Um modelo global e integrado de gestão do risco O Caso do ......Direcção de Gestão de Risco 5 A...
Transcript of Um modelo global e integrado de gestão do risco O Caso do ......Direcção de Gestão de Risco 5 A...
Um modelo global e integrado de gestão do risco O Caso do Grupo EDP Programa Anual de Desenvolvimento para Administradores não Executivos
Pedro Neves Ferreira (Chief Risk Officer do Grupo EDP)
Lisboa, 7 de Outubro de 2015
Direcção de Gestão de Risco 2
Agenda
Principais conceitos de risco no contexto empresarial
Elementos chave do modelo integrado de gestão do risco
Reflexão sobre o modelo de governo do risco
Direcção de Gestão de Risco 3
Agenda
Principais conceitos de risco no contexto empresarial
Elementos chave do modelo integrado de gestão do risco
Reflexão sobre o modelo de governo do risco
Direcção de Gestão de Risco 4
Risco…
…é “a possibilidade de ocorrer um evento e afetar de forma adversa a realização dos objetivos” Enterprise Risk Management Framework – COSO (www.coso.org)
…é o “efeito da incerteza na consecução dos objetivos” NP ISO31000
…“é frequentemente expresso como a combinação das consequências de um dado evento (incluindo alteração das circunstâncias) e a respetiva probabilidade de ocorrência” ISO/IEC Guide 73 – Risk Management – Vocabulary - Guidelines
…corresponde à “probabilidade de que um investimento (ou iniciativa empresarial) tenha um retorno diferente do esperado” Investopedia, http//www.investopedia.com
O conceito de risco tem várias definições distintas, dependendo da fonte específica que se esteja a considerar
Direcção de Gestão de Risco 5
A gestão do risco empresarial deve considerar não apenas o risco, mas também o retorno associado, maximizando este binómio
Em condições típicas a uma maior volatilidade dos resultados (risco) corresponde um maior retorno
− Risco A > Risco B
− Retorno A > Retorno B
-50 0 50
0.00
0.02
0.04
0.06
0.08
0.10
n
dnor
m(n
, x.m
edia
, x.v
ar)
Risco B
Risco A
Retorno B Retorno A
Custo de oportunidade associado à mitigação
Retorno
Distribuição de retorno de portfolio - conceptual
Direcção de Gestão de Risco 6
Um mapa de riscos é constituído por um conjunto estruturado de eventos com origem em causas e com uma série de impactos
Causa Impacto
Evento
Conjunto das possíveis perdas que se verificariam em caso de se materializar o evento
Situação, que no caso de materialização, origina um conjunto de possíveis perdas. Relaciona causas com impactos
Origem de algo que, com uma determinada probabilidade de ocorrência, desencadeia o evento de risco
Exemplos Desastre natural Paralisação de uma central devido ao desastre natural
Reparação de danos, perda de lucros, danos no meio ambiente devido à paralisação da central
Principais componentes de risco
Direcção de Gestão de Risco
Estratégico
Grave crise macro (saída Euro)
Crise social e política (expropriação de ativos)
Disrupção tecnológica
Alterações climáticas
Alteração do paradigma competitivo Processos comerciais
Fornecedores e outsourcing
Faturação, custeio e pagamentos
Modelo de execução de processos
Disponibilidade
Segurança e integridade
Ativos em desenvolvimento
Perdas técnicas/ não técnicas
Conduta não ética e fraude
Saúde e segurança
Relações laborais e sindicatos
Taxa de câmbio
Taxa de juro
Inflação
Valor de ativos financeiros
Tesouraria
Acesso a/ custo de capital
Clientes
Contrapartes
Administrativo
M&A
Relação com stakeholders
Governance
Controlo de gestão e execução orçamental
Preço da pool e commodities
Consumo energético
Fundo de pensões
Outras responsabilidades (e.g., médicas)
Volumes de renováveis
Planeamento corporativo
Margem das vendas
Civil
Fiscal
Outros
Laboral
Downgrade de rating
Danos a ativos em operação
Financeiro Operacional Negócio
1.2 Estratégia (Interno) Pacotes sectoriais
Modelo regulatório
Impostos sectoriais e taxas
Concessões
Normas contabilísticas
Normas ambientais
2.2 Regulação
3.4 Outras responsabil.
3.3 Liquidez
3.2 Crédito
4.3 RH
4.5 Legal 4.2 Processos
1.1 Ambiente (Externo) 3.1 Mercado financeiro 2.1 Mercados energéticos 4.4 SI (sistemas infor.) 4.1 Ativos físicos
Outros
7
Seguindo esta abordagem é possível obter uma taxonomia exaustiva e estruturada (evitando sobreposição das várias categorias de risco)
Ilustração: Taxonomia de risco do Grupo EDP
Direcção de Gestão de Risco 8
Agenda
Principais conceitos de risco no contexto empresarial
Elementos chave do modelo integrado de gestão do risco
Reflexão sobre o modelo de governo do risco
Direcção de Gestão de Risco 9
Identificação Estratégia
Controlo Gestão
Definição do apetite ao risco
Definição/ actualização de políticas de gestão do risco e planos de acção (tendo em conta o apetite)
Actualização do inventário de riscos
Quantificação do risco (impacto e probabilidade)
Prioritização de riscos
Gestão diária das posições em risco (no âmbito das políticas)
Robustecimento de cultura de gestão do risco
Monitorização e reporte das posições em risco
Acompanhamento da implementação das políticas e planos de acção
Um modelo integrado de gestão de risco deve englobar as fases de identificação, estratégia, gestão e controlo
1 2
4 3
Direcção de Gestão de Risco 10
Unknown unknowns
Known unknowns
Known and avoidable
1
2
3 Riscos operacionais e de compliance
Devem-se eliminar estes riscos ou mitigá-los ao máximo
Não sejam passíveis de criar valor para a organização
Erros operacionais
Podem expor a organização a perda significativa
Riscos estratégicos/ negócio/ financeiros
A empresa deve gerir (não eliminar totalmente) estes riscos
A capacidade de gerir estes riscos melhor que o mercado, que cria valor nas empresas
Riscos com grau de incerteza conhecido
Têm geralmente downside e upside
Riscos empresariais (eventos “black swan1”)
Difíceis de mitigar individualmente
Deve-se dotar a empresa de capacidade e flexibilidade para suportar eventos imprevistos de grande magnitude
Riscos desconhecidos e imprevisíveis
Traduzem-se em ameaças muito significativas
Definição Tratamento do Risco
Existem 3 tipos de risco, devendo a gestão estratégica do risco centrar-se nos chamados known unknows e unknown unknowns
1 Eventos “black swan” são eventos com probabilidade muito baixa e com consequências extremamente adversas
Identificação 1
Direcção de Gestão de Risco 11
As várias exposições devem ser avaliadas através da quantificação e agregação (correlacionada) dos principais riscos
Identificação 1
Avaliação de resultados
Análise de valores globais
de exposição (p.ex., CF@R, EBITDA@R)
Exposição global inferior à soma das exposições individuais (por efeito de diversificação)
Agregação de riscos
Combinação de riscos para
obter simulações agregadas a vários níveis (p.ex., através do método de Montecarlo)
Avaliação de riscos individuais
Determinação das
distribuições individuais de risco (e respectivas correlações entre si), combinando análise de histórico e intuição de especialistas (internos e externos)
Direcção de Gestão de Risco 12
Perda Esperada
Baixa Média Alta
Alta
Média
Baixa
Perda Máxima A matriz de perda esperada/ perda máxima
permite comparar e prioritizar vários riscos
− PE – valor de perda anual média
− PM – valor máximo de perda em cenário adverso (para determinado nível de confiança, tip. 95%, ou 99,9% para eventos catastróficos)
A análise desta matriz permite identificar as várias categorias de riscos de forma intuitiva
− Riscos críticos (diagonal superior)
− Riscos com perda média reduzida mas com fat-tails (i.e., que podem no limite ter uma materialização relevante)1
− Riscos com perda expectável elevada mas relativamente reduzida volatilidade2
Risco 1
Risco 2
Risco 3
Uma forma intuitiva de representar mapas de riscos é através de matrizes de perda esperada (PE) e máxima (PM)
Identificação 1
Representação gráfica matricial do mapa de riscos
1 P.ex., riscos catastróficos, financeiros 2 P.ex., riscos de crédito B2C, riscos operacionais
Direcção de Gestão de Risco 13
Mitigar
Evitar
Reduzir
Transferir
Reter
Aumentar
Estratégia 2
Uma vez determinada a exposição, deve ser avaliado de forma estruturada um conjunto de alternativas para a sua gestão
Alternativas de planos de acção para gestão do risco
Eliminar a possibilidade de materialização do risco
Diminuir o impacto e/ou frequência do risco
Repassar o impacto do risco para terceiros
Manter de forma deliberada e consciente o risco na organização
Aumentar de forma deliberada a exposição ao risco na organização
Concentração em linha de negócio Subscrição de posições especulativas
Auto seguros (e.g., cativas)
Cobertura de posições (hedging) Joint ventures/ project finance Seguros
Medidas físicas (p.ex., extinção de incêndio) Planeamento: p.ex., planos de manutenção Responsabilização/ incentivo à cooperação
Desinvestimento em linha de negócio
Descrição Exemplos
Direcção de Gestão de Risco 14
O plano de acção deve incorporar o risco que a Administração está disposta a assumir (i.e. o seu apetite ao risco)
Estratégia 2
Capacidade de (suportar) risco
Tolerância ao risco
Apetite ao risco
Níveis máximos de risco que uma empresa consegue suportar - transgressão de traduz-se em stress financeiro e pode ameaçar viabilidade a prazo
Conceitos fundamentais
Nível máximo de exposição que uma empresa está preparada para assumir relativamente ao seu apetite (violação implica implementação de plano correctivo)
Exposição total que uma empresa assume de forma consciente (com base no seu entendimento de onde está o trade-off risco-retorno óptimo)
Ret
urn
Risk Risk appetite
Risk tolerance
Risk capacity
Stress
Direcção de Gestão de Risco
Cultura na qual não se crê que a organização esteja imune ao risco
Cultura na qual a organização reage agilmente a mudanças externas e/ ou aceita a inovação ou impacto da mudança
Cultura que incute a responsabilidade de reacção a situações ou de preocupação com o resultado de decisões
Cultura na qual grupos não tomam riscos que os beneficiem em detrimento da organização ou estejam desalinhados com o apetite da organização
Cultura na qual os apetites ao risco pessoais estão alinhados com o da organização
Cultura na qual os indivíduos se desafiam mutuamente
Cultura na qual a gestão e colaboradores são encorajados a aprender com o erro
Cultura na qual a liderança tem comunicado um apetite ao risco claro
Cultura na qual a organização entende os riscos que enfrenta
Cultura na qual sinais de alerta internos e externos são partilhados
Conhe-cimento
Capacidade de resposta
Respeito
Rapidez de resposta
Zelo
Alinhamento com a regras
Coope- ração
Desafio
Abertura
Pru- dência
Trans-parência
Comu- nicação
Clareza/ coerência
Nível de percepção
Definição: Normas
comportamentais que determinam a
abertura a e capacidade de perceber e agir
sobre o risco
Fonte: McKinsey Risk Management Practice
Elementos essenciais para uma cultura do risco madura
15
Gestão 3
A gestão das exposições deve ser potenciada por uma cultura de risco sólida
Direcção de Gestão de Risco 16
Indicador de Risco (nível de reserva de combustível) Fornece um sinal precoce do aumento da exposição
ao risco Identifica riscos emergentes e oportunidades
Indicador de Performance (consumo de combustível) Fornece visão de alto nível da performance da
organização Analisa a performance histórica
Métricas de avaliação
KRI
KPI
Decisão
Avaliação do risco
Avaliação da performance
Controlo 4
Devem ser estabelecidos KRIs que complementem os KPIs existentes e permitam avaliar a evolução dos principais riscos
Profit@Risk
Evolução da dívida de clientes Dívida vencida/ vendas 12 meses
Limite
0,0%
1,0%
2,0%
3,0%
4,0%
5,0%
mar-12 ago-12 jan-13 jun-13 nov-13 abr-14
Empresa 1 Empresa 2
Exemplos Grupo EDP
Direcção de Gestão de Risco 17
Estável Volátil Standard
Volatilidade do risco
Ris
cos-
chav
e
Gra
u d
e m
ate
rial
idad
e d
o r
isco
Ou
tro
s ri
sco
s
Visão agregada e quantificada de PE/PM
Mapa de riscos (anual)
Dashboard Trimestral
Condições macro-económicas
Fundo de pensões
Custo de capital
Risco de crédito
Investimentos operacionais
Exposição ao mercado
P@R, V@R e EBITDA@R
Exposição a contrapartes
Riscos financeiros
Relatório semanal
Controlo 4
Os KRIs e restante informação relevante devem ser compilados em relatórios a partilhar periodicamente
Síntese de relatórios de risco elaborados no Grupo EDP
Direcção de Gestão de Risco 18
Principais questões para avaliar a maturidade do modelo integrado de gestão de riscos (não exaustivo)
Identificação
Controlo
Estratégia
Gestão
1
3
2
4
A gestão tem uma visão articulada e concertada sobre a definição de risco e principais riscos?
Existe uma taxonomia única, abrangente e consistente de todos os riscos?
Quão fundamentados são os racionais de prioritização (e são tidas em conta interligações)?
Este mapeamento é actualizado com uma frequência adequada (e com envolvimento senior)?
São devidamente aprofundados os riscos mais relevantes e/ou emergentes?
Existe um entendimento claro e consensual sobre riscos (in)aceitáveis, i.e., o apetite ao risco?
Este apetite ao risco é expresso de forma explícita, inequívoca, accionável e é divulgado?
O apetite ao risco está devidamente integrado com e impacta a tomada de decisão estratégica?
Existem e a que nível foram aprovadas as políticas de gestão de risco para as principais exposições?
Para além das anteriores, que planos de actuação estão estabelecidos para exposições mitigáveis?
Qual o grau de maturidade da cultura de gestão do risco na organização (em particular no incentivo à identificação, partilha, actuação proactiva e avaliação post-mortem de incidentes)?
Existem programas formais para promoção dessa cultura (formações presenciais, online interactivas, literatura adicional)?
Até que ponto são rigorosamente observadas todas as políticas de gestão do risco em vigor?
Que processos formais existem para monitorização de riscos pela gestão de topo? Que tipo de materiais (p.ex., análises, relatórios, dashboards) suportam esses processos? Esse relatórios são consistentes com os conhecimentos adquiridos pelo mapeamento de riscos
(i.e.., são escolhidos KRIs pertinentes e que acompanhem os riscos mais materiais/ voláteis)? Existe um acompanhamento regular do estado de avanço dos planos de acção identificados?
Direcção de Gestão de Risco 19
Agenda
Principais conceitos de risco no contexto empresarial
Elementos chave do modelo integrado de gestão do risco
Reflexão sobre o modelo de governo do risco
Direcção de Gestão de Risco 20
Modelo das três linhas de defesa - conceptual
Primeira linha: UNs
(responsáveis pelo risco) Segunda linha: Gestão do
Risco e Compliance Terceira linha: Auditoria
Gestão diária da posição em risco (dentro do âmbito das políticas externas e limites internos)
Proposta/ contribuição para a definição de políticas de gestão do risco
Avaliação da posição em risco
Apoio a decisões essenciais relacionadas com risco
Co-propôr políticas para a optimização do trade-off risco-retorno
Auditar se existem os processos adequados e se estão correctamente implementados
Análise/ validação de excepções às políticas de gestão do risco
Interagir com contrapartes de acordo com a política definida
Definir política de gestão do risco de contraparte e controlar exposição a este risco
Validar o processo de gestão de risco de contraparte
Ris
cos
Exemplo
Um modelo adequado de governo do risco deverá incorporar 3 linhas de defesa
Direcção de Gestão de Risco
Ao nível da gestão de risco e do respectivo relacionamento com as Unidades de Negócio existem 4 arquétipos fundamentais
Inexistente: áreas independentes
Agregação de informação
Controlo sobre áreas
Gestão central do risco
e
Negócio é responsável por risco
Não existe função central de gestão do Risco (ou apenas existe pequena equipa de suporte ao processo)
Negócio é responsável por risco
Pequena equipa central agrega/ partilha informação de risco
Negócio é responsável por risco
Equipa central reforçada suporta decisões estratégicas e co propõe políticas de gestão de risco
CRO reporta à Administração
Equipa central reforçada é responsável por e gere riscos centralmente
CRO reporta à Administração
Riscos relevantes (sobretudo) a nível local Riscos simples/ estáveis/ diversificados Riscos específicos e dispersos (reduzidas
sinergias de perspectiva integrada) Cultura local de gestão de risco madura
Riscos relevantes ao nível do Grupo Riscos complexos/ correlacionados/ voláteis Riscos transversais (sinergias relevantes de
perspectiva integrada) Cultura de gestão do risco insipiente
Evolução típica de instituições não financeiras Instituições financeiras
Descrição
Applica-bilidade
21
Alternativas para o papel da função central de gestão do Risco
Direcção de Gestão de Risco
Agenda estratégica 2012
Crescimento orientado
Risco controlado
Eficiência superior
3
2
1
Agenda estratégica 2014
Preservar perfil de negócio de baixo risco
Continuar a crescer
Manter desalavancagem financeira
Melhorar eficiência
Proporcionar retornos atrativos
3
2
1
5
4
22
O Grupo EDP tem consistentemente adoptado a manutenção do perfil de baixo risco como um dos seus pilares estratégicos
Direcção de Gestão de Risco
Funções corporativas
No Grupo EDP existe uma estrutura de risk-officers com duplo reporte que acompanham o risco em cada Unidade de Negócio
23
Estrutura organizativa Grupo EDP (simplificado)
EDPP EDPD EDPC EDPSC
Comité de Risco
HC UNGE EDPBR EDPR
Conselho de Administração
Executivo
CA CA
RO
EDP Valor
EDP Gas
Hierárquico
Funcional
Responsável máximo pela decisão, supervisão e controlo da gestão do risco;
Reporte
Apoio ao Governo da Sociedade
Finanças
Recursos
Comunicação e Marketing
Estratégia
Gestão do Risco
…
CA
RO
CA
RO
CA
RO
CA
RO
CA
RO
CA
RO
CA
RO
CA
RO RO
Risk-officers são responsáveis em cada UN pelo acompanhamento do risco e interlocução com Centro Corporativo
Duplo reporte às hierarquias locais e Gestão de Risco
Unidades de Negócio (UNs)
Comité de Risco suporta decisões do CAE na identificação, avaliação, gestão e controlo do risco
CAs das UNs estabelecem a tolerância ao risco (em coerência com o Grupo)
Direcção de Gestão de Risco 24
Conselho de Administração Executivo Definição de objectivos globais e perfil de risco-retorno Aprovação de políticas de gestão do risco e iniciativas-chave
Gestão do Risco1 Avaliação da posição em risco Optimização do trade-off
risco-retorno
Conselho Geral de Supervisão Monitorização de processo de
gestão de risco e auditoria
Ris
cos
CA (a nível de UN) Deveres equivalentes ao
CAE (a nível de UN)
Responsabilidade pelo risco Visão integrada do risco Perspectiva de controlo do processo
1ª linha: Unidades de Negócio 2ª linha: Gestão do Risco 3ª linha: Auditoria
Comité de Risco Local Deveres equivalentes ao CR (a nível de UN)
Comité de Matérias Financeiras/ Comité de Auditoria Discussão de processos de
risco, controlo interno e auditoria
Comité de Risco Monitorização, análise e
debate de riscos (e políticas de gestão associadas)
Unidades de negócio Gestão da posição em risco Contribuição para a definição
de políticas
Auditoria Validação da implementação
adequada de processos e controlos centrais (e respectivas excepções)
Os Conselhos de Administração, Supervisão e Comités de Risco têm um papel crítico na operacionalização das 3 linhas de defesa
Modelo das três linhas de defesa – detalhe para o Grupo EDP
1 A nível de Grupo e Unidade de Negócio
Direcção de Gestão de Risco 25
Principais questões para avaliar a maturidade do modelo de governo do risco (não exaustivo)
Existe uma definição clara e segregada de responsabilidades entre os intervenientes no processo de assurance (negócio/ suporte, risco, compliance e auditoria)?
Existe na organização uma área de risco corporativa devidamente qualificada e um Chief Risk Officer designado (com reporte directo à administração)?
Existem responsáveis claros formalmente assignados para os principais riscos (risk-owners)?
Até que ponto é que a administração (e órgãos de supervisão) são activamente envolvidos no processo de identificação e actuação sobre os principais riscos?
1
Quais são as áreas de intervenção prioritárias para a função de risco?
Para estas, qual o arquétipo de gestão de risco adoptado actualmente (e qual é o entendimento sobre o arquétipo que deveria existir, caso não seja coincidente)?
Existem fóruns seniores de debate sobre temas de risco (Comités de Risco)?
As principais áreas críticas (p.ex., estratégia, negócio, financeira, planeamento, jurídica) estão devidamente representadas (e com um nível de senioridade adequado)?
Existem nas Unidades de Negócio interlocutores formalmente designados para temas de risco (risk-officers)?
Os vários risk-officers têm reporte funcional à área de risco corporativa (caso exista), ou outros mecanismos de articulação?
2
3
Responsabilidade pelo risco
Órgãos de Gestão do Risco (Comités de Risco, risk-officers)
Arquétipos de gestão de risco