3 minute read
1.4 Processo de Gestão do Risco
Riscos mais críticos nos diferentes Processos. Nesta avaliação é usada a mesma escala (0 a 3) e o conceito de Risco Inerente. O resultado obtido é visualizado numa Matriz de Riscos e Processos, podendo ser utilizada a técnica do “semáforo”, em que o verde significa um resultado entre 0 e 1, amarelo entre 1 e 2 e vermelho entre 3 e 4. A 5ª etapa baseada na Matriz permite aos gestores a visualização das prioridades em matéria das decisões a tomar quanto a estratégias de gestão de risco a adotar e sistema de informação (métricas e indicadores – KRI) para monitorização que necessitam para a condução do negócio, definindo o nível de risco residual que estão dispostos a aceitar (risk appetite). Para os Auditores Internos, a Matriz é a base na definição das missões de auditoria mais relevantes a incluir no Plano da Atividade. As missões a desenvolver pelos Auditores Internos terão como objetivo avaliar se a exposição aos Riscos está ou não dentro dos limites de tolerância estabelecidos pela Administração (risco residual).
O processo de gestão de risco pode ser apresentado como uma lista de atividades coordenadas. Além disso, como referimos anteriormente, a gestão de riscos deve ser encarada como um processo contínuo e sujeito a avaliação e revisão. Existem descrições alternativas do processo, mas vários componentes geralmente estão presentes. Vejamos um exemplo real em Portugal.
Advertisement
Figura 0. Modelo de gestão do risco da EDP – Energias de Portugal O modelo de governo de risco do Grupo EDP define três linhas de defesa internas, sendo que cada uma define a sua própria Missão, Áreas Envolvidas e Racional. É ainda de salientar a existência de processos de auditoria e de regulação externos, representando assim mais uma linha de defesa para a empresa.
Missão
Áreas Envolvidas
Racional
1ª linha: Negócio (responsabilidade pelo risco)
2ª linha: Risco (suporte na análise e monitorização do risco)
3ª linha: Auditoria (supervisão independente)
Condução diária do negócio, incluindo a gestão proativa dos riscos Suporte na identificação, análise, avaliação e monitorização do risco Realização e coordenação de auditorias tendo em vista a melhoria dos processos de gestão do risco
Unidades de Negócio Direções do Centro Corporativo Gestão do Risco Planeamento e Controlo Compliance Sustentabilidade Auditoria Interna
Quem mais beneficia com a tomada de riscos é quem deve ser responsabilizado pela assunção dos mesmos Dado o incentivo à tomada de risco do negócio, é vantajoso existir uma função independente especializada na gestão do risco É vantajoso existir uma entidade independente responsável pela verificação e avaliação dos processos de gestão do risco
No organograma do modelo de governo do risco, as funções reportam hierarquicamente ao conselho de administração executivo, sendo este o principal responsável pelas decisões e pelo controlo do risco. Recebe apoio às suas decisões, proveniente do comité de risco. A Direção de Gestão do Risco é dirigida pelo Chief Risk Officer e as suas funções procuram medir os riscos e encontrar resposta ou forma de mitigação dos mesmos. As Unidades de Negócio englobam vários Risk-Officers que são os primeiros responsáveis pela gestão do risco da empresa, sendo considerados estruturas locais de gestão do risco.
Figura 1. Modelo de gestão do risco da EDP – Energias de Portugal
Figura 1.6. Organograma do modelo de governo de risco
Fonte: relatório e contas da EDP 2020
A EDP formaliza o processo de Identificação, Avaliação, Acompanhamento, Controlo e Gestão dos riscos da empresa, estabelecendo cinco fases principais (identificação, análise, avaliação, tratamento e monitorização), complementadas por uma fase prévia de estabelecimento do contexto, e por níveis adequados de comunicação entre os vários stakeholders. O ciclo de processos está formulado numa ótica de acompanhamento contínuo.
Modelo de gestão do risco da EDP – Energias de Portugal
Figura 1.7. Ciclo de processos de gestão do risco
Fonte: relatório e contas da EDP 2020
Podemos, assim, destacar alguns dos passos que envolve:
1. Identificação dos riscos, o que permite apontar as várias fontes potenciais de risco, a sua sistematização, e quais dos riscos que a empresa pode correr vão ser alvo de estudo. Portanto, é o processo de reconhecimento dos riscos que podem afetar a empresa e a documentação das suas características. 2. Medição dos riscos. A quantificação de cada risco individual e também do seu conjunto, remete para a utilização de técnicas apropriadas de medida do risco. 3. Definição da atitude perante o risco, tratamento e implementação. Determina as estratégias e ações apropriadas para responder à ocorrência dos riscos. Pressupõe formas e instrumentos para tratar os riscos identificados. E trata de implementar as ações. Nesta fase sabe-se quais os riscos que se está disposto a correr e qual o tratamento a dar a cada fonte de risco.
