POLÍTICA DE GESTÃO DE RISCOS E CONTROLES INTERNOS
ÍNDICE 1. Objetivo... 3 2. Metodologias Adotadas... 4 2.1. Metodologia para Estruturar o Processo... 4 2.2. Metodologia para Definir como Identificar os Riscos... 6 3. Parâmetros Necessários para Gestão de Riscos e Controles Internos 7 4. Reporte do Processo de Gestão de Riscos e Controles Internos.. 9 5. Responsabilidades da Gestão de Riscos e Controles Internos... 10 5.1. Conselho Deliberativo... 10 5.2. Conselho Fiscal... 10 5.3. Diretoria... 10 5.4. Área de Gestão de Riscos... 11 5.5. Áreas Operacionais... 11 6. Conclusão... 13 2
1. OBJETIVO Esta política objetiva definir um direcionamento para PSS no que diz respeito ao modelo conceitual para a gestão qualitativa de riscos, destacando os itens que devem ser identificados e avaliados, bem como estabelecer diretrizes relativas às atribuições e responsabilidades do Conselho Deliberativo, Conselho Fiscal, Diretoria, Área de Gestão de Riscos e áreas operacionais da Entidade, enquanto participantes do processo de gestão de riscos e controles internos. Esta política está estruturada da seguinte forma: Metodologias adotadas; Parâmetros necessários para Gestão de Riscos e controles internos; Reporte do Processo de Gestão de Riscos e controles internos; Responsabilidades para Gestão de Riscos e controles internos. As metodologias definem de que forma está estruturado o processo de gestão de riscos e controles internos, como será o processo de identificação, mensuração, avaliação e monitoramento de riscos e controles. Os parâmetros são os itens que devem ser elaborados e formalizados pela Entidade para que seja possível disseminar a gestão de riscos de forma padronizada, fazendo parte de todos os processos e áreas da PSS. O reporte do Processo de Gestão de riscos e Controles Internos tem o objetivo de fazer a informação fluir na entidade de maneira adequada e participativa. As responsabilidades servem para definir as atribuições a respeito desta política e do processo de gestão de riscos e controles internos na PSS. 3
2. METODOLOGIAS ADOTADAS Para realizar a gestão de riscos e controles internos na PSS, serão adotadas como metodologias norteadoras o COSO - Committee of Sponsoring Organizations of the Treadway Commission e o CSA Control Self Assessement, Autoavaliação de Riscos e Controles. 2.1. METODOLOGIA PARA ESTRUTURAR O PROCESSO O COSO estrutura a gestão de riscos corporativos na forma de um cubo (3 dimensões): Objetivos; Componentes; Âmbito de Aplicação. Figura 1: COSO Os objetivos são classificados como estratégicos, de conformidade, de reporting/informações e operacionais. A entidade tem como meta principal atingir a estratégia definida e para isto é preciso acompanhar suas operações, garantir a veracidade e apresentação transparente das informações para a sociedade e administradores, bem como zelar pelo desempenho da conformidade ou atendimento aos normativos internos e externos da entidade, comprovando a aderência das atividades e o entendimento das legislações ou normas internas. 4
Os componentes caracterizam as oito frentes de atuação da gestão de riscos: ambiente interno, definição dos objetivos, identificação de riscos, avaliação de riscos, resposta ao risco, atividades de controle, informação e comunicação e monitoramento. Os componentes desta estrutura podem ser explicados desta forma resumidamente: Ambiente Interno: é o alicerce da estrutura de controles internos, influenciando a consciência de controle nas pessoas, possui relação imediata com a cultura organizacional, o grau de desenvolvimento empresarial, as decisões e atitudes da administração. Ele direciona a organização, orientando e disciplinando os demais componentes do sistema de controles internos. Definição dos Objetivos: início do processo de controles internos, para facilitar a identificação dos riscos. Identificação de Riscos: é o processo de identificar os eventos de impacto negativo e estes devem ser classificados de acordo com o dicionário de riscos da entidade. Avaliação de Riscos: permite que a Administração considere até que ponto os eventos em potencial identificados poderão impactar a realização dos objetivos. A Diretoria da PSS, junto com a Área de Gestão de Riscos, serão responsáveis por definir métricas para valoração dos riscos. A matriz de riscos é a representação gráfica que conjuga a classificação e avaliação dos riscos. É neste momento que realizamos a avaliação dos controles, que analisado em conjunto com o risco original resulta na exposição residual. Resposta ao Risco: após a avaliação dos riscos residuais, a Administração determinará qual resposta será dada a estes. Estas respostas incluem evitar, compartilhar, reduzir a exposição ou aceitar determinado risco, conforme apetite definido. Atividades de Controle: são as políticas e procedimentos que asseguram o alcance dos objetivos da administração, diminuindo a exposição das atividades aos riscos. Tais atividades acontecem ao longo do processo organizacional, em todos os níveis e em todas as funções, incluindo aprovações, autorizações, verificações, reconciliações, revisões de desempenho operacional, segurança de recursos e segregação de funções. Informação e Comunicação: As informações devem ser identificadas, capturadas e disponibilizadas em tempo certo para as pessoas adequadas, auxiliando o sistema de controles internos. A comunicação também apóia o sistema, esclarecendo os papéis e as atribuições de cada pessoa referente à estrutura de controles internos, a fidedignidade dos relatórios financeiros ou contábeis e as responsabilidades na execução das suas atividades. 5
Monitoramento: nesta etapa do processo de gestão de riscos, serão avaliados ao longo do tempo, a presença e o funcionamento dos controles associados aos riscos identificados. A atividade de monitoramento será realizada de forma contínua e ocorrerá no decurso normal das atividades da PSS, de acordo com periodicidade estabelecida. Na dimensão âmbito de aplicação está a definição do foco de interesse para a gestão de riscos. O âmbito de aplicação do COSO deve ser definido de acordo com a situação de cada Entidade e pode adotar como foco a Entidade como um todo, uma divisão, uma subsidiária ou um departamento. Dele decorrerá a definição dos responsáveis que exercem atividades que levam à implementação da gestão de riscos. 2.2. METODOLOGIA PARA DEFINIR COMO IDENTIFICAR OS RISCOS A autoavaliação de riscos ou Control Self Assessment é a metodologia adotada pela PSS para a gestão qualitativa dos riscos corporativos. Consiste no processo de descentralização da avaliação contínua da efetividade do ambiente de controle, permitindo que as unidades organizacionais identifiquem os riscos potenciais aos quais estão expostas e implementem controles suficientes para a mitigação destes riscos. O Control Self Assessment (CSA), ou seja, Autoavaliação de Riscos e Controles é uma metodologia canadense da década de oitenta e a sua implementação foi iniciada por auditores internos que necessitavam de novas abordagens para mensurar a efetividade dos controles internos. Outro critério de avaliação pode ser escolhido e os riscos e controles podem ser avaliados por auditores internos e externos. Porém as entidades que utilizam o CSA como ferramenta conseguem avaliar adequadamente os seus riscos e controles, aumentando a capacidade de atingir seus objetivos. O modelo permite assegurar maior atenção aos controles relacionados com os objetivos do negócio, melhorar a capacidade de detecção e monitoramento dos riscos e o entendimento das responsabilidades, reduzindo os custos e, consequentemente, levando todos ao autocontrole. 6
3. PARÂMETROS NECESSÁRIOS PARA GESTÃO DE RISCOS E CONTROLES INTERNOS O processo de Gestão de Riscos e Controles Internos objetiva identificar, em toda a Entidade, potenciais eventos que são capazes de afetá-la, possibilitando o conhecimento pela Administração, de modo a mantê-los compatíveis com o apetite de risco desejado. Este processo habilita os colaboradores, em todos os níveis, a entender melhor os riscos aos quais seus processos estão expostos e administrá-los. Para realizá-lo de forma eficiente é necessária a definição dos seguintes itens: Conceito de Risco Forma de Classificação Critérios de Mensuração (impacto e frequência) Risco Original Controle Risco Residual Sendo a linguagem um componente fundamental da cultura dos grupos sociais, presume-se que o desenvolvimento e o fortalecimento de uma cultura de gestão de riscos e controles internos nas Entidades também dependerá, em alguma medida, do estabelecimento de uma linguagem adequada. Na PSS será tratado como risco a possibilidade de dano resultante de um processo no qual o produto final não foi o normal ou esperado. Ou seja, somente os aspectos negativos que podem impedir ou dificultar o alcance dos objetivos recebem atenção e tratamento. Uma vez que muitos termos utilizados na gestão de riscos não estão totalmente incorporados ao dia-a-dia da Entidade e que a padronização de termos pode facilitar a comunicação entre as pessoas participantes do processo, a Entidade adota um Dicionário de Riscos como método de classificação. Isto facilita a identificação dos riscos, sua avaliação, definição e análise de controles e a elaboração de planos de ação. O uso de um dicionário deve trazer benefícios também às atividades de monitoramento e comunicação, tão importantes para a gestão de riscos e para a cultura de controles. O dicionário é desenvolvido em dois (2) níveis, no primeiro, estão as categorias que permitem a separação de riscos que possuem tratamento bem diferenciado e facilita a sua tipificação que é o segundo nível da estrutura do dicionário, mais específico que a categoria. 7
Além disto, todos os riscos devem ser mensurados em relação ao impacto, frequência e existência de controle. Na PSS impacto é o valor da perda, o quanto aquele risco pode gerar de prejuízo financeiro ou não financeiro se ele se efetivar. Frequência é a quantidade de vezes que aquele risco pode ocorrer em determinada atividade. Para facilitar a mensuração são adotadas faixas de valores tanto para impacto quanto para freqüência, sendo estas definidas com base no tamanho da Entidade e no seu perfil de risco (arrojado ou conservador). Todas as faixas são caracterizadas com nomes, devendo esta nomenclatura resguardar que a classe intermediária não leve ao entendimento que esta é o nível mediano ou médio de exposição. Com o dicionário de riscos e a tabela de mensuração definidos, a Entidade pode iniciar a identificação e mensuração de riscos nas suas atividades, ou seja, a avaliação dos riscos originais. Este é o valor do risco sem os controles existentes, em sua forma original. A identificação dos riscos facilita a associação dos controles necessários para mitigação dos mesmos. Cada controle é composto por requisitos provenientes de boas práticas de mercado, que são características que o tornam efetivo. Os requisitos são pontuados de acordo com o seu poder de mitigação, sendo atribuídas notas que variam de 0 a 3 para cada atributo de mitigação que ele atende, sendo assim, um requisito pode ter valor de mitigação diferente do outro. A avaliação de controles internos é o meio pelo qual a adequação e efetividade dos controles são analisadas, visando garantir a continuidade de todos os negócios da instituição. Os controles são avaliados por meio de questionários aplicados na Entidade, facilitando a identificação do índice de ausência ou inadequação de controles para mitigar os riscos avaliados. Esta etapa resulta no valor de ausência de controle ou lack de controles. Ao analisar o risco original com os controles existentes encontra-se então a exposição real da Entidade diante dos riscos identificados, ou seja, o risco residual. Esse mecanismo deve ser sempre repetido como incentivo a constantes melhorias, certificando-se que cada uma de suas etapas seja devidamente documentada. 8
4. REPORTE DO PROCESSO DE GESTÃO DE RISCOS E CONTROLES INTERNOS O reporte do processo de gestão de riscos e controles internos deve ser abrangente, consistente e freqüente, facilitando substancialmente a governança da PSS. Estes reportes devem ser internos e externos. Internamente a gestão de riscos deve ser tratada pela alta gestão e por todos os responsáveis que participam do processo. Deve ocorrer de cima para baixo, para mostrar a sua importância para todos da Entidade e também deve ocorrer de baixo para cima, demonstrando a responsabilidade de todos na identificação, avaliação e tratamento de riscos. Os relatórios são elaborados com base nos critérios pré-estabelecidos e devem facilitar a tomada de decisão sobre o nível de riscos que a Entidade está disposta a correr. Além disto, deve permitir que a PSS possa decidir adequadamente os planos de ação que são necessários para implementar ou melhorar os controles e mitigar os riscos que estão acima da exposição desejada, facilitando a construção, pela alta administração, de uma gestão de riscos e controles internos eficaz. Os reportes internos devem ser oportunos, pois os riscos precisam ser tratados de forma tempestiva para que a gestão de riscos e controles internos contribua com o processo de gestão da Entidade. Os reportes externos servem para declarar às partes interessadas como a gestão de riscos e controles internos é tratada na PSS e dar maior segurança aos participantes, patrocinadoras, fornecedores e investidores, pois demonstra que a Entidade está preocupada com a sua sustentabilidade e a continuidade dos seus processos. 9
5. RESPONSABILIDADES DA GESTÃO DE RISCOS E CONTROLES INTERNOS Para que a Gestão de Riscos e Controles Internos seja implementada adequadamente e exista um aprimoramento constante da mesma é necessário que sejam definidas as responsabilidades de todos os envolvidos. 5.1. CONSELHO DELIBERATIVO O Conselho Deliberativo é responsável pela aprovação das propostas enviadas pela Diretoria e o monitoramento permanente do tratamento que a Diretoria está aplicando aos riscos relevantes e controles internos. 5.2. CONSELHO FISCAL O Conselho Fiscal é responsável pela avaliação periódica e permanente do processo de gestão de riscos e controles internos, devendo ter as seguintes atribuições: Avaliar e documentar o monitoramento do processo de gestão de riscos e controles internos; Avaliar se a estrutura para gestão de riscos e controles internos é suficiente e adequada para suportar o processo implementado na entidade; e Conhecer os riscos mais significantes e monitorar se a administração está respondendo a estes de forma adequada. 5.3. DIRETORIA A Diretoria é responsável pela definição da estrutura e do processo de gestão de riscos e controles internos, devendo ter as seguintes atribuições: Promover ambiente de controles internos favorável que facilite a aplicação do processo de gestão de riscos corporativos; Propor ao Conselho Deliberativo o apetite de riscos da Entidade; Propor e monitorar os planos de ação necessários para mitigar os riscos avaliados que estejam acima do apetite desejado; Disseminar a cultura de gestão de riscos e controles internos. 10
5.4. ÁREA DE GESTÃO DE RISCOS A Área de Gestão de Riscos será responsável pela adoção das metodologias para identificar, avaliar e tratar os riscos, com o objetivo de manter a Entidade no caminho para alcançar a estratégia definida, controlar a exatidão e confiabilidade das informações financeiras e não financeiras, promover a eficiência operacional e motivar a adesão às políticas de direção estabelecidas, além de assegurar, em conjunto com as demais áreas da Entidade, a adequação, fortalecimento e o funcionamento do Sistema de Controles Internos, devendo ter as seguintes atribuições: Definir e manter os conceitos e metodologias aplicadas na Gestão de Riscos e Controles Internos; Estruturar e supervisionar o processo de gestão de riscos e controles internos; Disseminar a cultura de gestão de riscos e controles internos; Efetuar as avaliações periódicas dos riscos e dos respectivos controles aplicados na Entidade; Validar a qualidade e os resultados das avaliações de riscos e controles; Alinhar o apetite a riscos com a estratégia, otimizando as decisões de resposta a riscos; Acompanhar os planos de ação definidos; Gerir o sistema de informação de riscos e controles da Entidade; Propor níveis de apetite e tolerância em relação aos riscos sob sua responsabilidade; Elaborar e divulgar os relatórios de gestão de riscos e controles internos; Assessorar os conselhos no que diz respeito ao processo de gestão de riscos e controles internos. 5.5. ÁREAS OPERACIONAIS As áreas operacionais são responsáveis pelo gerenciamento dos riscos relacionados aos objetivos das atividades de sua responsabilidade, devendo ter as seguintes atribuições: Aplicar nas suas esferas de atuação os conceitos e metodologias componentes da Gestão de Riscos e Controles Internos; Identificar e avaliar os riscos dos seus processos; Realizar a gestão dos riscos de forma aderente aos objetivos e políticas de riscos; 11
Participar das avaliações periódicas de riscos e controles; Participar do processo de definição e implementação dos planos de ação; Assimilar e disseminar a cultura de gestão de riscos e controles internos na sua esfera de atuação. 12
6. CONCLUSÃO Além da definição de um direcionamento conceitual para a gestão qualitativa de riscos, atribuições e responsabilidades e dos itens considerados relevantes para que a entidade implemente e/ou aprimore a gestão de riscos e controles internos, todos definidos nesta política, é de fundamental importância o comprometimento dos envolvidos e a permanente disseminação das responsabilidades, parâmetros e conceitos para todos os níveis empresariais. A Diretoria é a responsável pelo constante aperfeiçoamento desta política, portanto periodicamente deverá avaliar a existência da necessidade de alteração, cuidando também do processo de formalização e divulgação. 13