Riscos no Processo de Gerenciamento de Riscos Corporativos: sua 3ª Linha de Defesa – Auditoria Interna Audita?
Tem Certeza?
Prof. Dr. Antonio Celso Ribeiro Brasiliano, CIEIE, CPSI, CIGR, CRMA, CES, DEA, DSE, MBS
Doutor em Ciência e Engenharia da Informação e Inteligência Estratégica pela Université East Paris
(Marne La Vallée, Paris, França); É presidente da Brasiliano INTERISK.
Em negócios do século XXI, não é raro encontrar diversas equipes de auditores internos, especialistas em gerenciamento de riscos corporativos, executivos de compliance, especialistas em controle interno, inspetores de qualidade, investigadores de fraude e outros profissionais de riscos e controle trabalhando em conjunto para ajudar suas empresas a gerenciar riscos.
Cada uma dessas especialidades tem uma perspectiva única e habilidades específicas de valor inestimável às organizações que atendem; no entanto, já que as atividades relacionadas ao gerenciamento de riscos e controle estão sendo cada vez mais divididas entre diversos departamentos e setores, o trabalho deve ser coordenado com cuidado, para garantir que os processos de riscos e controle sejam conduzidos como intencionado.
Não basta que diferentes atividades de risco e controle existam - o desafio é determinar funções específicas e coordenar com eficácia e eficiência esses grupos, de forma que não haja “lacunas” em controles, nem duplicações desnecessárias na cobertura. Responsabilidades claras devem ser definidas para que cada grupo de profissionais de riscos e controle entenda os limites de suas responsabilidades e como seus cargos se encaixam na estrutura geral de riscos e controle da organização.
Há muito a perder. Sem uma abordagem coesa e coordenada, os recursos limitados de riscos e controle podem não ser aplicados com eficácia e os riscos significantes podem não ser identificados e gerenciados de forma apropriada. Nos piores casos, a comunicação entre os diversos grupos de riscos e controle pode regredir a um debate contínuo para entender de quem é o trabalho de realizar tarefas específicas.
Com o objetivo de coordenar tarefas essenciais de gerenciamento de riscos com uma abordagem sistemática, surgiu na Europa em 2011, através da Federação das Associações dos Gestores de Riscos - FERMA e da Confederação Europeia dos Institutos dos Auditores Internos – ECIIA, o Modelo de Governança, denominado Três Linhas de Defesa, conforme desenho abaixo:
O modelo de Três Linhas de Defesa é uma forma simples e eficaz de melhorar a comunicação do gerenciamento de riscos e controle por meio do esclarecimento dos papéis e responsabilidades essenciais. O modelo apresenta um novo ponto de vista sobre as operações, ajudando a garantir o sucesso contínuo das iniciativas de gerenciamento de riscos e é aplicável a qualquer organização - não importando seu tamanho ou complexidade. Mesmo em empresas em que não haja uma estrutura ou sistema formal de gerenciamento de riscos, o modelo de Três Linhas de Defesa pode melhorar a clareza dos riscos e controles e ajudar a aumentar a eficácia dos sistemas de gerenciamento de riscos.
Este modelo possui como principal vantagem o denominado efeito cebola, onde há uma sobreposição de cobertura contínua entre as áreas, de tal forma que não possa haver hiato ou brechas entre as funções. Como fluxo podemos descrever sumariamente:
A segunda linha de defesa – Gestão de riscos – fornece a política de riscos e o processo de gerenciamento de riscos todas as primeiras linhas. Estas por sua vez devem executar as identificação e mensuração de seus riscos, e, implantar controles visando prevenir ou mitigar riscos. Pois bem, a segunda linha verifica a primeira se o processo de gestão de riscos está sendo realizado dentro dos parâmetros fornecidos. O Compliance verifica as primeiras e segundas linhas de defesa para verificar o cumprimento das regras e normas da instituição. //
A terceira linha de defesa – Auditoria Interna – que deve ter homologado o processo de gerenciamento de riscos e controles internos, visando levar para o Conselho de Administração aprovar, vai até a segunda linha de defesa e audita se o processo de gerenciamento de riscos está sendo eficaz, surtindo efeito desejado. Se a segunda linha de defesa está realizando a integração das informações das primeiras linhas, filtrando-as e repassando para a diretoria e presidência da empresa. Este processo de integrar e filtrar as informações de riscos das primeiras linhas de defesa chama-se Inteligência em Riscos. Ou seja, a segunda linha deve trabalhar muito mais o estratégico do que a nível operacional, conforme figura abaixo:
A segunda linha de defesa deve integrar as informações com o objetivo de identificar quais são os processos críticos, riscos inerentes críticos, fatores de riscos chaves – os fatores que anulem ou reduzam de forma drástica a motricidade dos respectivos fatores de riscos.
A terceira linha de defesa – Auditoria Interna, como é os olhos do Conselho de Administração, irá auditar a segunda linha – o processo de gestão de riscos, com o objetivo se este processo é eficaz, está gerando resultado e se possui riscos inerentes altos. A auditoria, seguindo a diretriz do IPPF Implementation Guide 2120, publicado em janeiro de 2017, deve atingir os seguintes resultados: Padrão 2120 – Gerenciamento de riscos
A atividade de auditoria interna deve avaliar a eficácia e contribuir para a melhoria do processo de gerenciamento de riscos.
Interpretação: Determinar se o processo de gerenciamento de risco é efetivo, e um julgamento resultante da avaliação do auditor interno de que:
• os objetivos organizacionais apoiam e se alinham com a missão da organização;
• são identificados e avaliados riscos significativos;
• são selecionadas respostas de riscos apropriadas, com alinhamento do apetite ao risco;
• as informações dos riscos relevantes são capturadas e comunicadas em tempo hábil em toda a organização, permitindo que o pessoal, a administração e o conselho executem suas responsabilidades.
Além do mais a Auditoria Interna deverá, no seu trabalho, realizar uma análise de riscos no processo de gerenciamento de riscos, visando saber seu grau de vulnerabilidade e/ou exposição.
Riscos e Fatores de Riscos no Processo de Gerenciamento de Riscos da Corporação
Os riscos listados abaixo, são os riscos que qualquer processo de Gestão de Riscos está exposto. Como este arquivo é de cunho teórico, vamos então imaginar que estamos realizando uma auditoria com o objetivo da instituição ter uma visão holística do seu contexto.
Os riscos que compõe o Processo de Gestão de Riscos, geralmente, são divididos em quatro categorias e compostos por inúmeros fatores de risco.
Abaixo listamos as categorias, os riscos com suas definições e os fatores de riscos que compõe cada risco. Ressalto que a especificidade de cada risco vai depender do tipo de negócio que o embarcador está levando.
Cabe ressaltar que é uma visão da auditoria, tendo em vista as evidências e o situacional encontrado no processo de gestão de riscos.
O Processo de Gerenciamento de Riscos Corporativos da Instituição está exposto a quatro categorias de riscos:
• Estratégicos
• Operações
• Relatório
• Conformidade
Os Riscos Estratégicos do Processo de Gerenciamento de Riscos Corporativos são:
1. Risco de valor – Definição: é o risco de que as atividades da função de gestão de riscos não criam valor agregado à gestão e ao conselho. O planejamento da gestão de riscos e os engajamentos da área de riscos não geram o valor agregado requerido para cumprirem a proposição de valor para a instituição. O risco de valor possui como fatores de riscos:
2. Risco de foco: o risco de que as atividades da função da gestão de riscos não se foquem nas atividades da empresa, as quais sejam críticas para que a gestão e para que o conselho alcance os seus objetivos e as suas estratégias. O planejamento da gestão de riscos anual não se foca nos principais riscos da empresa, com relação a conquistar as suas estratégias e objetivos estratégicos. Quando o planejamento anual da gestão de riscos e os seus engajamentos não se focam nos tópicos certos de valor agregado para cumprirem a proposição de valor a empresa. O risco de foco possui como fatores de riscos:
Os Riscos da Operação do Processo de Gerenciamento de Riscos Corporativos:
3. Risco de execução: o risco de que o planejamento da gestão de riscos anual não seja adequadamente desenvolvido e implementado, ou de que os engajamentos não sejam executados de maneira correta para cumprirem a proposição de valor para a Instituição. Os riscos de execução possuem como fatores de riscos, conforme figura ao lado.
4. Riscos de Desempenho: o risco de que os processos da função da gestão de riscos e o uso dos recursos da área de riscos, não sejam efetivos ou eficientes. Ineficiências e ineficácias prejudicarão o cumprimento da proposição de valor para a instituição com relação ao conselho e à gestão. O risco de desempenho possui como fatores de riscos, conforme figura ao lado.
Os Riscos de Relatório do Processo de Gerenciamento de Riscos Corporativos da empresa são:
5. Riscos de relatório: O risco de que o relatório da gestão de riscos não reflita acurada e completamente as atividades da função de gestão de riscos e a conclusão da proposição de valor para a Instituição. A nível de função da gestão de riscos, isso pode se relacionar ao relatório à gestão executiva e ao comitê de auditoria e/ou de riscos; a nível de engajamento da gestão de riscos, isso pode se relacionar aos relatórios da gestão de riscos. O risco de relatório possui como fatores de riscos, conforme figura ao lado.
Os Riscos de Conformidade do Processo de Gerenciamento de Riscos Corporativos são:
6. Riscos de conformidade: O risco de que as atividades da gestão de riscos conduzidas pelo departamento e pelos analistas de riscos/controles internos não concordem com as leis, os regulamentos e as políticas internas e externas. O conselho e a gestão normalmente esperam pela completa conformidade, e a não conformidade prejudicará o cumprimento da proposição de valor para a Instituição. O risco de conformidade possui como fatores de riscos, conforme figura ao lado.
Relevância dos Fatores de Riscos
A Matriz de Relevância ao lado prioriza os fatores de riscos dos riscos que a Instituição deve implantar controles para anular suas ações ou pelo menos mitigar.
A Ferramenta é estratégica, devendo ser inserida no processo de gestão de riscos da empresa, visando o gestor enxergar a priorização em seu plano de ação.
Podemos concluir que dos 25 fatores de riscos, 14 são prioritários, 56%. Estes devem, quando da confecção dos planos de ações, terem prioridade para serem anulados ou mitigados. A grande maioria dos fatores de riscos listados como relevantes nesta análise são os problemas identificados no processo de gestão de riscos, o que corrobora para intensificar a implantação das melhorias sugeridas.
Como conclusão da matriz podemos destacar:
• Como podemos observar na Matriz de Riscos Residual, o nível de risco é alto tendo em vista o grau de imaturidade do processo, causando uma série de retrabalho para a equipe de gestão de riscos;
• Os riscos de Valor e Foco são os mais estratégicos, pois colocam em exposição a concretização dos objetivos estratégicos da Instituição, pois não agregam Valor e não focam seus processos críticos – processos da cadeia de valor. Ou seja, a instituição não possui a cultura de realizar a Gestão Baseada em Riscos – GBR, onde qualquer tomada de decisão é observada os riscos e sua criticidade.
• Os riscos de desempenho e execução dizem respeito a ineficácia e ineficiência operacional da função de gestão de riscos.
• Os riscos de relatório da gestão de riscos dizem respeito a não refletir de forma acurada e completamente as atividades da área.
• Os riscos de conformidade dizem respeito ao não cumprimento de leis, regras e políticas.
Com base no exposto acima podemos chegar, sem medo de errar que este processo de Gestão de Risco pode ser considerado como imaturo, devendo o Gestor de Risco, providenciar outro, em um prazo de 20 dias.