Um modelo global e integrado de gestão do risco O Caso do ......Direcção de Gestão de Risco 5 A...

Um modelo global e integrado de gestão do risco O Caso do Grupo EDP Programa Anual de Desenvolvimento para Administradores não Executivos

Pedro Neves Ferreira (Chief Risk Officer do Grupo EDP)

[email protected]

Lisboa, 7 de Outubro de 2015

Direcção de Gestão de Risco 2

Agenda

Principais conceitos de risco no contexto empresarial

Elementos chave do modelo integrado de gestão do risco

Reflexão sobre o modelo de governo do risco


Agenda





Risco…

…é “a possibilidade de ocorrer um evento e afetar de forma adversa a realização dos objetivos” Enterprise Risk Management Framework – COSO (www.coso.org)

…é o “efeito da incerteza na consecução dos objetivos” NP ISO31000

…“é frequentemente expresso como a combinação das consequências de um dado evento (incluindo alteração das circunstâncias) e a respetiva probabilidade de ocorrência” ISO/IEC Guide 73 – Risk Management – Vocabulary - Guidelines

…corresponde à “probabilidade de que um investimento (ou iniciativa empresarial) tenha um retorno diferente do esperado” Investopedia, http//www.investopedia.com

O conceito de risco tem várias definições distintas, dependendo da fonte específica que se esteja a considerar


A gestão do risco empresarial deve considerar não apenas o risco, mas também o retorno associado, maximizando este binómio

Em condições típicas a uma maior volatilidade dos resultados (risco) corresponde um maior retorno

− Risco A > Risco B

− Retorno A > Retorno B

-50 0 50

0.00

0.02

0.04

0.06

0.08

0.10

n

dnor

m(n

, x.m

edia

, x.v

ar)

Risco B

Risco A

Retorno B Retorno A

Custo de oportunidade associado à mitigação

Retorno

Distribuição de retorno de portfolio - conceptual


Um mapa de riscos é constituído por um conjunto estruturado de eventos com origem em causas e com uma série de impactos

Causa Impacto

Evento

Conjunto das possíveis perdas que se verificariam em caso de se materializar o evento

Situação, que no caso de materialização, origina um conjunto de possíveis perdas. Relaciona causas com impactos

Origem de algo que, com uma determinada probabilidade de ocorrência, desencadeia o evento de risco

Exemplos Desastre natural Paralisação de uma central devido ao desastre natural

Reparação de danos, perda de lucros, danos no meio ambiente devido à paralisação da central

Principais componentes de risco

Direcção de Gestão de Risco

Estratégico

Grave crise macro (saída Euro)

Crise social e política (expropriação de ativos)

Disrupção tecnológica

Alterações climáticas

Alteração do paradigma competitivo Processos comerciais

Fornecedores e outsourcing

Faturação, custeio e pagamentos

Modelo de execução de processos

Disponibilidade

Segurança e integridade

Ativos em desenvolvimento

Perdas técnicas/ não técnicas

Conduta não ética e fraude

Saúde e segurança

Relações laborais e sindicatos

Taxa de câmbio

Taxa de juro

Inflação

Valor de ativos financeiros

Tesouraria

Acesso a/ custo de capital

Clientes

Contrapartes

Administrativo

M&A

Relação com stakeholders

Governance

Controlo de gestão e execução orçamental

Preço da pool e commodities

Consumo energético

Fundo de pensões

Outras responsabilidades (e.g., médicas)

Volumes de renováveis

Planeamento corporativo

Margem das vendas

Civil

Fiscal

Outros

Laboral

Downgrade de rating

Danos a ativos em operação

Financeiro Operacional Negócio

1.2 Estratégia (Interno) Pacotes sectoriais

Modelo regulatório

Impostos sectoriais e taxas

Concessões

Normas contabilísticas

Normas ambientais

2.2 Regulação

3.4 Outras responsabil.

3.3 Liquidez

3.2 Crédito

4.3 RH

4.5 Legal 4.2 Processos

1.1 Ambiente (Externo) 3.1 Mercado financeiro 2.1 Mercados energéticos 4.4 SI (sistemas infor.) 4.1 Ativos físicos

Outros

7

Seguindo esta abordagem é possível obter uma taxonomia exaustiva e estruturada (evitando sobreposição das várias categorias de risco)

Ilustração: Taxonomia de risco do Grupo EDP


Agenda





Identificação Estratégia

Controlo Gestão

Definição do apetite ao risco

Definição/ actualização de políticas de gestão do risco e planos de acção (tendo em conta o apetite)

Actualização do inventário de riscos

Quantificação do risco (impacto e probabilidade)

Prioritização de riscos

Gestão diária das posições em risco (no âmbito das políticas)

Robustecimento de cultura de gestão do risco

Monitorização e reporte das posições em risco

Acompanhamento da implementação das políticas e planos de acção

Um modelo integrado de gestão de risco deve englobar as fases de identificação, estratégia, gestão e controlo

1 2

4 3


Unknown unknowns

Known unknowns

Known and avoidable

1

2

3 Riscos operacionais e de compliance

Devem-se eliminar estes riscos ou mitigá-los ao máximo

Não sejam passíveis de criar valor para a organização

Erros operacionais

Podem expor a organização a perda significativa

Riscos estratégicos/ negócio/ financeiros

A empresa deve gerir (não eliminar totalmente) estes riscos

A capacidade de gerir estes riscos melhor que o mercado, que cria valor nas empresas

Riscos com grau de incerteza conhecido

Têm geralmente downside e upside

Riscos empresariais (eventos “black swan1”)

Difíceis de mitigar individualmente

Deve-se dotar a empresa de capacidade e flexibilidade para suportar eventos imprevistos de grande magnitude

Riscos desconhecidos e imprevisíveis

Traduzem-se em ameaças muito significativas

Definição Tratamento do Risco

Existem 3 tipos de risco, devendo a gestão estratégica do risco centrar-se nos chamados known unknows e unknown unknowns

1 Eventos “black swan” são eventos com probabilidade muito baixa e com consequências extremamente adversas

Identificação 1


As várias exposições devem ser avaliadas através da quantificação e agregação (correlacionada) dos principais riscos

Identificação 1

Avaliação de resultados

Análise de valores globais

de exposição (p.ex., CF@R, EBITDA@R)

Exposição global inferior à soma das exposições individuais (por efeito de diversificação)

Agregação de riscos

Combinação de riscos para

obter simulações agregadas a vários níveis (p.ex., através do método de Montecarlo)

Avaliação de riscos individuais

Determinação das

distribuições individuais de risco (e respectivas correlações entre si), combinando análise de histórico e intuição de especialistas (internos e externos)


Perda Esperada

Baixa Média Alta

Alta

Média

Baixa

Perda Máxima A matriz de perda esperada/ perda máxima

permite comparar e prioritizar vários riscos

− PE – valor de perda anual média

− PM – valor máximo de perda em cenário adverso (para determinado nível de confiança, tip. 95%, ou 99,9% para eventos catastróficos)

A análise desta matriz permite identificar as várias categorias de riscos de forma intuitiva

− Riscos críticos (diagonal superior)

− Riscos com perda média reduzida mas com fat-tails (i.e., que podem no limite ter uma materialização relevante)1

− Riscos com perda expectável elevada mas relativamente reduzida volatilidade2

Risco 1

Risco 2

Risco 3

Uma forma intuitiva de representar mapas de riscos é através de matrizes de perda esperada (PE) e máxima (PM)

Identificação 1

Representação gráfica matricial do mapa de riscos

1 P.ex., riscos catastróficos, financeiros 2 P.ex., riscos de crédito B2C, riscos operacionais


Mitigar

Evitar

Reduzir

Transferir

Reter

Aumentar

Estratégia 2

Uma vez determinada a exposição, deve ser avaliado de forma estruturada um conjunto de alternativas para a sua gestão

Alternativas de planos de acção para gestão do risco

Eliminar a possibilidade de materialização do risco

Diminuir o impacto e/ou frequência do risco

Repassar o impacto do risco para terceiros

Manter de forma deliberada e consciente o risco na organização

Aumentar de forma deliberada a exposição ao risco na organização

Concentração em linha de negócio Subscrição de posições especulativas

Auto seguros (e.g., cativas)

Cobertura de posições (hedging) Joint ventures/ project finance Seguros

Medidas físicas (p.ex., extinção de incêndio) Planeamento: p.ex., planos de manutenção Responsabilização/ incentivo à cooperação

Desinvestimento em linha de negócio

Descrição Exemplos


O plano de acção deve incorporar o risco que a Administração está disposta a assumir (i.e. o seu apetite ao risco)

Estratégia 2

Capacidade de (suportar) risco

Tolerância ao risco

Apetite ao risco

Níveis máximos de risco que uma empresa consegue suportar - transgressão de traduz-se em stress financeiro e pode ameaçar viabilidade a prazo

Conceitos fundamentais

Nível máximo de exposição que uma empresa está preparada para assumir relativamente ao seu apetite (violação implica implementação de plano correctivo)

Exposição total que uma empresa assume de forma consciente (com base no seu entendimento de onde está o trade-off risco-retorno óptimo)

Ret

urn

Risk Risk appetite

Risk tolerance

Risk capacity

Stress


Cultura na qual não se crê que a organização esteja imune ao risco

Cultura na qual a organização reage agilmente a mudanças externas e/ ou aceita a inovação ou impacto da mudança

Cultura que incute a responsabilidade de reacção a situações ou de preocupação com o resultado de decisões

Cultura na qual grupos não tomam riscos que os beneficiem em detrimento da organização ou estejam desalinhados com o apetite da organização

Cultura na qual os apetites ao risco pessoais estão alinhados com o da organização

Cultura na qual os indivíduos se desafiam mutuamente

Cultura na qual a gestão e colaboradores são encorajados a aprender com o erro

Cultura na qual a liderança tem comunicado um apetite ao risco claro

Cultura na qual a organização entende os riscos que enfrenta

Cultura na qual sinais de alerta internos e externos são partilhados

Conhe-cimento

Capacidade de resposta

Respeito

Rapidez de resposta

Zelo

Alinhamento com a regras

Coope- ração

Desafio

Abertura

Pru- dência

Trans-parência

Comu- nicação

Clareza/ coerência

Nível de percepção

Definição: Normas

comportamentais que determinam a

abertura a e capacidade de perceber e agir

sobre o risco

Fonte: McKinsey Risk Management Practice

Elementos essenciais para uma cultura do risco madura

15

Gestão 3

A gestão das exposições deve ser potenciada por uma cultura de risco sólida


Indicador de Risco (nível de reserva de combustível) Fornece um sinal precoce do aumento da exposição

ao risco Identifica riscos emergentes e oportunidades

Indicador de Performance (consumo de combustível) Fornece visão de alto nível da performance da

organização Analisa a performance histórica

Métricas de avaliação

KRI

KPI

Decisão

Avaliação do risco

Avaliação da performance

Controlo 4

Devem ser estabelecidos KRIs que complementem os KPIs existentes e permitam avaliar a evolução dos principais riscos

Profit@Risk

Evolução da dívida de clientes Dívida vencida/ vendas 12 meses

Limite

0,0%

1,0%

2,0%

3,0%

4,0%

5,0%

mar-12 ago-12 jan-13 jun-13 nov-13 abr-14

Empresa 1 Empresa 2

Exemplos Grupo EDP


Estável Volátil Standard

Volatilidade do risco

Ris

cos-

chav

e

Gra

u d

e m

ate

rial

idad

e d

o r

isco

Ou

tro

s ri

sco

s

Visão agregada e quantificada de PE/PM

Mapa de riscos (anual)

Dashboard Trimestral

Condições macro-económicas

Fundo de pensões

Custo de capital

Risco de crédito

Investimentos operacionais

Exposição ao mercado

P@R, V@R e EBITDA@R

Exposição a contrapartes

Riscos financeiros

Relatório semanal

Controlo 4

Os KRIs e restante informação relevante devem ser compilados em relatórios a partilhar periodicamente

Síntese de relatórios de risco elaborados no Grupo EDP


Principais questões para avaliar a maturidade do modelo integrado de gestão de riscos (não exaustivo)

Identificação

Controlo

Estratégia

Gestão

1

3

2

4

A gestão tem uma visão articulada e concertada sobre a definição de risco e principais riscos?

Existe uma taxonomia única, abrangente e consistente de todos os riscos?

Quão fundamentados são os racionais de prioritização (e são tidas em conta interligações)?

Este mapeamento é actualizado com uma frequência adequada (e com envolvimento senior)?

São devidamente aprofundados os riscos mais relevantes e/ou emergentes?

Existe um entendimento claro e consensual sobre riscos (in)aceitáveis, i.e., o apetite ao risco?

Este apetite ao risco é expresso de forma explícita, inequívoca, accionável e é divulgado?

O apetite ao risco está devidamente integrado com e impacta a tomada de decisão estratégica?

Existem e a que nível foram aprovadas as políticas de gestão de risco para as principais exposições?

Para além das anteriores, que planos de actuação estão estabelecidos para exposições mitigáveis?

Qual o grau de maturidade da cultura de gestão do risco na organização (em particular no incentivo à identificação, partilha, actuação proactiva e avaliação post-mortem de incidentes)?

Existem programas formais para promoção dessa cultura (formações presenciais, online interactivas, literatura adicional)?

Até que ponto são rigorosamente observadas todas as políticas de gestão do risco em vigor?

Que processos formais existem para monitorização de riscos pela gestão de topo? Que tipo de materiais (p.ex., análises, relatórios, dashboards) suportam esses processos? Esse relatórios são consistentes com os conhecimentos adquiridos pelo mapeamento de riscos

(i.e.., são escolhidos KRIs pertinentes e que acompanhem os riscos mais materiais/ voláteis)? Existe um acompanhamento regular do estado de avanço dos planos de acção identificados?


Agenda





Modelo das três linhas de defesa - conceptual

Primeira linha: UNs

(responsáveis pelo risco) Segunda linha: Gestão do

Risco e Compliance Terceira linha: Auditoria

Gestão diária da posição em risco (dentro do âmbito das políticas externas e limites internos)

Proposta/ contribuição para a definição de políticas de gestão do risco

Avaliação da posição em risco

Apoio a decisões essenciais relacionadas com risco

Co-propôr políticas para a optimização do trade-off risco-retorno

Auditar se existem os processos adequados e se estão correctamente implementados

Análise/ validação de excepções às políticas de gestão do risco

Interagir com contrapartes de acordo com a política definida

Definir política de gestão do risco de contraparte e controlar exposição a este risco

Validar o processo de gestão de risco de contraparte

Ris

cos

Exemplo

Um modelo adequado de governo do risco deverá incorporar 3 linhas de defesa


Ao nível da gestão de risco e do respectivo relacionamento com as Unidades de Negócio existem 4 arquétipos fundamentais

Inexistente: áreas independentes

Agregação de informação

Controlo sobre áreas

Gestão central do risco

e

Negócio é responsável por risco

Não existe função central de gestão do Risco (ou apenas existe pequena equipa de suporte ao processo)


Pequena equipa central agrega/ partilha informação de risco


Equipa central reforçada suporta decisões estratégicas e co propõe políticas de gestão de risco

CRO reporta à Administração

Equipa central reforçada é responsável por e gere riscos centralmente

CRO reporta à Administração

Riscos relevantes (sobretudo) a nível local Riscos simples/ estáveis/ diversificados Riscos específicos e dispersos (reduzidas

sinergias de perspectiva integrada) Cultura local de gestão de risco madura

Riscos relevantes ao nível do Grupo Riscos complexos/ correlacionados/ voláteis Riscos transversais (sinergias relevantes de

perspectiva integrada) Cultura de gestão do risco insipiente

Evolução típica de instituições não financeiras Instituições financeiras

Descrição

Applica-bilidade

21

Alternativas para o papel da função central de gestão do Risco


Agenda estratégica 2012

Crescimento orientado

Risco controlado

Eficiência superior

3

2

1

Agenda estratégica 2014

Preservar perfil de negócio de baixo risco

Continuar a crescer

Manter desalavancagem financeira

Melhorar eficiência

Proporcionar retornos atrativos

3

2

1

5

4

22

O Grupo EDP tem consistentemente adoptado a manutenção do perfil de baixo risco como um dos seus pilares estratégicos


Funções corporativas

No Grupo EDP existe uma estrutura de risk-officers com duplo reporte que acompanham o risco em cada Unidade de Negócio

23

Estrutura organizativa Grupo EDP (simplificado)

EDPP EDPD EDPC EDPSC

Comité de Risco

HC UNGE EDPBR EDPR

Conselho de Administração

Executivo

CA CA

RO

EDP Valor

EDP Gas

Hierárquico

Funcional

Responsável máximo pela decisão, supervisão e controlo da gestão do risco;

Reporte

Apoio ao Governo da Sociedade

Finanças

Recursos

Comunicação e Marketing

Estratégia

Gestão do Risco

…

CA

RO

CA

RO

CA

RO

CA

RO

CA

RO

CA

RO

CA

RO

CA

RO RO

Risk-officers são responsáveis em cada UN pelo acompanhamento do risco e interlocução com Centro Corporativo

Duplo reporte às hierarquias locais e Gestão de Risco

Unidades de Negócio (UNs)

Comité de Risco suporta decisões do CAE na identificação, avaliação, gestão e controlo do risco

CAs das UNs estabelecem a tolerância ao risco (em coerência com o Grupo)


Conselho de Administração Executivo Definição de objectivos globais e perfil de risco-retorno Aprovação de políticas de gestão do risco e iniciativas-chave

Gestão do Risco1 Avaliação da posição em risco Optimização do trade-off

risco-retorno

Conselho Geral de Supervisão Monitorização de processo de

gestão de risco e auditoria

Ris

cos

CA (a nível de UN) Deveres equivalentes ao

CAE (a nível de UN)

Responsabilidade pelo risco Visão integrada do risco Perspectiva de controlo do processo

1ª linha: Unidades de Negócio 2ª linha: Gestão do Risco 3ª linha: Auditoria

Comité de Risco Local Deveres equivalentes ao CR (a nível de UN)

Comité de Matérias Financeiras/ Comité de Auditoria Discussão de processos de

risco, controlo interno e auditoria

Comité de Risco Monitorização, análise e

debate de riscos (e políticas de gestão associadas)

Unidades de negócio Gestão da posição em risco Contribuição para a definição

de políticas

Auditoria Validação da implementação

adequada de processos e controlos centrais (e respectivas excepções)

Os Conselhos de Administração, Supervisão e Comités de Risco têm um papel crítico na operacionalização das 3 linhas de defesa

Modelo das três linhas de defesa – detalhe para o Grupo EDP

1 A nível de Grupo e Unidade de Negócio


Principais questões para avaliar a maturidade do modelo de governo do risco (não exaustivo)

Existe uma definição clara e segregada de responsabilidades entre os intervenientes no processo de assurance (negócio/ suporte, risco, compliance e auditoria)?

Existe na organização uma área de risco corporativa devidamente qualificada e um Chief Risk Officer designado (com reporte directo à administração)?

Existem responsáveis claros formalmente assignados para os principais riscos (risk-owners)?

Até que ponto é que a administração (e órgãos de supervisão) são activamente envolvidos no processo de identificação e actuação sobre os principais riscos?

1

Quais são as áreas de intervenção prioritárias para a função de risco?

Para estas, qual o arquétipo de gestão de risco adoptado actualmente (e qual é o entendimento sobre o arquétipo que deveria existir, caso não seja coincidente)?

Existem fóruns seniores de debate sobre temas de risco (Comités de Risco)?

As principais áreas críticas (p.ex., estratégia, negócio, financeira, planeamento, jurídica) estão devidamente representadas (e com um nível de senioridade adequado)?

Existem nas Unidades de Negócio interlocutores formalmente designados para temas de risco (risk-officers)?

Os vários risk-officers têm reporte funcional à área de risco corporativa (caso exista), ou outros mecanismos de articulação?

2

3

Responsabilidade pelo risco

Órgãos de Gestão do Risco (Comités de Risco, risk-officers)

Arquétipos de gestão de risco

Um modelo global e integrado de gestão do risco O Caso do ......Direcção de Gestão de Risco 5 A...

Documents

Transcript of Um modelo global e integrado de gestão do risco O Caso do ......Direcção de Gestão de Risco 5 A...