Auditoria Governamental 2008 Marcelo Aragão

Auditoria Governamental

1. GOVERNANA E ANLISE DE RISCOGOVERNANA CORPORATIVA Definio Existem diferentes conceitos e definies sobre Governana Corporativa, dependendo dos seus autores. Segundo o Cdigo das Melhores Prticas de Governana Corporativa do Instituto Brasileiro de Governana Corporativa IBGC (www.ibgc.org.br): Governana Corporativa o sistema pelo qual as sociedades so dirigidas e monitoradas, envolvendo os relacionamentos entre Acionistas / Cotistas, Conselho de Administrao, Diretoria, Auditoria Independente e Conselho Fiscal. As boas prticas de Governana Corporativa tm a finalidade de aumentar o valor da sociedade, facilitar seu acesso ao capital e contribuir para a sua perenidade. Apesar de termos e expresses distintos para definir governana corporativa, praticamente todos os autores destacam os seguintes princpios e valores na gesto de governana: tica (ethics)

A adoo de boas prticas de governana significa tambm a adoo de princpios ticos. A tica o pilar de toda a estrutura de governana. As corporaes que no explicitarem as condutas em um cdigo de tica devero explicitar as razes da no-adoo. Transparncia ( disclosure): Mais do que a obrigao de informar, a administrao deve cultivar o desejo de informar, sabendo que da boa comunicao interna e externa, particularmente quando espontnea franca e rpida, resultam um clima de confiana, tanto internamente, quando nas relaes da empresa com terceiros. A comunicao no deve restringir-se ao desempenho econmico-financeiro, mas deve contemplar tambm os demais fatores (inclusive intangveis) que norteiam a ao empresarial e que conduzem a criao valor. Equidade (fairness).

Caracteriza-se elo tratamento justo e igualitrio de todos os grupos minoritrios, sejam do capital ou das demais partes interessadas (stakeholders), colaboradores, clientes, fornecedores ou credores. Atitudes ou polticas discriminatrias, sob qualquer pretexto, so totalmente inaceitveis. A governana busca a implementao de controle em um ambiente de poder equilibrado entre todas as partes interessadas na organizao. Prestao de Contas (accountability).

Os agentes de Governana corporativa devem prestar contas de sua atuao a quem os elegeu e respondem integralmente por todos os atos que praticarem o exerccio de seus mandatos.

Preparado por Marcelo Arago

1


Cumprimento das leis (compliance).

Adoo pelas corporaes de um cdigo de tica para seus principais executivos, que dever conter formas de encaminhamento de questes relacionadas a conflitos de interesse, divulgao de informaes e cumprimentos das leis e regulamentos. Responsabilidade Corporativa. Conselheiros e executivos devem zelar pela perenidade das organizaes (viso de longo prazo, sustentabilidade) e, portanto, devem incorporar consideraes de ordem social e ambiental na definio dos negcios e operaes. Responsabilidade Corporativa uma viso mais ampla da estratgia empresarial, contemplando todos os relacionamentos com a comunidade em que a sociedade atua. A funo social da empresa deve incluir a criao de riquezas e de oportunidades de emprego, qualificao e diversidade da fora de trabalho, estimulo ao desenvolvimento cientifico por intermdio de tecnologia, e melhoria da qualidade de vida por meio de aes educativas culturais, assistenciais e de defesa do meio ambiente. Inclui-se neste princpio a contratao preferencial de recursos (trabalhos e insumos) oferecidos pela prpria comunidade. Em sntese e conforme palestra da Petrobrs, no 1 Seminrio Governana Corporativa: Experincias em Empresas Estatais, pode-se conceituar governana corporativa como um conjunto de prticas e relacionamentos entre: a) acionistas ou cotistas; b) Conselho de Administrao; c) Diretoria; d) Auditoria Independente; e) Conselho Fiscal; e f) Partes interessadas; com a finalidade de: melhorar a gesto da organizao e o seu desempenho; melhorar o processo decisrio na alta administrao; melhorar a imagem institucional; facilitar o acesso ao capital a custos mais baixos; contribuir para a perenidade da organizao.

Governana Corporativa no Mundo O movimento de Governana Corporativa teve incio h cerca de 17 anos atrs, e estava confinado a trabalhos acadmicos e tambm a um pequeno e seleto grupo de investidores institucionais que estavam estudando os sistemas de controle das grandes empresas listadas nas bolsas de valores. Nos ltimos 10 anos ganhou fora em resposta a abusos de poder, fraudes e erros estratgicos, todos envolvendo valores significativos. Os abusos de poder mais freqentes so os de acionistas controladores sobre os minoritrios, diretoria sobre acionistas e administradores sobre terceiros. As fraudes so o uso de informao privilegiada em benefcio prprio, o furto ou desvio de fundos. Os erros estratgicos vm de muito poder concentrado em uma s pessoa, normalmente o executivo principal, que escolhe um caminho errado e demora em corrigi-lo. O movimento de Governana Corporativa inicialmente foi mais forte nos Estados Unidos e na Inglaterra, pases que tm mercados de capitais avanados. As prticas de Governana previstas nos cdigos de alguns pases apresentam pequenas diferenas de acordo com sua legislao interna, mas possvel observar que as premissas bsicas so praticamente as mesmas. Hoje, oficialmente existem cerca de 15 pases usando o Cdigo das Melhores Prticas


2


de Governana Corporativa, como base de referncia em administrao empresarial de grandes, pequenas e mdias empresas, so eles: FRICA DO SUL / ALEMANHA / AUSTRLIA / USTRIA / BLGICA / BRASIL /CANAD / ESPANHA / ESTADOS UNIDOS DA AMRICA / FRANA /HOLANDA /ITLIA / SUCIA / SUA / INGLATERRA. Governana Corporativa no Brasil Em 1995 foi fundado o Instituto Brasileiro de Governana Corporativa (IBGC) e em 6 de Maio de 1999 foi lanado, em um evento na Bolsa de Valores de So Paulo, com a presena dos presidentes da BOVESPA, o primeiro cdigo de melhores praticas de Governana Corporativa. O cdigo foi atualizado em 2001 e mais recentemente em 2004 (IBGC- 2004). A Bolsa de Valores do Estado de So Paulo (BOVESPA) entende que Governana um captulo extremamente importante no seu mercado e tem incentivado as empresas desse mercado acionrio a adotar as melhores prticas de governana. O mercado brasileiro foi considerado pela OCDE, em 2004, mais avanado do que a maioria dos pases emergentes com relao governana corporativa. Entre as principais iniciativas de estmulo e aperfeioamento ao modelo de governana das empresas brasileiras destacam-se a reformulao da Lei das S.A, a criao dos Nveis de Governana Corporativa da Bovespa, atuao do IBGC e as recomendaes da CVM. O efeito Agncia e a Lei Sarbanes Oxley Outro fator de regulamentao que impulsionou a Governana Corporativa no mundo foi o surgimento de uma lei visando obter maior transparncia e tica nas empresas. Em funo da Assimetria de Informaes entre os proprietrios das empresas (principal) e os agentes gestores (agentes), surge o espao para o problema de agncia. Invariavelmente, os agentes, que so os funcionrios de uma empresa, tm maior quantidade de informaes sobre as operaes do dia-a-dia do que o principal. Para que possam se manter atualizados das operaes da empresa e possam ainda proteger os seus interesses de maximizao de lucro, contra os possveis interesses dos agentes, que por muitas vezes so antagnicos e conflitantes, o principal levado a incorrer com custos. nesse cenrio e em decorrncia do efeito de agncia que surgem as manipulaes de informaes e resultados e fraudes nas demonstraes financeiras de grandes corporaes, sendo os casos da Enron e da MCI-WorldComm os mais emblemticos. Aps esses grandes escndalos, os Estados Unidos adotaram algumas aes visando evitar tais prticas e os possveis danos do efeito agncia, o que fez surgir a Lei SarbanesOxley. Tal lei, aprovada em janeiro de 2002, foi criada por dois membros do congresso americano, Paul S. Sarbanes e Michael Oxley, vindo da o nome de Sarbanes-Oxley, sendo usualmente conhecida como Sarbox ou simplesmente SOX. A Lei SOX busca assegurar aos acionistas de uma empresa, uma maior confiabilidade nas demonstraes contbeis e financeiras, com isso buscando um retorno da confiana dos investidores na Bolsa de Valores. Essa reforma tida como a maior mudana na Bolsa de Valores Americana, desde sua regulamentao na dcada de 30, aps a quebra de 1929. Para


3


se ter idia do impacto do no cumprimento da Lei, as multas das empresas podem chegar a US$ 25 milhes, e com penas de at 20 anos para os administradores, de acordo com o livro Uma Dcada de Governana Corporativa. O principal foco da SOX a transparncia das informaes para o mercado e os stakeholders, e para isso as corporaes passam a ter maior responsabilidade em seus processos de divulgao e dos controles internos das mesmas. Sendo assim, possvel afirmar que o foco dos pontos de mudana na Lei Sarbanes Oxley esto agrupados em Controles Internos Administrativos e Controles de Auditoria: 1. Controles Internos e Administrativos; A questo dos controles internos sempre foi um grande desafio para as empresas, e em particular para as grandes corporaes com vrias unidades de negcio e com vrios pases de atuao. Os controles a serem feitos definem que os processos da empresa devem ser documentados para poder assegurar que o fluxo das informaes chegue aos responsveis pelos resultados financeiros da empresa, de forma precisa e assertiva. Alm disso, a SOX exige que os responsveis pela administrao da empresa analisem e certifiquem as informaes, inclusive assinando estar cientes das punies decorrentes de ms informaes. 2. Controles de Auditoria As empresas precisam criar comits internos de auditoria que sejam responsveis pelo processo de verificao de todas as informaes contbeis e financeiras que so emitidas pela empresa, antes da sua divulgao. Como visto, a governana corporativa surge para procurar superar o chamado conflito de agncia, presente a partir do fenmeno da separao entre a propriedade e a gesto empresarial. Sob a perspectiva da teoria da agncia, a preocupao maior criar mecanismos eficientes (sistemas de monitoramento e incentivos) para garantir que o comportamento dos executivos esteja alinhado com o interesse dos acionistas. A boa governana corporativa proporciona aos proprietrios (acionistas ou cotistas) a gesto estratgica de sua empresa e a efetiva monitorao da direo executiva. As principais ferramentas que asseguram o controle da propriedade sobre a gesto so o Conselho de Administrao, a Auditoria Independente e o Conselho Fiscal.

GOVERNANA E ANLISE RISCO Uma das definies clssicas de risco a seguinte: so eventos futuros e incertos que podem influenciar de forma significativa o cumprimento dos objetivos de uma organizao. Os riscos empresariais originam-se tanto nos processos internos, incidindo na conduo ou execuo do empreendimento, quanto no ambiente externo, podendo afetar a viabilidade do negcio.


4


Como visto, riscos esto associados consecuo dos objetivos de uma organizao, portanto, a anlise de riscos tem papel relevante na gesto das empresas e de governana corporativa. importante que os riscos sejam identificados e analisados por metodologias e tcnicas de avaliaes quantitativas e qualitativas, que permitam apurar os impactos associados com os objetivos, bem como sua anlise para definir a melhor maneira de administr-los. Em funo da avaliao dos riscos, define-se um plano de ao (resposta aos riscos), mecanismos de controle e de monitoramento contnuo da consecuo dos objetivos e do gerenciamento de riscos. O Conselho de Administrao, como detentor dos poderes de governana, constitui a autoridade mxima no gerenciamento dos riscos e a ele atribuda a responsabilidade pelo seu monitoramento, bem como pelas aes a serem adotadas contra os mesmos. O cdigo das melhores prticas de governana do Instituto Brasileiro de Governana Corporativa define que o Conselho de Administrao deve assegurar-se de que a Diretoria identifique preventivamente por meio de sistema de informaes adequado e liste os principais riscos aos quais a sociedade est exposta, sua probabilidade de ocorrncia, bem como as medidas e os planos adotados para sua preveno ou minimizao. GOVERNANA NO SETOR PBLICO Em relao ao tema, um interessante estudo foi realizado em 2001 pelo IFAC (International Federation of Accountants) denominado Governance in the Public Sector: De acordo com o estudo, os trs princpios fundamentais de governana no setor pblico so: Transparncia: requerido para assegurar que as partes interessadas (sociedade) possam ter confiana no processo de tomada de deciso e nas aes das entidades do setor pblico, na sua gesto e nas pessoas que nela trabalham. Integridade: compreende procedimentos honestos e perfeitos. baseada na honestidade, objetividade, normas de propriedade, probidade na administrao dos recursos pblicos e na gesto da instituio. Accountability (responsabilidade de prestar contas): o que as entidades do setor pblico e seus indivduos so responsveis por suas decises e aes, incluindo a administrao dos recursos pblicos e todos os aspectos de desempenho e, submetendo-se ao escrutnio externo apropriado.

Alm dos princpios, o IFAC apresenta as dimenses que as entidades da administrao pblica devem adotar: Padres de comportamento: como a administrao da entidade exercita a liderana e determina os valores e padres da instituio, como define a cultura da organizao e o comportamento de todos os envolvidos;


5


Estruturas e processos organizacionais: como a cpula da administrao designada e organizada dentro da instituio, como as responsabilidades so definidas e como elas so asseguradas; Controle: a rede de vrios controles estabelecidos pela cpula administrativa da organizao no apoio ao alcance dos objetivos da entidade, da efetividade e eficincia das operaes, da confiana dos relatrios internos e externos, da complacncia com as leis aplicveis, regulamentaes e polticas internas; Relatrios externos: como a cpula da organizao demonstra a prestao de contas da aplicao do dinheiro pblico e seu desempenho.

A governana corporativa na gesto pblica no-governamental (terceiro setor) deve utilizar a definio dada pelo IBGC, pois estas entidades diferem apenas quanto figura do acionista/cotista como doador de recursos. E, desta maneira, as boas prticas de governana corporativa, nestas entidades, tm a finalidade de aumentar o valor da sociedade em termos de reconhecimento dos trabalhos prestados, bem como pelo seu resultado econmico produzido, facilitar seu acesso ao capital para a manuteno via doaes, subvenes etc, e, assim, contribuir para sua perenidade, para o atendimento de necessidades das geraes futuras (Slomski, 2005). No entanto, ao se pensar na governana corporativa na gesto pblica governamental preciso reorientar, criar novas formas de ver a coisa pblica, haja vista que o cidado no paga impostos, integraliza capital. (idem) Esse autor nos ensina como devem ser vistos e aplicados os objetivos do cdigo de melhores prticas de governana corporativa, editado pelo IBGC, sob a tica da gesto pblica governamental, a saber: Aumentar o valor da sociedade aes dos governantes na melhoria das condies de habitao, saneamento, sade, educao, etc, sob a vigilncia dos cidados (scios), produziro agregao de valor sociedade local. Melhorar seu desempenho as entidades governamentais podem melhorar seu desempenho implementando melhorias nos ambiente interno (aes saneadoras, desenvolvimento de potencialidades dos recursos pblicos) e externas (com medidas que atraiam investimentos da iniciativa privada). Facilitar seu acesso ao capital a custos mais baixos produzindo aes de aumentar valor da sociedade e de melhorar seu desempenho, os investidores tero maiores garantias ao emprestarem ao poder pblico, com custo mais baixo. Contribuir para a sua perenidade os servios tem que ser prestados aos cidados com qualidade e tempestividade (perenidade dos servios) Por fim, Slomski defende que todos os princpios da governana so aplicveis a entidades governamentais: Transparncia A LRF j obriga a transparncia, mas essa transparncia pode ser melhorada com instrumentos como a Demonstrao do Resultado Econmico, com o


6


contracheque econmico e o balano social. Precisa haver simetria informacional entre o Estado e a sociedade. Eqidade a gesto pblica deve pautar-se por polticas e aes dos governantes que produzam a eqidade entre os habitantes, para fins de bem-estar social. Prestao de contas (accountability) os agentes devem prestar contas de sua atuao a quem os elegeu e respondem integralmente por todos os atos que praticarem no exerccio de seus mandatos. Responsabilidade Corporativa Os governantes devem zelar pela perenidade dos servios e bem estar da populao, com viso de longo prazo, gerando riquezas, oportunidades de emprego, melhoria da qualidade de vida por meio de aes educativas, culturais, assistenciais e de defesa do meio ambiente. Conselho Fiscal Nas entidades pblicas e nos Municpios j existe um Conselho Fiscal que a Cmara de Vereadores, que so eleitos para legislar e fiscalizar os atos do gestor pblico, com o auxlio dos Tribunais de Contas. No entanto, os Tribunais de Contas realizam poucas horas de trabalho in loco nos entes auditados. Assim prope as seguintes medidas para melhorar e ampliar a atuao dos Tribunais: Formar auditores por rea de atuao ou poltica pblica; Ampliar os sistemas informatizados de suporte s auditorias; Ampliar os recursos financeiros dessas entidades de controle; e Contratar empresas de auditoria independentes para ampliar as horas de trabalho de reviso das contas pblicas. Conselho de Administrao O Municpio j conta com um conjunto de Conselhos (de Educao, de Sade, etc), no entanto, seria necessria a criao do Conselho Municipal de Administrao, que deveria ter um mandato diferente dos prefeitos e vereadores, para que pudesse agir de maneira independente e exercer o acompanhamento das contas pblicas e que tivesse poderes para orientar e at de vetar aes do Executivo que pudessem afetar o bem estar social, econmico e cultural ou a oferta dos servios pblicos.

O PAPEL DA AUDITORIA NA ESTRUTURA DE GOVERNANA Os instrumentos organizacionais tradicionais para avaliar a governana so os rgos de auditoria interna e externa. Uma auditoria interna bem estruturada e com sua independncia assegurada pelo status organizacional (vnculo com o Conselho de Administrao) pode auxiliar significativamente as empresas no gerenciamento dos riscos, controles e governana corporativa. Modernamente, as auditorias internas tem evoludo do enfoque tradicional orientado somente reviso dos controles internos, para um exame mais amplo e detalhado de toda a administrao dos riscos empresariais e os processos existentes para identificar, avaliar, mitigar e report-los. Estes riscos so sempre especficos, sendo difcil para uma auditoria externa poder a custos razoveis substituir uma auditoria interna nessa funo de controle mais amplo de risco.


7


De qualquer forma, a auditoria externa ou independente tambm tem participao ativa na estrutura de governana. Nos termos do cdigo de melhores prticas de governana corporativa do IBGC, toda sociedade deve ter auditoria independente, pois se trata de um agente de governana corporativa de grande importncia para todas as partes interessadas, uma vez que sua atribuio bsica verificar se as demonstraes financeiras refletem adequadamente a realidade da sociedade. O Comit de Auditoria deve recomendar ao Conselho a contratao, remunerao, reteno e substituio do auditor independente, sendo que os auditores independentes devem reportar ao Comit de Auditoria e, na falta deste, diretamente ao Conselho de Administrao os seguintes pontos: discusso das principais polticas contbeis; deficincias relevantes e falhas significativas nos controles e procedimentos internos; tratamentos contbeis alternativos; casos de discordncias com a Diretoria; avaliao de riscos e anlise de possibilidade de fraudes. Recomenda-se que os auditores, em benefcio de sua independncia, sejam contratados por perodo pr-definido, podendo ser recontratados aps avaliao formal e documentada, efetuada pelo Comit de Auditoria e/ou Conselho de Administrao, de sua independncia e desempenho, observadas as normas profissionais, legislao e os regulamentos em vigor. Recomenda-se que a eventual renovao do contrato com a firma de auditoria, aps prazo mximo de 5 (cinco) anos, seja submetida aprovao da maioria dos acionistas presentes em assemblia geral, incluindo ordinaristas e preferencialistas. Para as companhias abertas, devem ser observadas as regras aplicveis. O auditor independente deve assegurar anualmente, por escrito ao Comit de Auditoria ou, na sua ausncia, ao Conselho de Administrao, a sua independncia em relao sociedade. O relacionamento entre os auditores independentes e o executivo principal, os diretores e a sociedade deve ser pautado pelo profissionalismo e independncia. Os auditores independentes e a Diretoria devem informar ao Comit de Auditoria ou, na sua ausncia, diretamente ao Conselho de Administrao, qualquer caso em que um membro da equipe de trabalho dos auditores independentes seja recrutado pela sociedade para desempenhar funes de superviso dos relatrios financeiros. Na eventualidade de o scio responsvel tcnico vir a ser contratado pela sociedade, o Conselho de Administrao deve avaliar a continuidade da relao com os auditores independentes. Em sntese, a auditoria auxilia a organizao a tornar mais eficazes os processos de gesto de riscos, controles e governana corporativa. A primeira funo de uma auditoria em um sistema de riscos verificar se as diretrizes e limites fixados pela governana esto sendo respeitados. Porm, alm dessa verificao de conformidade, deve observar se o sistema de gerenciamento de riscos est funcionando de modo adequado, alm de examinar os custos de operao do sistema.


8


ESTRUTURA CONCEITUAL DE ANLISE DE RISCO - COSO

O que o COSO COSO a sigla de Committee of Sponsoring Organizations da National Comission on Fraudlent Financial Reporting, tambm conhecida como Treadeway Comission. Criada em 1985, uma entidade do setor privado, sem fins lucrativos, voltada para o aperfeioamento da qualidade de relatrios financeiros por meio de ticas profissionais, implementao de controles internos e governana corporativa. So cinco as organizaes norte-americanas que patrocinam o citado comit: American Institute of Certified Public Accountants AICPA; American Accounting Association AAA, The Institute of Internal Auditors - IIA, Institute of Management Accountants - IMA e Financial Executives Institute FEI.

COSO 1 ESTRUTURA DE CONTROLES INTERNOS H mais de uma dcada, o COSO publicou a obra Internal Control Integrated Framework (Controles Internos Estrutura Integrada) para ajudar empresas e outras organizaes a avaliar e aperfeioar seus sistemas de controle interno. Desde ento, a referida estrutura foi incorporada em polticas, normas e regulamentos adotados por milhares de organizaes para controlar melhor suas atividades visando o cumprimento dos objetivos estabelecidos. A definio de controles internos existente no Relatrio COSO : Controles internos so um processo, conduzido pelo conselho de diretores, por todos os nveis de gerncia e por outras pessoas da entidade, projetado para fornecer segurana razovel quanto consecuo de objetivos nas seguintes categorias: eficcia e eficincia das operaes; confiabilidade de relatrios financeiros; e cumprimento de leis e regulamentaes aplicveis.

Da definio acima, cabe destacar os seguintes conceitos fundamentais: controles internos representam um processo que consiste em uma srie de aes que permeiam a infra-estrutura de uma entidade e a ela se integram; controles internos so operados por pessoas, constituindo o resultado da interao de pessoas em todos os nveis da organizao; controles internos fornecem apenas segurana razovel, e no absoluta, administrao e ao conselho de administrao; e controles internos vinculam-se consecuo de objetivos nas trs categorias (relatrios financeiros, conformidade e operaes).


9


Para o COSO, o processo de controles internos deve ser constitudo de cinco componentes, que se inter-relacionam: Ambiente de Controle: d o tom de uma organizao, influenciando a conscincia de controle das pessoas que nela trabalham. Representa o alicerce dos demais componentes, disciplinando-os e estruturando-os. Avaliao de Risco: identificao e anlise dos riscos relevantes para a consecuo dos objetivos da entidade; forma a base para a determinao de como os riscos devem ser administrados. Atividades de Controle: polticas e procedimentos que ajudam a assegurar que as diretrizes da administrao estejam sendo seguidas. Informao e Comunicao: identificao, captura e troca de informaes sob forma e em poca tais que permitam que as pessoas cumpram suas responsabilidades. Monitorao: processo que avalia a qualidade do desempenho dos controles internos (INTERNAL CONTROL INTEGRATED FRAMEWORK COSO, 1992 apud BOYNTON E OUTROS, 2002, p. 321).

Limitaes dos controles internos de uma entidade Vimos que controles internos podem fornecer apenas segurana razovel para a administrao e para o conselho de administrao quanto consecuo dos objetivos de uma entidade. Isto se deve s seguintes limitaes inerentes: erros de julgamento - pela administrao ou por outras pessoas, ao tomar decises, em razo de informaes inadequadas, restries de tempo e outros motivos; falhas cometidas por pessoas que no entendem instrues corretamente ou cometem erros por falta de cuidado, distrao ou cansao; conluio indivduos que agem conjuntamente, podem praticar fraude e de forma que ela no seja detectada pelos controles internos; atropelamento pela administrao que burla ou passa por cima de procedimentos ou polticas, com objetivos ilegtimos; custos versos benefcios o custo dos controles internos de uma entidade no deve superior aos benefcios que deles se esperam. Assume-se certos riscos, quando reduz-se os procedimentos de controle em funo dos benefcios esperados.

COSO 2 ESTRUTURA INTEGRADA DE GERENCIAMENTO DE RISCOS Nos ltimos anos, intensificou-se o foco e a preocupao com o gerenciamento de riscos, e tornou-se cada vez mais clara a necessidade de uma estratgia slida, capaz de identificar, avaliar e administrar riscos. Em 2001, o COSO iniciou um projeto com essa finalidade e solicitou PricewaterhouseCoopers que desenvolvesse uma estratgia de fcil utilizao pelas organizaes para avaliar e melhorar o prprio gerenciamento de riscos.


10


O perodo de desenvolvimento dessa estrutura foi marcado por uma srie de escndalos e quebras de negcios de grande repercusso, que gerou prejuzos de grande monta a investidores, empregados e outras partes interessadas. Na esteira desses eventos, vieram solicitaes de melhoria dos processos de governana corporativa e gerenciamento de riscos, por meio de novas leis, regulamentos e de padres a serem seguidos. A necessidade de uma estrutura de gerenciamento de riscos corporativos, capaz de fornecer os princpios e conceitos fundamentais, com uma linguagem comum, direcionamento e orientao claros, tornou-se ainda mais necessria. O COSO da opinio que a obra Gerenciamento de Riscos Corporativos Estrutura Integrada vem para preencher essa lacuna e espera que ela seja amplamente adotada pelas empresas e por outras organizaes, bem como por todas as partes interessadas. A obra Gerenciamento de Riscos Corporativos Estrutura Integrada, amplia seu alcance em controles internos, oferecendo um enfoque mais vigoroso e extensivo no tema mais abrangente de gerenciamento de riscos corporativos. Definio de Gerenciamento de Riscos Corporativos O gerenciamento de riscos corporativos trata de riscos e oportunidades que afetam a criao ou a preservao de valor, sendo definido da seguinte forma: O gerenciamento de riscos corporativos um processo conduzido em uma organizao pelo conselho de administrao, diretoria e demais empregados, aplicado no estabelecimento de estratgias, formuladas para identificar em toda a organizao eventos em potencial, capazes de afet-la, e administrar os riscos de modo a mant-los compatvel com o apetite a risco da organizao e possibilitar garantia razovel do cumprimento dos seus objetivos. Essa definio reflete certos conceitos fundamentais. O gerenciamento de riscos corporativos : um processo contnuo e que flui atravs da organizao; conduzido pelos profissionais em todos os nveis da organizao; aplicado definio das estratgias; aplicado em toda a organizao, em todos os nveis e unidades, e inclui a formao de uma viso de portflio de todos os riscos a que ela est exposta; formulado para identificar eventos em potencial, cuja ocorrncia poder afetar a organizao, e para administrar os riscos de acordo com seu apetite a risco; capaz de propiciar garantia razovel para o conselho de administrao e a diretoria executiva de uma organizao; orientao para a realizao de objetivos em uma ou mais categorias distintas.

Essa definio intencionalmente ampla e adota conceitos fundamentais sobre a forma como as empresas e outras organizaes administram riscos, possibilitando uma base para sua aplicao em organizaes, indstrias e setores. O gerenciamento de riscos corporativos orienta seu enfoque diretamente para o cumprimento dos objetivos estabelecidos por uma


11


organizao especfica e fornece parmetros para definir a eficcia desse gerenciamento de riscos. Componentes do Gerenciamento de Riscos Corporativos O gerenciamento de riscos corporativos constitudo de oito componentes interrelacionados, pela qual a administrao gerencia a organizao, e esto integrados com o processo de gesto. Esses componentes so: Ambiente Interno o ambiente interno compreende o tom de uma organizao e fornece a base pela qual os riscos so identificados e abordados pelo seu pessoal, inclusive a filosofia de gerenciamento de riscos, o apetite a risco, a integridade e os valores ticos, alm do ambiente em que estes esto. Fixao de Objetivos os objetivos devem existir antes que a administrao possa identificar os eventos em potencial que podero afetar a sua realizao. O gerenciamento de riscos corporativos assegura que a administrao disponha de um processo implementado para estabelecer os objetivos que propiciem suporte e estejam alinhados com a misso da organizao e sejam compatveis com o seu apetite a riscos. Identificao de Eventos os eventos internos e externos que influenciam o cumprimento dos objetivos de uma organizao devem ser identificados e classificados entre riscos e oportunidades. Essas oportunidades so canalizadas para os processos de estabelecimento de estratgias da administrao ou de seus objetivos. Avaliao de Riscos os riscos so analisados, considerando-se a sua probabilidade e o impacto como base para determinar o modo pelo qual devero ser administrados. Esses riscos so avaliados quanto sua condio de inerentes e residuais. Resposta a Risco a administrao escolhe as respostas aos riscos - evitando, aceitando, reduzindo ou compartilhando desenvolvendo uma srie de medidas para alinhar os riscos com a tolerncia e com o apetite a risco. Atividades de Controle polticas e procedimentos so estabelecidos e implementados para assegurar que as respostas aos riscos sejam executadas com eficcia. Informaes e Comunicaes as informaes relevantes so identificadas, colhidas e comunicadas de forma e no prazo que permitam que cumpram suas responsabilidades. A comunicao eficaz tambm ocorre em um sentido mais amplo, fluindo em todos nveis da organizao. Monitoramento a integridade da gesto de riscos corporativos monitorada e so feitas as modificaes necessrias. O monitoramento realizado atravs de atividades gerenciais contnuas ou avaliaes independentes ou de ambas as formas. A rigor, o gerenciamento de riscos corporativos no um processo em srie pelo qual um componente afeta apenas o prximo. um processo multidirecional e interativo segundo o qual quase todos os componentes influenciam os outros.


12


Existe um relacionamento direto entre os objetivos, que uma organizao empenha-se em alcanar, e os componentes do gerenciamento de riscos corporativos, que representam aquilo que necessrio para o seu alcance. Esse relacionamento apresentado em uma matriz tridimensional em forma de cubo. As quatro categorias de objetivos (estratgicos, operacionais, de comunicao e conformidade) esto representadas nas colunas verticais. Os oito componentes nas linhas horizontais e as unidades de uma organizao na terceira dimenso. Essa representao ilustra a capacidade de manter o enfoque na totalidade do gerenciamento de riscos de uma organizao, ou na categoria de objetivos, componentes, unidade da organizao ou qualquer um dos subconjuntos. Eficcia A determinao do grau de eficcia do gerenciamento de riscos corporativos de uma organizao corresponde ao julgamento decorrente da avaliao da presena e da eficcia do funcionamento dos oito componentes. Desse modo, os componentes tambm so critrios para o gerenciamento eficaz de riscos corporativos. Para que os componentes possam estar presentes e funcionar adequadamente, no poder haver fraquezas significantes, e os riscos necessitam ser enquadrados no apetite a risco da organizao. Quando se constata que o gerenciamento de riscos corporativos eficaz em cada uma das quatro categorias de objetivos, isso significa que o conselho de administrao e a diretoria executiva tero garantia razovel de que entenderam at que ponto, os objetivos estratgicos e operacionais no esto realmente sendo alcanados, o sistema de comunicao da empresa confivel, e todas as leis e regulamentos cabveis esto sendo observados. Os oito componentes no funcionaro de forma idntica em todas as organizaes. A sua aplicao em organizaes de pequeno e mdio portes, por exemplo, poder ser menos formal e menos estruturada. No obstante, as pequenas organizaes podem apresentar um gerenciamento de riscos eficaz, desde que cada um de seus componentes esteja presente e funcionando adequadamente.


13


Limitaes A despeito de oferecer importantes benefcios, o gerenciamento de riscos corporativos est sujeito a limitaes. Alm dos fatores discutidos anteriormente, as limitaes originam-se do fato de que o julgamento humano, no processo decisrio, pode ser falho, as decises de respostas a risco e o estabelecimento dos controles necessitam levar em conta os custos e benefcios relativos. Essas limitaes impedem que o conselho de administrao e a diretoria executiva tenham absoluta garantia da realizao dos objetivos da organizao. Abrangncia do Controle Interno O controle interno parte integrante do gerenciamento de riscos corporativos. A estrutura do gerenciamento de riscos corporativos abrange o controle interno, originando dessa forma uma conceituao e uma ferramenta de gesto mais eficiente. Funes e Responsabilidades Cada um dos empregados de uma organizao tem uma parcela de responsabilidade no gerenciamento de riscos corporativos. O presidente-executivo o principal responsvel e deve assumir a responsabilidade da iniciativa. Cabe aos outros diretores executivos apoiar a filosofia de administrao de riscos da organizao, incentivar a observao de seu apetite a risco e administrar os riscos dentro de suas esferas de responsabilidade, conforme as tolerncias a risco. Via de regra, cabe ao diretor de riscos, diretor-financeiro, auditor interno e outros, responsabilidades fundamentais de suporte. Os outros membros da organizao so responsveis pela execuo do gerenciamento de riscos em cumprimento das diretrizes e dos protocolos estabelecidos. O conselho de administrao executa importante atividade de superviso do gerenciamento de riscos da organizao, estando ciente e de acordo com o grau de apetite a risco da organizao. Diversas partes externas, como clientes, revendedores, parceiros comerciais, auditores externos, agentes normativos e analistas financeiros freqentemente fornecem informaes teis para a conduo do gerenciamento de riscos, porm no so responsveis pela sua eficcia e nem fazem parte do gerenciamento de riscos da organizao.


14


COSO GESTO CORPORATIVA DE RISCOS ESTRUTURA INTEGRADA ELEMENTOS FUNDAMENTAIS DE CADA COMPONENTE Ambiente Interno Filosofia do Gerenciamento de Riscos Apetite a Riscos Administrao Integridade e Valores ticos Compromisso com a Competncia Estrutura Organizacional Atribuio de Autoridade e Responsabilidade Padres de Recursos Humanos Fixao de Objetivos Objetivos Estratgicos Objetivos Correlatos Objetivos Selecionados Apetite a Risco Tolerncia a Risco Identificao de Eventos Eventos Fatores Influenciadores Tcnicas de Identificao de Eventos Interdependncia de Eventos Categorias de Eventos Diferenciao de Riscos e Oportunidades Avaliao de Riscos Risco Inerente e Residual Estabelecimento da Probabilidade e Impacto Fontes de dados Tcnicas de Avaliao Relaes entre eventos Resposta a Riscos Avaliao das Possveis Respostas Respostas Selecionadas Viso de Portflio Atividades de Controle Integrao com as Respostas a Riscos Tipos de Atividades de Controle Polticas e Procedimentos Controles dos Sistemas de Informao Especficos Organizao Informao e Comunicao Informao Comunicao Monitoramento Atividades Contnuas de Monitoramento Avaliaes Segregadas Comunicao de Deficincias


15


OS COMPONENTES E SEUS ELEMENTOS 1 - O AMBIENTE INTERNO Abrange a cultura de uma organizao, a influncia sobre a conscincia de risco de seu pessoal, sendo a base para todos os outros componentes do gerenciamento de riscos corporativos, possibilita disciplina e a estrutura. Os fatores do ambiente interno compreendem a filosofia administrativa de uma organizao no que diz respeito aos riscos; o seu apetite a risco; a superviso do conselho de administrao; a integridade, os valores ticos e a competncia do pessoal da organizao; e a forma pela qual a administrao atribui aladas e responsabilidades, bem como organiza e desenvolve o seu pessoal. O ambiente interno a base para todos os outros componentes do gerenciamento de riscos corporativos, o que propicia disciplina e estrutura. Esse ambiente influencia o modo pelo qual as estratgias e os objetivos so estabelecidos, os negcios so estruturados, e os riscos so identificados, avaliados e geridos. Elementos do componente ambiente interno: Filosofia de Gerenciamento de Riscos: A filosofia de gerenciamento de riscos de uma organizao representa as convices e as atitudes compartilhadas, o que caracteriza a maneira pela qual essa organizao considera o risco em todas as suas atividades. Reflete os valores da organizao, influenciando sua cultura e estilo operacional. Tem efeito sobre o modo pelo qual os componentes do gerenciamento de riscos corporativos so aplicados, inclusive como os eventos so identificados, os tipos de riscos aceitos e a forma como so administrados. Deve estar bem desenvolvida, entendida e apoiada pelo pessoal da organizao. Deve ser observada nas declaraes das polticas, comunicaes escritas e orais, e no processo decisrio. A administrao refora a filosofia no apenas verbalmente, mas por meio de suas aes do dia-a-dia.

Apetite a riscos O apetite a riscos da organizao reflete a sua filosofia de gerenciamento de riscos, influencia a cultura e o estilo operacional. considerado no estabelecimento da estratgia, que deve estar alinhada ao apetite a riscos.

Conselho de Administrao A diretoria ativa e tem um grau adequado de conhecimentos de gesto, tcnicos e outras especialidades, aliados atitude necessria para executar suas responsabilidades de superviso. Est preparada para questionar e apurar as atividades da gesto, apresentar opinies alternativas e agir no caso de atos ilcitos. Constitudo, ao menos, por maioria de conselheiros externos e independentes organizao.


16


Fornece superviso ao gerenciamento de riscos corporativos, est ciente e concorda com o apetite a riscos da organizao.

Integridade e Valores ticos Os padres de comportamento da organizao refletem integridade e valores ticos. Os valores ticos no so apenas comunicados, mas tambm acompanhados por meio de orientao explcita sobre o que est certo ou errado. A integridade e os valores ticos so comunicados por intermdio de um cdigo de conduta formal. Existem canais ascendentes de comunicao pelos quais os empregados sentem-se confortveis em trazer informaes pertinentes. So aplicadas penalidades aos empregados que transgridem o cdigo; determinados mecanismos incentivam o empregado a denunciar suspeitas de infrao e medidas disciplinares so adotadas contra os que deixam de relat-las. A integridade e os valores ticos so transmitidos pelas aes da alta administrao e seus exemplos.

Compromisso com a Competncia A competncia dos empregados da organizao reflete o conhecimento e as habilidades necessrias para a execuo das tarefas designadas. A administrao alinha competncia ao custo.

Estrutura Organizacional A estrutura organizacional define as reas fundamentais de responsabilidade. Estabelece as linhas de comunicao. desenvolvida de acordo com o tamanho da organizao e a natureza de suas atividades. Possibilita um gerenciamento de riscos eficaz.

Atribuio de Autoridade e de Responsabilidade A atribuio de autoridade e de responsabilidade estabelece at que ponto pessoas ou equipes esto autorizadas, e so incentivadas, a fazer uso de sua iniciativa para tratar de questes e resolver problemas, e estabelece limites de autoridade. As atribuies estabelecem relacionamentos de comunicao e protocolos de autorizao. As polticas descrevem as prticas comerciais apropriadas, o conhecimento e a experincia do pessoal-chave, bem como os recursos associados. Cada indivduo sabe como as suas aes interrelacionam-se e contribuem para a realizao dos objetivos.

Normas de Recursos Humanos As normas tratam de admisso, orientao, treinamento, avaliao, aconselhamento, promoo, compensao e medidas corretivas, conduzindo os nveis previstos de integridade, de comportamento tico e de competncia.


17


As medidas disciplinares transmitem a mensagem de que as infraes ao comportamento esperado no sero toleradas.

2 - FIXAO DE OBJETIVOS Os objetivos so fixados no mbito estratgico, estabelecendo-se uma base para os objetivos operacionais, de comunicaes (relatrios) e de conformidade. Toda organizao enfrenta uma variedade de riscos oriundos de fontes externas e internas, sendo o estabelecimento de objetivos, condio prvia para a identificao eficaz de eventos, avaliao de riscos e resposta a riscos. Os objetivos so alinhados ao apetite a riscos, que impulsiona os nveis de tolerncia a riscos para a organizao. Os objetivos podem ser agrupados em quatro categorias: Estratgicos Operacionais De comunicao De conformidade Elementos do componente Fixao de objetivos Objetivos Estratgicos Os objetivos estratgicos so metas de nvel geral, alinhadas com a misso/viso da organizao e fornecendo-lhe apoio. Os objetivos estratgicos refletem em como a alta administrao escolheu uma forma de gerar valor para as partes interessadas. Ao considerar as vrias alternativas de alcanar os seus objetivos estratgicos, a alta administrao identifica os riscos associados com uma ampla gama de escolhas estratgicas e analisa as suas implicaes. Vrias tcnicas de identificao de eventos e de avaliao de riscos, discutidas a seguir e, podem ser utilizadas no processo de fixao de estratgias e objetivos. Objetivos Identificam-se os objetivos especficos/correlatos com a misso, os objetivos Correlatos estratgicos e as estratgias. Apetite a risco O apetite a risco estabelecido pela administrao, mediante superviso do conselho de administrao, um marco de referncia na fixao de estratgias. O gerenciamento de riscos corporativos aplicado ao se estabelecer estratgias ajuda a administrao a selecionar uma que seja compatvel com o seu apetite a risco. O apetite a risco pode ser expresso em termos qualitativos ou quantitativos. Algumas organizaes expressam o apetite a risco mediante um mapa de risco. Objetivos Como parte do gerenciamento de riscos corporativos, a administrao no selecionados apenas seleciona objetivos e considera o modo pelo qual estes daro suporte misso da organizao, mas tambm certifica-se que esses objetivos esto em conformidade com o apetite a risco. Tolerncia a A tolerncia a risco o nvel de variao aceitvel quanto realizao de risco um determinado objetivo. Por exemplo, uma companhia fixa a sua meta de entregas pontuais em 98%, com uma variao aceitvel na faixa de 97% a 100% das vezes.Sua meta de treinamento prev um ndice de aprovao de 90%, com um desempenho aceitvel de pelo menos 75%, e espera que o pessoal responda a todas as reclamaes de clientes dentro de 24 horas,


18


mas aceita que at 25% das reclamaes podero receber uma resposta entre 24 e 36 horas.

3 - IDENTIFICAO DE EVENTOS A administrao identifica os eventos em potencial que, se ocorrerem, afetaro a organizao e determina se estes representam oportunidades ou se podem ter algum efeito adverso na sua capacidade de implementar adequadamente a estratgia e alcanar os objetivos. Eventos de impacto negativo representam riscos que exigem avaliao e resposta da administrao. Os eventos de impacto positivo representam oportunidades que so canalizadas de volta aos processos de fixao das estratgias e dos objetivos. Ao identificar eventos, a administrao considera uma variedade de fatores internos e externos que podem dar origem a riscos e a oportunidades no contexto de toda a organizao. Eventos Eventos so incidentes ou ocorrncias originadas a partir de fontes internas ou externas que afetam a implementao da estratgia ou a realizao dos objetivos. Os eventos podem provocar impacto positivo, negativo ou ambos. Ao identificar os eventos, a administrao deve reconhecer que existem determinadas incertezas, mas no sabe se um evento ocorrer, quando poder ocorrer, nem o impacto que ter caso acontea. Inicialmente, a administrao considera uma faixa de eventos em potencial, originadas de fontes internas e externas, sem levar em conta se o impacto ser favorvel ou desfavorvel. Desse modo, a administrao poder identificar no apenas eventos com potencial impacto negativo, mas tambm aqueles que representam oportunidades a serem aproveitadas. Os eventos variam do bvio ao obscuro, e vo de zero a altamente significativo. Para evitar que um evento deixe de ser percebido, recomenda-se identific-lo de forma independente da avaliao de sua probabilidade de ocorrncia e de seu impacto, que fazem parte do tpico Avaliao de Riscos. Contudo, existem limitaes de ordem prtica, e geralmente difcil saber por onde passa essa linha. Todavia, mesmo os eventos com possibilidade de ocorrncia relativamente baixa no devem ser ignorados se o impacto na realizao de um objetivo importante for elevado. Elementos do componente identificao de eventos Uma infinidade de fatores externos e internos impulsiona os eventos que afetam a implementao da estratgia e o cumprimento dos Fatores inflenciadores objetivos. Como parte do gerenciamento de riscos corporativos, a administrao reconhece a importncia de compreender esses fatores e o tipo de evento que pode emanar deles, como por exemplo: eventos econmicos, polticos, sociais, de infraestrutura, de meio ambiente, de pessoal, etc. A metodologia de identificao de eventos de uma organizao Tcnicas de poder empregar uma combinao de tcnicas com ferramentas de identificao de apoio. Exemplos: inventrio de eventos, anlise interna; aladas e


19


eventos

limites, entrevistas e seminrios com facilitadores; anlise de fluxo de processo; indicadores preventivos. Via de regra; os eventos no ocorrem de forma isolada. Um evento poder desencadear outro, e ocorrer concomitantemente. Para Interdependncia de identificar os eventos, a administrao deve entender o modo pelo eventos qual eles se inter-relacionam. A avaliao dos relacionamentos permite determinar em que pontos os esforos da gesto de riscos estaro bem direcionados. Pode ser til agrupar os eventos em potencial em categorias. Ao agregar os eventos horizontalmente em uma organizao e verticalmente nas unidades operacionais, a administrao Categorias de eventos desenvolver a compreenso do relacionamento entre os eventos e poder adquirir melhores informaes para formar uma base para avaliar riscos. Se um evento ocorre, ele ter um impacto negativo, ou positivo, ou, at mesmo, ambos. Os eventos cujo impacto negativo representam Diferenciao de riscos riscos que exigem avaliao e resposta da administrao. Da mesma e oportunidades forma, o risco a possibilidade de que um evento ocorra e prejudique a realizao dos objetivos. Os eventos cujo impacto positivo representam oportunidades ou contrabalanam os impactos negativos dos riscos. Oportunidade a possibilidade de que um evento ocorra e influencie favoravelmente na realizao dos objetivos, apoiando, desse modo, a criao de valor.

4 - AVALIAO DE RISCOS A avaliao de riscos permite que uma organizao considere at que ponto eventos em potencial podem impactar a realizao dos objetivos. A administrao avalia os eventos com base em duas perspectivas probabilidade e impacto e, geralmente, utiliza uma combinao de mtodos qualitativos e quantitativos. Os impactos positivos e negativos dos eventos em potencial devem ser analisados isoladamente ou por categoria em toda a organizao. Os riscos so avaliados com base em suas caractersticas inerentes e residuais. Contexto para a Avaliao de Riscos Fatores externos e internos influenciam os eventos que podero ocorrer, e at que ponto os referidos eventos podem afetar os objetivos de uma organizao. Embora alguns fatores sejam comuns s organizaes, via de regra, os eventos resultantes so singulares em relao a uma determinada organizao tendo em vista seus objetivos estabelecidos e decises anteriores. Ao avaliar riscos, a administrao considera o composto dos futuros eventos em potencial pertinentes organizao e s suas atividades no contexto das questes que do forma ao perfil de riscos, como tamanho da organizao, complexidade das operaes e grau de regulamentao de suas atividades. Ao avaliar riscos, a administrao leva em considerao eventos previstos e imprevistos. Muitos eventos so rotineiros e recorrentes e j foram abordados nos programas de gesto e oramentos operacionais, enquanto que outros so imprevistos. A administrao avalia os


20


riscos em potencial de eventos imprevistos e, caso ainda no tenha feito essa avaliao, at os previstos que podem causar um impacto significativo na organizao. Embora o termo avaliao de riscos tenha sido usado em conexo com uma atividade realizada, uma nica vez, no contexto de avaliao de riscos corporativos, o componente de avaliao de riscos uma interao contnua e repetida das aes que ocorrem em toda a organizao. Risco Inerente e Residual A administrao leva em conta tanto o risco inerente quanto o residual. Risco inerente o risco que uma organizao ter de enfrentar na falta de medidas que a administrao possa adotar para alterar a probabilidade ou o impacto dos eventos. Risco residual aquele que ainda permanece aps a resposta da administrao. A avaliao de riscos aplicada primeiramente aos riscos inerentes. Aps o desenvolvimento das respostas aos riscos, a administrao passar a considerar os riscos residuais. Estimativa da Probabilidade e do Impacto A incerteza de eventos em potencial avaliada a partir de duas perspectivas probabilidade e impacto. A probabilidade representa a possibilidade de que um determinado evento ocorrer, enquanto o impacto representa o seu efeito. A determinao do grau de ateno depende da avaliao de uma srie de riscos que uma organizao enfrenta. A administrao reconhece que um risco com reduzida probabilidade de ocorrncia e baixo potencial de impacto, geralmente, no requer maiores consideraes. Por outro lado, um risco com elevada probabilidade de ocorrncia e um potencial de impacto significativo demanda ateno considervel.

RISCO

BAIXO

ALTO

PROBABILIDADE DE OCORRNCIA

MODERADO

BAIXO

AUMENTANDO

IMPACTO DA OCORRNCIAFonte: Defense Systems Management College


21


O horizonte de tempo empregado para avaliar riscos dever ser consistente com o tempo das estratgias e objetivos relacionados a esses riscos. Em razo das estratgias e objetivos de muitas organizaes considerarem horizontes de tempo de curta a mdia durao, a administrao naturalmente concentra-se nos riscos associados com esses perodos de tempo. Contudo, alguns aspectos do direcionamento estratgico e dos objetivos estendem-se a prazo mais longo. Conseqentemente, a administrao precisa levar em conta os cenrios de prazos mais longos para no ignorar riscos que possam estar mais adiante. Fontes de Dados Via de regra, as estimativas de probabilidade e grau de impacto de riscos so conduzidas utilizando dados de eventos passados observveis, os quais fornecem uma base mais objetiva do que as estimativas inteiramente subjetivas. Os dados gerados internamente e embasados na experincia passada da prpria organizao, podem refletir qualidades pessoais menos subjetivas e propiciar melhores resultados do que os dados de fontes externas. Contudo, mesmo que os dados gerados internamente sejam um dado primrio, os externos podem ser teis como um ponto de controle, ou para aprimorar a anlise. Por exemplo, a administrao de uma organizao, ao avaliar o risco de paralisaes da produo em razo de falhas de equipamentos, verifica primeiramente a freqncia e o impacto de falhas anteriores de seus prprios equipamentos de manufatura. Em seguida, suplementa esses dados com indicadores de desempenho para a indstria. Esse procedimento possibilita uma estimativa mais precisa da probabilidade e do impacto de falhas, bem como, mais eficaz da manuteno preventiva. Devese ter cautela ao se utilizar eventos passados para fazer previses futuras, visto que os fatores que influenciam os eventos podem modificar-se com o passar do tempo. Tcnicas de Avaliao A metodologia de avaliao de riscos de uma organizao inclui uma combinao de tcnicas qualitativas e quantitativas. Geralmente, a administrao emprega tcnicas qualitativas de avaliao se os riscos no se prestam a quantificao, ou se no h dados confiveis em quantidade suficiente para a realizao das avaliaes quantitativas, ou, ainda, se a relao custo-benefcio para obteno e anlise de dados no for vivel. Tipicamente, as tcnicas quantitativas emprestam maior preciso e so utilizadas em atividades mais complexas e sofisticadas para suplementar as tcnicas qualitativas. As tcnicas quantitativas de avaliao geralmente requerem mais esforo e rigor, muitas vezes utilizando modelos matemticos no triviais. As tcnicas quantitativas dependem sobremaneira da qualidade dos dados e das premissas adotadas e so mais relevantes para exposies que apresentem um histrico conhecido, uma freqncia de sua variabilidade e permitam uma previso confivel. Comparao com Referncias de Mercado ( Benchmarking) um processo cooperativo entre um grupo de organizaes. O benchmarking enfoca eventos ou processos especficos, compara medies e resultados utilizando mtricas comuns, bem como identifica oportunidades de melhoria. Dados de eventos, processos e medidas so desenvolvidos para a comparao de desempenho. Algumas Companhias utilizam o benchmarking para avaliar a probabilidade e o impacto de eventos em potencial em uma indstria.


22


Modelos Probabilsticos Os modelos probabilsticos associam a uma gama de eventos e seu respectivo impacto, a probabilidade de ocorrncia sob determinadas premissas. A probabilidade e o impacto so avaliados com base em dados histricos ou resultados simulados que refletem hipteses de comportamento futuro. Os exemplos de modelos probabilsticos incluem valor em risco (value-at-risk), fluxo de caixa em risco, receitas em risco e distribuies de prejuzo operacional e de crdito. Os modelos probabilsticos podem ser utilizados com diferentes horizontes de tempo para estimar os seus resultados, como a faixa de prazos dos instrumentos financeiros disponveis. Os modelos probabilsticos tambm podem ser usados para avaliar resultados esperados ou mdias em relao a impactos imprevistos ou extremos. Modelos No Probabilsticos Os modelos no probabilsticos empregam critrios subjetivos para estimar o impacto de eventos, sem quantificar uma probabilidade associada. A avaliao do impacto de eventos baseia-se em dados histricos ou simulados a partir de hipteses sobre o comportamento futuro. Os exemplos de modelos no probabilsticos incluem medies de sensibilidade, testes de estresse e anlises de cenrios. Para obter consenso sobre a probabilidade e o impacto de eventos de risco pelo uso de tcnicas qualitativas de avaliao, as organizaes podero utilizar a mesma abordagem que usam na identificao dos eventos, como entrevistas e seminrios. Um processo de autoavaliao de riscos colhe as opinies dos participantes a respeito da probabilidade em potencial e do impacto de eventos futuros, utilizando escalas descritivas ou numricas. Uma organizao no necessita empregar as mesmas tcnicas de avaliao para todas as suas unidades de negcios. Em vez disso, a escolha das tcnicas dever refletir na necessidade de exatido e na cultura da unidade de negcios. Em uma Companhia, por exemplo, ao identificar e avaliar riscos no mbito de processo, uma unidade de negcios emprega questionrios de auto-avaliao, enquanto outra usa seminrios. Os riscos so avaliados com base na caracterstica inerente ou residual dos riscos, para ento serem organizados e agrupados por categorias de risco e objetivos para ambas as unidades de negcios. Embora diferentes mtodos sejam empregados, eles permitem consistncia suficiente para facilitar a avaliao de riscos em toda a organizao. A administrao pode obter uma medida quantitativa do impacto de um evento para toda a organizao, quando todas as avaliaes individuais de riscos com relao ao mesmo evento estiverem expressas em termos quantitativos. Por exemplo, o impacto de uma alterao nos preos de energia sobre a margem bruta calculado em todas as unidades de negcios, e um impacto global sobre toda a organizao , ento, determinado. Quando h mescla de medidas qualitativas e quantitativas, a administrao realiza uma avaliao qualitativa sobre as medidas de ambas, assim o resultado combinado expresso em termos qualitativos. O estabelecimento de termos comuns de probabilidade e do grau de impacto por meio de toda a organizao e categorias comuns de riscos para as medidas qualitativas facilita essas avaliaes combinadas dos riscos. A natureza dos eventos e o fato de serem relacionados podem influenciar as tcnicas de avaliao empregadas. Por exemplo, ao avaliar o impacto de eventos que podem provocar um impacto extremo, a administrao poder empregar o teste de estresse, enquanto que na avaliao dos efeitos de eventos mltiplos, a administrao poder considerar mais til a anlise de simulaes ou de cenrios.


23


O exame da relao entre a probabilidade e o impacto dos riscos representa uma importante responsabilidade gerencial. O gerenciamento de riscos corporativos eficaz requer que a avaliao de risco seja efetuada em relao aos riscos inerentes e, tambm, a resposta a riscos. 5 - RESPOSTA A RISCOS Aps ter conduzido uma avaliao dos riscos pertinentes, a administrao determina como responder aos riscos. As respostas incluem evitar, reduzir, compartilhar ou aceitar os riscos. Ao considerar a prpria resposta, a administrao avalia o efeito sobre a probabilidade de ocorrncia e o impacto do risco, assim como os custos e benefcios, selecionando, dessa forma, uma resposta que mantenha os riscos residuais dentro das tolerncias a risco desejadas. A administrao identifica as oportunidades que possam existir e obtm, assim, uma viso dos riscos em toda organizao ou de portflio, determinando se os riscos residuais gerais so compatveis com o apetite a riscos da organizao. As respostas a riscos classificam-se nas seguintes categorias: Evitar Descontinuao das atividades que geram os riscos. Evitar riscos pode implicar a descontinuao de uma linha de produtos, o declnio da expanso em um novo mercado geogrfico ou a venda de uma diviso. Exemplo: Uma organizao sem fins lucrativos identificou e avaliou os riscos de fornecer servios mdicos diretos aos seus membros e decidiu, desse modo, no aceitar os riscos associados. Alm disso, a organizao decidiu prestar um servio de recomendao dos servios. Reduzir So adotadas medidas para reduzir a probabilidade ou o impacto dos riscos, ou, at mesmo, ambos. Tipicamente, esse procedimento abrange qualquer uma das centenas de decises do negcio no dia-a-dia. Exemplo: Uma Companhia de compensao de ttulos identificou e avaliou o risco de seus sistemas permanecerem inoperantes por um perodo superior a trs horas e concluiu, assim, que no aceitaria o impacto dessa ocorrncia. A Companhia investiu em tecnologia no aprimoramento de sistemas de auto-deteco de falhas e sistemas de back-up para reduzir a probabilidade de indisponibilidade do sistema. Compartilhar Reduo da probabilidade ou do impacto dos riscos pela transferncia ou pelo compartilhamento de uma poro do risco. As tcnicas comuns compreendem a aquisio de produtos de seguro, a realizao de transaes de headging ou a terceirizao de uma atividade. EX: Uma universidade identificou e avaliou os riscos associados com a administrao de seus dormitrios de estudantes e concluiu que no possua internamente os requisitos necessrios e as funcionalidades para administrar eficazmente essas grandes propriedades residenciais. A universidade terceirizou a administrao do dormitrio a uma empresa de administrao de patrimnio, a fim de apresentar melhores condies de reduzir o impacto e a probabilidade de riscos relacionados com a propriedade. Aceitar Nenhuma medida adotada para afetar a probabilidade ou o grau de impacto dos riscos.


24


Evitar sugere que nenhuma opo de resposta tenha sido identificada para reduzir o impacto e a probabilidade a um nvel aceitvel. Reduzir ou Compartilhar reduzem o risco residual a um nvel compatvel com as tolerncias desejadas ao risco, enquanto Aceitar indica que o risco inerente j esteja dentro das tolerncias ao risco. Ao determinar respostas a riscos, a administrao dever levar em conta: os efeitos das respostas em potencial sobre a probabilidade e o impacto do risco e que opes de resposta so compatveis com as tolerncias a risco da organizao; os custos versus os benefcios das respostas em potencial; as possveis oportunidades da organizao alcanar seus objetivos vo alm de se lidar com o risco especfico

Para os riscos significativos, a organizao tipicamente considera as respostas em potencial com base em um leque de opes de resposta. Esse procedimento possibilita maior profundidade seleo das respostas e desafia o status quo. Avaliao do Efeito sobre a Probabilidade e Impacto do Risco Na avaliao das opes de resposta, a administrao considera o efeito da probabilidade e do impacto do risco, reconhecendo que uma determinada resposta poder afetar, de forma diferente, a probabilidade e o impacto do risco. Por exemplo, uma organizao cujo centro de processamento de dados localiza-se em uma regio assolada por tempestades estabelece um plano de continuidade em outra localidade, a qual, apesar de no ter nenhum efeito sobre a probabilidade de ocorrncia de tempestades, reduz o impacto dos danos s edificaes ou de que o pessoal no consiga acesso ao local de trabalho. Por outro lado, a opo de transferir o centro de processamento de dados para outra regio no reduzir o impacto de uma tempestade da mesma intensidade, mas sim a probabilidade de ocorrncia de tempestades no local da operao. Ao analisar as respostas, a administrao poder considerar eventos e tendncias anteriores, e o potencial de situaes futuras. Avaliao de Custos versus Benefcios Em razo das limitaes de recursos, as organizaes devem considerar os custos e os benefcios relativos s opes de respostas alternativas ao risco. As medies de custo/benefcio para a implementao de respostas a riscos so realizadas com diversos nveis de preciso. De um modo geral, mais fcil tratar do aspecto custo da equao, que, em muitos casos, pode ser quantificado com bastante preciso. Habitualmente, consideram-se todos os custos diretos associados ao estabelecimento de uma resposta, e os custos indiretos, caso sejam mensurveis na prtica. Algumas organizaes tambm incluem os custos de oportunidade associados utilizao dos recursos. Avaliao das Possveis Respostas Os riscos inerentes so analisados, e as respostas avaliadas com a finalidade de se alcanar um nvel de risco residual compatvel com as tolerncias aos riscos da organizao. Geralmente, qualquer uma das vrias respostas compatibilizaro o risco residual com as tolerncias ao risco, e, s vezes, uma combinao de respostas traz o melhor resultado. Por


25


outro lado, s vezes, uma resposta afetar diversos riscos e nesse caso, a administrao poder decidir que no necessitar de medidas adicionais para abordar um determinado risco. Respostas Selecionadas Uma vez avaliados os efeitos das respostas alternativas aos riscos, a administrao decide como administrar o risco ao selecionar uma resposta ou combinao de respostas destinadas a trazer a probabilidade e o impacto do risco a parmetros compatveis de tolerncia a riscos. A resposta no necessita gerar a quantidade mnima de risco residual. Mas quando uma resposta a risco gera um risco residual acima dos limites de tolerncia, a administrao retoma e reexamina a resposta ou, em certos casos, reconsidera os limites de tolerncia estabelecidos em relao a esse risco. Desse modo, o processo e equilbrio entre o risco e a tolerncia a este pode implicar um processo iterativo. A avaliao das respostas alternativas ao risco inerente requer considerar os riscos adicionais que podem ser gerados por uma resposta. Essa considerao tambm poder originar um processo interativo pelo qual, antes de finalizar uma deciso, a administrao leva em conta esses riscos adicionais, inclusive outros que no sejam evidentes imediatamente. Assim que tiver selecionado uma resposta, a administrao poder necessitar desenvolver um plano de implementao para execut-la. Uma parte crtica do plano de implementao o estabelecimento de atividades de controle para assegurar-se de que a resposta ao risco seja conduzida. A administrao reconhece que sempre existir algum nvel de risco residual, no somente porque os recursos so limitados, mas tambm em decorrncia da incerteza e das limitaes inerentes a todas as atividades empresariais. Viso em Portflio O gerenciamento de riscos corporativos requer que o risco seja considerado a partir de uma perspectiva de toda a organizao ou de portflio. Geralmente, a administrao adota uma abordagem na qual o risco considerado, primeiramente, em relao a cada unidade de negcios, departamento ou funo, em que o gerente responsvel desenvolve uma avaliao combinada dos riscos para a unidade, refletindo o perfil de risco residual desta unidade em relao a seus objetivos e tolerncias a riscos. Tendo por base uma viso dos riscos em relao a unidades individuais, a alta administrao de uma organizao ter melhores condies de adotar uma viso de portflio para determinar se o seu perfil de risco residual compatvel ao seu apetite a riscos relativo aos objetivos. Os riscos nas diferentes unidades podem estar dentro dos nveis de tolerncia referentes a cada uma das unidades, mas, considerados em conjunto, os riscos podero ultrapassar o apetite a risco da organizao como um todo, em cujo caso ser necessria uma resposta diferente ou adicional ao risco para compatibiliz-lo com o apetite a riscos. Por outro lado, os riscos podem equilibrar-se naturalmente na organizao como um todo se, por exemplo, determinadas unidades individuais apresentam maior risco, enquanto outras so relativamente aversas a estes, de forma tal que o risco, em seu todo, seja


26


compatvel com o apetite a risco, eliminando-se assim a necessidade de uma resposta diferente a risco. Essas medidas de viso de portflio so capazes de fornecer informaes teis para redistribuir capital s unidades de negcios e para modificar o direcionamento estratgico.

6 - ATIVIDADES DE CONTROLE As atividades de controle so as polticas e os procedimentos que contribuem para assegurar que as respostas aos riscos sejam executadas. Essas atividades ocorrem em toda a organizao, em todos os nveis e em todas as funes, pois compreendem uma srie de atividades to diversas, como aprovao, autorizao, verificao, reconciliao e reviso do desempenho operacional, da segurana dos bens e da segregao de responsabilidades. As atividades de controle so polticas e procedimentos que direcionam as aes individuais na implementao das polticas de gesto de riscos, diretamente ou mediante a aplicao de tecnologia, a fim de assegurar que as respostas aos riscos sejam executadas. Essas atividades podem ser classificadas com base na natureza dos objetivos da organizao aos quais os riscos de estratgia, operao, comunicao e cumprimento de diretrizes esto associados. Integrao com Resposta a Riscos Ao selecionar as respostas aos riscos, a administrao identifica as atividades de controle necessrias para assegurar que estas sejam executadas de forma adequada e oportuna. A associao de objetivos, respostas a riscos e atividades de controle ilustrada no exemplo a seguir: uma Companhia estabelece como objetivo alcanar ou exceder as metas de vendas, identificando como risco a falta de conhecimentos suficientes de fatores externos sejam as necessidades atuais do cliente sejam as em potencial. Para reduzir a probabilidade da ocorrncia e do impacto do risco, a administrao recorre aos histricos de compras dos clientes existentes e empreende novas iniciativas de pesquisa de mercado. Essas respostas a riscos servem de referncia para estabelecer atividades de controle, e, tambm, acompanhar o progresso e o desenvolvimento do histrico de compras de cliente em relao s programaes estabelecidas e adoo de medidas para assegurar a preciso dos dados relatados. Sendo assim, as atividades de controle so diretamente inseridas no processo de administrao. Embora as atividades de controle geralmente sejam estabelecidas para assegurar que as respostas aos riscos sejam bem executadas em relao a determinados objetivos, as prprias atividades de controle so respostas a riscos. Por exemplo, para que um objetivo assegure que determinadas transaes tenham sido devidamente autorizadas, a resposta provavelmente ser na forma de atividades de controle, como a diferenciao de deveres e a aprovao pelo pessoal de superviso. Da mesma forma que a seleo de respostas a riscos considera a adequao e os riscos remanescentes ou residuais, a seleo ou a reviso das atividades de controle deve avaliar a pertinncia e a adequao aos objetivos correspondentes. Isso pode ser alcanado


27


considerando separadamente da adequao das atividades de controle, ou, considerando o risco residual nos contextos tanto da resposta ao risco quanto das atividades de controle correspondentes. As atividades de controle so importantes elementos do processo por meio do qual uma organizao busca atingir os objetivos do negcio. Elas no so executadas simplesmente por executar ou por parecer a coisa certa ou apropriada a ser feita. No exemplo acima, a administrao necessita adotar medidas para assegurar que as metas de vendas sejam alcanadas. As atividades de controle servem como mecanismos de gesto do cumprimento desse objetivo. Tipos de Atividades de Controle Existe uma variedade de descries distintas quanto aos tipos de atividades de controle, inclusive as preventivas, as detectivas, as manuais, as computadorizadas e as de controles administrativos. Essas atividades tambm podem ser classificadas com base nos objetivos de controle especificados, como o de assegurar a integridade e a preciso do processamento de dados. Atividades de controle geralmente utilizadas: Revises da Alta Direo a alta direo compara o desempenho atual em relao ao orado, s previses, aos perodos anteriores e aos de concorrentes. As principais iniciativas so acompanhadas, como campanhas de marketing, processos de melhoria de produo e programas de conteno ou de reduo de custo, para medir at que ponto as metas esto sendo alcanadas. A implementao de planos monitorada no caso de desenvolvimento de novos produtos, join ventures ou novos financiamentos. Administrao Funcional Direta ou de Atividade gerentes, no exerccio de suas funes ou atividades examinam relatrios de desempenho. Um gerente responsvel pelos emprstimos bancrios a consumidores revisa os relatrios por filial, regio e tipo de emprstimo (com cauo), verificando resumos e identificando tendncias e associando os resultados a estatsticas econmicas e metas. Por sua vez, os gerentes de filiais tambm se concentram em questes de cumprimento de polticas, revisando relatrios exigidos por rgos reguladores a respeito de novos depsitos acima de um determinado valor. So realizadas reconciliaes dos fluxos de caixa dirios, com as posies lquidas relatadas centralmente para transferncias e investimentos no overnight. Processamento da Informao uma variedade de controles realizada para verificar a preciso, a integridade e a autorizao das transaes. Os dados inseridos ficam sujeitos a verificaes de edio on-line ou combinao com arquivos aprovados de controle. Um pedido de cliente, por exemplo, somente poder ser aceito aps fazer referncia a um arquivo de cliente e ao limite de crdito aprovado. As seqncias numricas das transaes so levadas em conta, sendo as excees acompanhadas e relatadas aos supervisores. O desenvolvimento de novos sistemas e as mudanas nos j existentes so controlados da mesma forma que o acesso a dados, arquivos e programas. Controles Fsicos os equipamentos, estoques, ttulos, dinheiro e outros bens so protegidos fisicamente, contados periodicamente e comparados com os valores apresentados nos registros de controle.


28


Indicadores de Desempenho relacionar diferentes conjuntos de dados, sejam eles operacionais sejam financeiros, em conjunto com a realizao de anlises dos relacionamentos e das medidas de investigao e correo, funciona como uma atividade de controle. Os indicadores de desempenho incluem, por exemplo, ndices de rotao de pessoal por unidade. Ao investigar resultados inesperados ou tendncias incomuns, a administrao poder identificar circunstncias nas quais a falta de capacidade para concluir processos fundamentais pode significar menor probabilidade dos objetivos serem alcanados. A forma como a administrao utiliza essas informaes somente no caso de decises operacionais ou, tambm, no caso do acompanhamento de resultados imprevistos nos sistemas de comunicaes determinar se a anlise dos indicadores de desempenho por si s atender s finalidades operacionais, bem como s finalidades de controle da comunicao. Segregao de funes as obrigaes so atribudas ou divididas entre pessoas diferentes com a finalidade de reduzir o risco de erro ou de fraude. Por exemplo, as responsabilidades de autorizao de transaes, do registro da entrega do bem em questo so divididas. O gerente que autoriza vendas a crdito no deve ser responsvel por manter os registros de contas a pagar nem pela distribuio de recibos de pagamentos. Da mesma forma, os vendedores no devem modificar arquivos de preos de produtos nem as taxas de comisso. Geralmente, implementa-se uma combinao de controles para tratar das respostas relacionadas a riscos. Polticas e Procedimentos De modo geral, as atividades de controle incluem dois elementos: uma poltica que estabelece aquilo que dever ser feito e os procedimentos para faz-la ser cumprida. Por exemplo, uma poltica poder requerer a reviso das atividades de negociao do cliente pelo gerente de varejo da filial com a corretora. O procedimento a prpria reviso, realizada oportunamente e com especial ateno para os fatores estabelecidos na poltica, como a natureza e o volume dos ttulos transacionados e o volume destes em relao ao patrimnio lquido e idade do cliente. Muitas vezes, as polticas so comunicadas verbalmente. As que no so escritas podem ser eficazes quando existem h muito tempo e so adequadamente entendidas, e nas pequenas organizaes em que os canais de comunicao envolvem poucas camadas gerenciais e existe uma estreita interao e superviso dos empregados. No entanto, independentemente do fato de estar escrita ou no, uma poltica deve ser implementada com ateno, de forma conscienciosa e consistente. Controles dos Sistemas de Informaes A dependncia cada vez maior em relao a sistemas de informaes para auxiliar a operao de uma organizao e para atender aos objetivos de comunicao e ao cumprimento de polticas traz a necessidade de controle dos sistemas mais significativos. Dois grupos amplos de atividades de controle dos sistemas de informao podem ser utilizados. O primeiro diz respeito aos controles gerais, que se aplicam a praticamente todos os sistemas e contribuem para assegurar uma operao adequada e contnua. O segundo grupo o dos controles de aplicativos, que incluem etapas para avaliar o processo por meio de cdigos de programao dentro do software. Os controles gerais e os de aplicativos, em conjunto com os processos de controle manual, quando necessrios, asseguram a integridade, a preciso e a validade das informaes.


29


7 - INFORMAO E COMUNICAO Toda organizao identifica e coleta uma ampla gama de informaes relacionadas a atividades e eventos externos e internos, pertinentes administrao. Essas informaes so transmitidas ao pessoal em uma forma e um prazo que lhes permita desempenhar suas responsabilidades na administrao de riscos corporativos e outras. Informaes As informaes so necessrias em todos os nveis de uma organizao, para identificar, avaliar e responder a riscos, administr-la e alcanar seus objetivos. Uma ampla srie de informaes utilizada, pertinente a uma ou mais categorias de objetivos. As informaes operacionais de fontes internas e externas, de natureza financeira e no-financeira, so relevantes a diversos objetivos comerciais. As informaes financeiras, por exemplo, so empregadas no desenvolvimento de demonstraes financeiras para fins de comunicao e decises operacionais como o monitoramento do desempenho e da alocao de recursos. As informaes financeiras confiveis so fundamentais ao planejamento, elaborao de oramentos, fixao de preos, s avaliaes do desempenho de vendedores, avaliao de empreendimentos conjuntos e alianas, bem como uma faixa de outras atividades gerenciais. Da mesma forma, as informaes operacionais so essenciais ao desenvolvimento de relatrios financeiros e outros, entre eles as transaes rotineiras de compras, vendas e outras, alm de informaes em relao ao lanamento de produtos da concorrncia ou de suas condies econmicas, as quais podem influenciar avaliaes de estoques e de contas a receber. E as informaes necessrias para fins de conformidade, como dados relacionados emisso de poluentes na atmosfera ou dados dos empregados, tambm podem atender aos objetivos dos relatrios financeiros. Esses sistemas de informaes geralmente informatizados, mas que se utilizam de entradas ou interfaces manuais comumente so considerados no contexto do processamento de dados gerados internamente. Os sistemas de informaes podem ser formais ou informais. Conversas com clientes, fornecedores, rgos reguladores e empregados da organizao freqentemente provm informaes crticas necessrias identificao de riscos e de oportunidades. Da mesma forma, a participao em seminrios de profissionais ou da indstria, bem como o ingresso em associaes comerciais e outras podem ser fontes valiosas de informaes. , particularmente, importante manter as informaes compatveis com as necessidades, quando uma Companhia enfrenta mudanas fundamentais no setor, concorrentes altamente inovadores e rpidos ou mudanas significativas na demanda dos clientes. Os sistemas de informaes modificam-se conforme necessrio para o suporte de novos objetivos. Comunicaes A comunicao inerente a todos os sistemas de informaes. Como j discutimos acima, os sistemas de informaes devem fornecer informaes ao pessoal apropriado para que este possa desincumbir-se de suas responsabilidades operacionais, de comunicao e dePreparado por Marcelo Arago

30


conformidade. Porm a comunicao tambm deve ocorrer em um sentido mais amplo, tratando de expectativas, responsabilidades de indivduos e grupos, bem como outras questes importantes. As falhas de comunicao podem ocorrer quando pessoas ou unidades perdem a motivao de fornecer informaes importantes a outras pessoas ou no dispem de um meio de faz-lo. O pessoal pode estar ciente de riscos significativos, mas no se mostrar disposto nem capaz de relat-los. Para que essas informaes possam ser relatadas, dever haver canais de comunicao abertos e uma ntida disposio de ouvi-los. O pessoal deve acreditar que os seus superiores realmente desejam conhecer os problemas tratando-os, desse modo, com eficcia. Muitas organizaes estabelecem e fazem os empregados saber de um canal direto com o auditor interno chefe ou consultor jurdico ou outro empregado de alto escalo que tenha acesso diretoria executiva, com o processo de superviso pelo conselho de administrao ou pelo comit de auditoria. Um cdigo de conduta detalhado e pertinente, sesses de informao aos empregados, comunicaes corporativas contnuas e mecanismos de feedback com o exemplo correto dado mediante os atos da alta administrao podero reforar essas importantes mensagens. O canal entre a alta administrao e a diretoria executiva um dos mais crticos canais de comunicao. A administrao deve manter a diretoria executiva atualizada em relao ao desempenho, ao risco e ao funcionamento do gerenciamento de riscos corporativos e a outros eventos e questes importantes. Externas Uma comunicao apropriada necessria, no somente dentro da organizao, como tambm fora dela. Por meio de canais de comunicao abertos, clientes e fornecedores podem fornecer informaes altamente significativas referentes ao design ou qualidade dos produtos ou servios, possibilitando, assim, a abordagem da organizao em relao evoluo das exigncias ou preferncias do cliente. Por exemplo, reclamaes ou indagaes de clientes ou fornecedores relacionadas a embarques, recebimentos, faturamento ou outras atividades, geralmente, indicam a existncia de problemas operacionais e, possivelmente, prticas fraudulentas ou outras indevidas. A administrao dever estar sempre pronta para reconhecer as implicaes dessas circunstncias, investigar e adotar as medidas corretivas necessrias, tendo em mente o impacto destas sobre os relatrios financeiros, de conformidade e objetivos operacionais. importante haver uma comunicao aberta sobre o apetite a riscos e as tolerncias a risco da organizao, especialmente para as organizaes associadas a outras em cadeias de suprimento ou empreendimentos de comrcio eletrnico. A comunicao com partes interessadas, agentes reguladores, analistas financeiros e outras partes externas, disponibiliza informaes pertinentes s respectivas necessidades, de maneira que possam entender prontamente as circunstncias e os riscos que a organizao enfrenta. Essa comunicao deve ser significativa, pertinente e oportuna, alm de atender s exigncias legais e regulatrias. O comprometimento da administrao em estabelecer e


31


manter canais de comunicaes com partes externas independentemente de ser ou no aberta, disponvel e rigorosa quanto ao seu acompanhamento tambm envia uma mensagem. Meios de Comunicao A comunicao pode surgir sob a forma de manuais de polticas, memorandos, mensagens de correio eletrnico, notificaes em quadros de avisos, mensagens pela Internet e mensagens gravadas em vdeo. Se as mensagens so transmitidas verbalmente em grandes grupos, pequenas reunies ou sesses individuais o tom de voz e a linguagem corporal enfatizam aquilo que est sendo transmitido. A forma pela qual a administrao trata o seu pessoal pode transmitir uma mensagem poderosa. Cabe aos gestores lembrar que os atos dizem mais do que as palavras. Seus atos, por sua vez, so influenciados pelo histrico e pela cultura da organizao, baseando-se em observaes anteriores de como os seus mentores enfrentaram situaes semelhantes. Uma organizao com um histrico de integridade nas operaes e uma cultura bem entendida pelas pessoas no encontrar muita dificuldade em passar a sua mensagem. Outra sem tradio ter de pr mais energia na forma em que as mensagens so comunicadas. 8 - MONITORAMENTO O gerenciamento de riscos corporativos monitorado, avaliando-se a presena e o funcionamento de seus componentes ao longo do tempo. Essa tarefa realizada mediante atividades contnuas de monitoramento, avaliaes independentes ou uma combinao de ambas. O monitoramento contnuo ocorre no decurso normal das atividades de administrao. O alcance e a freqncia das avaliaes independentes depender basicamente de uma avaliao dos riscos e da eficcia dos procedimentos contnuos de monitoramento. As deficincias no gerenciamento de riscos corporativos so relatadas aos superiores, sendo as questes mais graves relatadas ao Conselho de administrao e diretoria executiva. O monitoramento pode ser conduzido de duas maneiras: mediante atividades contnuas ou de avaliaes independentes. Atividades de Monitoramento Contnuo Muitas atividades prestam-se ao monitoramento da eficcia do gerenciamento de riscos corporativos no decurso normal da administrao dos negcios. As referidas atividades originam-se das atividades de gesto que podem incluir anlises de varincia, comparaes das informaes oriundas de fontes discrepantes e abordagem a ocorrncias imprevistas. Em geral, as atividades de monitoramento contnuo so conduzidas pelos gerentes de operao de linha ou de suporte funcional, que dedicam profunda considerao s implicaes das informaes que recebem. Ao concentrar-se nos relacionamentos, nas inconsistncias ou em outras implicaes relevantes, levantam questes, acompanhando outro pessoal, se necessrio, para determinar se existe necessidade de adotar medidas corretivas ou outras. Auditores externos e internos e assessores fornecem informaes peridicas, visando ao fortalecimento do gerenciamento de riscos corporativos. Os auditores podem dedicar


32


ateno considervel a riscos fundamentais e respectivas respostas, bem como ao desenho das atividades de controle. Fraquezas em potencial so identificadas e as respectivas medidas alternativas so recomendadas administrao, acompanhadas de informaes teis na realizao de determinaes de custo-benefcio. Auditores internos ou pessoas que desempenham funes de reviso semelhantes podem ser particularmente eficazes no monitoramento das atividades de uma organizao. Seminrios de treinamento, sesses de planejamento e outras reunies fornecem administrao importante feedback que lhe permite determinar se o gerenciamento de riscos corporativos permanece eficaz. As comunicaes de partes externas comprovam as informaes geradas internamente ou indicam a existncia de problemas. Escopo e Freqncia As avaliaes do gerenciamento de riscos corporativos podem variar em termos de escopo e freqncia, dependendo da significncia dos riscos e da importncia das respostas a risco e dos respectivos controles para a administrao dos riscos. As reas de riscos e as respostas a,risco de alta prioridade tendem a ser avaliadas com mais freqncia. A avaliao da totalidade do gerenciamento de riscos corporativos que, geralmente, necessita ser realizada com menor freqncia do que a avaliao de partes especficas pode ser ocasionada por diversos motivos: mudana importante na estratgia ou na administrao, aquisies ou distribuies de recursos, mudanas nas condies econmicas ou polticas ou, ainda, mudanas nas operaes ou mtodos de processamento de informaes. Quem Conduz a Avaliao Freqentemente, as avaliaes tm a forma de auto-avaliaes nas quais as pessoas responsveis por uma determinada unidade ou funo determinam a eficci

Documents

Auditoria Governamental 2008 Marcelo Aragão