operacionais (etapa de mensurao dos riscos item 2.3). Depois de avaliados e mensurados, deve-se definir qual o tratamento que ser dado aos riscos (item 2.4) e como os mesmos devero ser monitorados (item 2.5) e informados s diversas partes interessadas (item 2.6).
6 COSO - The Committee of Sponsoring Organizations of the Treadway Commission - entidade sem ns lucrativos dedicada, num primeiro momento, melhoria dos relatrios nanceiros atravs da tica, efetividade dos controles internos e governana corporativa. No COSO II amplia-se a abordagem para tratar do GRCorp - ver Anexo A.4.
16
2.1 Identicao e Classicao dos Riscos
Trata-se da denio do conjunto de eventos, externos ou internos, que podem impactar os objetivos estratgicos da organizao, inclusive os relacionados aos ativos intangveis7. importante ressaltar que sempre existiro riscos desconhecidos pela organizao. O processo de identicao e anlise geral de riscos deve ser monitorado e continuamente aprimorado. 2.1.1 - Associao com os Objetivos Estratgicos e Perl de Riscos Os objetivos estratgicos orientam como a organizao dever trabalhar para criar valor a todos que investiram na organizao, o que depende crucialmente do perl de riscos corporativos. A denio do perl de riscos prerrogativa do conselho de administrao que, por sua vez, reete a posio dos acionistas. O perl de riscos signica em quanta exposio ao risco se aceita incorrer, o que envolve tanto o nvel de apetite quanto o de tolerncia a riscos8. O perl de riscos dever estar reetido na cultura da organizao e, para isto, cabe ao conselho de administrao outorgar um mandato claro para a diretoria administr-lo. A implantao de um modelo de GRCorp requer o envolvimento ativo de ambos (conselho de administrao e diretoria), aprimorando o processo de tomada de deciso da organizao, tanto no contexto da elaborao do seu planejamento estratgico, como na sua execuo e monitoramento. Para determinar o perl de riscos de uma organizao so necessrias denies claras de indicadores de desempenho e ndices de volatilidade, divididos em dois grupos: um de natureza nanceira (valor de mercado, gerao de caixa operacional, distribuio de dividendos, etc.) e outro de natureza qualitativa (transparncia, idoneidade, reconhecimento de marca, ambiente de trabalho, responsabilidade socioambiental, etc.). 2.1.2 - Categorizao dos Riscos Dentre os vrios critrios alternativos para a classicao dos riscos, h dois componentes que se interrelacionam: Pessoas principalmente como causas e a Reputao principalmente como conseqncia do bom ou mau gerenciamento dos riscos. O risco associado s Pessoas um componente causal presente na grande maioria dos riscos da
7 Ativos intangveis podem ser entendidos como os ativos e mtodos responsveis pela diferena entre o market value (valor de mercado) e o book value (valor contbil) da organizao. So direitos, sem representao fsica, que do organizao uma posio exclusiva ou preferencial no mercado, ou seja, contribuem para o seu valor econmico. Exemplos: carteira de clientes, reputao, relacionamentos, imagem, processos, capacidade de inovao, softwares, marcas e patentes, direitos autorais, licenas, concesses, pesquisa e desenvolvimento, etc. 8 Enquanto apetite ao risco est associado ao nvel de risco que a organizao pode aceitar na busca e realizao de sua misso/ viso (anlise ex-ante), tolerncia ao risco diz respeito ao nvel aceitvel de variabilidade na realizao das metas e objetivos denidos (atividade mais associada ao monitoramento, ex-post).
17
organizao. Por exemplo, a falha na formulao de objetivos claramente entendidos, aceitos e positivamente concatenados dentro da organizao como um todo, um risco que acarreta perda de sinergia e valor empresarial. Por outro lado, a eccia e ecincia na formulao e/ou execuo desses objetivos acarretaro ganho de sinergia e de valor empresarial. Os eventos que podem atingir criticamente a Reputao da organizao em geral denominados risco reputacional ou de imagem na verdade no se constituem num tipo especco de risco, mas sim numa conseqncia do mau gerenciamento dos riscos que se torna pblico. Exemplo: o impacto negativo sofrido por uma empresa de marca valiosa acusada de prticas tais como o uso de material txico para produo de bens, contratao de fornecedores com prticas trabalhistas condenveis, etc. O impacto negativo sofrido por essa empresa, de marca forte, pode causar impacto positivo nas empresas concorrentes. No h um tipo de classicao de riscos que seja consensual, exaustivo e aplicvel a todas as organizaes; a classicao deve ser desenvolvida de acordo com as caractersticas de cada organizao, contemplando as particularidades da sua indstria, mercado e setor de atuao. Por exemplo: os estoques de materiais de consumo so menos relevantes para um banco do que para uma indstria, onde pode representar um dos principais fatores de risco. Analogamente, as variveis relacionadas ao risco de mercado9 so cruciais para um banco e podem no ser to relevantes para determinada organizao manufatureira. Uma das formas de categorizao dos riscos consiste em desenhar uma matriz que considere a origem dos eventos, a natureza dos riscos e uma tipificao dos mesmos, conforme ilustrado hipoteticamente na Figura 1 abaixo:
Tipos
Macroeconmico
Natureza dos Riscos

Estratgico Operacional Financeiro
o r i gem d o s even t os
Externo
Ambiental Social Tecnolgico Legal Financeiro
Interno
Ambiental Social Tecnolgico Conformidade
Figura 1: Exemplo de Categorizao de Riscos
9 Risco de mercado a denominao utilizada no sistema nanceiro para o tipo de risco associado a perdas no valor da carteira de ativos e passivos (incluindo derivativos) advindas de oscilaes de preos de aes, commodities, moedas e taxas de juros.
18
A classicao deve ser feita observando-se algumas diretrizes, normalmente encontradas na literatura sobre gerenciamento de riscos. 2.1.2.1 - Origem dos Eventos importante determinar a origem dos eventos (externos ou internos), pois auxilia na denio da abordagem a ser empregada por parte da organizao. 2.1.2.1.1 - Riscos Externos: so ocorrncias associadas ao ambiente macroeconmico, poltico, social, natural ou setorial em que a organizao opera. Exemplos: nvel de expanso do crdito, grau de liquidez do mercado, nvel das taxas de juros, tecnologias emergentes, aes da concorrncia, mudana no cenrio poltico, conitos sociais, aquecimento global, catstrofes ambientais, atos terroristas, problemas de sade pblica, etc. A organizao, em geral, no consegue intervir diretamente sobre estes eventos e ter, portanto, uma ao predominantemente reativa. Isto no signica que os riscos externos no possam ser gerenciados; pelo contrrio, fundamental que a organizao esteja bem preparada para essa ao reativa. 2.1.2.1.2 - Riscos Internos: so eventos originados na prpria estrutura da organizao, pelos seus processos, seu quadro de pessoal ou de seu ambiente de tecnologia. A organizao pode e deve, em geral, interagir diretamente com uma ao pr-ativa. 2.1.2.2 - Natureza dos Riscos Igualmente importante classicar a natureza dos riscos, o que permite sua agregao de uma forma organizada e de acordo com a sua natureza - estratgica, operacional ou nanceira - em funo da(s) rea(s) da organizao que (so) afetada(s) pelos eventos. Cabe mencionar que os riscos podem pertencer a categorias distintas e em alguns casos podero se encaixar em duas ou at mesmo em todas as categorias concomitantemente. Em alguns segmentos de negcio mais regulados, notadamente os bancos, o rgo regulador estabelece como boa parte dos riscos devem ser agrupados. 2.1.2.2.1 - Riscos Estratgicos Os riscos estratgicos esto associados tomada de deciso da alta administrao e podem gerar perda substancial no valor econmico da organizao10. Os riscos decorrentes da m gesto empresarial muitas vezes resultam em fraudes relevantes nas demonstraes nanceiras. Exemplos: falhas na antecipao ou reao ao movimento dos concorrentes causadas por fuses e aquisies; diminuio de demanda do mercado por produtos e servios da empresa causada por obsolescncia em funo de desenvolvimento de novas tecnologias/produtos pelos concorrentes.
10 Segundo o estudo Disarming the Value Killers (Deloitte, 2006), o risco estratgico o principal motivador para a perda de valor das aes do grupo de 100 empresas, entre as mil maiores organizaes globais, que registraram as maiores quedas no preo das aes em perodos de um ms, ao longo do decnio 1994-2003.
19
2.1.2.2.2 - Riscos Operacionais Os riscos operacionais esto associados possibilidade de ocorrncia de perdas (de produo, ativos, clientes, receitas) resultantes de falhas, decincias ou inadequao de processos internos, pessoas e sistemas, assim como de eventos externos como catstrofes naturais, fraudes, greves e atos terroristas. Os riscos operacionais geralmente acarretam reduo, degradao ou interrupo, total ou parcial, das atividades, com impacto negativo na reputao da sociedade, alm da potencial gerao de passivos contratuais, regulatrios e ambientais. 2.1.2.2.3 - Riscos Financeiros (mercado, crdito e liquidez) Os riscos nanceiros so aqueles associados exposio das operaes nanceiras da organizao. o risco de que os uxos de caixa no sejam administrados efetivamente para maximizar a gerao de caixa operacional, gerenciar os riscos e retornos especcos das transaes nanceiras e captar e aplicar recursos nanceiros de acordo com as polticas estabelecidas. So ocorrncias tais como a administrao nanceira inadequada, que conduz a endividamento elevado, podendo causar prejuzo frente exposio cambial ou aumentos nas taxas de juros, etc. Incluem-se neste grupo operaes no mercado de derivativos de commodities. Existem tambm outras categorias de risco descritas na literatura relacionadas combinao ou decorrncia de eventos e riscos j descritos, e que no foram gerenciados de forma adequada. comum que se destaque como uma das categorias principalmente na literatura dedicada ao cumprimento da Lei Sarbanes-Oxley (Anexo A4) o risco associado conabilidade das informaes transmitidas nos relatrios nanceiros divulgados pelas organizaes. igualmente relevante enfocar na qualidade das informaes que circulam internamente, destacando-se como categoria de risco as informaes para tomada de deciso (estratgicas, nanceiras e operacionais). Incertezas sobre a relevncia e a conabilidade nas informaes que do suporte ao processo decisrio, que devem estar disponveis no momento oportuno, podem ser fontes de risco. Deve existir, tambm, um adequado uxo de informaes que assegure alta administrao que nenhuma informao relevante deixou de ser considerada. 2.1.2.3 Exemplos de Tipos de Riscos Essa tipicao visa assegurar a denio de uma linguagem comum de riscos dentro da organizao, considerando uma descrio ampla dos tipos de risco. Como ilustrao, citam-se alguns exemplos abaixo: 2.1.2.3.1 - Tecnologia: representado por falhas, indisponibilidade ou obsolescncia de equipamentos e instalaes produtivas ou fabris, assim como de sistemas informatizados de controle, comunicao, logstica e gerenciamento operacional, que prejudiquem ou impossibilitem a continuidade das atividades regulares da organizao, ao longo da sua cadeia de valor (clientes, fornecedores, parceiros e unidades regionais). Pode estar tambm associado a erros ou fraudes, internas ou externas, nos sistemas informatizados ao capturar, registrar, monitorar e reportar corretamente transaes ou posies.
20
2.1.2.3.2 - Ambiental: associado gesto inadequada de questes ambientais, causando efeitos como: contaminao de solo, gua ou ar, decorrente da disposio inadequada de resduos, ou levando a acidentes com vazamento de produtos txicos. Nesses casos, a empresa se v impedida de operar at que a causa do dano ambiental seja remediada, podendo inclusive ser acionada por terceiros em funo de lucro cessante, ou tendo que arcar com esforo adicional de reparar o prejuzo causado s comunidades do entorno. Os riscos ambientais no se resumem a catstrofes ou desastres ambientais, mas tambm ao potencial de efeitos decorrentes do aquecimento global sobre os negcios, que podem inviabilizar novos empreendimentos ou a expanso da capacidade produtiva. 2.1.2.3.3 - Conformidade: relacionado falta de habilidade ou disciplina da organizao para cumprir com a legislao e/ou regulamentao externa aplicveis ao negcio e s normas e procedimentos internos. Por incluir as normas e procedimentos internos, apresenta um contexto mais amplo do que o tipo de risco mais usualmente citado, o risco legal/regulatrio, decorrente da aplicao da legislao trabalhista, tributria, scal, referentes a relaes contratuais, regulamentao de mercado e de prestao de servios.
2.2 Avaliao dos Riscos
Para se denir qual o tratamento que ser dado a determinado risco, o primeiro passo consiste em determinar o seu efeito potencial, ou seja, o grau de exposio da organizao quele risco. Esse grau leva em considerao pelo menos dois aspectos11: a probabilidade de ocorrncia e o seu impacto (em geral medido pelo impacto no desempenho econmico-nanceiro do perodo). Deve-se incorporar tambm o impacto intangvel anlise (Figura 2). A quanticao do grau de exposio nem sempre trivial, podendo haver interdependncia entre os riscos em dois nveis: a) os eventos podem no ser independentes; b) um determinado evento pode gerar impactos mltiplos, ou seja, efeitos sobre diferentes tipos de riscos, em diversas reas. Neste caso, o grau de exposio ir depender do impacto nanceiro consolidado e da probabilidade conjunta de todos os eventos e deve ser medido quantitativamente de acordo com a metodologia proposta no item 2.3. Para o caso de eventos independentes que tenham efeito sobre uma nica rea como a maior parte dos riscos operacionais - o grau de exposio nanceira calculado simplesmente pelo valor aproximado do impacto nanceiro multiplicado pela probabilidade de ocorrncia do evento. Os riscos associados a estes eventos podem ser controlados para cada processo isoladamente. Incorpora-se ainda na abordagem o impacto intangvel de cada um dos processos, tal como ilustrado nas guras ao lado.
11 Metodologias especializadas consideram trs como sendo os aspectos fundamentais para uma boa anlise da importncia e priorizao do controle de risco: capacidade de deteco e/ou preveno, probabilidade e impacto.
21
Grco A
Exposio Financeira Exposio inaceitvel Exposio Financeira
Grco B
Exposio Final
Impacto do evento
Mdia
Alta
Exposio aceitvel Probalidade de ocorrncia
Baixa
Baixo
Mdio
Alto
Figura 2 Exemplo Ilustrativo de Mapa de Avaliao dos Riscos
O Grco A, Exposio Financeira, representa o espao no qual so expostos os eventos de riscos identicados em funo do nvel da probabilidade de ocorrncia (eixo horizontal) e do valor do impacto do evento (eixo vertical). Os tons denotam o grau de importncia que se deve dar a cada um dos eventos em funo da regio que ocupam no grco (um evento de alta probabilidade e alto impacto se dispe na regio escura, devendo ser monitorado com muito cuidado). No Grco B, Exposio Final, a exposio nanceira mensurada no eixo vertical j o resultado do impacto multiplicado pela probabilidade (Grco A). A partir de ento, incorpora-se o impacto intangvel de cada um dos eventos. O evento 1, que numa primeira anlise foi classicado como de mdia importncia (regio intermediria no Grco A), caso tenha um impacto intangvel alto, passa a se enquadrar na regio escura no Grco B, pois a Exposio Final (Exposio Financeira + Impacto Intangvel) considerada alta. A elaborao de um Mapa de Avaliao dos Riscos, tal como ilustrado na gura 2, uma etapa fundamental na priorizao do gerenciamento de riscos e na denio de tratamento que deve ser dado a cada um dos riscos identicados (vide item 2.4).
2.3 Mensurao dos Riscos (clculo do impacto nanceiro consolidado)
Uma primeira abordagem para o gerenciamento de riscos pode adotar uma viso mais qualitativa sobre os objetivos estratgicos da organizao e os impactos dos eventos de riscos sobre eles (avaliao aproximada da exposio alta, mdia ou baixa, tal como ilustrado na Figura 2). Entretanto, uma vez denido o direcionamento estratgico da organizao, este pode ser traduzido em termos quantitativos (objetivos, indicadores de desempenho e metas nanceiras) que orientaro o seu planejamento (projeo do oramento e do plano plurianual). A atividade de planejamento envolve detalhar, alm de outros dados, as receitas e as despesas operacionais, os custos, investimentos e o uxo de caixa projetado. Para isto necessrio que se projetem cenrios sobre as tendncias de mercado, trajetrias das variveis macroeconmicas e nanceiras, bem como as premissas operacionais. Consolida-
22
se, assim, um conjunto organizado e ordenado de planos e metas das aes, sob o ponto de vista fsico, econmico e nanceiro. O modelo de GRCorp deve buscar quanticar as incertezas envolvidas na fase de planejamento e projetar os resultados da organizao em cenrios alternativos de preos, condies macroeconmicas e operacionais. O impacto nanceiro consolidado dos riscos na organizao pode ser medido quantitativamente em termos da variao potencial do seu valor econmico, uxo de caixa e resultado econmico, atravs de uma metodologia que se denomina planejamento sob incerteza. Para viabilizar tal quanticao necessrio que a organizao (i) tenha o seu negcio modelado em alguma ferramenta que possibilite simulaes e (ii) seja capaz de gerar cenrios das principais variveis e consistentes entre si. A modelagem passa pela identicao detalhada de cada um dos fatores que afetam as transaes e indicadores de desempenho da organizao, incluindo todos os tipos de riscos identicados, e pela determinao da dinmica de impacto de cada uma das operaes nas contas de resultados. A gerao de cenrios envolve o conhecimento e previses de cada rea estratgica da organizao e deve expressar a evoluo conjunta das variveis. A rea nanceira pode traar previses para as variveis macroeconmicas; a rea de crdito, para a inadimplncia de cada tipo de cliente; a rea comercial, para as vendas; e estas, em conjunto com a de planejamento, para os preos, ndices de consumo, ecincia, capacidade, etc. Associando-se probabilidades aos cenrios gerados, possvel quanticar o risco e estimar a probabilidade de que qualquer mtrica de desempenho que abaixo das metas oradas em cada perodo (ex.: gerao ou necessidade de caixa, resultado contbil, etc.). recomendvel buscar a identicao e o gerenciamento dos riscos integralmente, no apenas os riscos isolados, mas tambm os riscos mltiplos e comuns a diferentes reas12. O processo de GRCorp passa a envolver, a partir de ento: o monitoramento das exposies, a avaliao antecipada do impacto de novas operaes ou diferentes cenrios de mercado e a comparao com os resultados efetivos, para identicao das fontes de desvio e reavaliao do modelo. Obtm-se, assim, maior autoconhecimento e, conseqentemente, um processo decisrio antecipado de reduo de perdas e aumento de ganhos, como tambm uma previsibilidade maior para os resultados futuros da organizao.
2.4 Tratamento dos Riscos13
Depois de identicados, avaliados e mensurados, deve-se denir qual o tratamento que ser dado aos riscos. Na prtica, a eliminao total dos riscos impossvel. Nesse contexto, a elaborao de um mapa de riscos (tal como o esboado na Figura 2) apia a priorizao e visa direcionar os esforos relativos a novos projetos e planos de ao elaborados, a m de minimizar os eventos que possam afetar adversamente e maximizar aqueles que possam trazer benefcios para a organizao. recomendvel alinhar a estrutura de controles
12 Para efeito de ilustrao de uma situao em que os impactos so mltiplos, podemos avaliar o efeito do evento variao da cotao do dlar em uma organizao que tenha tanto contratos comerciais quanto nanceiros dolarizados. Caso haja aumento da cotao da moeda norte-americana, tanto o contrato nanceiro como o comercial sero afetados e deve-se determinar a exposio consolidada da organizao taxa de cmbio, que no independente de outros eventos, tais como mudanas na trajetria da taxa de juros, no preo da matria-prima, preo do produto vendido, etc. 13 Os termos tratamento dos riscos ou resposta aos riscos so usados indistintamente ao longo deste guia.
23
internos aos objetivos estratgicos e ao nvel de exposio desejado pela organizao. A alta administrao poder determinar seu posicionamento frente aos riscos, considerando seus efeitos, grau de averso e resposta, complementada por uma anlise de custo-benefcio. As vrias alternativas para tratamento dos riscos so descritas abaixo, iniciando-se pelo dilema bsico: evitar ou aceitar o risco. 2.4.1 - Evitar o Risco: deciso de no se envolver ou agir de forma a se retirar de uma situao de risco. Exemplo: uma organizao decide se desfazer de uma unidade de negcios. 2.4.2 - Aceitar o Risco: neste caso, apresentam-se quatro alternativas: reter, reduzir, transferir/ compartilhar ou explorar o risco. 2.4.2.1 - Reter: manter o risco no nvel atual de impacto e probabilidade. Exemplo: a diretoria da empresa decide nada investir em melhorias da rea de informtica, assumindo que as perdas e erros atualmente sabidos e esperados de informaes internas para o processo de deciso e de gesto so (riscos) tolerveis. 2.4.2.2 - Reduzir: aes so tomadas para minimizar a probabilidade e/ou o impacto do risco. Exemplo: uma organizao nanceira identicou e avaliou o risco de seus sistemas permanecerem inoperantes por um perodo superior a trs horas e concluiu que no aceitaria o impacto dessa ocorrncia. A organizao investiu no aprimoramento de sistemas de auto-deteco de falhas e de backup para reduzir a probabilidade de indisponibilidade do sistema. 2.4.2.3 - Transferir e/ou Compartilhar: atividades que visam reduzir o impacto e/ou a probabilidade de ocorrncia do risco atravs da transferncia ou, em alguns casos, do compartilhamento de uma parte do risco. Exemplo: uma concessionria de energia eltrica identicou e avaliou os riscos de falhas naturais com danos eltricos em seus equipamentos turbo-geradores e de potncia de grandes usinas. Aps analisar a melhor estratgia a ser adotada no que tange s despesas possveis com franquia vis--vis os prmios de risco a serem contratados, constitui-se um seguro destes equipamentos junto ao mercado, transferindo este risco operacional categorizado como de alto impacto e baixa freqncia, inerente ao processo de operao e manuteno. Devem ser transferidos por meio de seguro os riscos tidos como catastrcos (riscos de baixa freqncia e alta severidade), os riscos de alta freqncia que provoquem cumulativamente perdas relevantes e todos aqueles cujo custo de transferncia seja inferior ao custo de reteno. Os custos de seguro obtidos no mercado podem subsidiar a deciso sobre reteno versus transferncia dos riscos. Alm de identicar os riscos que deseja transferir, os gestores de seguros precisam conhecer profundamente a dinmica das operaes da organizao e o uxo de informaes que garantir a adequao do contrato de seguro por toda a vigncia das aplices, normalmente de
24
12 meses. A transferncia do risco no necessariamente elimina todas as potenciais perdas e, por isto, necessrio dispor de um adequado plano de contingncia (Anexo B). 2.4.2.4 - Explorar: aumentar o grau de exposio ao risco na medida em que isto possibilita vantagens competitivas. Exemplo: uma empresa produtora de petrleo usa as informaes sobre o mercado futuro para especular no mercado de derivativos, aumentando sua exposio ao preo da commodity. 2.4.3 - Preveno e Reduo dos Danos Os riscos podem ser reduzidos pela preveno diminuio da probabilidade de ocorrncia e/ou diminuio do impacto nanceiro esperado sobre a organizao, caso o evento ocorra e/ou pela remediao controle dos danos aps a ocorrncia do evento. Para o risco cujo impacto possa afetar adversamente a continuidade da operao, faz-se necessria a elaborao de um plano de contingncia adequado e continuamente testado. Ainda mais amplo do que um plano de contingncia, as organizaes devem avaliar a adoo de uma metodologia para a Gesto da Continuidade de Negcios (Anexo B). As decises sobre evitar, reter, reduzir, transferir ou explorar riscos esto baseadas na avaliao do impacto dos mesmos sobre os indicadores de desempenho escolhidos e sobre a imagem da organizao vis--vis os custos de se estabelecerem controles internos. Um dos objetivos da GRCorp buscar um nvel confortvel e balanceado de reteno, reduo, explorao e transferncia de riscos, adequado a seu apetite denido estrategicamente, envolvendo os objetivos, os riscos respectivos e os controles internos. Da mesma forma, pode haver critrios distintos para enfocar o conceito e prticas de controles internos, que quando acentuados podem gerar custos, muitas vezes excessivos. Na questo do equilbrio riscos versus controles versus custos, so muito utilizadas as melhores prticas aplicveis aos tipos especcos ou categorias de risco, segmento de negcios ou tecnologias em questo. As melhores prticas so geradas e disseminadas por institutos independentes, internacionais ou nacionais, associaes de indstria ou prossionais e organismos de normatizao e por entidades regulatrias, tais como as citadas nos Anexos. Desta forma, a organizao ter uma resposta especca para cada evento signicativo. Devero ser avaliados e monitorados os impactos positivos e negativos da ocorrncia dos eventos, considerando: Risco inerente: risco natural; ausncia de qualquer ao que a direo possa realizar para alterar a probabilidade de ocorrncia ou de impacto. Risco residual: resultante do processo de tomada de aes e aplicao das melhores prticas de controles internos ou da reposta da organizao ao risco. 2.4.4 Capacitao Na avaliao dos riscos deve-se considerar a capacitao da organizao em lidar com os mesmos, o que signica ser capaz de identic-lo, antecip-lo, mensur-lo, monitor-lo e, se for o caso, mitiglo. Como exemplo, um incndio pode ser classicado como um evento de alta magnitude para uma organizao do setor orestal. Porm, se a organizao possui forte capacitao interna para prevenir e
25
controlar um incndio, o evento, inicialmente classicado como de alto impacto, pode ser reclassicado para mdio ou baixo impacto. A avaliao da capacitao se d em duas dimenses principais: pessoas e processos. O exerccio de avaliao de capacitao requer uma anlise comparativa s melhores prticas, com a identicao de eventuais lacunas de capacitao. Uma vez denido o grau de tolerncia ao risco da organizao, deve-se adotar um plano de ao para eliminar as lacunas inaceitveis para assegurar um gerenciamento de riscos ecaz.
2.5 Monitoramento dos Riscos
Cabe alta administrao a avaliao contnua da adequao e da eccia de seu modelo de GRCorp. Este deve ser constantemente monitorado, com o objetivo de assegurar a presena e o funcionamento de todos os seus componentes ao longo do tempo. O monitoramento regular ocorre no curso normal das atividades gerenciais. J o escopo e a freqncia de avaliaes ou revises especcas dependem, normalmente, de uma avaliao do perl de riscos e da eccia dos procedimentos regulares de monitoramento. Vulnerabilidades e decincias no GRCorp devem ser relatadas aos nveis superiores de gesto e, dependendo da gravidade, reportadas alta administrao. De um modo geral, os controles internos se estruturam em controles gerais e atividades de controles especcos, como por exemplo, reconciliaes e conrmaes de posies ou uxos contbeis, procedimentos de testes, etc. Uma das metodologias para dar suporte a este processo de avaliao o uso de Matrizes de Controles de Riscos, que evidenciam os objetivos e os riscos associados. Estas atividades de controle tm o propsito de determinar em que proporo, atravs de distintos atributos, os objetivos considerados relevantes pela administrao esto sendo efetivamente gerenciados. A alta administrao deve dedicar especial ateno e fornecer diretrizes que orientem:14 a extenso e o contedo da documentao formal relativa a GRCorp na organizao: manuais de polticas e procedimentos, organogramas, descries de funes e responsabilidades, instrues operacionais, diagramas de uxo, resultados de avaliaes, anlises e testes realizados; o relato, a documentao interna e externa (quando aplicvel) de decincias encontradas, assim como, o respectivo nvel de ameaa ou exposio, percebida, potencial ou real, e oportunidades associadas para reforo ou reviso dos controles utilizados; e o contedo dos relatrios relativos a GRCorp e os nveis de informao estratgica: signicncia de problemas ou fatos anormais, princpios da cultura, implicaes prticas e comportamentais, informao aos nveis superiores, laterais, diretoria, conselho de administrao, comit de auditoria, auditores e outras entidades externas.
14 Exemplos prticos, tabelas e relatrios tpicos, relativos ao tpico Monitoramento podem ser encontrados no COSO II, Application Techniques, 09/2004, pp. 85-91. Aos conselheiros e executivos interessados em um aprofundamento no tema gerenciamento de riscos corporativos, no que tange a papis e responsabilidades especcas tpicas, recomenda-se a leitura dos Captulos 10 (Roles and Responsibilities) e 11 (Limitations of Enterprise Risk Management) do mesmo documento.
26
2.6 Informao e Comunicao
A comunicao gil e adequada com as diversas partes interessadas, acionistas, reguladores, analistas financeiros e outras entidades externas tem a finalidade de permitir avaliaes mais rpidas e objetivas a respeito dos riscos a que est exposta a organizao. O contedo da comunicao com o ambiente externo e interno reflete as polticas, a cultura e as atitudes desejadas e valorizadas pela alta administrao. Devem ser veiculadas a losoa e a abordagem do GRCorp na organizao, assim como delegaes claras de responsabilidade e autoridade. A divulgao de processos e procedimentos deve alinhar atitudes e reforar a cultura da organizao. Mecanismos devem ser implementados e geridos de modo a estimular, e no a reprimir, a comunicao de desvios ou suspeitas de violaes dos cdigos de conduta ou dos princpios de ordem tica da organizao por todos os colaboradores, como por meio de exemplos e pelo reforo de atitudes positivas pela alta administrao. Entre outros aspectos, devem ser veiculados de forma ecaz: A importncia e a relevncia de um gereciamento efetivo dos riscos corporativos; Os objetivos da organizao neste domnio; O apetite e a tolerncia a riscos da empresa; Uma linguagem comum para o assunto riscos; As funes e responsabilidades dos diferentes componentes do modelo de GRCorp. O sistema de GRCorp exerce um papel fundamental como instrumento para a homogeneizao de linguagem, possibilitando: (i) relatrios direcionados para os diversos nveis de gesto; (ii) e o estabelecimento de um canal claro de comunicao, em duas vias, entre a diretoria e o conselho de administrao. Este canal o instrumento pelo qual o conselho ir orientar a gesto da diretoria em termos de limites de exposio ao risco e tambm receber anlises qualitativas e quantitativas quanto aos riscos identicados, oportunidades e retornos esperados das diversas operaes sob anlise. Com relao comunicao externa, o aumento da transparncia para o mercado sobre os mecanismos de gerenciamento de riscos adotados pela organizao constitui-se num diferencial, mesmo quando se trata de uma obrigao legal. Deve-se considerar que entidades regulatrias do exterior e do Brasil (SEC - Securities and Exchange Commission, CVM - Comisso de Valores Mobilirios, Banco Central do Brasil, etc.) estabelecem nveis de divulgaes em notas explicativas s demonstraes nanceiras sobre gerenciamento de riscos de um modo amplo ou sobre determinadas contas ou transaes15.
15 Exemplos prticos, tabelas, relatrios, diagramas e grcos tpicos, relativos ao tpico Informao e Comunicao, tambm podem ser encontrados no documento COSO II, 2004, pp.67-84.
27
3
Implementao e Estruturas Adequadas para o Gerenciamento de Riscos
3.1 Arquitetura para o GRCorp 3.1.1 Processos Crticos (para o GRCorp) 3.1.2 Governana de Gerenciamento de Riscos 3.1.3 Organizao e Pessoas 3.1.4 Sistemas de Controle 3.1.5 Comunicao 3.2 Estrutura Funcional 3.3 O Gerenciamento de Riscos e o Conselho de Administrao 28 29 29 29 29 30 30 30
28
Implementao e Estruturas Adequadas para o Gerenciamento de Riscos
No existe uma nica forma para implementar um modelo de GRCorp, nem uma nica estrutura adequada para tal, dependendo de uma anlise custo-benefcio em funo do porte, especicidades e nvel de complexidade de cada organizao. Uma organizao que lida fortemente com commodities negociadas em bolsa de valores e que apresenta uma gesto ativa do seu caixa, ou uma estrutura complexa de dvidas e operaes envolvendo o mercado de derivativos, por exemplo, pode requerer sistemas de controle de riscos nanceiros sosticados.16 Por outro lado, para fazer frente aos riscos operacionais, no se pode comparar os esforos e recursos que uma grande empresa sujeita adoo da Lei Sarbanes-Oxley (SOX)17 com as exigncias e necessidades das pequenas empresas. O importante introduzir na organizao a prtica de tratar crtica, qualitativa e quantitativamente os riscos, identicando-os, avaliando-os, tratando-os e calculando seus impactos de uma forma integrada. A implantao de um modelo de GRCorp um processo de longa durao, que deve ser continuamente aprimorado, dinmico, interativo e integrado ao processo de planejamento estratgico da organizao. O item 3.1 trata da implementao do modelo de GRCorp, descrevendo a formulao da arquitetura para o GRCorp. O item 3.2 aborda algumas tendncias em termos de estrutura funcional e o item 3.3 revisa o papel do conselho de administrao no processo de GRCorp.
3.1 Arquitetura para o GRCorp
Para implantar um modelo de GRCorp e promover uma cultura de gerenciamento de riscos na organizao deve-se elaborar uma arquitetura para facilitar e viabilizar o gerenciamento do risco propriamente dito, cuja concepo e implementao trazem inmeros benefcios para a organizao, tais como: Aderncia dos processos internos ao perl de riscos estabelecido pelo conselho de administrao; Clareza quanto s regras de governana para gerir a exposio; Endereamento de lacunas de capacitao de pessoas, processos e sistemas; Implementao de sistemas de controles ecazes.
16 Ver Anexo A.2. 17 Ver Anexo A.4.
29
Pode-se dividir a formulao da arquitetura para o GRCorp em cinco dimenses distintas que devem girar em torno e se condicionar aos objetivos estratgicos e metas de desempenho da organizao. Abaixo, listam-se as questes que devem ser abordadas com referncia aos objetivos e metas e em cada uma das dimenses da arquitetura de risco identicadas: Objetivos estratgicos e metas de desempenho: Os objetivos estratgicos e metas de desempenho esto denidos, comprometidos e gerenciados? A gesto dos objetivos e das metas estratgicas norteia as prioridades dos riscos, seus respectivos controles e dos demais componentes da arquitetura de risco? As mudanas no ambiente de negcios so antecipadamente gerenciadas em termos de objetivos, metas, riscos e controles? 3.1.1 Processos Crticos (para o GRCorp) a) Quais so os macroprocessos identicados como relevantes na fase de levantamento dos riscos? b) Quais so os princpios que iro nortear eventual redesenho dos processos? c) Qual o mecanismo para se descontinuar e/ou criar processos novos a partir da implantao do modelo de GRCorp? d) Quais so as aes crticas para mitigar os riscos relevantes? 3.1.2 Governana de Gerenciamento de Riscos (ver 3.3) a) Quais so os fruns de deciso envolvidos? b) Quais so os papis e responsabilidades desses fruns? c) Qual a composio desses fruns? d) Quais so as aladas? e) Quais so as polticas necessrias para tomada de deciso gil e ecaz? 3.1.3 Organizao e Pessoas a) Existem as capacitaes necessrias? Quais so as lacunas? Como endere-las? b) O modelo organizacional facilita a identicao, monitoramento e mitigao dos riscos relevantes? c) Como est sendo tratada a questo da sucesso de postos/pessoas-chave na organizao? 3.1.4 Sistemas de Controle a) Existem controles adequados para mensurar a exposio? b) Os relatrios gerenciais facilitam a identicao, monitoramento e mitigao dos riscos? c) Os sistemas de TI (Tecnologia da Informao) so adequados?
30
3.1.5 Comunicao a) H comunicao adequada com os colaboradores? b) Existe uniformidade conceitual quanto ao modelo de GRCorp? c) O perl de riscos e seus benefcios esto devidamente comunicados para a organizao? d) H um claro alinhamento entre o perl de riscos e os valores e cultura corporativa? e) As responsabilidades e direitos decisrios esto devidamente explicitados e comunicados? f) H comunicao adequada com os stakeholders externos?
3.2 Estrutura Funcional
Existem vrias alternativas para a construo de uma estrutura de gerenciamento de riscos e cada organizao dever desenhar aquela mais adequada ao seu perl. Observa-se, no entanto, a tendncia pela criao de uma unidade responsvel por esta nova funo. O gerenciamento dos riscos de um determinado processo uma atividade a ser atribuda aos gestores desse processo, cabendo unidade executiva responsvel pelo GRCorp integrar e orientar os vrios esforos, bem como interagir com a alta administrao. Esta unidade executiva pode ser um departamento, ncleo, rea18 ou unidade funcional composta por representantes de diversas reas (comit)19. Caso se crie um comit executivo para o gerenciamento de riscos, este deve ter funo ativa no processo decisrio dirio da organizao, apoiando a tomada de decises mais difceis ou complexas. Sugerese que o comit executivo seja coordenado pelo presidente ou diretor executivo da organizao e tenha como membros o diretor nanceiro, os diretores operacionais, assessores e outros responsveis pelas reas envolvidas com riscos. Esta composio depende do nvel de complexidade das operaes da organizao. importante realar a distino entre as funes deste comit executivo para o gerenciamento de riscos e as funes de um comit de riscos do conselho de administrao. Este ltimo teria uma abordagem mais vinculada estratgia da organizao, sendo que em alguns casos o comit de auditoria assume esta funo. Ver Anexo C.
3.3 O Gerenciamento de Riscos e o Conselho de Administrao
O conselho de administrao deve ser o responsvel por determinar os objetivos estratgicos e o perl de riscos da organizao. Denir seu perl consiste em identicar o grau de apetite a riscos da organizao, bem como as faixas de tolerncia a desvios em relao aos nveis de riscos determinados como aceitveis. O conselho de administrao deve estabelecer tambm a poltica de responsabilidade da diretoria em: (i) avaliar a quais riscos a organizao pode car exposta; e (ii) desenvolver procedimentos para administr-los. O papel fundamental de implementar uma slida estrutura de gerenciamento de riscos e controle
18 Nas pequenas e mdias empresas, a funo pode ser exercida por uma nica pessoa. 19 Os comits (do conselho de administrao) se propem a estudar assuntos de sua competncia e preparam propostas para o conselho de administrao, do qual normalmente fazem parte. muito comum existirem nas organizaes diversos comits executivos que, no necessariamente, contam com a presena de membros do conselho de administrao.
31
delegado aos gestores, com o comit de auditoria (ou instncia que desempenha sua funo), em nome do conselho de administrao, exercendo a funo de superviso. Como ponto de partida para anlise do modelo de GRCorp praticado atualmente pela organizao, ou para institu-lo, sugere-se que o conselho de administrao discuta o tema com a diretoria, abordando pontos tais como os elencados a seguir. Este item serve, desta forma, como uma concluso, ao revisar os temas abordados ao longo do Guia (em seguida a cada pergunta sugerida, feita referncia ao item correspondente neste guia). Em um primeiro momento deve-se indagar sobre itens que revelem o escopo e a maturidade do modelo de GRCorp existente na organizao, conforme sugerido a seguir: a) A organizao considera os riscos de maneira global e integrada ao planejamento estratgico? (vide 2.1.1) b) Os riscos so considerados de maneira ampla (no apenas os riscos nanceiros)? (vide 2.1.2) c) Os ativos intangveis so considerados (ex: reputao)? (vide 2.1.2) d) Que mtodos e ferramentas utilizam? (vide 2.3 e 2.4.3) e) Como se controlam os riscos nanceiros? (vide 2.3 e Anexo A.2) f) A organizao tem o gerenciamento de riscos como parte integrante da agenda de seus gestores e comits? (vide 3.2) g) A quem a gerncia/unidade de risco se reporta? (vide 3.2) h) Como disseminada a cultura de gerenciamento de riscos? (vide 2.6) i) As pessoas-chave so preparadas e cumprem seus papis? (vide 2.4.4 e 3.1.3) Com base na realidade identicada atravs das perguntas acima, o Conselho de Administrao e/ou Comit de Auditoria deve questionar a respeito de aspectos mais especcos, tais como: j) Quais so os relatrios produzidos e quem os recebe? (vide 2.6) k) Que controles so realizados? (vide 2.5) l) O conselho de administrao e/ou comit de auditoria recebe relatrios peridicos abordando os riscos e sua evoluo? (vide 2.6 e 3.2) m) Quais so os principais riscos identicados? (vide 2.1) n) Qual o tratamento dado a tais riscos? (vide 2.4) A partir das respostas aos questionamentos, o conselho de administrao deve avaliar junto diretoria quais os assuntos relativos ao modelo de GRCorp que devem ser levados ao conselho. Os membros do conselho, por sua vez, devem fazer uma reexo conjunta sobre o processo relativo ao GRCorp mais adequado organizao, respondendo s seguintes questes: o) Quais riscos devem ser levados ao conselho de administrao e ao comit de auditoria? p) Quais temas merecem uma discusso aprofundada? q) avaliada a relao entre risco e oportunidade? r) Qual deve ser o apetite a riscos da organizao (principalmente com relao aos riscos estratgicos e nanceiros)?
32
s) Como so estabelecidos os limites de tolerncia a riscos que pautam os controles e a superviso das operaes? t) O conselho de administrao reete explicitamente sobre riscos em seus processos decisrios? Essas reexes so necessrias para que os membros do conselho de administrao, alm de evitar penalidades e conseqncias danosas organizao e aos seus prprios membros, atentem para os riscos que devem ser por ele analisados e para o seu papel dentro da estrutura de GRCorp da organizao, uma vez que a preocupao com riscos fundamental para que ele cumpra bem a sua misso de proteger e valorizar o patrimnio, bem como maximizar o retorno do investimento (conforme item 2.3 do Cdigo do IBGC).
33
4
Referncias
4.1 Literatura Relacionada 4.1.1 Livros 4.1.2 Artigos e Documentos Tcnicos 4.1.3 Algumas Normas Relacionadas ao Tema 4.1.4 Alguns Websites Relacionados ao Tema 34 34 34 35 36
34
Referncias
BASILIA II (Basel II): International Convergence of Capital Measurement and Capital Standards: A Revised Framework, 2005. Disponvel em: http://www.bis.org . BERNSTEIN, P. Desao aos deuses: a fascinante histria do risco, 3a edio,Campus, Rio de Janeiro, 1996. COSO Report, Internal Control Integrated Framework, 1997. Disponvel em: http://www.coso.org COSO II, ERM - Enterprise Risk Management, 2004. Disponvel em: http://www.erm.coso.org DELOITTE Research, Disarming the Value Killers, 2005. Disponvel em: http://www.deloitte.com/dtt/article/ 0,1002,sid%253D2002%2526cid%253D72667,00.html. Consulta em 05/10/2006. GALESNE, F. e LAMB, R., Decises de Investimentos da Empresa, Atlas, 1999. IBGC, Cdigo das Melhores Prticas de Governana Corporativa, 3 edio. So Paulo, 2004. SARBANES-OXLEY ACT, Public Company Accounting Reform and Investor Protection Act of 2002, EUA, 2002.
4.1 Literatura Relacionada
4.1.1 - Livros BARALDI, P. Gerenciamento de Riscos Empresariais. Rio de Janeiro: Elsevier (Editora Campus), 2 edio revista e ampliada, 2005. BREALEY, R. e MYERS, S., Financiamento e Gesto de Risco, Bookman, 2005. BRIGHAM, E.F., GAPENSKI, L.C. e EHRARDT, M.C., Administrao Financeira, Teoria e Prtica, Atlas, 2001. CROUHY M., GALAI D., MARK R., Gerenciamento de risco: abordagem conceitual e prtica: uma viso integrada dos riscos de crdito e de mercado. Rio de Janeiro: Qualitymark: So Paulo: SERASA, 2004. FABER, M., MANSTETTEN, R. e PROOPS, J., Ecological economics: concepts and methods. Cheltenham: Edward Elgar Publishing Ltd. 1996. GRINBLAT, M. e TITMAN, S., Mercados Financeiros e Estratgia Corporativa, Bookman, 2005. JORION, P., Value-at-Risk: A nova fonte de referncia para a gesto do risco nanceiro, BM&F, 2003. NEIL D., Integrated Risk Management: Techniques and Strategies for Managing Corporate Risk, 1 Edio, Mc Graw Hill. SCOTT H., Risk Management and Insurance, 2 Edio, Mc Graw Hill. VAUGHAN E., VAUGHAN T., Fundamentals of Risk and Insurance, 9 Edio, Wiley, 2003. 4.1.2 - Artigos e Documentos Tcnicos BACCI, L. C., Gerenciamento corporativo de riscos. So Paulo: TCC/FGV, 2003. COCURULLO, A., COSO Report e ERM Comparao entre duas metodologias. Risk Update, 10 Edio, ano 2, janeiro de 2006. ______, Gesto de riscos corporativos, 3 Edio, So Paulo: Scortecci, 2004. 230 p., ISBN 85-7372-766-7
35
COCURULLO, A., VANCA, P., A importncia da gesto de riscos nos processos de auditoria. So Paulo: IBRACON - no. 286 mai./jun. 2002 CARVALHO, E.J.L, FMEA: Metodologia para Auto Avaliao - Risco Operacional. Risk Update, 8 Edio, ano 1, outubro de 2005. DELOITTE (Consultas em 05/10/2006), When Corporate Risk Becomes Personal, Corporate Board Member, Special Supplement, 2005. Disponvel em: http://www.deloitte.com/dtt/article/ 0,1002,sid%253D5604%2526cid%253D91334,00.html. Publicado em 08/02/2006 - site EUA. ______, Value-Based EnterpriseRisk Management, Deloitte Consulting, September 2005. http://www. deloitte.com/dtt/article/0,1002,sid%253D2132%2526cid%253D94647,00.html. Publicado em 14/02/2006 - site EUA. ______, ERA - A Guide to Risk in the Organization for the C-Suite and the Boardroom, Deloitte, August 2005. Disponvel em: http://www.deloitte.com/dtt/article/0,1002,sid=2132&cid=99958,00.html. Publicado em 14/02/2006 - site EUA. ______, In the Dark - What boards and executives dont know about the health of their businesses, A Survey by Deloitte in Cooperation with the Economist Intelligence Unit, October 2004. Disponvel em: http:// www.deloitte.com/dtt/whitepaper/0,1017,sid%253D1007%2526cid%253D62386,00.html; publicado em 16/01/2006 - global site. ______, Assessing the Value of EnterpriseRisk Management, Economist intelligence Unit, October2004. Disponvel em: http://www.deloitte.com/dtt/budget/0,2299,sid%253D20241%2526cid%253D67257,00.html. Publicado em novembro de 2004 - site Deloitte Frana. HENRIQUES, J.P., preciso gesto estratgica. Coimbra, Portugal: 1997. Disponvel em: http://student.dei.uc.pt J.P. MORGAN, RiskMetrics Technical Document, 1995, Fourth Edition., New York. LIMA DE PAULO, W., FERNANDES, F.C., RODRIGUES, L.G.B. e EIDT, J., Controles internos: Uma metodologia de mensurao dos nveis de controles de riscos, 6 Congresso de Controladoria e Contabilidade Departamento de Contabilidade e Atuaria FEA- USP 2006. Disponvel em: www.riskofce.com.br. LA ROCQUE, E. e LOWENKRON, A., Mtricas e particularidades da Gesto de Risco em corporaes, Artigos RiskControl - Lista de Riscos n 4, 2004. Disponvel em: http://www.riskcontrol.com.br. PRICEWATERHOUSECOOPERS (PwC), Cadernos promocionais sobre gesto de riscos e prestao de servios prossionais de auditoria e consultoria. USA: de 2002 2006. ROCCA, C.A., Volatilidade e Gesto de Risco em empresas no nanceiras, Trabalho apresentado no seminrio Gesto de riscos em empresas no nanceiras promovido pela ABRASCA, realizado na BOVESPA em 19/11/2004. Disponvel em: www.riskofce.com.br. RISKMETRICS GROUP, Corporate Metrics, 1998. 4.1.3 - Algumas Normas Relacionadas ao Tema AS/NZS HB 203:2004 Environmental Risk Management Principals and process. ______, 205:2004 OHS Risk Management Hand Book. ______, 221:2004 Business Continuity Management.
36
______, 240:2004 Guidelines for managing risk in outsourcing utilizing the AS/NZS 4360 process. ______, 254:2004 Guide to control assurance and risk management. ______, 4360:2004 Risk Management (Trad.: Gesto de Riscos, Risk Tecnologia, 1 Edio, Junho de 2003). Risk Management Guidelines Companion to ASA/NZS 4360:2004. ______, 4810.1 Medical devices - Risk management - Application of risk analysis. BS 6079-3 Project Management - Part3: Guide to the management of business related project risk. BSI - PD6668 Managing Risk for Corporate Governance. BSI PAS 56:2003 Guide to Business Continuity Management. CSA Q 850:1997 Risk Management Guidelines for Decision Makers. IEC 60300-3-9 Risk analysis of technological systems Application guide. IEC 62198 Project risk management Application guidelines. ISO 10006 Quality management systems Guidelines for quality management in Projects. ISO/IEC Guide 51:1999 Safety aspects Guidelines for their inclusion in standards. ______, 73:2002 Risk management Vocabulary - guidelines for use in standards. JISQ 2001:2001 Guidelines for development and implementation of risk management system. PCOAB, Public Company Accounting Oversight Board Auditing - Standard 2: disponvel em: http://www.pcaobus.org. ONR 49000 Risk management for organizations and systems -Terms and principles. ______, 49001 Risk management for organizations and systems -Elements of the risk Management system. ______, 49002-1 Risk management for organizations and systems, Part 1: Guidelines for risk. ______, 49002-2 Risk management for organizations and systems, Part 2: Guidelines for the integration of risk management into the general management system. ______, 49003 Risk management for organizations and systems, - Qualication of the risk manager. SNZ HB 8669:2004 Guideline for Risk Management in Sport and Recreation. 4.1.4 - Alguns Websites Relacionados ao Tema http://www.airmic.com http://www.erm.coso.org http://www.ferma-asso.org http://www.listaderiscos.com.br/lr/portal/ http://www.orx.org http://www.pcaobus.org http://www.rims.org http://www.risktech.com.br http://www.rmmagazine.com http://www.theirm.org
37
Anexos
A Evoluo Histrica A.1 Introduo A.2 Vertente Financeira A.3 Ramo de Auditoria A.4 Lei Sarbanes-Oxley A.5 Tecnologia da Informao A.6 Norma ISO 31.000 B Gesto da Continuidade de Negcios C Comit(s) de Risco D Marco Legal e Regulatrio no Brasil 38 38 39 40 41 42 42 43 44 45
38
Evoluo Histrica
A1 Introduo
O gerenciamento de riscos uma prtica usual e antiga que faz parte da rotina de qualquer empresrio desde tempos muito remotos (vide Bernstein, p. 1996). Uma vasta literatura foi historicamente elaborada para a rea de seguros (vide, por exemplo, Vaughan & Vaughan, 2003) e, mais recentemente, o tema entrou em voga e tem se desenvolvido como uma metodologia estruturada a partir de vrias vertentes, dentre as quais se destacam: Finanas, Auditoria e Tecnologia da Informao. A idia do seguro nos remete a uma poca anterior a Cristo, com os seguros de transportes que foi impulsionada pela navegao martima comercial. Os sucessivos incndios em Hamburgo (1672 a 1676) coincidem com os primeiros seguros patrimoniais e com a fundao da ainda existente Hamburger Feuerkasse, a mais antiga seguradora do mundo. Pode-se medir a prosperidade da indstria do seguro, iniciada com a Revoluo Industrial e sustentada pelo progresso e desenvolvimento do sculo XX, pelas inmeras seguradoras e resseguradoras existentes e pelos volumes extraordinrios de recursos movimentados por esta indstria. A criao do Federal Deposit Insurance Corporation (FDIC) em 1933 proveu garantias governamentais incondicionais maioria dos bancos credores. A taxa xa (sem riscos) das garantias de depsitos auxiliou na diminuio dos requerimentos de capitais de mercados, assegurando aos depositrios a garantia do pagamento, mesmo que seus bancos viessem a falir. A preocupao com a busca de solues para avaliao de processos e/ou controles internos nas empresas continua. Em 1947 surge a Organizao Internacional de Normatizao, ISO (International Organization for Standardization). Desde ento, novas abordagens vm sendo desenvolvidas com o objetivo de incorporar novos conceitos nas empresas e adequ-las s exigncias do mercado e de rgos reguladores, conforme demonstrado na gura abaixo. Importante ressaltar que o cronograma no tem a pretenso de indicar todas
COSO II - ERM Consultative Document The New Basel Capital Accord 2004
Turnbull Proposal for a new capital adequacy (Basel II) 1999
Resoluo BACEN 2.554
COBIT Basel I Amendment
1933
1947 1988
1992
1993
1994
1995
1996
1998
2002
Sarbanes - Oxley
Basel I Accord
COSO CadBury
Kun Trag
CoCo
FDIC
G-30
ANZ
ISO
39
as metodologias e/ou abordagens disponveis, mas sim apresentar uma viso histrica de marcos regulatrios importantes surgidos recentemente. A seguir, alguns links teis: www.acionista.com.br/mercado/dc.htm www.bcb.gov.br www.bis.org/bcbs/index.htm www.bouzas.com.br/2554_Integral.htm www.group30.org/home.php www.ic.coso.org/ www.isaca.org/cobit/ www.iso.org/iso/en/ISOOnline.frontpage www.pch.gc.ca/progs/em-cr/verif/2003/2003_12/2_e.cfm?nav=0 www.sarbanes-oxley.com/section.php?level=1&pub_id=SEC-Rules
A.2 Vertente Financeira
Na indstria nanceira, o incentivo a implementar os sistemas de gerenciamento de riscos surgiu, na dcada de 80, com a preocupao crescente do Bank of England e do Federal Reserve Board com a exposio dos bancos relacionadas s operaes off-balance-sheet, conjugados com problemas de emprstimos para os pases do terceiro mundo. O Bank of International Settlements (BIS) continuou o processo iniciado pelo Federal Reserve Bank e pelo Bank of England enviando prvias de propostas para os bancos e demandando comentrios e sugestes. Os primeiros resultados deste processo vieram em 1988, com o Acordo da Basilia e suas emendas subseqentes a partir de 1996. O primeiro Acordo, de 1988, tinha como foco a alocao de capital para fazer frente a riscos de crdito. A partir de 1993, introduziram-se regras para o risco de mercado (vide denio na nota de rodap n 9) que tem como grande referncia a publicao pelo JP Morgan do RiskMetrics (vide www.riskmetrics.com) em outubro de 1994. O documento veio em resposta aos grandes desastres nanceiros do incio dos anos 90 (casos conhecidos como os da Procter & Gamble, Orange Count, Barings, etc) (ver Jorion, p. 2003 no item 4.1.1), e introduziu o conceito de Value-at-Risk (VaR). O VaR mede a perda potencial do valor de uma carteira com determinada probabilidade num dado intervalo de tempo. A grande vantagem em geral atribuda ao VaR o de ser uma mtrica de risco que consegue num nico nmero resumir todo o risco de mercado da instituio. Entretanto, o gerenciamento de riscos em empresas no-nanceiras bem mais complexo. Desde a publicao do RiskMetrics observa-se um intenso debate sobre como adaptar o conceito de VaR para estas empresas, e o nico consenso atingido foi o de que o VaR no seria suciente, poia o gerenciamento de riscos em empresas necessariamente envolveria mltiplas facetas, no apenas quantitativas, mas tambm qualitativas. O conceito de VaR est muito associado marcao a mercado de ativos e passivos; e a falta de liquidez dos ativos de uma empresa faz com que a mesma esteja mais preocupada com o fluxo de caixa ou com o resultado em risco do que com o valor presente em risco. Desenvolveram-se, ento, conceitos
40
tais como CfaR (Cashflow-at-Risk), EaR (Earnings-at-Risk) e PaR (Profit-at-Risk). Ver RISKMETRICS GROUP (1998) e LA ROCQUE, E. e LOWENKRON, A. (2004). Em junho de 1999, o Basle Committee on Banking Supervision do BIS, ou Comit da Basilia, props uma uma nova estrutura para a adequao do capital, cuja publicao substituiu o acordo de 1988. Os objetivos do novo acordo so: Promover segurana e equilbrio no sistema nanceiro mediante a manuteno de pelo menos o mesmo nvel de capital que os bancos mantm no sistema atual; Aprimorar o nvel de competitividade de forma eqitativa. As novas regras no devem oferecer incentivos para que reguladores em alguns pases elaborem regras mais atraentes para impulsionar os investimentos em seus pases. Por exemplo, dois bancos com o mesmo portiflio deveriam ter o mesmo capital onde quer que eles estejam atuando; Constituir abordagem mais ampla para o gerenciamento de riscos, objetivando aprimorar o Acordo de 1988, mediante a incorporao de novas dimenses de risco (por exemplo, os riscos operacionais); Focalizar em bancos que sejam internacionalmente ativos. Os princpios desta abordagem devem ser exveis o suciente para atender instituies nanceiras com distintos nveis de complexidade e sosticao. Para alcanar estes objetivos, o Comit da Basilia props uma estrutura apoiada em trs pilares: o primeiro trata da adequao do capital regulatrio mnimo com base nos riscos de mercado, de crdito e operacionais; o segundo refora a capacidade dos supervisores bancrios em avaliar e adaptar o capital regulatrio s condies de cada instituio nanceira; e o terceiro atribui transparncia e divulgao de informaes um papel importante e relevante no fomento disciplina de mercado.
A.3 Ramo de Auditoria
Paralelamente a este desenvolvimento pelo ramo financeiro, auditores, contadores e legisladores tm devotado ateno crescente aos controles internos. O Financial Accounting Standards Board (FASB) publicou guias encorajando a divulgao de demonstraes financeiras mais completas, demonstrando o que tem sido feito para mitigar os riscos e o modelo de governana instaurado para o gerenciamento desses riscos entre outras iniciativas. Um grupo de reguladores e prossionais tm publicado guias importantes relativos aos controles internos e ao gerenciamento de riscos. Dentre os esforos notveis incluem-se: Relatrio COSO (1992): elaborado previamente pelos contadores profissionais dos Estados Unidos, estabelece padres para que os controles internos assegurem operaes eficientes, relatrios financeiros confiveis e conformidade legal. Entre os aspectos de controles internos so descritos em detalhes a mitigao e o monitoramento dos riscos. [mais informaes sobre o COSO no item A.4]
41
Relatrio Cadbury (1992): o documento ingls recomenda aos diretores que conrmem nos relatrios anuais de suas empresas a reviso da efetividade dos controles internos corporativos. Kon Trag (1994) e Turnbull (1999): documentos de origem alem e inglesa, respectivamente, propiciam uma abordagem ampla e robusta para o gerenciamento de riscos. Os conceitos e diretrizes constantes desses documentos assemelham-se aos princpios emanados pelo COSO II ERM. Alm destas, outras importantes iniciativas foram introduzidas nos ltimos dez anos. Como exemplo, o estudo do grupo dos 30 (G-30) publicado em julho de 1993, que propiciou uma abordagem abrangente e avanada para gerenciamento de riscos. O estudo do G-30 prov um guia prtico contendo 20 recomendaes, relacionadas principalmente ao gerenciamento de instrumentos derivativos.
A.4 Lei Sarbanes-Oxley
Em resposta aos escndalos corporativos do incio do sculo XX (Enron, WorldCom, Adelphia, entre outros), surge em 2002 nos Estados Unidos a Lei Sarbanes-Oxley (SOX). Formulada por dois congressistas americanos, Paul Sarbanes e Michael Oxley, enfatizou o papel fundamental dos controles internos e fez com que boas prticas de governana corporativa se transformassem em exigncia legal. A SOX foi aprovada e promulgada pelo Congresso Americano em julho de 2002, afetando todas as empresas americanas e estrangeiras que possuiam ttulos e aes negociados em bolsas americanas. Tal lei serviu de base para regulamentaes locais ao redor do mundo, colocando em voga toda a metodologia que a rea de auditoria vinha desenvolvendo para aprimorar os controles internos. A SOX recomenda e, portanto, no obriga, que o framework de controles internos a ser utilizado pelas empresas seja baseado no COSO The Committee of Sponsoring Organizations of the Tradeway Commission. O COSO uma entidade sem ns lucrativos, dedicada melhoria dos relatrios nanceiros atravs da tica, efetividade dos controles internos e governana corporativa. Seu primeiro objeto de estudo foram os controles internos. Em 1992 publicou o trabalho Controles Internos Estrutura Integrada, com o objetivo de auxiliar as entidades corporativas e demais organizaes a avaliar e aprimorar seus sistemas de controles internos. Esta publicao (COSO I) tornou-se referncia mundial para o estudo e a aplicao dos controles internos. Em setembro de 2004, foi lanado o documento Gerenciamento de Riscos Corporativos Estrutura Integrada. conhecido como COSO II, busca um foco mais robusto e extensivo no tpico de gerenciamento de riscos corporativos. Esta metodologia de aplicao dos controles internos e gerenciamento de riscos foi adotada pelo PCAOB Public Company Accounting Oversight Board, que o rgo criado pela SOX para supervisionar as empresas de auditoria das companhias abertas com ttulos negociados nas bolsas de valores americanas. Pode-se dizer que as metodologias propostas pelo COSO tornaram-se uma grande referncia para mapeamento e avaliao dos controles internos das empresas que querem se certicar como aderentes aos requisitos da SOX. De acordo com esta metodologia, o controle interno parte integrante do gerenciamento de riscos corporativos.
42
A.5 Tecnologia da Informao
No campo da tecnologia da informao constitui referncia unnime, embora no-obrigatria, a Norma ISO/IEC 27001, que trata de diretrizes e princpios para a gesto da segurana da informao, em seus diversos aspectos de riscos, vulnerabilidades e mecanismos de controle recomendados. Da mesma forma, a Norma ISO/IEC 20000 estabelece as bases para a boa gesto dos recursos e servios de tecnologia da informao, e respectiva mensurao de desempenho, vis-a-vis os requisitos das reas de negcios de qualquer organizao. Ainda no que toca a mitigao de riscos, preveno e reduo de danos relacionados com tecnologia da informao, atravs de processos, objetivos de controle e indicadores de desempenho, constitui referncia essencial o COBIT (Control Objectives for Information and Related Technologies), desenvolvido inicialmente pelo ISACA (Information Systems Audit and Control Association) e hoje, em sua verso 4.0, publicado e mantido pelo ITGI (Information Technology Governance Institute).
A.6 Norma ISO 31000
Encontra-se em estgio de desenvolvimento (em WD-Working Draft) a norma ISO 31000: General Guidelines for Principles and Implementation of Risk Management. Seu desenvolvimento atribuiu-se a um comit especial, denominado ISO Technical Management Board on Risk Management, composto por delegaes de 35 pases, formadas por prossionais de diversos setores de atividades como: nanceiro, indstria, governana corporativa, segurana, agronegcios, qualidade, meio ambiente, tecnologia, projetos, sade, defesa e seguros, dentre outros. O ISO/IEC Guide 73 tambm ser submetido reviso como conseqncia dos trabalhos de construo da ISO 31000. O Brasil, representado pela ABNT (Associao Brasileira de Normas Tcnicas), est entre os pases participantes e colabora com o desao de tornar a ISO 31000 uma norma geral de gerenciamento de riscos, atravs da consolidao de diferentes conceitos e terminologias, da apresentao de diretrizes e princpios para a implementao de estruturas de gerenciamento de riscos aplicveis s organizaes, independentemente de seu tamanho, segmento ou rea de atuao. A nalizao dos trabalhos est prevista para 2008. A perspectiva que, futuramente, as normas ISO das reas que tratem de gerenciamento de riscos reitam os mesmos conceitos da ISO 31000.
43
Gesto da Continuidade de Negcios
Dcadas de esforos empresariais em preveno e reduo de riscos de diversas origens e fontes, principalmente de riscos operacionais, geraram no s experincia signicativa neste campo, como tambm no campo do gerenciamento de impactos adversos e situaes de interrupo ou ameaa iminente continuidade das operaes de diversas organizaes. Este corpo de conhecimentos, melhores prticas, habilidades e certicaes prossionais constitui hoje a disciplina denominada de Gesto da Continuidade de Negcios, GCN (ou BCM, de Business Continuity Management), englobando e consolidando conceitos e prticas, relacionados, desde os anos 80, a planos de contingncia, planos de recuperao de desastres, planos de backup, resposta a emergncias e gerenciamento de crises, entre outros. O gerenciamento da continuidade de negcios implementado atravs da elaborao de Planos de Continuidade de Negcios, PCNs (ou BCPs, de Business Continuity Plans) para as diversas situaes de risco, em geral residual ou externo, identicadas com base na anlise dos impactos para a organizao, na avaliao de estratgias de continuidade e dos respectivos custos de implementao vis-a-vis as perdas a serem evitadas ou benefcios ou ganhos parciais a serem obtidos. No desenvolvimento e promoo de melhores prticas de GCN, assim como na certicao de prossionais qualicados, destacam-se, nos Estados Unidos, e com ampla aceitao internacional, o BCI, Business Continuity Institute e o DRII, Disaster Recovery Institute International. Estes institutos preconizam, conjuntamente, cdigos de tica para prossionais de GCN, diretrizes, estruturas e prticas para a elaborao de PCNs por empresas de quaisquer segmentos. Na Europa, o BSI (British Standards Institute) trabalha na elaborao de um Cdigo de Prticas para Gesto de Continuidade de Negcios, atualmente publicado para consulta na forma de draft proposal (DPC BS 25999-1). Especicamente com relao tecnologia da informao, alm de se aplicarem os princpios gerais de GCN, ou PCNs, so adicionalmente denidos e elaborados Planos de Continuidade de Servios de TI (PCSTI). Tais planos envolvem, em particular, os conceitos de nvel de servio, objetivos de controle, mltiplos equipamentos, centros de processamento de informaes e rotas de comunicaes, equipes e procedimentos alternativos de operao, comunicao e relacionamento com a comunidade, autoridades e entidades regulatrias, em funo da gravidade ou alcance das perdas ou danos, internos ou externos organizao. Na elaborao de processos e planos de continuidade de TI, constituem ainda referncias nucleares as Normas ISO/IEC 20000 e 27001, assim como o COBIT, anteriormente citados (ver anexo A4).
44
Comit(s) de Riscos20
Quando o conselho de administrao constitui comits para melhor desempenhar o seu papel de orientao e superviso do direcionamento estratgico dos negcios e da ao dos gestores, o comit de riscos do conselho de administrao ser parte deste e, como tal, o escopo de sua atuao estar voltado para a identicao dos riscos decorrentes das estratgias alternativas sob deciso do conselho de administrao. Caber ao comit a discusso e a clara denio do apetite a riscos da organizao e a direo adequada a ser sugerida como orientao emanada da alta administrao. A este comit tambm caber sugerir os limites de tolerncia aos diferentes riscos identicados como aceitveis pelo conselho de administrao. Os limites constituiro a ferramenta para a rea executiva conduzir as polticas da empresa. Uma orientao voltada para a tolerncia a riscos poder ser estabelecida, por exemplo, em termos de percentual de prejuzos aceitveis para cada linha de negcios; neste caso, aproximando-se o limite de tolerncia estabelecido, caber rea executiva propor ao conselho de administrao a sada do negcio, com a liquidao dos ativos ou outra sada semelhante (stop loss). No processo decisrio dirio, os executivos, sob o comando do principal executivo, ou de outro, como, por exemplo, o titular de uma diretoria de riscos, ou de uma gerncia de riscos, podero constituir um comit executivo para o gerenciamento de riscos. A esse comit, de carter executivo, competiria a funo de tomada de deciso, de escolha e implementao de polticas alternativas, como por exemplo, decidir a realizao de medidas de proteo (hedge) de posies e escolher os parceiros mais adequados deciso. Nessa situao, o comit executivo toma decises dentro dos parmetros de apetite a riscos denidos pelo conselho de administrao e administra e controla as posies com base em parmetros de tolerncia previamente denidos. A distino das funes de direcionamento estratgico e das funes executivas deve estar presente na formatao dos comits, na sua composio, nas agendas de trabalho, evitando-se que, ou se aloquem funes executivas a um comit do conselho de administrao ou se estendam atribuies estatutrias a comits executivos no-estatutrios. Por outro lado, importante considerar que o comit de riscos do conselho de administrao ter uma dinmica de trabalho muito diferente da dinmica de trabalho de um comit executivo, uma vez que este poder se reunir, ou tomar decises conjuntas quase que diariamente, o que geralmente ser impossvel (e inadequado) para um comit do conselho de administrao.
20 Os Comits (do conselho de administrao) estudam assuntos de sua competncia e preparam propostas para o conselho de administrao, do qual fazem parte. Existem, no entanto, comits executivos, no necessariamente com a presena de membros do conselho de administrao.
45
A responsabilidade pelo GRCorp ser, ento, distribuda em uma unidade de apoio do conselho de administrao o Comit de Riscos e uma unidade executiva encarregada do processo decisrio no gerenciamento de riscos da organizao. Nas organizaes que no comportem comits distintos, constitudos por diferentes membros, ser importante desenhar processos de gesto e de governana que segreguem funes estratgicas e funes executivas de forma matricial ou, na impossibilidade desta hiptese, desenhar atribuies para os administradores que segreguem essas funes em instncias distintas, ou em momentos e reunies distintos.
Marco Legal e Regulatrio no Brasil
H no Brasil regulamentaes que esto em linha com a SOX e Basilia. A Comisso de Valores Mobilirios (CVM), atravs da Instruo n 220/94, deniu regras relacionadas com controles internos de certa forma similares s impostas pela SOX. Para as instituies nanceiras, o Conselho Monetrio Nacional instituiu, atravs da Resoluo n 2554/98 do Banco Central do Brasil, a implementao de Sistema de Controles Internos para as atividades desenvolvidas e para os Sistemas de Informaes, bem como para garantir o cumprimento das normas legais e regulamentares aplicveis. O Banco Central deniu tambm um conjunto de regras que se constituem na Basilia brasileira: Res.2099/1994: risco de crdito Res.2606/1999: exposio a moedas; Res.2804/2000: risco de liquidez; Circular 2972/2001: risco pr-xado; Comunicado 12.746/2004 sobre a implementao de Basilia II no Brasil; Resoluo 3.380/2006: risco operacional H, ainda, as regulamentaes referentes ao controle de riscos para fundos de penso (elaboradas pela SPC) e para seguradoras (SUSEP), que tambm esto alinhadas com as melhores prticas internacionais.
46
Deloitte
A governana corporativa, mais do que um determinante da perenidade dos negcios, um dos grandes alicerces da atuao da Deloitte, uma das maiores organizaes do mundo em seu setor, na prestao de servios de consultoria e auditoria aos seus clientes. Participar deste guia, que aborda a importncia do conselho scal no cotidiano das empresas, assim como as melhores prticas para o seu pleno estabelecimento, uma oportunidade singular para a Deloitte reiterar seu comprometimento com o futuro dos negcios de seus mais de 3.000 clientes em todo o Brasil. No Pas, a Deloitte atua desde 1911, uma das lderes de mercado e seus mais de 3.200 prossionais so reconhecidos pela integridade, competncia e habilidade em transformar seus conhecimentos em solues empresariais para seus clientes.
Energias do Brasil
A Energias do Brasil uma holding que rene ativos nas reas de gerao, distribuio e comercializao de energia eltrica, mantendo como guia, em seus negcios, um elevado padro tico, com base em valores como transparncia, rigor e ecincia. Dedicada a ser uma das empresas lderes do setor energtico brasileiro, sem contudo descuidar da sua responsabilidade scio-ambiental, a companhia estabeleceu polticas para conduzir suas atividades sem pr em risco o seu sistema nanceiro ou as comunidades por ela afetadas. Sem ferir o seu entorno nem se esquivar de prestar contas de seus atos. apoiada nesses slidos princpios que a Energias do Brasil se sente conante em patrocinar este guia, fonte de orientao para outras companhias que desejem, tambm, trilhar o caminho das boas prticas empresariais.
47
KPMG
Os servios de Enterprise Risk Management (ERM) da KPMG Risk Advisory Services podem ajudar sua organizao a criar um programa sustentvel para o gerenciamento dos riscos corporativos, auxiliando no desenvolvimento de um roteiro prtico, transferindo conhecimento e fornecendo treinamento para sua organizao, condies indispensveis para uma bem-sucedida implementao de ERM. Nossa metodologia baseada em Estruturao, Posicionamento, Governana e Estabelecimento da cultura de gesto de riscos tem sido aplicada em diversas empresas nos mais diversos mercados e atende as necessidades de ser abrangente e prtica, atuando no nvel conceitual, mas sem estabelecer um processo burocrtico. Visite nosso site para maiores informaes: www.kpmg.com.br
A&E Consultoria
A iniciativa do IBGC na criao desse Guia e o empenho com que conduziu o trabalho representam uma contribuio imensa para a compreenso de tema to complexo. O Gerenciamento de Riscos Corporativos possui fundamental importncia para o desenvolvimento de um grau elevado de governana e a gesto dos programas de seguros das empresas dever adquirir relevncia nesse contexto. A experincia obtida pela A&E Consultoria com a aplicao do Review, uma ferramenta de anlise, diagnstico e de recomendaes sobre os riscos existentes e os seguros adquiridos, levou-nos a perceber sua total aderncia aos interesses da boa Governana Corporativa.
48
Serpro
A inovao uma marca indelvel dos 42 anos do Servio Federal de Processamento de Dados (SERPRO), Empresa Pblica do segmento de tecnologia da informao, traduzida em sua misso: Prover e Integrar solues em Tecnologia da Informao para o xito da gesto das nanas pblicas e da governana do Estado, em benefcio da sociedade. O tema Gesto de Riscos relativamente recente no Brasil. Participar do esforo para a edio do Guia de Riscos Corporativos do IBGC, contribuir para a inovao da gesto pblica e aprimoramento das prticas de governana nas empresas estatais.
Srie
1 2 3
Guia de Orientao para o Conselho Fiscal Manual Prtico de Recomendaes Estatutrias Guia de Orientao para Gerenciamento de Riscos Corporativos
O IBGC uma organizaco exclusivamente dedicada promoo da governana corporativa no Brasil e o principal fomentador das prticas e discusses sobre o tema no pas, tendo alcanado reconhecimento nacional e internacional. Fundado em 27 de novembro de 1995, o IBGC - sociedade civil de mbito nacional, sem fins lucrativos - tem o propsito de "ser referncia em governana corporativa, contribuindo para o desempenho sustentvel das organizaes e influenciando os agentes de nossa sociedade no sentido de maior transparncia, justia e responsabilidade."

Patrocnio:
IBGC - Av. das Naes Unidas, 12.551 19 andar, conj. 1910 World Trade Center 04578-903 So Paulo / SP Tel.: 55 11 3043-7008 IBGC PARAN Tel.: 55 41 3022-5035 IBGC RIO Tel.: 55 21 2223-9651 IBGC SUL Tel.: 55 51 3328-2552 www.ibgc.org.br
Apoio:

Guia - IBGC

Încărcat de

Informații document

Descriere originală:

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Guia - IBGC

Încărcat de

Drepturi de autor:

Formate disponibile

Instituto Brasileiro de Governana Corporativa

Cadernos de Governana Corporativa

Guia de Orientao para Gerenciamento de Riscos Corporativos

Guia de Orientao para Gerenciamento de Riscos Corporativos

Guia de Orientao para Gerenciamento de Riscos Corporativos

Cadernos de Governana Corporativa IBGC

Instituto Brasileiro de Governana Corporativa

Guia de Orientao para Gerenciamento de Riscos Corporativos

Cadernos de Governana Corporativa IBGC

Introduo 1.1 Conceituao de Risco 1.2 Benefcios do Modelo de GRCorp

Guia de Orientao para Gerenciamento de Riscos Corporativos

Cadernos de Governana Corporativa IBGC

Guia de Orientao para Gerenciamento de Riscos Corporativos

Cadernos de Governana Corporativa IBGC

Guia de Orientao para Gerenciamento de Riscos Corporativos

1.1 Conceituao de Risco 1.2 Benefcios do Modelo de GRCorp 11 12

Cadernos de Governana Corporativa IBGC

Guia de Orientao para Gerenciamento de Riscos Corporativos

1.1 Conceituao de Risco

Cadernos de Governana Corporativa IBGC

1.2 Benefcios do Modelo de GRCorp

Guia de Orientao para Gerenciamento de Riscos Corporativos

Cadernos de Governana Corporativa IBGC

Guia de Orientao para Gerenciamento de Riscos Corporativos

Cadernos de Governana Corporativa IBGC

2.1 Identicao e Classicao dos Riscos

Guia de Orientao para Gerenciamento de Riscos Corporativos

Natureza dos Riscos

Ambiental Social Tecnolgico Legal Financeiro

Ambiental Social Tecnolgico Conformidade

Figura 1: Exemplo de Categorizao de Riscos

Cadernos de Governana Corporativa IBGC

Guia de Orientao para Gerenciamento de Riscos Corporativos

Cadernos de Governana Corporativa IBGC

2.2 Avaliao dos Riscos

Guia de Orientao para Gerenciamento de Riscos Corporativos

Exposio Financeira Exposio inaceitvel Exposio Financeira

Exposio aceitvel Probalidade de ocorrncia

Figura 2 Exemplo Ilustrativo de Mapa de Avaliao dos Riscos

2.3 Mensurao dos Riscos (clculo do impacto nanceiro consolidado)

Cadernos de Governana Corporativa IBGC

2.4 Tratamento dos Riscos13

Guia de Orientao para Gerenciamento de Riscos Corporativos

Cadernos de Governana Corporativa IBGC

Guia de Orientao para Gerenciamento de Riscos Corporativos

2.5 Monitoramento dos Riscos

Cadernos de Governana Corporativa IBGC

2.6 Informao e Comunicao

Guia de Orientao para Gerenciamento de Riscos Corporativos

Cadernos de Governana Corporativa IBGC

Implementao e Estruturas Adequadas para o Gerenciamento de Riscos

3.1 Arquitetura para o GRCorp

16 Ver Anexo A.2. 17 Ver Anexo A.4.

Guia de Orientao para Gerenciamento de Riscos Corporativos

Cadernos de Governana Corporativa IBGC

3.2 Estrutura Funcional

3.3 O Gerenciamento de Riscos e o Conselho de Administrao

Guia de Orientao para Gerenciamento de Riscos Corporativos

Cadernos de Governana Corporativa IBGC

Guia de Orientao para Gerenciamento de Riscos Corporativos

Cadernos de Governana Corporativa IBGC

4.1 Literatura Relacionada

Guia de Orientao para Gerenciamento de Riscos Corporativos