Documente Academic
Documente Profesional
Documente Cultură
3.
Prefcio 1. 2. 3. 4. 4.1. 4.2. 4.3. 5. 5.1. 6. 6.1.1. 6.1.2. 6.1.2.1. 6.1.3. 6.1.3.1. 6.1.3.2. 6.1.4. 6.2. 6.2.1. 6.2.2. 6.2.3. 6.3. 6.3.1. 6.3.1.1. Risk Management e Controlo Interno O Impacto da Lei Sarbanes-Oxley na Gesto de Risco Modelo de Gesto de Risco Mais Utilizado COSO Controlo Interno: Breves Consideraes COSO 1: Breves Consideraes COSO 2: Breves Consideraes ERM - Enterprise Risk Management Gerir o Risco Corporativo Fases de Risk Management Identificao do Risco Enquadramento e Categorizao dos Riscos Riscos Operacionais Anlise do Impacto Quantitativo e Qualitativo do Risco Controlo Qualitativo Controlo Quantitativo Definio de Prioridade do Risco e Planeamento de Resposta Tipos de Controlo Definio de Controlos Preventivos Definio das Actividades de Comunicao e Reporting Definio dos Planos de Remediao (Planeamento de Resposta) Monitorizao do Risco Portal de Risco Principais Objectivos do Portal de Risco Em Sntese Na Prxima Edio...
5 6 7 10 10 11 12 15 16 17 19 19 22 22 23 23 25 26 27 27 27 27 31 31 32 33 34
PREFCIO
Esta colectnea que est dividida em 5 partes, encontra neste livro o seu expoente mximo. No seguimento das grandes fraudes e falncias, como a Enron em 2002, surgiu uma tomada de conscincia que originou a criao de regras de governao para salvaguardar o investimento dos accionistas das grandes empresas relativamente gesto dos seus administradores. Porm, esta no era uma tarefa fcil nem to pouco estava provado que uma lei orientada ao risco da governao fosse mais eficaz do que a definio de boas prticas e, a partir da, fossem definidas novas regras que as empresas pudessem aplicar. Duas correntes emergiram, uma nos Estados Unidos e outra na Europa. Nos Estados Unidos foi criada a conhecida Lei Sarbanes-Oxley, enquanto que na Europa foram aplicadas boas prticas. Ambas tm como target empresas cotadas em bolsas Americanas e Europeias, porm o facto que at data, os crimes econmicos continuaram a acontecer em empresas cotadas ou no na Bolsa, independentemente da aplicao de uma ou outra medida. A Lei Sarbanes-Oxley criou entretanto uma orientao para a aplicao de boas prticas que at data no existia. Muito suportada na Gesto do Risco, a lei posiciona-se para o controlo mais coordenado das organizaes, bem como na atribuio de responsabilidades aos administradores das empresas que, aquando da identificao de indcios de crimes econmicos, alegavam no terem tido conhecimento dos factos. Esta lei deu publicamente enfoque responsabilidade directa dos administradores das empresas. O fascculo de Gesto do Risco identifica a aplicabilidade desta matria s organizaes, sendo igualmente um reforo para que as empresas possam de forma clara aplicar regras e controlos com o objectivo de saber aprofundadamente o que est a acontecer a nvel interno. Dessa forma, os accionistas ganham mais confiana considerando que se torna evidente a aplicao de boas prticas de Gesto do Risco.
Risk Management
Da figura 1 possvel identificar como benefcios da gesto do risco para a organizao: Apoio e suporte gesto de topo: Utilizando a gesto de risco no aproveitamento de oportunidades emergentes da aceitao do risco; reduo das perdas por erros, fraudes e prticas no ticas; gesto efectiva de recursos, conformidade legal e governamental, conformidade com os regulamentos, compromisso e responsabilizao dos gestores (accountability), controlo de custos, oramentao mais rigorosa e solidez financeira;
Minimizao dos riscos na tomada de deciso: Garantindo o fortalecimento da sustentabilidade da organizao; pressupe a identificao sistemtica das deficincias organizacionais, das necessidades de todos os envolvidos, incremento dos fluxos de comunicao internos e externos, proteco da marca; Transparncia da informao: Viso clara dos objectivos e resultados do negcio, reforo da imagem e da reputao da organizao, quer para os pblicos externos, quer para os internos. No seguimento dos pontos anteriores, a transparncia da informao visa captar o interesse de investidores avessos a riscos.
SOX
Risk Management
Compliance
Segurana de informao
BA
Escndalos Financeiros
SE
L
1
II
00
IS O 27
Estratgia
A Lei Sarbanes-Oxley de 2002 foi proposta por Paul Sarbanes (democrata e Senador de Maryland) e Michael Oxley (republicano e Senador de Ohio). A lei visa responder necessidade dos CEOs e CFOs se certificarem sobre a situao financeira da empresa, de forma a proteger os investidores e a melhorar a preciso e fiabilidade das divulgaes corporativas. Surgiu num contexto em que era necessrio restaurar a confiana pblica em ttulos pblicos e privados, fortemente abalada pelos escndalos com as empresas Arthur Anderson, Xerox, Tyco, Parmalat, WorldCom, etc. Estas prticas empresariais sustentadas em fraudes e omisses contriburam para a grande crise financeira de 2008. A Lei Sarbanes-Oxley procura assim, assegurar prticas ticas de negcio, fomentadas por uma gesto consciente, responsvel e sustentvel. Este resultado consegue-se atravs de um sistema superior de controlos internos e da divulgao dos processos operacionais e financeiros, que permitem uma maior transparncia quer para a direco e gesto de topo, quer para os seus investidores. As seces mais importantes da lei prescrevem: A responsabilizao da empresa pelos seus relatrios financeiros; A divulgao de relatrios peridicos; A avaliao da gesto de controlo interno; Penalidades criminais para a alterao de registos.
Atravs de planos de coordenao estratgica e operacional, possvel monitorizar qual o desempenho da empresa face aos objectivos traados e compreender o porqu desse desempenho. Isto possibilita ao CEO, CFO e outros gestores de topo a tomada de decises com segurana. Uma maior transparncia a nvel de dados e processos operacionais e financeiros possibilita: A consistncia dos nmeros em toda a empresa; Conhecer os processos que os originaram; Garantia da sua veracidade e fiabilidade; Confiana na tica e competncia das pessoas que fornecem esses nmeros; Fecho contabilstico atempado e exacto, apesar das especificidades de cada empresa; Conhecimento aprofundado sobre informaes fulcrais para o negcio como: perda de clientes, fornecedores, etc; Garantia de uma viso transparente sobre as previses das vendas;
Competncia para delinear o desempenho da empresa consoante as flutuaes do mercado; Enfoque no core-business. Em termos de controlo interno, a lei considera as administraes explicitamente responsveis por estabelecer, avaliar e monitorar a eficcia dos controles internos atravs de certificaes e avaliaes regulares dos relatrios financeiros e outras divulgaes, em paralelo com os relatrios emitidos pelos auditores externos.
COS O
IC
-E RM
s e era Op
A lei prescreve ainda a existncia de um Conselho de Administrao, de um comit de auditoria e de um comit de divulgao com estatutos e responsabilidades prprias. Ao tornarem-se mais transparentes, as empresas traam de forma aprofundada os riscos que correm em todas as frentes, o que permite melhorar a performance da equipa de gesto de topo que confia nos dados que possui e transmite confiana aos investidores.
SOX
or Rep ting
anceiro Fin
10
4. COSO
O COSO (Committee of Sponsoring Organizations of the TreadWay Commission) uma organizao privada criada nos EUA em 1985. Inicialmente criada como Comisso Nacional sobre Fraudes em Relatrios Financeiros, sendo representada pelas principais associaes de classes de profissionais ligadas rea financeira (American Accounting Association, American Institute of Certified Public Accountants, Finantial Executives International, The Associations for Accountants and Financial Professionals in Business e finalmente The Institute of Internal Auditors). O primeiro objecto de estudo da comisso teve como objectivo o controlo interno das organizaes. Em 1992 foi publicado o estudo Controlos Internos Um Modelo Integrado, hoje em dia reconhecido como metodologia COSO. O controlo interno , de acordo com a metodologia COSO, um processo que visa alcanar os objectivos propostos ao nvel da confiana nos registos financeiros, eficincia e efectividade operacional, conformidade com as leis e regulamentos. Na sua primeira verso (conhecida como COSO 1), o modelo apresentou focus em cincos reas inter-dependentes:
11
Ambiente de controlo; Gesto e avaliao dos riscos; Actividades de controlo; Informao e comunicao; Monitorizao.
O controlo interno deve ser avaliado atravs do funcionamento destas reas, tendo por base os objectivos propostos. Em 2001, a anlise COSO foi melhorada com a incluso do conceito de Enterprise Risk Management (ERM) aumentando as reas de enfoque no seu modelo (conhecido tambm por COSO 2):
COSO 1 1987
Controlo (enfoque nas relaes externas organizao) Avaliao de risco Controlo Interno (procedimentos e polticas) Informaes e comunicaes Monitorizao
COSO 2 2001
ERM (Enterprise Risk Management)
Ambiente interno Focus nos objectivos Identicao de eventos internos e externos (enquanto riscos e oportunidades) Avaliao de risco Aceitao e gesto do risco Controlo Interno Informaes e comunicaes Monitorizao
12
Para estabelecer um sistema de controlo de gesto, os administradores devem encarar a necessidade de tratar os riscos do negcio que, como eventos futuros e incertos, podem influenciar de forma negativa o cumprimentos dos objectivos da organizao (McCrimmon e Wehrung, 1986). Seguindo essa linha de pensamento surge, no ano 2000, a definio de controlo interno como o plano de organizao e todos os mtodos e medidas coordenados, adoptados dentro da organizao para salvaguardar os seus activos, verificar a fiabilidade da informao contabilstica, promover a eficincia operacional e fomentar o respeito e obedincia s polticas administrativas fixadas pela gesto da organizao (Galloro). A evoluo do conceito durante os anos destaca a importncia do controlo interno como instrumento de gesto, que permite administrao acompanhar e medir o alcance dos seus objectivos e metas a atingir, atravs do cumprimento das regras e estratgias estabelecidas no planeamento estratgico. Analisando cada funo em separado, constata-se que a proteco do patrimnio uma das funes que mais requer ateno da administrao. Cumulativamente, essencial manter a correcta e exacta informao contabilstica sendo esta medida crtica para a continuidade das organizaes. Neste contexto, necessrio garantir mecanismos que permitam uma melhor recolha de informao, com a mxima fiabilidade possvel, sendo estas medidas essenciais para um bom governo das sociedades. O controlo interno visa promover a eficincia operacional, e consiste em garantir que operaes sejam executadas de acordo com as melhores prticas, mantendo a motivao dos colaboradores, estimulando a comunicao e o cumprimento das regras adoptadas e visando a optimizao dos recursos considerando as metas estipuladas.
13
O controlo dos processos deve ser peridico, de forma a identificar pontos de melhoria nos mesmos. O modelo define o sistema de controlo interno nas organizaes baseado em cinco vertentes: 1 Controlo do ambiente O controlo do ambiente da organizao efectivo quando as pessoas esto conscientes do seu papel, responsabilidades e limites de actuao e executam as suas tarefas da forma mais correcta e competente. Essa conscincia tornada comum quando a administrao divulga de forma clara, formal ou informalmente, quais as polticas, procedimentos e cdigos de tica e de conduta a adoptar. 2 Avaliao e Gesto dos Riscos Um controlo interno eficaz deve ser implementado quando a organizao tem os seus objectivos bem definidos. Uma vez definidas as linhas de orientao e os objectivos, importa identificar os riscos que ameaam o seu cumprimento e gerir o seu impacto. Cabe administrao adoptar uma atitude pr-activa e estabelecer os nveis de risco (severidade) que est disposta assumir, para evitar eventos inesperados que ponham em causa os seus objectivos. 3 Actividades de Controlo Devero ser actividades ponderadas e consistentes, empreendidas em tempo til para minimizar ou administrar riscos eminentes. Estas actividades devem ser de: Preveno - Definio formal das regras internas necessrias ao funcionamento da organizao; Deteco - Acompanhamento de actividades ou processos e avaliao do seu desempenho em relao aos objectivos traados, de forma a antecipar mudanas com impacto negativo na organizao. 4 Informao e Comunicao A comunicao um canal bidirecional atravs do qual a informao difundida pela Organizao. Ocorre entre todos os nveis hierrquicos, formal ou informalmente, e essencial ao bom funcionamento e relacionamento entre as pessoas e a organizao. Permite que atravs de uma verificao cuidada e exaustiva da informao se obtenham resultados fidedignos que, se tratados oportunamente, conduzem execuo e acompanhamento de um bom controlo interno.
14
5 Monitorizao A monitorizao o indicador de anlise e avaliao contnua das actividades efectuadas e permite constatar se o controlo interno est a ser vantajoso para a organizao. A funo da monitorizao verificar se os cinco elementos que constituem o controlo interno (ambiente, avaliao de riscos, actividades de controlo, informao e comunicao e monitorizao) esto a funcionar correctamente e a permitir alcanar os resultados desejados.
Monitoring Information & Communication Control Activities Risk Assessment Control environment
Controlo de ambiente board; valores, integridade e tica; estrutura organizacional; denio de polticas e metodologias. Avaliao e gesto de risco Risco inerente e risco residual; anlise de impacto; metodologia e tcnicas. Actividades de controlo Resposta de risco; denio de tipos de actividade de controlo; denio de actividades; aplicao Informao e comunicao Informao integrada; comunicao.
Ope
rat
15
NS
G TIN CO
ATE G
ERA TIO
OR
STR
OP
REP
Internal environment Objective setting Event identication Risk Assessment Risk Response Control Activities Information & Communication Monitoring
MP
SUBSIDIARY BUSINESS UNIT DIVISION ENTITY-LEVEL
LIA
NC
IC
16
Ambiente interno Denio de risk management (polticas e cultura); Board; denio de valores: apetite para o risco. Denio do objecto de anlise Denio de objectivos estratgicos; mensurao de apetite e tolerncia para o risco. Identicao de eventos Risco inerente e residual; anlise de impacto; metodologia e tcnicas. Avaliao e gesto do risco Risco inerente e residual; anlise de impacto; metodologia e tcnicas. Resposta ao risco Identicar o tipo de resposta ao risco; avaliao e denio de resposta a cada tipo de risco. Actividades de controlo Resposta ao risco; denio de tipos de actividade de controlo; denio de actividades; aplicao Informao e comunicao Informao integrada; comunicao.
17
O modelo COSO-ERM orientado por forma a garantir que a anlise de impacto de risco permita a gesto eficaz dos riscos organizacionais. Esta metodologia deve assim permitir a anlise do risco inerente organizao e o risco residual no seguimento da aplicao de actividades de controlo. Independentemente da metodologia utilizada, o risk management deve garantir: Identificao de risco; Identificao de impacto quantitativo e qualitativo dos riscos documentados; Prioritizao dos riscos e planeamento de resposta; Monitorizao dos riscos identificados.
Frequentemente as organizaes utilizam o risk management mas habitualmente de forma fragmentada, no garantindo a interaco dos vrios riscos em anlise. A metodologia COSO-ERM detalha o risco atravs de quatro linhas de orientao (estratgica, operacional, reporting e compliance) sendo que a anlise estratgica e operacional devem assumir maior destaque. O COSO-ERM permite ao board e gestores compreender, identificar, analisar e quantificar os riscos existentes na organizao. A base da anlise dos riscos e seu impacto deve ser suportada pelo conceito de controlo interno.
18
A gesto do risco corporativo integra as melhores prticas apresentadas no controlo interno da organizao garantindo os seus objectivos. A considerar: Eficcia e eficincia das organizaes; Confiana nos registos financeiros e contabilsticos; Compliance com as melhores prticas.
Co n
Monitoring Information & Communication Control Activities Risk Assessment Control environment
Internal environment Objective setting Event identication Risk Assessment Risk Response Control Activities Information & Communication Monitoring
COSO IC (COSO I)
Os processos de controlo interno so as polticas implementadas pela administrao de uma entidade, de forma a dar garantias razoveis de que ir atingir os seus objectivos financeiros, operacionais e legais. O controlo interno potencia a definio concreta de medidas para combater os riscos ou minimiz-los ao implementar polticas e procedimentos, que assegurem um elevado grau de fiabilidade do controlo do risco.
rat ion s Fin anc Rep ial or t ing Com plia nce
k Managemen t Ris
Ope
STR
o rn
19
Riscos Externos
Riscos Isolados
Atractividade - dimenso, crescimento Evoluo cclica da Indstria consumos, produtos Concorrncia - posicionamento, concentrao, novos concorrentes
Riscos de Mercado
Riscos Contratuais
20
A identificao do risco pode ser baseada em vrias estratgias: Baseada em objectivos: tendo em considerao que todas as organizaes tm objectivos definidos, nas mais diversas reas, qualquer evento que ponha em causa a sua prossecuo dever ser definido como risco; Baseada em cenrios: a anlise de cenrios til para perceber a interaco das foras e tenses que rodeiam uma organizao e as diferentes evolues na procura das metas pretendidas; qualquer evento que possa despoletar um cenrio indesejvel ser um risco. Baseada em common risks : a metodologia mais simples, baseada na validao de um conjunto de riscos constantes em listas sectoriais ou por actividade.
Number of participants: 1
Risk #
Ref
Sub-Process
1 17,0 15,0 2,0 4,0 2,0 1,0 1,0 1,0 3,0 3,0 10,0 20,0 4,0 22,0 18,0 7,0 6,0 1,0 1,0 2,0 2,0 2,0 2,0 2,0 28,0 21,0 1,0 12,0 11,0 27,0 9,0 15,0 28,0 21,0 1,0 12,0 11,0 27,0 9,0 10,0 20,0 4,0 22,0 18,0 7,0 6,0 Closing transactions may not be processed timely. All month end close activities are not performed, leading to the possibility of incorrect financial statements. Transactions are improperly included or excluded as a result of inadequate cutoff procedures. Closing dates are different for foreign locations, leading to consolidated statements not being prepared timely. Problems occurring during closing are ignored or dealt with inefficiency. Lack of accountability for operational level financial statements. Inadequate policies and procedures related to the financial reporting process leads to the possibility of incorrect financial statements and disclosures. SEC and other government reporting requirements and/or loan restritions may be violated. The accounting structure is outdated, incomplete or inconsistent resulting in incomplete or inaccurate finacial statements. A non standardized chart of accounts, resulting in inconsistency in financial reporting. Lack of training in new regulations and pronouncements causes mistakes. Inadequate audit trails exist for accounting and reporting related activities. Authority limits related to the financial reporting process do not exist or are inadequate or inappropriate. Journal entries are not recorded in the proper period.
FR.CB.A
Due to nonexistent or incomplete policies and procedures, closing transactions may not be processed, or may be processed incorrectly or inconsistently resulting in incomplete or inaccurate financial statements. 3,0 17,0
3,0 2,0 4,0 2,0 1,0 1,0 1,0 3,0 3,0 1,0 1,0 2,0 2,0 2,0 2,0 2,0
FR.CB.B
FR.CB.C
FR.CB.D
FR.CB.E
FR.CB.F
FR.CD.G
FR.CB.H
FR.CB.I
10
FR.CB.J
11
FR.CB.K
12
FR.CB.L
13
FR.CB.M
14
FR.CB.N
15
FR.CB.O
16
FR.CB.P
Errors in journal entries and reconciliations occur due to lack of proper training.
21
22
Riscos Operacionais
Processo (tipos de risco) Linha de produo Satisfao do cliente Tempo de ciclo de produo Execuo do processo Compliance Ambiente Regulamentao Polticas e processos Litgios Recursos Humanos Pessoas Rotao de Pessoal Performance Formao
Riscos Financeiros
Monetrio/Financeiro Taxas de juro Taxas de cmbio Disponibilidade de capital Crdito Capacidade de endividamento (...) Comercial (...)
Riscos de Informao
Financeiro Standards de contabilidade Oramento Report nanceiro Impostos/Legal Regulamentao Operacional Preo Performance (...) Tecnolgico Acesso informao Continuidade de negcio Disponibilidade Infraestrutura
23
Especificando o risco operacional, o mesmo pode variar de acordo com a rea de negcio que se encontra em anlise. Consoante a rea, a identificao de risco varia: Clientes: Quantidade/materialidade, perfil, custo de aquisio; Fornecedores: Quantidade/materialidade, fidelidade, volume de negcios; Recursos Humanos: Quantidade, perfil etrio; Situao Econmica: Vendas, OR, ROI, RI, EVA, ROS; Situao Financeira: Cash Flow Total e Operacional, encargos financeiros.
O risco operacional apresenta os seguintes objectivos imediatos: Preveno de riscos operacionais; Atenuao dos efeitos de risco operacional, reduzindo o seu impacto; Controlo adequado de danos em caso de risco operacional. A anlise quantitativa de risco mensurvel por indicadores de gesto que permitem concluir sobre os mesmos quanto sua materialidade. Neste contexto, so apresentados como exemplo os seguintes indicadores de gesto, de acordo com a sua envolvncia: Envolvente macro-econmica: indicadores estatsticos,...; Envolvente socioeconmica: indicadores estatsticos, ...; Mercado: Dimenso, concorrentes, ... ; Produtos: Penetrao, Capacidade de produo, Capacidade instalada, custo de materiais,...; Operaes: Custos dos processos, logstica, sistemas de informao, ... Mesmo tendo conscincia que nunca poderemos avaliar os riscos com exactido, e que a avaliao quantitativa de risco no to objectiva quanto o desejvel, esta oferece numerosas vantagens e mtodos que ajudam a organizao a identificar as maiores fontes de risco.
6.1.3.1. CONTROLO QUALITATIVO Toda a actividade de controlo visa a reduo da exposio ao risco. A base da anlise dos riscos e seu impacto deve ser suportada pelo conceito de controlo interno.
24
O controlo garante a reduo da exposio e subsequente reduo de ocorrncia de problemas, bem como a reduo das consequncias causadas por um problema. O controlo qualitativo permite a identificao formal de processos na organizao, suportados atravs de documentos que permitam a anlise faseada dos mesmos. Neste contexto, a anlise de risco qualitativamente assegura: Compreenso dos processos e funcionamento da organizao; Identificao de problemas potenciais; Determinao do risco inerente a cada problema; Garantir a segregao dos processos quanto ao seu objectivo e actividades principais; Identificar e classificar as actividades de controlo; Identificar as consequncias dos riscos identificados e impacto de planos de remediao.
Go ver nm
en t
Identifying risks
Ec Th on e om y
A anlise de processos e subsequente anlise qualitativa dos mesmos permite a identificao dos riscos em vrios estgios bem como o impacto e definio de medidas de resoluo.
Or Pa ga r t ni ne sa r tio n
on
Sp
Assessing risks
25
A anlise e controlo realizado na organizao podem ser: Controlo/anlise preventiva: este processo define, de acordo com as melhores prticas, procedimentos com o objectivo da anulao ou minimizao do risco. Estes deveriam, sempre que possvel, estar embebidos nos processos operacionais da organizao, sendo executados por todos os elementos de acordo com a fase do processo e das respectivas funes; Controlo/anlise de processo: Este tipo de controlo no impede que a existncia de risco no evolua para a ocorrncia de um problema. O processo de controlo permite a definio de mecanismos de identificao e recolha de informao face a um problema. Esta monitorizao cria mecanismos de alerta que permitem a aco imediata dos intervenientes e/ou responsveis pelo processo ou planos de remediao; Controlo correctivo: o controlo correctivo sempre necessrio aquando da anlise de um problema. A aco do controlo correctivo visa a reduo do impacto do problema/evento ocorrido na organizao bem como a imediata anulao/minimizao do risco identificado como causa do respectivo evento (execuo de planos de remediao identificados e implementados).
6.1.3.2. CONTROLO QUANTITATIVO O controlo do risco igualmente efectuado quantitativamente (atravs de rcio e metodologias de controlo que garantem a anlise dos riscos entre alto, mdio, baixo ou escalas percentuais definidas com tolerncias). O controlo quantitativo do risco materializa a necessidade de anlise de impacto bem como na classificao por ranking dos riscos, permitindo a definio mais adequada. A classificao do risco permite a optimizao da definio dos planos de remediao e sensibilidade nas auditorias e validao de compliance. Esta aco deve ser complementar ao controlo qualitativo (normalmente mais complicado de mensurar quantitativamente). No entanto, esta mensurao obrigatoriamente acompanhada por anlises complexas de acordo com o tipo de risco em anlise. O controlo quantitativo do risco pode ser suportado por mecanismos estabelecidos na organizao (portal de risco) e rcios que permitem a mensurao dos mesmos de acordo com anlise dos processos, estrutura e actividade.
26
Risco elevado
Riscos de repetio de processos. Processos devem ser alterados e se possvel automatizar os mesmos.
Risco baixo
Risco mdio
Impacto no negcio
A matriz de riscos permite definir: Riscos estratgicos (risco de negcio, de mercado); Riscos financeiros (risco de crdito, de tesouraria); Riscos operacionais, ambientais, compliance, ...
27
28
Risk Acceptance/Retention: pressupe assumir o risco e, consequentemente, a perda, caso ela ocorra. Muitos dos exemplos dos factores e ameaas exgenos, no susceptveis de serem influenciados pela empresa, so encarados desta forma, pelo que devero ser elaborados planos de contingncia; Risk Reduction: a postura mais aconselhvel na maior parte dos riscos. Reduzir ou mitigar o risco pressupe tomar medidas para diminuir a sua probabilidade de ocorrncia ou a severidade do seu impacto.
Risk Avoidance
Risk Management
O controlo interno , neste mbito, uma rea essencial. Modelizar um sistema de controlo interno pressupe a definio de um conjunto de variveis que permitiro detectar, reportar e evitar/mitigar eventos indesejveis ao nvel dos processos essenciais de uma organizao.
Cycle: Sub-Cycle:
A
Description of deficiency Individual Responsible Implementation Date Country Controler 31-Dec-04 Remark reconciliation is update with implementation of Policy Check List it is on date Country Remediation Plan
ID Number
Priority
Country
1686
PT
Changes to the fixed asset subledger are not made on a timely basis but rather tend to be dealt with in the last quarter of the year
ID Number
Priority
Country
Remediation Plan
Step 1
Step 2
Implementation of check list so the subledger reconciles with the EASY GL each month
Step 3
Step 4
Step 5
Step 6
29
30
A estratgia a assumir deve ser realizada de acordo com a anlise de risco realizada. Com uma estratgia para o mapeamento da classificao de risco, possvel a mensurao da probabilidade da sua ocorrncia e do impacto no negcio da organizao atravs da matriz de risco. Neste contexto, possvel determinar a tcnica a adoptar no tratamento do risco em anlise:
Risk Avoidance
Risk Acceptance
Risk Transfer
Impacto no negcio
Figura 17 Matriz de risco
Os riscos de alto impacto e probabilidade deve ser evitados para garantir o negcio da organizao a longo prazo. Cumulativamente, os riscos sujeitos a uma estratgia de transferncia devem ser mantidos em anlise devido ao seu impacto potencial no negcio da organizao. A reduo de riscos ocorre em muitos casos em processos operacionais que podem comprometer a eficincia operacional da organizao. Evitar o risco no corresponde a ignorar a sua existncia. Cada vez mais as empresas aceitam e organizam a sua gesto para a aceitao controlada do risco de acordo com os seus objectivos.
31
Dever-se- fazer uma avaliao desta realidade antes de determinar, em concreto, quais as principais actividades de risk management. O sistema de risk management a ser implementado na organizao deve permitir a identificao, controlo e monitorizao dos indicadores de risco. Neste contexto, a organizao deve garantir ferramentas de monitorizao e suporte para apoio ao risk management.
32
A informao de suporte aos indicadores potenciada atravs de tecnologia BAM (Business Activity Monitoring), assente num Data Warehouse, ou atravs de uma ligao directa aos sistemas operacionais (ERP, CRM, SCM, entre outros). Tendo em conta o contexto de acelerada mutao das variveis concorrenciais, importa, com uma periodicidade pr-definida (por exemplo um ou dois anos), fazer uma avaliao e reviso dos riscos que a empresa enfrenta. Tal permitir ter um framework actualizado e um sistema de risk management sempre apropriado s necessidades. 6.3.1.1. PRINCIPAIS OBJECTIVOS DO PORTAL DE RISCO Repositrio de indicadores de risco da organizao e planos de remediao; Gerir as actividades de maior risco para minimizar o impacto do negcio; Garantir aos responsveis o acesso aos relatrios de controlo interno; Uma nica verso da verdade; Delegar nos responsveis o controlo dos indicadores; Reduzir o erro humano; Alinhamento da organizao; Visibilidade sobre a informao financeira e operacional; Alertas e notificaes.
33
EM SNTESE
Tendo em considerao a conjuntura actual premente que as organizaes tomem conscincia da importncia destas componentes para uma boa gesto e comecem a implementar sistemas de Risk Management e Controlo Interno. Sendo o risco a possibilidade de ocorrncia de um factor imprevisto que pode afectar os planos traados, as empresas necessitam de antecipar, identificar e controlar todas as ameaas que interfiram no seu plano estratgico. Na nossa perspectiva uma gesto eficaz dos riscos deve ser dividida em quatro etapas inter-relacionadas: Risk Assessment, Avaliao do ambiente de controlo, Risk Management e Concepo de um Portal de Risco. O controlo interno surge como resposta s ameaas identificadas e preconiza a definio concreta de medidas para combater os riscos ou minimiz-los ao implementar polticas e processos transversais a toda a organizao, que garantam o cumprimento das metas propostas. O COSO e a lei Sarbanes-Oxley surgem nesta linha de actuao, como forma de combate fraude e s ineficincias que abalam a confiana dos investidores nos mercados.
34
NA PRXIMA EDIO
O ltimo elo de ligao do Modelo Integrado para uma Gesto Eficiente e Controlo do Risco a componente de Performance Management e ser o tema abordado no prximo livro. Surge somente no final uma vez que s pode ser implementado numa organizao aps esta ter passado pelos trs passos anteriores: processos perfeitamente definidos e alinhados, os modelos de governao em conformidade com as boas prticas, e a componente de risco e controlo interno activa e em monitorizao constante.
bi4all Consultores de Gesto lda. | Rua Baslio Teles n35 2Esq 1070-020 Lisboa tel. +351 217 266 165 | fax +351 217 266 164 | info@bi4all.pt | www.bi4all.pt