Assine

Avalie os riscos

Autor: Eduardo Camillo Pachikoski, sócio-fundador do PP&C Auditores Independentes

ATUALIZADO

Qualquer programa de gestão de riscos e compliance deve começar com a identificação e a avaliação dos riscos aos quais a empresa está exposta, considerando a micro e macroeconomia, eventos internos e externos e as leis e regulamentos a que a empresa está subordinada. Somente dessa forma é possível a criação de medidas preventivas, detectivas, corretivas e diretivas para o tratamento das ameaças ao alcance dos objetivos da empresa. Em outras palavras, só é possível criar controles para riscos conhecidos.

A identificação e a avaliação de riscos de compliance devem envolver, entre outros:

  • toda a alta administração;

  • pessoas-chave da organização;

  • responsáveis técnicos (diretores, gerentes ou supervisores) de todas as principais áreas da organização;

  • Compliance Officer; e

  • terceiros, tais como advogados, auditores (internos e externos) e contabilistas.

Quanto mais abrangente a visão da empresa nesse momento, melhor será a base de informações para a criação de controles para mitigar os riscos e as consequências de sua eventual materialização. Essa etapa é a base de toda a estrutura do programa de compliance e, portanto, deve receber atenção especial de toda a administração. Se a alta administração da empresa não apadrinhar e passar a dar o exemplo, a implantação do projeto tende a não ser eficaz. Qualquer falha nesse momento pode comprometer a implantação de todo o programa.

Mapeamento dos processos

Uma excelente forma para auxiliar na identificação de riscos é o mapeamento de processos por meio de fluxogramas. A metodologia permite, ainda, analisar detalhes que não são percebidos na rotina diária. A seguir um exemplo de como os processos podem ser desenhados:

Faça o downoad do Fluxograma em PDF.

Depois, deve ser elaborada uma matriz de risco. Basicamente, a matriz de risco apresenta, nos seus eixos, escalas de probabilidade de ocorrência e impacto para dado fator de risco.

A identificação dos fatores de risco é a primeira etapa de um sistema de Gerenciamento de Risco Corporativo. Cada risco deve ser avaliado e classificado em termos de probabilidade e impacto, e posicionado na matriz de risco. A região vermelha engloba os riscos que devem ser tratados prioritariamente.

Faça o downoad do Fluxograma em PDF.

Muitas vezes a avaliação e a alocação dos riscos na matriz geram dúvidas. Contudo, os profissionais da área sabem bem fazer uso da aplicação dessa técnica.

Os riscos mapeados, os controles e os planos de ação mitigatórios identificados podem ser formalizados em sistema específico de avaliação e gestão de riscos, ou matriz de riscos elaborada em arquivo eletrônico. Independentemente do formato, serão necessárias as seguintes principais informações:

  • descritivos dos processos e das atividades;

  • tipo de risco: operacional, imagem, financeiro, entre outros;

  • descrição dos riscos e fatores que podem materializar os riscos;

  • identificação dos controles que mitigam os riscos;

  • descrição dos controles identificados que devem conter detalhes de como o controle funciona, sua periodicidade e quem executa;

  • avaliação do controle com as seguintes principais classificações: sistêmico, manual, preventivo, detectivo, corretivo, diretivo, nível de execução, entre outros; e

  • a periodicidade dos testes de controles, a responsabilidade da execução dos testes e a dimensão da amostra a ser avaliada.

Como tratar os riscos

Uma vez identificados e mensurados os riscos, é preciso definir os tratamentos que cada um deverá receber, incluindo as seguintes alternativas:

  • Evitar o risco: o risco é eliminado; e

  • Aceitar o risco: ao aceitar, as opções são reter, reduzir, transferir/compartilhar ou explorar o risco.

Programa de monitoramento

Uma vez vencidas as fases anteriores, é necessária a criação de mecanismos para abastecer mensalmente a alta administração/diretoria com dados e informações acerca dos principais riscos e oportunidades identificados e o constante monitoramento do ambiente de negócios, visando antecipar eventuais mudanças nos cenários ou novos processos ou negócios que impliquem novos riscos.

O programa de monitoramento é a garantia da eficácia e da integridade de todos os controles implantados, de forma a reduzir a possibilidade de ocorrência de materializações de riscos.

De acordo com cada grau de risco, deve ser estabelecida a frequência em que os controles devem ser monitorados. A matriz de riscos precisa indicar a periodicidade dos testes de controle, a responsabilidade da execução dos testes e a dimensão das amostras a serem avaliadas.

Após a aplicação dos testes, os resultados devem ser avaliados para o aprimoramento ou modificação dos controles. Para as deficiências eventualmente identificadas no monitoramento, os gestores devem desenhar planos de ação efetivos, com prazo de conclusão.

Para que esse processo tenha o êxito e o alcance necessários, é mandatória a existência de um responsável para garantir que todas as áreas estejam cumprindo rigorosamente os períodos de testes e que os planos de ação definidos estejam sendo implantados dentro dos prazos estabelecidos.

O trabalho de aplicação dos testes e monitoramento dos planos de ação deve ser executado pelas áreas e apenas revisado pela auditoria interna ou pelo Compliance Officer, pois a responsabilidade de controlar os riscos é da gerência e de todos os empregados.

Os benefícios adicionais da implantação de um programa de revisão de controles, identificação de riscos e compliance são:

  • aumento da transparência das transações e da gestão;

  • redução de custos;

  • redução das possibilidades da ocorrência de fraudes e erros;

  • identificação e gerenciamento de riscos;

  • aumento de produtividade; e

  • aumento da velocidade e da integração das informações.

Veja a seguir a Nota Prática Fortaleça os controles internos.

Você está lendo 1 de 3 documentos liberados este mês

Cadastre-se gratuitamente

para ter acesso por 7 dias

ou

Por apenas

R$130,00

por mês no cartão de crédito

Cadastre-se gratuitamente e tenha acesso ao Lexis 360

Campo obrigatório.
Campo obrigatório.
Campo obrigatório.
Campo obrigatório.
Campo obrigatório.
Campo obrigatório.
Campo obrigatório.