3.

Risk Management e Controlo Interno

3.

Prefcio 1. 2. 3. 4. 4.1. 4.2. 4.3. 5. 5.1. 6. 6.1.1. 6.1.2. 6.1.2.1. 6.1.3. 6.1.3.1. 6.1.3.2. 6.1.4. 6.2. 6.2.1. 6.2.2. 6.2.3. 6.3. 6.3.1. 6.3.1.1. Risk Management e Controlo Interno O Impacto da Lei Sarbanes-Oxley na Gesto de Risco Modelo de Gesto de Risco Mais Utilizado COSO Controlo Interno: Breves Consideraes COSO 1: Breves Consideraes COSO 2: Breves Consideraes ERM - Enterprise Risk Management Gerir o Risco Corporativo Fases de Risk Management Identificao do Risco Enquadramento e Categorizao dos Riscos Riscos Operacionais Anlise do Impacto Quantitativo e Qualitativo do Risco Controlo Qualitativo Controlo Quantitativo Definio de Prioridade do Risco e Planeamento de Resposta Tipos de Controlo Definio de Controlos Preventivos Definio das Actividades de Comunicao e Reporting Definio dos Planos de Remediao (Planeamento de Resposta) Monitorizao do Risco Portal de Risco Principais Objectivos do Portal de Risco Em Sntese Na Prxima Edio...

5 6 7 10 10 11 12 15 16 17 19 19 22 22 23 23 25 26 27 27 27 27 31 31 32 33 34

Aos meus filhos Matilde, Francisco, Madalena e Maria

PREFCIO
Esta colectnea que est dividida em 5 partes, encontra neste livro o seu expoente mximo. No seguimento das grandes fraudes e falncias, como a Enron em 2002, surgiu uma tomada de conscincia que originou a criao de regras de governao para salvaguardar o investimento dos accionistas das grandes empresas relativamente gesto dos seus administradores. Porm, esta no era uma tarefa fcil nem to pouco estava provado que uma lei orientada ao risco da governao fosse mais eficaz do que a definio de boas prticas e, a partir da, fossem definidas novas regras que as empresas pudessem aplicar. Duas correntes emergiram, uma nos Estados Unidos e outra na Europa. Nos Estados Unidos foi criada a conhecida Lei Sarbanes-Oxley, enquanto que na Europa foram aplicadas boas prticas. Ambas tm como target empresas cotadas em bolsas Americanas e Europeias, porm o facto que at data, os crimes econmicos continuaram a acontecer em empresas cotadas ou no na Bolsa, independentemente da aplicao de uma ou outra medida. A Lei Sarbanes-Oxley criou entretanto uma orientao para a aplicao de boas prticas que at data no existia. Muito suportada na Gesto do Risco, a lei posiciona-se para o controlo mais coordenado das organizaes, bem como na atribuio de responsabilidades aos administradores das empresas que, aquando da identificao de indcios de crimes econmicos, alegavam no terem tido conhecimento dos factos. Esta lei deu publicamente enfoque responsabilidade directa dos administradores das empresas. O fascculo de Gesto do Risco identifica a aplicabilidade desta matria s organizaes, sendo igualmente um reforo para que as empresas possam de forma clara aplicar regras e controlos com o objectivo de saber aprofundadamente o que est a acontecer a nvel interno. Dessa forma, os accionistas ganham mais confiana considerando que se torna evidente a aplicao de boas prticas de Gesto do Risco.

Modelo Integrado para uma Gesto Eficiente e Controlo do Risco

1. RISK MANAGEMENT E CONTROLO INTERNO

O Risk Management (gesto do risco) alm de apoiar na implementao de procedimentos de compliance e auditoria, visa a antecipao de eventos com uma orientao pr-activa, considerando a estratgia e o planeamento adoptados. Inserida no mbito das regras do bom Governo das Sociedades (com base na Lei Sarbanes-Oxley), a gesto do risco tem sido adoptada pelas principais empresas mundiais, como forma de tornar a gesto empresarial mais transparente, nomeadamente no que diz respeito ao retorno financeiro, medindo investimentos e riscos. O Risk Management poder ser visto como uma janela que transforma riscos em oportunidades, ao proporcionar competncias organizativas e metodolgicas para identificar e controlar os riscos a que est sujeita a organizao nas suas vrias reas de negcio.

Apoio e suporte Gesto de topo

Risk Management

Minimizao dos riscos na tomada de deciso Transparncia de informao

Figura 1- O papel da gesto do risco no Corporate Governance

Da figura 1 possvel identificar como benefcios da gesto do risco para a organizao: Apoio e suporte gesto de topo: Utilizando a gesto de risco no aproveitamento de oportunidades emergentes da aceitao do risco; reduo das perdas por erros, fraudes e prticas no ticas; gesto efectiva de recursos, conformidade legal e governamental, conformidade com os regulamentos, compromisso e responsabilizao dos gestores (accountability), controlo de custos, oramentao mais rigorosa e solidez financeira;

Risk Management e Controlo Interno

Minimizao dos riscos na tomada de deciso: Garantindo o fortalecimento da sustentabilidade da organizao; pressupe a identificao sistemtica das deficincias organizacionais, das necessidades de todos os envolvidos, incremento dos fluxos de comunicao internos e externos, proteco da marca; Transparncia da informao: Viso clara dos objectivos e resultados do negcio, reforo da imagem e da reputao da organizao, quer para os pblicos externos, quer para os internos. No seguimento dos pontos anteriores, a transparncia da informao visa captar o interesse de investidores avessos a riscos.

Fraudes Contabilsticas e Financeiras

Aumento de ecincia operacional

SOX

Risk Management

Compliance

Segurana de informao

BA
Escndalos Financeiros

SE

L
1

II
00

Figura 2 Enquadramento do Risk Management

2. O IMPACTO DA LEI SARBANES-OXLEY NA GESTO DE RISCO

As empresas cotadas em bolsa nos Estados Unidos tm de actuar em conformidade com a Lei Sarbanes-Oxley, no entanto estas recomendaes deveriam ser tambm aplicadas Europa e s empresas no cotadas em bolsa, como forma de monitorizao do risco. Esta lacuna propicia que as empresas fiquem mais desprotegidas em relao s operaes financeiras e prticas de gesto.

IS O 27

Estratgia

Modelo Integrado para uma Gesto Eficiente e Controlo do Risco

A Lei Sarbanes-Oxley de 2002 foi proposta por Paul Sarbanes (democrata e Senador de Maryland) e Michael Oxley (republicano e Senador de Ohio). A lei visa responder necessidade dos CEOs e CFOs se certificarem sobre a situao financeira da empresa, de forma a proteger os investidores e a melhorar a preciso e fiabilidade das divulgaes corporativas. Surgiu num contexto em que era necessrio restaurar a confiana pblica em ttulos pblicos e privados, fortemente abalada pelos escndalos com as empresas Arthur Anderson, Xerox, Tyco, Parmalat, WorldCom, etc. Estas prticas empresariais sustentadas em fraudes e omisses contriburam para a grande crise financeira de 2008. A Lei Sarbanes-Oxley procura assim, assegurar prticas ticas de negcio, fomentadas por uma gesto consciente, responsvel e sustentvel. Este resultado consegue-se atravs de um sistema superior de controlos internos e da divulgao dos processos operacionais e financeiros, que permitem uma maior transparncia quer para a direco e gesto de topo, quer para os seus investidores. As seces mais importantes da lei prescrevem: A responsabilizao da empresa pelos seus relatrios financeiros; A divulgao de relatrios peridicos; A avaliao da gesto de controlo interno; Penalidades criminais para a alterao de registos.

Atravs de planos de coordenao estratgica e operacional, possvel monitorizar qual o desempenho da empresa face aos objectivos traados e compreender o porqu desse desempenho. Isto possibilita ao CEO, CFO e outros gestores de topo a tomada de decises com segurana. Uma maior transparncia a nvel de dados e processos operacionais e financeiros possibilita: A consistncia dos nmeros em toda a empresa; Conhecer os processos que os originaram; Garantia da sua veracidade e fiabilidade; Confiana na tica e competncia das pessoas que fornecem esses nmeros; Fecho contabilstico atempado e exacto, apesar das especificidades de cada empresa; Conhecimento aprofundado sobre informaes fulcrais para o negcio como: perda de clientes, fornecedores, etc; Garantia de uma viso transparente sobre as previses das vendas;

Risk Management e Controlo Interno

Competncia para delinear o desempenho da empresa consoante as flutuaes do mercado; Enfoque no core-business. Em termos de controlo interno, a lei considera as administraes explicitamente responsveis por estabelecer, avaliar e monitorar a eficcia dos controles internos atravs de certificaes e avaliaes regulares dos relatrios financeiros e outras divulgaes, em paralelo com os relatrios emitidos pelos auditores externos.

COS O

IC

Compliance gia R at ep or str E tin pliance Repo m rti Co n

g
COS O

-E RM

s e era Op

eiro Opera anc e s Fin

Figura 3 Enquadramento do SOX com COSO

A lei prescreve ainda a existncia de um Conselho de Administrao, de um comit de auditoria e de um comit de divulgao com estatutos e responsabilidades prprias. Ao tornarem-se mais transparentes, as empresas traam de forma aprofundada os riscos que correm em todas as frentes, o que permite melhorar a performance da equipa de gesto de topo que confia nos dados que possui e transmite confiana aos investidores.

SOX

or Rep ting
anceiro Fin

Modelo Integrado para uma Gesto Eficiente e Controlo do Risco

10

3. MODELO DE GESTO DE RISCO MAIS UTILIZADO

A metodologia de gesto de risco assenta nos processos de negcio. Atravs da forma de funcionamento da organizao efectuada a definio dos accountables pelos processos e a, descrio dos procedimentos e regras institudas na organizao, aps os quais se definem os indicadores de risco desses mesmos processos. Porm, apesar de existirem vrios modelos processuais de referncia, todas as empresas so diferentes e, neste contexto, tambm os indicadores de risco variam de entidade para entidade. As reas de risco dispem tambm de vrios modelos e vrias metodologias de referncia no mercado a nvel mundial e neste mbito, destacamos a metodologia COSO. a metodologia mais adoptada a nvel mundial e que tem sido tambm frequentemente implementada nas organizaes em Portugal.

4. COSO
O COSO (Committee of Sponsoring Organizations of the TreadWay Commission) uma organizao privada criada nos EUA em 1985. Inicialmente criada como Comisso Nacional sobre Fraudes em Relatrios Financeiros, sendo representada pelas principais associaes de classes de profissionais ligadas rea financeira (American Accounting Association, American Institute of Certified Public Accountants, Finantial Executives International, The Associations for Accountants and Financial Professionals in Business e finalmente The Institute of Internal Auditors). O primeiro objecto de estudo da comisso teve como objectivo o controlo interno das organizaes. Em 1992 foi publicado o estudo Controlos Internos Um Modelo Integrado, hoje em dia reconhecido como metodologia COSO. O controlo interno , de acordo com a metodologia COSO, um processo que visa alcanar os objectivos propostos ao nvel da confiana nos registos financeiros, eficincia e efectividade operacional, conformidade com as leis e regulamentos. Na sua primeira verso (conhecida como COSO 1), o modelo apresentou focus em cincos reas inter-dependentes:

Risk Management e Controlo Interno

11

Ambiente de controlo; Gesto e avaliao dos riscos; Actividades de controlo; Informao e comunicao; Monitorizao.

O controlo interno deve ser avaliado atravs do funcionamento destas reas, tendo por base os objectivos propostos. Em 2001, a anlise COSO foi melhorada com a incluso do conceito de Enterprise Risk Management (ERM) aumentando as reas de enfoque no seu modelo (conhecido tambm por COSO 2):

COSO 1 1987
Controlo (enfoque nas relaes externas organizao) Avaliao de risco Controlo Interno (procedimentos e polticas) Informaes e comunicaes Monitorizao

COSO 2 2001
ERM (Enterprise Risk Management)
Ambiente interno Focus nos objectivos Identicao de eventos internos e externos (enquanto riscos e oportunidades) Avaliao de risco Aceitao e gesto do risco Controlo Interno Informaes e comunicaes Monitorizao

Figura 4 Evoluo cronolgica do modelo COSO

4.1 CONTROLO INTERNO: BREVES CONSIDERAES

A implementao do controlo interno nas organizaes aco fundamental como ferramenta de controlo processual. Segundo Koonts e ODonnel (1976), o controle interno consiste na verificao da conformidade de acordo com um plano, instrues e princpios estabelecidos. O principal objectivo visa apontar as falhas e os erros com inteno de rectificar e evitar a sua reincidncia (atravs da elaborao de planos de remediao).

Modelo Integrado para uma Gesto Eficiente e Controlo do Risco

12

Para estabelecer um sistema de controlo de gesto, os administradores devem encarar a necessidade de tratar os riscos do negcio que, como eventos futuros e incertos, podem influenciar de forma negativa o cumprimentos dos objectivos da organizao (McCrimmon e Wehrung, 1986). Seguindo essa linha de pensamento surge, no ano 2000, a definio de controlo interno como o plano de organizao e todos os mtodos e medidas coordenados, adoptados dentro da organizao para salvaguardar os seus activos, verificar a fiabilidade da informao contabilstica, promover a eficincia operacional e fomentar o respeito e obedincia s polticas administrativas fixadas pela gesto da organizao (Galloro). A evoluo do conceito durante os anos destaca a importncia do controlo interno como instrumento de gesto, que permite administrao acompanhar e medir o alcance dos seus objectivos e metas a atingir, atravs do cumprimento das regras e estratgias estabelecidas no planeamento estratgico. Analisando cada funo em separado, constata-se que a proteco do patrimnio uma das funes que mais requer ateno da administrao. Cumulativamente, essencial manter a correcta e exacta informao contabilstica sendo esta medida crtica para a continuidade das organizaes. Neste contexto, necessrio garantir mecanismos que permitam uma melhor recolha de informao, com a mxima fiabilidade possvel, sendo estas medidas essenciais para um bom governo das sociedades. O controlo interno visa promover a eficincia operacional, e consiste em garantir que operaes sejam executadas de acordo com as melhores prticas, mantendo a motivao dos colaboradores, estimulando a comunicao e o cumprimento das regras adoptadas e visando a optimizao dos recursos considerando as metas estipuladas.

4.2 COSO 1: BREVES CONSIDERAES

Elaborado para o controlo dos processos das Organizaes, o COSO 1 (COSO IC) apresenta um framework com melhores prticas com o objectivo da responsabilizao do Board, direco e funcionrios relativamente aos processos colocados em prtica. Neste contexto, os processos so realizados considerando: Eficcia e eficincia das operaes; Garantia de confiana nos relatrios financeiros; Compliance com os regulamentos e boas prticas identificadas.

Risk Management e Controlo Interno

13

O controlo dos processos deve ser peridico, de forma a identificar pontos de melhoria nos mesmos. O modelo define o sistema de controlo interno nas organizaes baseado em cinco vertentes: 1 Controlo do ambiente O controlo do ambiente da organizao efectivo quando as pessoas esto conscientes do seu papel, responsabilidades e limites de actuao e executam as suas tarefas da forma mais correcta e competente. Essa conscincia tornada comum quando a administrao divulga de forma clara, formal ou informalmente, quais as polticas, procedimentos e cdigos de tica e de conduta a adoptar. 2 Avaliao e Gesto dos Riscos Um controlo interno eficaz deve ser implementado quando a organizao tem os seus objectivos bem definidos. Uma vez definidas as linhas de orientao e os objectivos, importa identificar os riscos que ameaam o seu cumprimento e gerir o seu impacto. Cabe administrao adoptar uma atitude pr-activa e estabelecer os nveis de risco (severidade) que est disposta assumir, para evitar eventos inesperados que ponham em causa os seus objectivos. 3 Actividades de Controlo Devero ser actividades ponderadas e consistentes, empreendidas em tempo til para minimizar ou administrar riscos eminentes. Estas actividades devem ser de: Preveno - Definio formal das regras internas necessrias ao funcionamento da organizao; Deteco - Acompanhamento de actividades ou processos e avaliao do seu desempenho em relao aos objectivos traados, de forma a antecipar mudanas com impacto negativo na organizao. 4 Informao e Comunicao A comunicao um canal bidirecional atravs do qual a informao difundida pela Organizao. Ocorre entre todos os nveis hierrquicos, formal ou informalmente, e essencial ao bom funcionamento e relacionamento entre as pessoas e a organizao. Permite que atravs de uma verificao cuidada e exaustiva da informao se obtenham resultados fidedignos que, se tratados oportunamente, conduzem execuo e acompanhamento de um bom controlo interno.

Modelo Integrado para uma Gesto Eficiente e Controlo do Risco

14

5 Monitorizao A monitorizao o indicador de anlise e avaliao contnua das actividades efectuadas e permite constatar se o controlo interno est a ser vantajoso para a organizao. A funo da monitorizao verificar se os cinco elementos que constituem o controlo interno (ambiente, avaliao de riscos, actividades de controlo, informao e comunicao e monitorizao) esto a funcionar correctamente e a permitir alcanar os resultados desejados.

Monitoring Information & Communication Control Activities Risk Assessment Control environment

Figura 5 Metodologia COSO (COSO 1)

Controlo de ambiente board; valores, integridade e tica; estrutura organizacional; denio de polticas e metodologias. Avaliao e gesto de risco Risco inerente e risco residual; anlise de impacto; metodologia e tcnicas. Actividades de controlo Resposta de risco; denio de tipos de actividade de controlo; denio de actividades; aplicao Informao e comunicao Informao integrada; comunicao.

Monitorizao Avaliao pontual e avaliao contnua.

Figura 6 Metodologia COSO IC (COSO 1)

UNIT A UNIT B ACTIVITY 1 ACTIVITY 2

ion s Fin anc Rep ial or t ing Com plia nce

Ope

rat

Risk Management e Controlo Interno

15

4.3 COSO 2: BREVES CONSIDERAES

O COSO 2 representa uma metodologia complementar framework original do COSO, apresentando uma anlise com o ERM Enterprise Risk Management. O COSO 2, para alm de garantir uma anlise e identificao das organizaes quanto ao compliance, permite uma orientao para a criao de valor. O COSO 2 permite uma anlise de: Eventos potenciais atravs de anlise de tendncias com base no histrico; Avaliao de risco (risco inerente e risco residual); Respostas aos riscos (categorizao dos tipos de respostas e forma de execuo).

NS

G TIN CO

ATE G

ERA TIO

OR

STR

OP

REP

Internal environment Objective setting Event identication Risk Assessment Risk Response Control Activities Information & Communication Monitoring

Figura 7 COSO Enterprise Risk Management (COSO 2)

MP
SUBSIDIARY BUSINESS UNIT DIVISION ENTITY-LEVEL

LIA

NC

IC

Modelo Integrado para uma Gesto Eficiente e Controlo do Risco

16

Ambiente interno Denio de risk management (polticas e cultura); Board; denio de valores: apetite para o risco. Denio do objecto de anlise Denio de objectivos estratgicos; mensurao de apetite e tolerncia para o risco. Identicao de eventos Risco inerente e residual; anlise de impacto; metodologia e tcnicas. Avaliao e gesto do risco Risco inerente e residual; anlise de impacto; metodologia e tcnicas. Resposta ao risco Identicar o tipo de resposta ao risco; avaliao e denio de resposta a cada tipo de risco. Actividades de controlo Resposta ao risco; denio de tipos de actividade de controlo; denio de actividades; aplicao Informao e comunicao Informao integrada; comunicao.

Monitorizao Avaliao pontual e avaliao contnua.

Figura 8 Metodologia COSO ERM (COSO 2)

5. ERM - ENTERPRISE RISK MANAGEMENT

O ERM constitui um modelo da organizao definido com o objectivo de aplicar estratgias que permitam a identificao de todos os eventos afectos a riscos garantindo a administrao dos mesmos e o alcance dos objectivos propostos. Na generalidade, o ERM tem como objectivo: Definio de objectivos (considerando consequncias a evitar); Identificao de eventos (com anlise de potenciais problemas); Anlise de impacto de risco (clculo do risco inerente); Definio e anlise de resposta ao risco (melhoria contnua do controlo de risco).

Risk Management e Controlo Interno

17

O modelo COSO-ERM orientado por forma a garantir que a anlise de impacto de risco permita a gesto eficaz dos riscos organizacionais. Esta metodologia deve assim permitir a anlise do risco inerente organizao e o risco residual no seguimento da aplicao de actividades de controlo. Independentemente da metodologia utilizada, o risk management deve garantir: Identificao de risco; Identificao de impacto quantitativo e qualitativo dos riscos documentados; Prioritizao dos riscos e planeamento de resposta; Monitorizao dos riscos identificados.

Frequentemente as organizaes utilizam o risk management mas habitualmente de forma fragmentada, no garantindo a interaco dos vrios riscos em anlise. A metodologia COSO-ERM detalha o risco atravs de quatro linhas de orientao (estratgica, operacional, reporting e compliance) sendo que a anlise estratgica e operacional devem assumir maior destaque. O COSO-ERM permite ao board e gestores compreender, identificar, analisar e quantificar os riscos existentes na organizao. A base da anlise dos riscos e seu impacto deve ser suportada pelo conceito de controlo interno.

5.1 GERIR O RISCO CORPORATIVO

A gesto do risco corporativo tem como objectivo: Permitir o alinhamento da aceitao do risco com a estratgia da organizao; Fortalecer a tomada de deciso em resposta ao risco; Reduzir os eventos inesperados e riscos operacionais; Aproveitar oportunidades; Optimizar os processos, funcionamento e capital. As metodologias de controlo interno tm como objectivo o controlo e gesto do risco corporativo. Embora garanta benefcios organizao, o controlo interno est sujeito a limitaes inerentes ao factor humano. Falhas que ocorrem por erro ou falha humana do enfoque ao controlo de processos e manuteno de polticas de monitorizao.

Modelo Integrado para uma Gesto Eficiente e Controlo do Risco

18

A gesto do risco corporativo integra as melhores prticas apresentadas no controlo interno da organizao garantindo os seus objectivos. A considerar: Eficcia e eficincia das organizaes; Confiana nos registos financeiros e contabilsticos; Compliance com as melhores prticas.

UNIT A UNIT B ACTIVITY 1 ACTIVITY 2

Co n

Monitoring Information & Communication Control Activities Risk Assessment Control environment

o Corporati sc vo Ri lo Int e tro

Internal environment Objective setting Event identication Risk Assessment Risk Response Control Activities Information & Communication Monitoring

COSO IC (COSO I)

Figura 9- Risk Management e relao com COSO IC e COSO ERM

Os processos de controlo interno so as polticas implementadas pela administrao de uma entidade, de forma a dar garantias razoveis de que ir atingir os seus objectivos financeiros, operacionais e legais. O controlo interno potencia a definio concreta de medidas para combater os riscos ou minimiz-los ao implementar polticas e procedimentos, que assegurem um elevado grau de fiabilidade do controlo do risco.

ATE GIC ERA TIO N REP S OR TIN G CO MP LIA NC E OP

SUBSIDIARY BUSINESS UNIT DIVISION ENTITY-LEVEL
COSO ERM (COSO II)

rat ion s Fin anc Rep ial or t ing Com plia nce

k Managemen t Ris

Ope

STR

o rn

Risk Management e Controlo Interno

19

Evoluo Poltica Ciclos econmicos Evoluo das Taxas de Juro Calamidades

Riscos Externos

Riscos Isolados

Projectos Compromissos Institucionais Responsabilidades Sociais Especcas Acordos de Cavalheiros

Atractividade - dimenso, crescimento Evoluo cclica da Indstria consumos, produtos Concorrncia - posicionamento, concentrao, novos concorrentes

Riscos de Mercado

Riscos Contratuais

Garantias de Compra e/ou Venda Royalties Garantias de pagamento Garantias de dividendos

Figura 10 Os riscos que podem pr em causa os objectivos

6. FASES DE RISK MANAGEMENT

O processo de risk management est organizado em quatro fases/etapas distintas com objectivos especficos.

6.1.1. IDENTIFICAO DO RISCO

As organizaes devem garantir a identificao de todos os riscos possveis e do seu impacto relativamente ao sucesso esperado. Esta anlise deve ser realizada desde o risco geral da organizao at ao risco situado ao nvel das unidades de negcio. Este processo necessita de uma anlise das reas de risco mais significativas na organizao bem como a identificao dos riscos potenciais para cada rea e operao (esta identificao realizada com a anlise de impacto e determinao das periodicidades mapeando com o conceito da matriz de risco e permitindo a definio de tcnica).

Modelo Integrado para uma Gesto Eficiente e Controlo do Risco

20

A identificao do risco pode ser baseada em vrias estratgias: Baseada em objectivos: tendo em considerao que todas as organizaes tm objectivos definidos, nas mais diversas reas, qualquer evento que ponha em causa a sua prossecuo dever ser definido como risco; Baseada em cenrios: a anlise de cenrios til para perceber a interaco das foras e tenses que rodeiam uma organizao e as diferentes evolues na procura das metas pretendidas; qualquer evento que possa despoletar um cenrio indesejvel ser um risco. Baseada em common risks : a metodologia mais simples, baseada na validao de um conjunto de riscos constantes em listas sectoriais ou por actividade.

Financial Reporting: Close the Books

Jos Oliveira, Finance Director Risk Significance Likelihood of Occurrence Significance Likelihood of Occurrence Final

Number of participants: 1

Risk #

Ref

Sub-Process

1 17,0 15,0 2,0 4,0 2,0 1,0 1,0 1,0 3,0 3,0 10,0 20,0 4,0 22,0 18,0 7,0 6,0 1,0 1,0 2,0 2,0 2,0 2,0 2,0 28,0 21,0 1,0 12,0 11,0 27,0 9,0 15,0 28,0 21,0 1,0 12,0 11,0 27,0 9,0 10,0 20,0 4,0 22,0 18,0 7,0 6,0 Closing transactions may not be processed timely. All month end close activities are not performed, leading to the possibility of incorrect financial statements. Transactions are improperly included or excluded as a result of inadequate cutoff procedures. Closing dates are different for foreign locations, leading to consolidated statements not being prepared timely. Problems occurring during closing are ignored or dealt with inefficiency. Lack of accountability for operational level financial statements. Inadequate policies and procedures related to the financial reporting process leads to the possibility of incorrect financial statements and disclosures. SEC and other government reporting requirements and/or loan restritions may be violated. The accounting structure is outdated, incomplete or inconsistent resulting in incomplete or inaccurate finacial statements. A non standardized chart of accounts, resulting in inconsistency in financial reporting. Lack of training in new regulations and pronouncements causes mistakes. Inadequate audit trails exist for accounting and reporting related activities. Authority limits related to the financial reporting process do not exist or are inadequate or inappropriate. Journal entries are not recorded in the proper period.

FR.CB.A

Due to nonexistent or incomplete policies and procedures, closing transactions may not be processed, or may be processed incorrectly or inconsistently resulting in incomplete or inaccurate financial statements. 3,0 17,0

3,0 2,0 4,0 2,0 1,0 1,0 1,0 3,0 3,0 1,0 1,0 2,0 2,0 2,0 2,0 2,0

FR.CB.B

Risk Management e Controlo Interno

FR.CB.C

FR.CB.D

FR.CB.E

FR.CB.F

Figura 11 Exemplo de mapa com identificao de riscos

FR.CD.G

FR.CB.H

FR.CB.I

10

FR.CB.J

11

FR.CB.K

12

FR.CB.L

13

FR.CB.M

14

FR.CB.N

15

FR.CB.O

16

FR.CB.P

Errors in journal entries and reconciliations occur due to lack of proper training.

21

Modelo Integrado para uma Gesto Eficiente e Controlo do Risco

22

6.1.2. ENQUADRAMENTO E CATEGORIZAO DOS RISCOS

Os riscos devem ser categorizados de acordo com a actividade da organizao e enquadramento dos riscos nessa actividade. Neste contexto, os riscos podem ser enquadrados de acordo com a informao na imagem abaixo apresentada.
Riscos Estratgicos
Factores Externos Risco Risco Risco Risco (...) Indstrial Econmico de concorrncia legal (regulamentao Factores Internos Reputao Focus estratgico Suporte da empresa me Proteco da marca

Riscos Operacionais
Processo (tipos de risco) Linha de produo Satisfao do cliente Tempo de ciclo de produo Execuo do processo Compliance Ambiente Regulamentao Polticas e processos Litgios Recursos Humanos Pessoas Rotao de Pessoal Performance Formao

Riscos Financeiros
Monetrio/Financeiro Taxas de juro Taxas de cmbio Disponibilidade de capital Crdito Capacidade de endividamento (...) Comercial (...)

Riscos de Informao
Financeiro Standards de contabilidade Oramento Report nanceiro Impostos/Legal Regulamentao Operacional Preo Performance (...) Tecnolgico Acesso informao Continuidade de negcio Disponibilidade Infraestrutura

Figura 12 Exemplo de tipo de riscos

6.1.2.1. RISCOS OPERACIONAIS

O risco operacional pode ser definido como o risco de perda que resulta de processos internos, pessoas, sistemas ou processos externos, que falham ou so inadequados (Basel Committee, 2001).

Risk Management e Controlo Interno

23

Especificando o risco operacional, o mesmo pode variar de acordo com a rea de negcio que se encontra em anlise. Consoante a rea, a identificao de risco varia: Clientes: Quantidade/materialidade, perfil, custo de aquisio; Fornecedores: Quantidade/materialidade, fidelidade, volume de negcios; Recursos Humanos: Quantidade, perfil etrio; Situao Econmica: Vendas, OR, ROI, RI, EVA, ROS; Situao Financeira: Cash Flow Total e Operacional, encargos financeiros.

O risco operacional apresenta os seguintes objectivos imediatos: Preveno de riscos operacionais; Atenuao dos efeitos de risco operacional, reduzindo o seu impacto; Controlo adequado de danos em caso de risco operacional. A anlise quantitativa de risco mensurvel por indicadores de gesto que permitem concluir sobre os mesmos quanto sua materialidade. Neste contexto, so apresentados como exemplo os seguintes indicadores de gesto, de acordo com a sua envolvncia: Envolvente macro-econmica: indicadores estatsticos,...; Envolvente socioeconmica: indicadores estatsticos, ...; Mercado: Dimenso, concorrentes, ... ; Produtos: Penetrao, Capacidade de produo, Capacidade instalada, custo de materiais,...; Operaes: Custos dos processos, logstica, sistemas de informao, ... Mesmo tendo conscincia que nunca poderemos avaliar os riscos com exactido, e que a avaliao quantitativa de risco no to objectiva quanto o desejvel, esta oferece numerosas vantagens e mtodos que ajudam a organizao a identificar as maiores fontes de risco.

6.1.3. ANLISE DO IMPACTO QUANTITATIVO E QUALITATIVO DO RISCO

6.1.3.1. CONTROLO QUALITATIVO Toda a actividade de controlo visa a reduo da exposio ao risco. A base da anlise dos riscos e seu impacto deve ser suportada pelo conceito de controlo interno.

Modelo Integrado para uma Gesto Eficiente e Controlo do Risco

24

O controlo garante a reduo da exposio e subsequente reduo de ocorrncia de problemas, bem como a reduo das consequncias causadas por um problema. O controlo qualitativo permite a identificao formal de processos na organizao, suportados atravs de documentos que permitam a anlise faseada dos mesmos. Neste contexto, a anlise de risco qualitativamente assegura: Compreenso dos processos e funcionamento da organizao; Identificao de problemas potenciais; Determinao do risco inerente a cada problema; Garantir a segregao dos processos quanto ao seu objectivo e actividades principais; Identificar e classificar as actividades de controlo; Identificar as consequncias dos riscos identificados e impacto de planos de remediao.

L reg aws & ula tio ns

iroment / Con Env tex sk t Ri ded Ente xten rp eE ris Th e

O depa ther rtm ents

Go ver nm

Reviewing and reporting risks

en t

Identifying risks

Communicating and learning

Cap y acit

Communicating and learning Addressing risks

Communicating and learning

so Or red ga / ni Sp sa on tio so ns rin

Ec Th on e om y

ce vernan ate Go Corpor irements Requ

Figura 13- Fluxo de informao para anlise de risco na organizao

A anlise de processos e subsequente anlise qualitativa dos mesmos permite a identificao dos riscos em vrios estgios bem como o impacto e definio de medidas de resoluo.

Or Pa ga r t ni ne sa r tio n

on

St ex ake pe ho cta lde tio r ns

Sp

Assessing risks

Risk Management e Controlo Interno

25

A anlise e controlo realizado na organizao podem ser: Controlo/anlise preventiva: este processo define, de acordo com as melhores prticas, procedimentos com o objectivo da anulao ou minimizao do risco. Estes deveriam, sempre que possvel, estar embebidos nos processos operacionais da organizao, sendo executados por todos os elementos de acordo com a fase do processo e das respectivas funes; Controlo/anlise de processo: Este tipo de controlo no impede que a existncia de risco no evolua para a ocorrncia de um problema. O processo de controlo permite a definio de mecanismos de identificao e recolha de informao face a um problema. Esta monitorizao cria mecanismos de alerta que permitem a aco imediata dos intervenientes e/ou responsveis pelo processo ou planos de remediao; Controlo correctivo: o controlo correctivo sempre necessrio aquando da anlise de um problema. A aco do controlo correctivo visa a reduo do impacto do problema/evento ocorrido na organizao bem como a imediata anulao/minimizao do risco identificado como causa do respectivo evento (execuo de planos de remediao identificados e implementados).

6.1.3.2. CONTROLO QUANTITATIVO O controlo do risco igualmente efectuado quantitativamente (atravs de rcio e metodologias de controlo que garantem a anlise dos riscos entre alto, mdio, baixo ou escalas percentuais definidas com tolerncias). O controlo quantitativo do risco materializa a necessidade de anlise de impacto bem como na classificao por ranking dos riscos, permitindo a definio mais adequada. A classificao do risco permite a optimizao da definio dos planos de remediao e sensibilidade nas auditorias e validao de compliance. Esta aco deve ser complementar ao controlo qualitativo (normalmente mais complicado de mensurar quantitativamente). No entanto, esta mensurao obrigatoriamente acompanhada por anlises complexas de acordo com o tipo de risco em anlise. O controlo quantitativo do risco pode ser suportado por mecanismos estabelecidos na organizao (portal de risco) e rcios que permitem a mensurao dos mesmos de acordo com anlise dos processos, estrutura e actividade.

Modelo Integrado para uma Gesto Eficiente e Controlo do Risco

26

6.1.4. DEFINIO DE PRIORIDADE DO RISCO E PLANEAMENTO DE RESPOSTA

Os riscos so avaliados quanto sua gravidade, mediante a anlise de duas variveis: Impacto; Probabilidade.

Risco mdio Probabilidade

Risco elevado

Riscos de repetio de processos. Processos devem ser alterados e se possvel automatizar os mesmos.

Riscos importantes que carecem de controlo elevado e estabelecimento de prioridades.

Risco baixo

Risco mdio

Controlo alinhado com os objectivos minimizando riscos com baixo controlo,

Riscos no frequentes mas podem ter grande impacto. Monitorizar indicadores.

Impacto no negcio

Figura 14 Matriz de riscos

A matriz de riscos permite definir: Riscos estratgicos (risco de negcio, de mercado); Riscos financeiros (risco de crdito, de tesouraria); Riscos operacionais, ambientais, compliance, ...

Risk Management e Controlo Interno

27

6.2. TIPOS DE CONTROLO

6.2.1. DEFINIO DE CONTROLOS PREVENTIVOS

Os controlos preventivos tm como objectivo garantir que aquilo que est especificado nos processos e procedimentos realmente cumprido e que a realidade decorre de acordo com o planeado. Esta etapa fundamental pressupe a validao da eficcia dos processos de controlo, auditoria e da garantia do seu cumprimento.

6.2.2. DEFINIO DAS ACTIVIDADES DE COMUNICAO E REPORTING

Esta uma das questes mais sensveis de todo o framework, uma vez que dela depende a capacidade da gesto, tomada de conhecimento e aco em tempo til sobre os eventos. Importa estabelecer rotinas baseadas em sistemas, automatizadas e informatizadas de forma a dispensar interveno humana, mais dispendiosa e sensvel ao erro. Estas rotinas permitem a comunicao de determinados parmetros, ou mtricas especficas, que tenham atingido um determinado nvel considerado alarmante e que exijam medidas especficas. Os responsveis pelos processos em causa sero os destinatrios destas actividades.

6.2.3. DEFINIO DOS PLANOS DE REMEDIAO (PLANEAMENTO DE RESPOSTA)

Tendo em conta que se excluiu a hiptese de no correr o risco (risk avoidance), e como forma de definir a postura de uma organizao tendo em vista a possibilidade de ocorrncia de eventos indesejveis, existem trs tcnicas: Risk Transfer: com a transferncia de riscos, opta-se por delegar parte ou a totalidade do risco para uma terceira entidade;

Modelo Integrado para uma Gesto Eficiente e Controlo do Risco

28

Risk Acceptance/Retention: pressupe assumir o risco e, consequentemente, a perda, caso ela ocorra. Muitos dos exemplos dos factores e ameaas exgenos, no susceptveis de serem influenciados pela empresa, so encarados desta forma, pelo que devero ser elaborados planos de contingncia; Risk Reduction: a postura mais aconselhvel na maior parte dos riscos. Reduzir ou mitigar o risco pressupe tomar medidas para diminuir a sua probabilidade de ocorrncia ou a severidade do seu impacto.

Risk Avoidance

Risk Management

Risk Reduction Risk Financing

Risk Retention Risk Transfer

Figura 15 - Tcnicas/tipos de posicionamento face ao risco

O controlo interno , neste mbito, uma rea essencial. Modelizar um sistema de controlo interno pressupe a definio de um conjunto de variveis que permitiro detectar, reportar e evitar/mitigar eventos indesejveis ao nvel dos processos essenciais de uma organizao.

European Deficiency Remediation Plan Template (Detailed)

Cycle: Sub-Cycle:

FIXED ASSETS (FA) FIXED ASSETS (FA)

A
Description of deficiency Individual Responsible Implementation Date Country Controler 31-Dec-04 Remark reconciliation is update with implementation of Policy Check List it is on date Country Remediation Plan

Description and Country Remediation Plan

ID Number

Priority

Country

Risk Management e Controlo Interno

1686

PT

Changes to the fixed asset subledger are not made on a timely basis but rather tend to be dealt with in the last quarter of the year

Figura 16 - Plano de Aco/Remediao

Description of deficiency Existing Compensating Control Identified Individual Responsible Implementation Date Key Control Remediation Plan Updated the changes in the fixed assets Individual Responsible Implementation Date Country Controller Country Controller 01-Jan-05 01-Jan-05 Jan-Feb-05 Check implementation is correct Action is complete, needs to be tested by Protivity in Phase 2

Compensation Controls and Confirmation of Key Control

ID Number

Priority

Country

Remediation Plan

Step 1

Step 2

Implementation of check list so the subledger reconciles with the EASY GL each month

Step 3

Step 4

Step 5

Step 6

29

Modelo Integrado para uma Gesto Eficiente e Controlo do Risco

30

A estratgia a assumir deve ser realizada de acordo com a anlise de risco realizada. Com uma estratgia para o mapeamento da classificao de risco, possvel a mensurao da probabilidade da sua ocorrncia e do impacto no negcio da organizao atravs da matriz de risco. Neste contexto, possvel determinar a tcnica a adoptar no tratamento do risco em anlise:

Risk Reduction Probabilidade

Risk Avoidance

Risk Acceptance

Risk Transfer

Impacto no negcio
Figura 17 Matriz de risco

Os riscos de alto impacto e probabilidade deve ser evitados para garantir o negcio da organizao a longo prazo. Cumulativamente, os riscos sujeitos a uma estratgia de transferncia devem ser mantidos em anlise devido ao seu impacto potencial no negcio da organizao. A reduo de riscos ocorre em muitos casos em processos operacionais que podem comprometer a eficincia operacional da organizao. Evitar o risco no corresponde a ignorar a sua existncia. Cada vez mais as empresas aceitam e organizam a sua gesto para a aceitao controlada do risco de acordo com os seus objectivos.

Risk Management e Controlo Interno

31

6.3. MONITORIZAO DO RISCO

O ambiente de controlo reflecte a cultura organizacional onde est inserido e os mecanismos que formalizam o controlo interno: Poltica de recursos humanos; Cdigo de tica; Procedimentos formalizados; Grau de controlo de gesto e de auditoria interna; Penalidades por incumprimento.

Dever-se- fazer uma avaliao desta realidade antes de determinar, em concreto, quais as principais actividades de risk management. O sistema de risk management a ser implementado na organizao deve permitir a identificao, controlo e monitorizao dos indicadores de risco. Neste contexto, a organizao deve garantir ferramentas de monitorizao e suporte para apoio ao risk management.

6.3.1. PORTAL DE RISCO

A etapa final e complementar ao risk management a concepo e implementao de um Portal de Risco Corporativo, permitindo gesto de topo (e aos outros gestores funcionais ou lderes de unidades de negcio, por via de uma disseminao segmentada da informao) um controlo efectivo da estratgia da organizao, atravs de um interface completo e intuitivo.

Modelo Integrado para uma Gesto Eficiente e Controlo do Risco

32

Monitoriza os alertas activos

Monitorizao do risco do negcio

Relatrios de suporte aos indicadores de risco

Outras formas de monitorizar os indicadores

Outros Relatrios de suporte ao negcio

Figura 18 Portal de risco

A informao de suporte aos indicadores potenciada atravs de tecnologia BAM (Business Activity Monitoring), assente num Data Warehouse, ou atravs de uma ligao directa aos sistemas operacionais (ERP, CRM, SCM, entre outros). Tendo em conta o contexto de acelerada mutao das variveis concorrenciais, importa, com uma periodicidade pr-definida (por exemplo um ou dois anos), fazer uma avaliao e reviso dos riscos que a empresa enfrenta. Tal permitir ter um framework actualizado e um sistema de risk management sempre apropriado s necessidades. 6.3.1.1. PRINCIPAIS OBJECTIVOS DO PORTAL DE RISCO Repositrio de indicadores de risco da organizao e planos de remediao; Gerir as actividades de maior risco para minimizar o impacto do negcio; Garantir aos responsveis o acesso aos relatrios de controlo interno; Uma nica verso da verdade; Delegar nos responsveis o controlo dos indicadores; Reduzir o erro humano; Alinhamento da organizao; Visibilidade sobre a informao financeira e operacional; Alertas e notificaes.

Risk Management e Controlo Interno

33

EM SNTESE
Tendo em considerao a conjuntura actual premente que as organizaes tomem conscincia da importncia destas componentes para uma boa gesto e comecem a implementar sistemas de Risk Management e Controlo Interno. Sendo o risco a possibilidade de ocorrncia de um factor imprevisto que pode afectar os planos traados, as empresas necessitam de antecipar, identificar e controlar todas as ameaas que interfiram no seu plano estratgico. Na nossa perspectiva uma gesto eficaz dos riscos deve ser dividida em quatro etapas inter-relacionadas: Risk Assessment, Avaliao do ambiente de controlo, Risk Management e Concepo de um Portal de Risco. O controlo interno surge como resposta s ameaas identificadas e preconiza a definio concreta de medidas para combater os riscos ou minimiz-los ao implementar polticas e processos transversais a toda a organizao, que garantam o cumprimento das metas propostas. O COSO e a lei Sarbanes-Oxley surgem nesta linha de actuao, como forma de combate fraude e s ineficincias que abalam a confiana dos investidores nos mercados.

Modelo Integrado para uma Gesto Eficiente e Controlo do Risco

34

NA PRXIMA EDIO
O ltimo elo de ligao do Modelo Integrado para uma Gesto Eficiente e Controlo do Risco a componente de Performance Management e ser o tema abordado no prximo livro. Surge somente no final uma vez que s pode ser implementado numa organizao aps esta ter passado pelos trs passos anteriores: processos perfeitamente definidos e alinhados, os modelos de governao em conformidade com as boas prticas, e a componente de risco e controlo interno activa e em monitorizao constante.

bi4all Consultores de Gesto lda. | Rua Baslio Teles n35 2Esq 1070-020 Lisboa tel. +351 217 266 165 | fax +351 217 266 164 | info@bi4all.pt | www.bi4all.pt