Resumos
Este artigo apresenta uma metodologia de mensuração do nível de controle de riscos inerentes aos processos de qualquer entidade, a partir da construção de um índice de desempenho definido em função da capacidade dos controles mitigarem os riscos e da eficácia dos controles implantados. O modelo possibilita ao gestor de riscos identificar para quais riscos são necessárias ações de melhoria de controle, quais possuem níveis de controles adequados e quais controles em excesso, contribuindo, assim, para a otimização da aplicação dos recursos disponíveis para a gestão de riscos e controles internos nas empresas. A metodologia foi aplicada a um estudo de caso e mostrou-se satisfatória do ponto de vista de avaliação e identificação dos níveis de controle.
ARTIGOS
SEÇÃO NACIONAL
Riscos e controles internos: uma metodologia de mensuração dos níveis de controle de riscos empresariais
Internal risks and controls: a methodology to measure business risk control levels
Wanderlei de Lima De PauloI; Francisco Carlos FernandesII; Luciana Gavazzi Barragan RodriguesIII; Jorge EiditIV
IDoutorando em Engenharia Elétrica com ênfase em Engenharia de Sistemas pela Escola Politécnica da USP Campus Capital E-mail: wanderlei@riskoffice.com.br
IIProfessor Doutor do Programa de Pós-Graduação em Ciências Contábeis da Fundação Universidade Regional de Blumenau SC E-mail: ffernandes@riskoffice.com.br
IIIProfessora Ms. do Curso de Ciências Contábeis da Fundação Escola de Comércio Álvaro Penteado SP E-mail: lbarragan@riskoffice.com.br
IVMestrando em Ciências Contábeis pela Fundação Universidade Regional de Blumenau SC E-mail: jorgeeidt@hotmail.com
RESUMO
Este artigo apresenta uma metodologia de mensuração do nível de controle de riscos inerentes aos processos de qualquer entidade, a partir da construção de um índice de desempenho definido em função da capacidade dos controles mitigarem os riscos e da eficácia dos controles implantados. O modelo possibilita ao gestor de riscos identificar para quais riscos são necessárias ações de melhoria de controle, quais possuem níveis de controles adequados e quais controles em excesso, contribuindo, assim, para a otimização da aplicação dos recursos disponíveis para a gestão de riscos e controles internos nas empresas. A metodologia foi aplicada a um estudo de caso e mostrou-se satisfatória do ponto de vista de avaliação e identificação dos níveis de controle.
Palavras-chave: Controles Internos; Gestão de Riscos; Matriz de Riscos; Matriz de Importância-Desempenho.
ABSTRACT
This paper presents a control measurement methodology applied in the processes performed by any entity. The methodology is derived from the analysis of the mitigation capabilities of the controls currently in use by the entity. The method enables risk managers to identify which risks require urgent actions to improve the control levels, which risks are already adequately controlled and which ones are in a situation of excessive control. This kind of information can play an important role to improve the application of available internal risk and control management resources in companies. The methodology was applied to a case study and revealed to be a satisfactory tool to assess and identify control levels.
Keywords: Internal Controls; Risk Management; Risk Matrix; Importance-Performance Matrix.
1 APRESENTAÇÃO
No contexto atual de gestão de riscos e controles internos nas empresas, uma estratégia utilizada é a de implementar ou aprimorar os controles internos com base na identificação e mensuração dos riscos empresariais (MARTIN et al., 2004; SPIRA, 2003; BERGAMINI JUNIOR, 2005). É possível considerar a existência de duas abordagens de mensuração de riscos, a qualitativa e a quantitativa (CROUHY; GALAI; MARK, 2004). Em ambas, a mensuração é definida a partir do conhecimento das variáveis freqüência (ou probabilidade de ocorrência) e severidade (ou impacto financeiro), associadas aos eventos de perdas identificados nos processos das empresas. Pela abordagem qualitativa, o nível de risco é avaliado a partir da atribuição de critérios de classificação à freqüência e à severidade, enquanto pela abordagem quantitativa o risco é avaliado por modelos probabilísticos (ver JORION, 2003; CRUZ, 2002). Neste artigo, considera-se a abordagem qualitativa.
Uma das técnicas empregadas para avaliação qualitativa de riscos é o processo de auto-avaliação conhecido como Control Self Assessment (CSA), que consiste em avaliar, de maneira descentralizada e contínua, a efetividade dos controles e a potencialidade (freqüência versus severidade) dos riscos, possibilitando a detecção de exposições indesejadas e a implementação de medidas corretivas (WADE; WYNNE, 1999). O processo de auto-gestão pode ser implantado através de dois métodos básicos: o mapeamento de processos (process mapping) e a aplicação de questionários (check lists) de controles internos (BCBS, 2003). O uso desses métodos tem produzido bons resultados no que se refere à identificação dos riscos que afetam as atividades empresariais, à avaliação dos níveis de exposição e à definição de planos de melhoria que conduzam a empresa a um ambiente de controle adequado. Por outro lado, tais métodos se mostram limitados quando se trata de detectar situações em que os controles implementados estejam aquém do necessário ou configurem um dispêndio excessivo em controles para aqueles riscos que não representam um potencial de perda relevante.
Há, portanto, um problema de otimização da relação entre o nível de controle desejado e os custos de implementação dos controles necessários. Considerações sobre a natureza desse problema são apresentadas pelo COSO (2004), que reconhece a existência de restrições de recursos, de tal forma que as empresas devem considerar os custos e os benefícios associados a cada alternativa de controle.
Nesse contexto, este artigo apresenta uma metodologia de mensuração do nível de controle de riscos, a partir da construção de um índice de desempenho de controle, composto pela capacidade de os controles mitigarem os riscos e pela eficácia dos controles implantados. A metodologia possibilita ao gestor de riscos identificar para quais riscos é necessário melhoria de controle, quais possuem controles adequados e quais controles em excesso. Para isso, define-se uma matriz de desempenho de controle, a partir da qual é possível estabelecer regiões de prioridade de melhoria dos controles em função do nível de tolerância ao risco. A aplicação da metodologia viabiliza a alocação ótima dos recursos disponíveis para implantação de planos de ação para minimizar a exposição a riscos, à medida que auxilia o gestor de riscos a identificar o excesso de controles aplicados a riscos de baixo potencial de perda, e a ausência de controles para os riscos considerados prioritários.
Este artigo está organizado da seguinte forma: nas seções 2 e 3, são apresentadas, respectivamente, os conceitos de matriz de riscos e de matriz de importância-desempenho, a serem utilizados na elaboração da metodologia proposta. Na seção 4, apresenta-se a metodologia para a avaliação dos níveis de controle de riscos. A seção 5 apresenta uma aplicação da metodologia descrita na seção 4. Algumas considerações finais são descritas na seção 6.
2 MATRIZ DE RISCOS
A mensuração qualitativa de riscos pode ser gerada através de uma matriz, em que o nível de risco é definido pela composição das variáveis freqüência (probabilidade) e severidade (impacto financeiro), associadas aos eventos de perda (fatores de risco) inerentes ao processo avaliado (MARSHALL, 2002; CROUHY, GALAI e MARK, 2004). A matriz de riscos é uma ferramenta que pode ser empregada na análise de riscos de processos de várias naturezas. Exemplos de aplicações do conceito de matriz de riscos podem ser encontrados em MARTIN et al. (2004), HEWETT et al. (2004), FIGUEIREDO (2001), GARVEY e LANSDOWNE (1998) e BRASILIANO (2006).
Segundo BERGAMINI JUNIOR (2005), a tabulação dos riscos em uma matriz permite a clara e ordenada identificação dos riscos que podem afetar a empresa, tanto em termos de freqüência quanto de severidade. Em geral, adota-se uma classificação qualitativa para os níveis de freqüência e de impacto, que poderá variar em função do processo avaliado, do porte da empresa, do segmento de mercado de atuação da empresa, entre outros fatores (MARSHALL, 2002). Os Quadros 1 e 2 apresentam um exemplo de classificação de freqüência e de severidade, nos quais os valores utilizados para descrever os níveis de impacto financeiro (campo "Descrição") poderão ser definidos com base, por exemplo, no patrimônio líquido, no total de ativos ou em testes de materialidade.
A matriz de risco pode ser construída pela composição de pesos atribuídos às variáveis freqüência e severidade, podendo ser particionada em regiões que caracterizam os níveis de risco avaliados. A definição dessas regiões pode variar em função do perfil de risco do gestor, dos processos avaliados e dos produtos e serviços operacionalizados. A Figura 1 ilustra um exemplo de matriz de riscos, com níveis de risco classificados em Baixo, Médio, Alto e Extremo. Nesse caso, as regiões de risco foram delimitadas com base nos valores das intensidades de risco, calculados pelo produto entre os pesos da variável freqüência e da variável severidade (ver campo "Peso" constante dos Quadros 1 e 2).
De modo geral, pode-se considerar que os riscos situados na região de alto risco seriam indicativos de necessidade de controles mais rígidos, enquanto os riscos situados na região de baixo risco seriam um indicativo de controle adequado. Entretanto, essa leitura não pode ser generalizada a todos os tipos de riscos, dado que o nível de risco obtido a partir de uma matriz de risco não está diretamente associado à ausência ou excesso de controles. Por exemplo, a avaliação de um risco de oscilação do mercado de câmbio, em um cenário de alta freqüência e alta severidade, poderia situar-se na região de médio risco e estar no nível de controle desejável pelo gestor, desde que houvesse um elemento mitigador, por exemplo, um hedge cambial que minimizaria ao menos o impacto financeiro de uma eventual perda, uma vez que o controle da freqüência está fora do domínio do gestor. Nessa situação, uma leitura direta da matriz de riscos poderia induzir à necessidade de implementação de novos controles quando não seriam necessários.
A metodologia proposta neste artigo contempla a mensuração dos níveis de controle e dos riscos, fornecendo uma alternativa para avaliação da capacidade de os controles adotados mitigarem os riscos, que pondera, através do estabelecimento de pesos, a relação custo-benefício implícita no processo de gestão de riscos e controles internos. O conceito de matriz de riscos será utilizado para definir o grau de importância dos riscos avaliados.
3 MATRIZ DE IMPORTÂNCIA-DESEMPENHO
Uma matriz de importância-desempenho é uma ferramenta presente no contexto de administração da produção de bens e serviços, normalmente utilizada para avaliar o desempenho de um produto ou de um processo produtivo (SLACK et al., 1997). Ela é construída a partir do nível de importância e do nível de desempenho de critérios competitivos associados aos produtos. Os critérios competitivos podem ser do tipo: rapidez e confiabilidade na entrega dos produtos; flexibilidade no projeto ou no mix de produção dos produtos e custo reduzido dos bens fabricados.
O nível de importância pode ser determinado por meio da classificação dos critérios em qualificadores e ganhadores de pedidos (HILL, 1994). Os níveis qualificadores representam uma determinada pontuação mínima necessária para competir no mercado. Os níveis ganhadores de pedido são aqueles nos quais o cliente se baseia para escolher seus fornecedores. A essas duas classificações podem-se acrescentar os níveis menos importantes que não são nem qualificadores e nem ganhadores de pedidos, não influenciando os clientes de forma significativa.
O nível de desempenho poderá ser julgado em função de ser melhor, igual ou pior do que o mercado. SLACK (1994) propõe uma escala de nove pontos para mensurar o nível de importância e o nível de desempenho dos critérios competitivos. Após atribuir a pontuação relativa para cada critério competitivo, os resultados são plotados em uma matriz de importância-desempenho. Essa matriz pode ser dividida em quatro regiões de prioridade de melhoramento como mostra a Figura 2 .
A região adequada é separada em sua margem inferior pela fronteira de aceitabilidade, sendo ela o nível mínimo de desempenho da empresa tolerável pelo mercado. Qualquer critério competitivo que cair na região de melhoramento é um candidato a ser aprimorado, porém se estiver no canto inferior esquerdo da matriz, poderá ser um caso não urgente de aprimoramento. A situação mais crítica é quando um critério competitivo encontra-se na região de ação urgente, exigindo, em curto prazo, a implementação de planos de melhoria. Por fim, existe, também, a região de excesso em que o desempenho atingido é superior ao necessário. Nesse caso, parte dos recursos poderia ser destinada à melhoria dos critérios situados na região de ação urgente.
Além da avaliação de processos produtivos, a matriz de importância-desempenho poderá ser utilizada para medir o desempenho de processos em empresas prestadoras de serviços (GIANESI; CORRÊA, 1996). Outros exemplos de aplicações da matriz de importância-desempenho podem ser encontrados em SELLITTO e WALTER (2006), PAULO (1999), GIANESI (1994), FALCÃO e MEDEIROS (2004) e SOUZA e ARBAGE (2001). Neste artigo, o conceito de matriz de importância-desempenho será utilizado na estruturação de uma matriz de desempenho que permita avaliar os níveis de controle e de riscos empresariais. Outra versão do conceito de matriz de importância-desempenho pode ser vista em MATZLER et al. (2004).
4 METODOLOGIA PROPOSTA
Esta seção apresenta a metodologia de mensuração do nível de controle de riscos, construída a partir da definição de um índice de desempenho de controle, composto pela capacidade dos controles mitigarem os riscos e pela eficácia dos controles implantados.
Considerem-se as seguintes definições,
Q k = {1, 2,..., j, ...n}: o conjunto de controles-padrão associado ao k-ésimo risco;
A kj = {1, 2,..., m}: o conjunto de atributos-padrão, associado ao j-ésimo controle do conjunto Q k ;
U k = {1, 2,..., i, ...r}: o conjunto de controles praticados, associado ao k-ésimo risco e
H k,i = {1, 2,...l}: o conjunto de atributos praticados, associado ao i-ésimo controle do conjunto U k .
A diferenciação entre os conjuntos Q e U, bem como entre A e H decorre do fato de que nem todo controle ou atributo padrão será praticado pela empresa.
Define-se o nível de controle de risco associado ao k-ésimo risco, NCR k , da forma
em que w i e w j são os pesos relativos atribuídos ao i-ésimo controle praticado e ao j-ésimo controle-padrão, respectivamente. O peso w representa o grau de capacidade dos controles estabelecidos mitigarem os riscos avaliados. O parâmetro a i é dado por
em que p l e p m são os pesos relativos atribuídos ao l-ésimo atributo praticado e ao m-ésimo atributo-padrão, respectivamente. O peso p representa o grau de significância do atributo para a eficácia do j-ésimo controle na mitigação do k-ésimo risco. O Quadro 3 ilustra um exemplo de caracterização da capacidade de mitigação e de tipos de tributos de controle, com seus respectivos pesos.
O parâmetro a é um fator que penaliza o controle cujo conjunto de atributos praticados possui baixa significância para sua eficácia, comparado ao conjunto de atributos-padrão (o que equivale a a < 1). Por outro lado, a ausência ou o baixo poder de mitigação podem ser compensados quando o conjunto de atributos praticados é mais significativo que o conjunto de atributos-padrão (o que equivale a a > 1). Quando a = 1, o conjunto de atributos praticados equivale ao conjunto de atributos-padrão, atendendo, assim, ao grau de significância necessário para que o controle seja eficaz. Desse modo, a representa o quanto determinado controle implantado é eficaz.
O Nível de Controle de Riscos (NCR), definido pela relação (1), pode assumir os seguintes valores:
Dessa forma, é possível ao gestor identificar para quais riscos é necessária alguma melhoria de controle, quais possuem controle adequado e quais controles em excesso. Para viabilizar a alocação ótima dos recursos disponíveis para implantação de planos de ação para o controle de riscos, propõe-se a utilização de uma matriz de desempenho, aqui denominada Matriz de Desempenho de Controle (matriz MDC), gerada a partir do conceito de matriz de importância-desempenho apresentado na Seção 3. Além da mensuração do nível de controle, a construção da matriz MDC requer a definição do nível de importância associado a cada risco. Considerando a escala de pesos para as variáveis freqüência e severidade estabelecida nos Quadros 1 e 2, o Nível de Importância de Riscos (NIR) pode ser escrito na forma
em que f k e I k são, respectivamente, os pesos atribuídos à freqüência e à severidade do k-ésimo risco, conforme parâmetros definidos nos Quadros 1 e 2. Note-se que a relação (4) representa uma parametrização dos possíveis níveis de risco gerados a partir do conceito de matriz de riscos apresentado na Seção 2, de modo que 1 < NIR k < 5. A Figura 3 mostra um exemplo de uma matriz MDC.
Note-se que, nesse caso, a fronteira de aceitabilidade equivale ao nível de controle-padrão (NCR = 1 para qualquer nível de importância). As regiões de melhoria, de excesso, de urgência e de controle adequado, podem ser definidas pelo próprio gestor, mediante o grau de exigência de controle estabelecido. Por exemplo, a fronteira de aceitabilidade poderia ser definida considerando um valor mínimo de NCR min = 80% e um valor máximo de NCR max = 140%, conforme ilustra a Figura 4 . Nesse caso, níveis de controle considerados adequados passam a ser inadequados mediante a alteração no padrão de aceitabilidade, caracterizando uma posição conservadora diante dos riscos mais significativos.
5 ESTUDO DE CASO
Essa seção apresenta um exemplo de aplicação da matriz MDC a um processo de gestão de contratos de uma Entidade Fechada de Previdência Complementar (EFPC). No contexto atual de gestão de riscos nos fundos de pensão brasileiros, o uso da metodologia apresentada pode ser de grande valia, uma vez que as EFPC brasileiras passam por um período de grande atenção à gestão de riscos e aos controles internos (ver Resolução 13 do CGPC, 2004). O processo estudado é representado pelas atividades descritas na Figura 5 .
A identificação dos riscos existentes no processo é o passo inicial para a construção da matriz MDC. Para que os riscos sejam identificados parte-se de um "dicionário" ou "catálogo" de riscos, nos quais são relacionadas as categorias e os tipos de riscos existentes no processo avaliado (CROUHY; GALAI; MARK, 2004). Para efeito de simplificação, será avaliada somente a atividade "Elaborar contratos", cujos riscos se limitam àqueles descritos no Quadro 4 . Porém, outros tipos de riscos podem existir no processo de elaboração de contratos, por exemplo, riscos de administração de contratos, riscos de falha humana ou riscos de sistemas, entre outros. Os pesos atribuídos às variáveis freqüência e severidade foram estabelecidos de acordo com as classificações apresentadas nos Quadros 1 e 2.
As definições de riscos apresentadas na coluna "Descrição" do Quadro 4 são as adotadas pela EFPC em que o estudo de caso foi realizado. Como para muitos riscos não há um padrão universalmente aceito, essas definições poderiam ser diferentes. Em linhas gerais, elas correspondem às apresentadas por MARSHALL (2002), conforme no Quadro 5 .
O passo seguinte, na análise, é estabelecer para cada tipo de risco um conjunto de controles-padrão e para cada controle um conjunto de atributos-padrão. Por fim, atribuem-se pesos aos controles e aos seus respectivos atributos. Por necessidade de simplificação, tal procedimento será apresentado somente para o risco contratual. O Quadro 6 apresenta uma relação de controles-padrão, de atributos e de seus respectivos pesos (esses últimos, de acordo com o Quadro 3). A descrição de cada atributo estabelecido é apresentada no Quadro 7 .
O Quadro 8 apresenta o levantamento dos controles e atributos praticados, após um ciclo de avaliação, comparados aos controles e atributos definidos como padrões para o risco contratual.
O Quadro 9 descreve o conjunto-padrão de controle, Q 1 , os conjuntos de atributos-padrão, A 1,j , com j = 1,..., 4, o conjunto de controles praticados, U 1 , e os conjuntos de atributos praticados, H 1,i , com i = 1,..., 4, gerados a partir do levantamento apresentado no Quadro 8 .
O mesmo procedimento descrito acima, utilizado para definir os conjuntos Q, A, U e H, associados ao risco contratual, é aplicado aos demais riscos definidos no Quadro 4 . Dessa forma, a Figura 6 apresenta a matriz de desempenho de controle resultante, cujos níveis de controle (NCR - eixo das ordenadas) e os níveis de importância dos riscos (NIR - eixo das abscissas) foram determinados através das equações (1) e (4), respectivamente. Note-se que a fronteira de aceitabilidade foi definida considerando um nível mínimo de controle NCR min = 70% e um nível máximo NCRmax = 120%.
Pela Figura 6, nota-se que o risco contratual apresenta excesso de controle, de modo que parte dos recursos alocados em sua gestão poderia ser utilizada na melhoria do nível de controle dos riscos tributário e concepção de processo. Outra alternativa de realocação de recursos seria reduzir o nível de controle do risco de terceirização, dado que ele apresenta baixo nível de importância em relação aos demais riscos. Além da otimização de recursos, a matriz MDC permite avaliar o nível de controle e o risco residual entre dois ciclos de avaliação.
6 CONSIDERAÇÕES FINAIS
A metodologia apresentada neste artigo, caracterizada por uma matriz de desempenho de controle (matriz MDC), é uma ferramenta relevante no processo de mensuração e controle de riscos. Ela permite uma avaliação imediata do nível de desempenho dos controles existentes em uma instituição, oferecendo ao gestor de riscos condições melhores para o desempenho da tarefa de identificar para quais riscos são necessárias melhorias de controle, quais possuem controles adequados e quais controles em excesso.
Essa análise viabilizaria uma alocação mais adequada em termos de relação custo-benefício dos controles, contribuindo para a otimização do uso de recursos disponíveis para implantação de planos de mitigação de riscos. Isso ocorre à medida que o gestor obtém condições de reduzir os recursos aplicados a controles de riscos situados na região de excesso, ou próximos a ela, para aplicá-los a controles que necessitem de melhorias. Por exemplo, pela avaliação apresentada na Figura 6 um possível plano de ação seria alocar parte dos recursos destinados ao controle do risco contratual na melhoria do nível de controle do risco tributário.
Um ponto importante na utilização da matriz MDC é a definição das regiões de prioridade (regiões de excesso, de melhoria, de urgência e de controle adequado), dado que a avaliação final depende da delimitação de tais regiões. A princípio, as regiões seriam definidas a partir de critérios subjetivos, que caracterizariam o nível de exigência de controle estabelecido pelo gestor de riscos. Nesse sentido, uma possibilidade de melhoria da metodologia proposta neste artigo seria dada pela utilização de um procedimento sistemático para definir as regiões de prioridade.
Recebido em 17.05.2006
Aceito em 21.08.2006
2ª versão aceita em 05.02.2007
NOTA Endereço dos autores
Fundação Universidade Regional de Blumenau
Rua Antônio da Veiga, 140 Victor Konder
Blumenau SC
89012-900
Fundação Escola de Comércio Álvares Penteado
Av. Liberdade, 532 - Liberdade
São Paulo SP
01502-001
Comments