A relevação de riscos e a informação financeira Vitor Ribeirinho Head of Audit 29 de Maio de 2012
Disclaimer A informação contida neste documento é de natureza geral e não se aplica a nenhuma entidade ou situação particular. Apesar de fazermos todos os possíveis para fornecer informação precisa e actual, não podemos garantir que tal informação seja precisa na data em que for recebida/conhecida ou que continuará a ser precisa no futuro. Ninguém deve actuar de acordo com essa informação sem aconselhamento profissional apropriado para cada situação específica. 2
Enquadramento A preocupação com os aspectos relacionados com os riscos e a orientação das organização para a identificação atempada dos riscos, a sua mitigação, a sua relevação nos processos e na informação financeira tem vindo a aumentar nos últimos anos e a marcar as alterações nas estruturas de governance das organizações. No seguimento da evolução do enquadramento regulatório e das orientações e melhores práticas internacionais sobre governo das sociedades tem-se verificado um crescente envolvimento dos Administradores não executivos nos aspectos relacionados com a monitorização dos riscos e na participação em comissões/comités dos Conselhos de Administração que supervisionam e definem as orientações estratégicas que devem ser executadas pelos elementos executivos das organizações. Tendência global para uma maior envolvimento dos orgãos de supervisão das instituições na avaliação e monitorização dos sistemas de controlo interno e dos riscos da actividade. Exigências normativas, nomeadamente contabilísticas ( SCIRF ), no sentido de aumentar a informação e divulgação sobre os modelos de gestão de risco utilizados pelas entidades. 3
Exemplo de estrutura de governance Funções de supervisão e acompanhamento Orgão de Administração Comissão de Governo Societário Comissão de avaliação de riscos Comissão de Nomeações e Avaliações Comissão de Ética e Deontologia Funções executivas Outros comités operacionais Sustentabilidade Subsidiárias Stakeholders Orgão Executivo Comité de Processos e Serviços Recursos Humanos Partes relacionadas Fundos Pensões Asset & Liability Management Comité de Risco Sub-Comissões 1 Auditoria Interna Comissões com responsabilidade na gestão de risco 4
Estrutura de governance de risco Um dos elementos cruciais de uma gestão integrada de risco corresponde à implementação de um modelo de três linhas de defesa em que, para além das funções de gestão de risco e de auditoria independente (interna e externa) tradicionalmente atribuídas ao Gabinete de Gestão de Riscos e à Direcção de Auditoria Interna e ao ROC, assume particular importância a existência de uma primeira linha de identificação e gestão pro-activas de risco por parte das unidades de negócio. Adicionalmente, a mesma lógica de reforço de controlo existirá no órgão que emana do Conselho de Administração, composto por elementos não executivos que monitorizará a evolução do processo de gestão de risco, por exemplo Comissão de Auditoria. Modelo de operações MODELO DE ESTRATÉGIA E Funções de supervisão e acompanhamento Comissão de avaliação de riscos SUPERVISÃO Funções de gestão executiva do risco Comité de Risco 1ª Linha Unidades de negócio RISCO E CONTROLO Ambiente de risco e controlo no terreno RISCO E CONTROLO - Directrizes quanto ao apetite ao risco - Desafio da estratégia e processos de risco existentes - Monitorização dos níveis de risco e das principais decisões tomadas - Identificação e avaliação dos riscos da actividade - Decisões sobre políticas de risco - Monitorização regular dos riscos 2ª 2ª linha LinhaGestão Controlo de de risco risco pela Comissão de Risco da C.E. 3ª Linha Auditoria Independente: Auditoria Interna e Auditoria Externa Gestão de Risco Políticas e procedimentos Supervisão funcional RISCO E CONTROLO Providenciam a garantia da efectividade dos controlos 5
Fases de maturidade da gestão do risco - Níveis de Maturidade para Apetite, Tolerância e Limites - Ilustrativo Inicial Intermédio Avançado Apetite ao risco (Estratégico) Definir apetite ao risco em termos qualitativos (directriz qualitativa da gestão de topo) e articular com montante de capital económico. Definir apetite ao risco em termos quantitativos (preferencialmente capital económico agregação de risco avançada) Tolerância ao risco (Táctico) Estabelecer montantes agregados de perda aceitável para riscos mais relevantes Quantificação de riscos mais relevantes e estabelecer medidas de risco Quantificação de riscos mais detalhada por tipo de risco e definir capital por tipo de risco Indicadores e limites de risco (Operacional) Definir os indicadores e estabelecer limites (consoante apetite e tolerância); Estabelecer ligação entre os indicadores e as medidas de risco para riscos mais relevantes Integrar os valores de indicadores com os montantes de capital (articular variação de limites com capital) 6
Processo de identificação e gestão de riscos Este processo de avaliação consistente dos riscos e controlos em todos os processos da instituição, deverá ocorrer continuamente e de forma pró-activa envolvendo todas as linhas de defesa e com destaque na contribuição das Unidades de negócio (1ª linha de defesa) Inputs: Recolha de dados e experiência prévia Critérios de avaliação de Risco Modelo de categorização de riscos 1. Identificação, categorizaçã o e definição dos riscos Categoria de risco Risco Inerente Risco Residual Conjunto de riscos agrupados em diferentes categorias (Risco de crédito, Conjunto risco de riscos mercado, agrupados risco em de diferentes taxa de juro, categorias risco de (Risco câmbio, de crédito, risco de Risco liquidez, mercado, risco de Risco compliance, de liquidez risco e Risco operacional, risco etc.) de sistemas de informação, risco de estratégia e risco de reputação Exposição ao risco antes da aplicação de quaisquer controlos de mitigação (risco bruto). Exposição da organização ao risco após aplicação de controlosde mitigação de risco. Probabilidade Baseada em: Histórico Experiência Intuição Impacto Perda associada à concretização do risco Este processo deverá incluir os riscos com impacto ao nível da informação e relato financeiro ( SCIRF ) bem como todos os riscos relacionados com a actividade da Instituição. 2. Identificação dos Controlos Chave e a sua efectividade 3. Identificação dos responsáveis pelo risco Controlo Preventivo Controlo Detectivo Visa reduzir a probabilidade de ocorrência do risco Altera a distribuição da frequência 4. Identificação e reporte das fraquezas do controlo Exemplo: definição e implementação de políticas de limites restritivos (investimentos, coberturas, ) Visa mitigar impacto de ocorrência do risco Altera distribuição de impacto Exemplo: revisão pela chefia de relatórios de actividade Criticidade do Controlo Diferença entre avaliação do risco inerente e residual. Outputs: Perfis de Risco e Controlo Responsáveis pelo risco Requisitos de informação de Gestão Planos de Acção para melhorias 7
O reflexo dos riscos nas demonstrações financeiras Sistema de Controlo Interno sobre o Relato Financeiro ( SCIRF ) Principais reportes e documentos preparados Reporte Natureza Destinatário Frequência Documentos de suporte às reuniões Interno Comissão e sub-comissões de Risco Mensal / Trimestral Relatório de Governo da Sociedade Externo (Público) Orgãos de Supervisão, stakeholders, público em geral e Orgãos sociais Anual Relatório de Controlo Interno Externo / Interno Orgãos de Supervisão e Comissão de Risco Anual Relatório de Gestão Externo (Público) Orgãos de Supervisão, stakeholders, público em geral e Orgãos sociais Semestral Demonstrações financeiras e notas às contas Externo (Público) Orgãos de Supervisão, stakeholders, público em geral e Orgãos sociais Trimestral 8
Um modelo de gestão integrada dá resposta a estas questões (visão futura) O ERM é uma abordagem transversal à Organização para a identificação, avaliação, comunicação e gestão de risco cost-effective é uma aproximação global e abrangente à gestão de risco. Quais os potenciais benefícios do ERM? Alinhamento da estratégia da organização com o risco; Maior responsabilização da organização na gestão de risco; Clarificação dos riscos chave da organização e acções de mitigação; Melhor alocação do esforço e de recursos da organização nos riscos prioritários, por exemplo, na definição de planos de continuidade do negócio e na definição de recomendações e planos de acção; Redução de custos e melhoria da eficácia e transparência no investimento no risco e nas actividades de controlo. O ERM é um processo dinâmico focado na protecção do valor criado pela Organização, antecipando os riscos e ajustando a estratégia e objectivos do negócio. 9
Um modelo de gestão integrada dá resposta a estas questões (visão futura) ERM - Porquê? Regulação Agências de Rating Crescente pressão das entidades reguladoras para implementação de gestão integrada de risco. Para o Sector Financeiro, o Aviso 5/2008 do Banco de Portugal define os requisitos para o desenvolvimento de um Sistema de Gestão de Risco para a globalidade dos riscos da organização. Requisitos explícitos e com exigência crescente de procedimentos de gestão de risco nas Organizações Accionistas Pressão crescente dos accionistas para práticas mais estruturada e formalizadas de gestão de risco, que contribua para o aumento da transparência e do processo de tomada de decisão na Organização. Boas práticas de gestão Enterprise Risk Management é reconhecido como uma boa prática de negócio. Permite um melhor suporte da tomada de decisão por via de um melhor conhecimento e gestão do risco. Modelos de governação Crescente envolvimento dos Administradores não executivos nos aspectos relacionados com a monitorização dos riscos e na participação em comissões/comités dos Conselhos de Administração. 10
Um modelo de gestão integrada dá resposta a estas questões (visão futura) Uma Gestão Integrada de Riscos que represente um processo end-to-end na gestão dos riscos permite assegurar uma maior consistência e pro-actividade do processo de gestão global de riscos e reforçar a integração entre as unidades com intervenção do processo Identificar, avaliar e categorizar os riscos a que a organização está exposta Medir, quantificar e agregar os riscos da organização Monitorizar e reportar os principais riscos a que a organização está exposta e desempenhar acções correctivas Utilizar informação de riscos e controlos para melhorar o desempenho corporativo (análise e optimização das técnicas de mitigação). Estabelecer uma abordagem para desenvolver, suportar e embeber a estratégia de gestão de risco da organização 11
Obrigado pela vossa atenção e interesse. Vítor Ribeirinho Head of Audit T: + 351 210 110 116 vribeirinho@kpmg.com PRIVADO & CONFIDENCIAL. APENAS PARA USO INTERNO. 2012 KPMG & Associados - Sociedade de Revisores Oficiais de Contas, S.A., a firma portuguesa membro da rede KPMG, composta por firmas independentes afiliadas da KPMG International Cooperative ( KPMG