Gestão de Riscos e Controles Internos- Global Consult Associados

Elaboração da Declaração de Apetite por Riscos (RAS)

A Declaração de Apetite por Riscos (RAS) tem por objetivo principal comunicar aos diversos stakeholders da Organização como sua Alta Direção considera compatibilizar, de forma ativa e dinâmica no tempo, os diversos tipos de riscos aos quais a instituição possui exposição com a finalidade de alcançar seus objetivos estratégicos de curto, médio e longo prazos.

A Declaração de Apetite por Riscos é elaborada com os seguintes tópicos:

Objetivos Estratégicos;
Condições de Competitividade;
Ambiente Regulatório;
Stakeholders;
Capacidade de Assunção de Riscos;
Apetite por Riscos Corporativo;
Limite Agregado por Riscos;
Perfil dos Riscos;
Riscos Financeiros;
Riscos Não Financeiros;

Métricas;
Limites;
Indicadores;
Teste de Estresse;
Papéis e Responsabilidades;
Estruturas de Controles;
Gerenciamento de Riscos;
Gerenciamento de Capital; e,
Auditoria Interna.

Definição de Matrizes e Mapeamento de Riscos e de Controles

As matrizes desenvolvidas para o projeto de GRC são:

Matriz de Probabilidade e Consequência;
Matriz de Nível de Controle;
Matriz de Risco Residual; e,
Matriz de Risco Residual Pós-Ambiente de Controle.

A abordagem a ser usada para o mapeamento de riscos e controles depende do contexto da gestão de riscos. Ao selecionar uma abordagem para identificar riscos e controles, são feitas as seguintes considerações:

Sessões de brainstorming em equipe, por exemplo, para os quais convém dar preferência a uma abordagem de workshops com o uso de facilitadores, pois desenvolve o comprometimento, considera diferentes perspectivas e incorpora experiências variadas;
Para situações não tão claramente definidas, tais como a identificação de riscos estratégicos, podem ser usados processos com uma estrutura mais genérica como what-if e análise de cenários; e,
Quando os recursos disponíveis para a identificação e análise de riscos forem limitados, sua estrutura e abordagem podem necessitar adaptações para que sejam alcançados resultados satisfatórios, considerando as restrições orçamentárias. Como por exemplo, indisponibilidade de tempo para a identificação de riscos, pode-se restringir o escopo do mapeamento dos riscos aos riscos mais relevantes.

Certificação e Teste de Controles

O objetivo do teste de controle é proporcionar razoável segurança de que os procedimentos de controle interno estão sendo executados na forma determinada pela organização.

As técnicas mais apropriadas para a avaliação dos controles internos são:

Observação pessoal;
Entrevistas e questionários; e
Fluxograma ou mapas de processos.

A técnica de mapeamento de processo fornece uma representação gráfica das operações em análise, evidenciando a sequência de atividades, os atores envolvidos, os prazos fixados e o fluxo de documentos.

O diagrama do mapa de processo pode ter diversos graus de detalhamento, segundo o propósito para o qual ele é elaborado. As principais informações que ele deve fornecer são:

Descrição das atividades;
Pontos de tomada de decisão;
Movimentos de informação e de documentos;
Pontos de controle;
Prazos; e;
Documentos e relações entre as diversas etapas do processo.

Definição de atributos e taxonomia para a base de dados de perdas operacionais

Há diversas formas de se organizar a taxonomia para o risco operacional. Classificar os riscos por evento assegura a inclusão de todos os riscos, mesmo quando sua causa é desconhecida ou sua consequência não é visível.

A fonte primária da base de perdas é contábil e o valor financeiro do evento de perda é variável mais relevante.

Para a correta contabilização do valor de um evento de perda, diversas informações devem ser consideradas, tais como: valor total da perda, custo total incidente na perda e valor total recuperado.

As informações podem se manifestar na contabilidade de várias formas e em vários momentos, tais como: multa, lançamento irrecuperável, lucro cessante, processo judicial, pagamento da compensação, dano ao patrimônio, perda financeira direta, não recuperação de crédito, etc.

As manifestações podem ter contabilizações específicas, tais como: compra de ativo, aumento de provisão, estimativa de lucro cessante, baixa de ativo, crédito em conta transitória, despesa, estimativa de despesa, etc.

Definição e desenvolvimento de dashboard Indicadores-chave de Risco (ICRs)

Indicadores-chave de risco (ICR) são instrumentos de controle que sinalizam desvios no comportamento esperado dos processos operacionais, com especial atenção àqueles processos que possam expor a instituição a maiores riscos e, em consequência, gerar maiores perdas.

A identificação, o monitoramento e o controle de indicadores-chave de risco possibilitam uma melhor compreensão dos pontos vulneráveis (riscos) que afetam os resultados dos processos, contribuindo na prevenção e na detecção de eventos indesejáveis que possam conduzir a perdas operacionais inesperadas.

Gráfico Definição e desenvolvimento de dashboard Indicadores-chave de Risco (ICRs)

Capacitação em ferramentas de gestão de riscos corporativo

A capacitação em ferramentas de gestão de riscos é orientada a partir dos critérios da seleção das técnicas em função dos seguintes aspectos:

Objetivo da análise;
Requisitos para tomada de decisão;
Tipo e variedade dos riscos;
Grandeza potencial das consequências;
Grau de capacitação especializada;
Disponibilidade de dados e informações;
Exigência de mudança do processo de avaliação de riscos; e;
Quaisquer requisitos regulatórios e contratuais.