Três Linhas de Defesa
www.CompanyWeb.com.br
1
2
‣ Mais de 20 anos de experiência, Consultor, Professor e Mentor nas áreas de GRC (Governança,
Gestão de Riscos Corporativos, Compliance) e BPM;
‣ No gerenciamento de riscos corporativos aplica os modelos: COSO, ISO 31000;
‣ Um dos expoentes na condução de treinamentos para aderência ao compliance SOX (Sarbones-Oxley);
‣ Com experiência no ambiente público, como TCU, STJ e no privado Banco Bradesco, AMBEV;
‣ Entre os trabalhos realizados, está o desenvolvimento: Política de G erenciamento de Riscos, Matriz de Riscos, DRP/PCN, compliance S OX, ISO 27002, Planejamento
Estratégico com BSC, Governança Corporativa e de TI;
‣ Palestrante atuante, foi mediador do evento de Inovação para Tribun ais de Contas;
‣ Criador do método lúdico para criação da Matriz de Riscos Corporati vos;
‣ Criador do aplicativo RISKm para gerenciamento de Riscos Corporat ivos;
‣ Vida acadêmica como professor de MBA na USP- FIA (professor convidado),
FIAP, UFLA (Universidade Federal de Lavras-MG), FASP;
‣ Especialização em Estratégia pela FGV de São Paulo;
‣ Possui a certificação CGEIT (Certified in the Governanceof Enterpris e Information Technology) e outras.
Facilitador
www.CompanyWeb.com.br
3 I
www.CompanyWeb.com.br
3
em prol da ‘Defesa’ da
organização. Profissionais como:
Auditores, especialista em Gestão de Riscos,
Advogados, Investigadores, Gestores de Negócios e
outros.
Equipes multi-
disciplinares
Gestão Eficaz da GRC | Governança, Risco e Conformidade | Três Linhas de Defesa www.CompanyWeb.com.br
4
Como garantir a Eficiência e Eficácia entre as equipes?
Como evitar o controle do controle?
Como evitar a duplicidade de atividades?
Como eliminar o Problema de Comunicação entre as equipes?
Gestão Eficaz da GRC | Governança, Risco e Conformidade | Três Linhas de Defesa www.CompanyWeb.com.br
5
Gestão Eficaz da GRC | Governança, Risco e Conformidade | Três Linhas de Defesa 6
www.CompanyWeb.com.br
6
7
Gestão Eficaz da GRC | Governança, Risco e Conformidade | Três Linhas de Defesa
www.CompanyWeb.com.br
7
3a. Linha de Defesa
‣ Avaliação Independente.
2a. Linha Defesa
‣ Garantia:
supervisão
1a. Linha Defesa
‣ Propriedade:
Gestores.
Independência limitada Maior independência
Gestão Eficaz da GRC | Governança, Risco e Conformidade | Três Linhas de Defesa www.CompanyWeb.com.br
8
1a. Linha de Defesa
‣ É a área de negócio, responsável por:
‣ Identificar, mensurar, avaliar e mitigar os riscos;
‣ Manter controles internos eficientes;
‣ Implementar ações corretivas para resolver deficiências em processos e controles.
Linhas de Defesa
1o. Linha de Defesa
‣ Inclui funções de gerenciamento de risco e conformidade;
‣ Deve trabalhar em conjunto com a área de negócios para garantir que a 1º linha de defesa tenha: Identificado, Avaliado e reportado corretamente os riscos do seu negócio.
1o. Linha de Defesa
‣ É representada pela Auditoria Interna;
‣ Deve revisar de modo sistemático e eficiente as
atividades das duas primeiras linhas de defesa;
‣ Deve contribuir para seu aprimoramento do modelo de GRC – Governança, Risco e
Conformidade.
2a. Linha de Defesa 3a. Linha de Defesa
Modelo importante para prover garantias de que os Controles apropriados estão em uso e para o alcance das metas organizacionais.
www.CompanyWeb.com.br
9
Fonte: Guidance on the 8th Company Law da ECIIA/FERMA, artigo 41 10
‣ A Alta Administração e CA – Conselho de Administração (ou similar) / Comitê de Auditoria são as
principais partes interessadas atendidas pelas ‘Linhas de Defesa’ e garantir que o modelo seja aplicado aos
processos de GRC - Governança, Gestão de Riscos e Conformidade .
11
12
Fonte: TCU - Referencial Básico de Combate à Fraude e Corrupção
Gestão Eficaz da GRC | Governança, Risco e Conformidade | Três Linhas de Defesa www.CompanyWeb.com.br
12
1ª. Linha
Gestão Operacional
2ª. Linha
Gestão de Riscos e Compliance
3ª. Linha
Auditoria Internawww.CompanyWeb.com.br
13
14
Conhecemos o negócio onde
atuamos?
(cadeia de valor, modelo de negócios e
outros)
Temos nossos processos críticos ou de
maior fragilidade mapeados?
Temos um guia para priorizar
os Riscos?
Nossos Controles Internos são os
melhores?
Nossos Indicadores
traduzem, realmente, ao
cenário de negócio?
Nosso tempo de resposta aos
Risco é coerente ao
negócio?
www.CompanyWeb.com.br
14
1ª. Linha
Gestão Operacional
2ª. Linha
Gestão de Riscos e Compliance
3ª. Linha
Auditoria Internawww.CompanyWeb.com.br
15
16
Atuação de forma independente, mas não isolada das áreas executivas;
Apoiar os negócios na avaliação dos processos e riscos operacionais, e na validação do desenho dos controles e dos planos de ação;
Monitoramento e reporte da qualidade dos controles das operações através de testes e indicadores.
www.CompanyWeb.com.br
16
17
Garantir a qualidade do ambiente de controles e assegurar previsibilidade dos processos;
Responsável por coordenar as atividades de Controles Internos e Compliance junto às áreas de negócios;
Possuir comunicação direta com qualquer administrador ou colaborador, acesso a quaisquer informações necessárias no âmbito de suas responsabilidades.
www.CompanyWeb.com.br
17
Conhecimento profundo dos processos de negócios
Proximidade com a área
atendida
Ind epend ência
1. Avaliar os principais Riscos e entender os controles.
2. Antecipar riscos inesperados?
1. Monitorar e reportar
2. Assegurar a performance dos Controles
3. O quanto os testes e indicadores asseguram uma certificação de qualidade?
pro ce ssos de negó cio s Proxi midade
www.CompanyWeb.com.br
18
Atividades
• Monitoramento do ambiente regulatório e avaliação de impacto nos processos em sintonia com a área jurídica
• Garantia da aderência às normas externas e às políticas e
procedimento internos
• Disseminação da cultura de controles internos e
compliance na organização, por meio de programas de capacitação e conscientização
• Apoio às áreas executivas nos seus processos de auto- avaliação e priorização dos riscos
• Coordenação dos comitês setoriais e superior de riscos e compliance, fóruns para reporte e tomada de decisão
• Governança de aprovação de produtos e processos
• Identificação, captura e registro de eventos de riscos
• Avaliação do ambiente, riscos e controles priorizados
• Coordenação do processo de certificação de compliance (ex.:
SOX)
Cultura Governança
Controles Internos
Atividades
Compliance
www.CompanyWeb.com.br
19
3ª. Linha
Segregação de Atividades
1ª. Linha 2ª. Linha 3ª. Linha
1. Impor processos de Gestão de Riscos
2. Definir o apetite de riscos 3. Tomar decisões sobre
respostas a riscos
4. Implementar respostas a riscos
5. Responsabilidade de prestação de contas pela Gestão de Riscos
1. Desenvolver a estratégia de Gestão de Riscos
2. Manter e desenvolver a estrutura de ERM
3. Coordenar as atividades do ERM
4. Facilitar a identificação e avaliação de Riscos
5. Dar apoio à Administração para responder a Riscos 6. Consolidar relatórios sobre
Riscos
1. Avaliar e opinar o processo de
Gestão de Riscos
2. Dar certeza de que os Riscos
são avaliados corretamente
3. Avaliar a apresentação de
relatórios sobre Riscos-chave
www.CompanyWeb.com.br
20
Onde estão os Riscos Em conformidade Certificado
Órgãos funcionais e de gestão, responsáveis por operacionalizar a Gestão de Riscos e os Controles Internos
1ª
Funções de Gestão de Riscos & Conformidade, responsáveis por
estabelecer e monitorar normas e políticas
2ª
Auditoria interna, responsável por oferecer certificação e assessoria objetiva sobre GRC –
Governança, Riscos &
Conformidade
3ª
Linha
Linha
Linha
3ª. Linha
www.CompanyWeb.com.br21
Modelo Europeu
○ Definição clara de
responsabilidades, limites que se encaixam na
estrutura geral de riscos e controles da organização.
Guidance on the 8th Company Law da ECIIA/FERMA
Fonte: http://www.eciia.eu/wp-content/uploads/2013/09/Blog-4.4-Avoid-reg-part-1.pdf
www.CompanyWeb.com.br
22
4a. Linha de Defesa
3a. Linha de Defesa
2a. Linha de Defesa
1a. Linha de Defesa
Auditoria Externa
Auditoria Interna
Gestão de Riscos &
Compliance
Gestor de Negócio
• Identificar Riscos
• Responder aos Riscos
• Planos de Ação
• Controles Internos
• Monitorar os Riscos
• Reportar os Riscos
• Identificar as regulamentações
• Estabelecer Políticas
• Definir linguagem comum de riscos
• Mensusar os Riscos
• Avaliar Riscos
• Auditar Processos
• Identificar falhas de Controle
• Certificar o ambiente de Controle Interno
• Avaliar os Riscos
• Auditar a organização
• Identificar falhas de Controle
• Certificar a organização
www.CompanyWeb.com.br
23