Três Linhas de Defesa

(1)

Três Linhas de Defesa

www.CompanyWeb.com.br

1

(2)

2

‣ Mais de 20 anos de experiência, Consultor, Professor e Mentor nas áreas de GRC (Governança,

Gestão de Riscos Corporativos, Compliance) e BPM;

‣ No gerenciamento de riscos corporativos aplica os modelos: COSO, ISO 31000;

‣ Um dos expoentes na condução de treinamentos para aderência ao compliance SOX (Sarbones-Oxley);

‣ Com experiência no ambiente público, como TCU, STJ e no privado Banco Bradesco, AMBEV;

‣ Entre os trabalhos realizados, está o desenvolvimento: Política de G erenciamento de Riscos, Matriz de Riscos, DRP/PCN, compliance S OX, ISO 27002, Planejamento

Estratégico com BSC, Governança Corporativa e de TI;

‣ Palestrante atuante, foi mediador do evento de Inovação para Tribun ais de Contas;

‣ Criador do método lúdico para criação da Matriz de Riscos Corporati vos;

‣ Criador do aplicativo RISKm para gerenciamento de Riscos Corporat ivos;

‣ Vida acadêmica como professor de MBA na USP- FIA (professor convidado),

FIAP, UFLA (Universidade Federal de Lavras-MG), FASP;

‣ Especialização em Estratégia pela FGV de São Paulo;

‣ Possui a certificação CGEIT (Certified in the Governanceof Enterpris e Information Technology) e outras.

Facilitador

(3)

3 I

3

(4)

em prol da ‘Defesa’ da

organização. Profissionais como:

Auditores, especialista em Gestão de Riscos,

Advogados, Investigadores, Gestores de Negócios e

outros.

Equipes multi-

disciplinares

Gestão Eficaz da GRC | Governança, Risco e Conformidade | Três Linhas de Defesa www.CompanyWeb.com.br

4

(5)

Como garantir a Eficiência e Eficácia entre as equipes?

Como evitar o controle do controle?

Como evitar a duplicidade de atividades?

Como eliminar o Problema de Comunicação entre as equipes?

5

(6)

Gestão Eficaz da GRC | Governança, Risco e Conformidade | Três Linhas de Defesa 6

6

(7)

7

Gestão Eficaz da GRC | Governança, Risco e Conformidade | Três Linhas de Defesa

7

(8)

3a. Linha de Defesa

‣ Avaliação Independente.

2a. Linha Defesa

‣ Garantia:

supervisão

1a. Linha Defesa

‣ Propriedade:

Gestores.

Independência limitada Maior independência

8

(9)

1a. Linha de Defesa

‣ É a área de negócio, responsável por:

‣ Identificar, mensurar, avaliar e mitigar os riscos;

‣ Manter controles internos eficientes;

‣ Implementar ações corretivas para resolver deficiências em processos e controles.

Linhas de Defesa

1o. Linha de Defesa

‣ Inclui funções de gerenciamento de risco e conformidade;

‣ Deve trabalhar em conjunto com a área de negócios para garantir que a 1º linha de defesa tenha: Identificado, Avaliado e reportado corretamente os riscos do seu negócio.

1o. Linha de Defesa

‣ É representada pela Auditoria Interna;

‣ Deve revisar de modo sistemático e eficiente as

atividades das duas primeiras linhas de defesa;

‣ Deve contribuir para seu aprimoramento do modelo de GRC – Governança, Risco e

Conformidade.

2a. Linha de Defesa 3a. Linha de Defesa

Modelo importante para prover garantias de que os Controles apropriados estão em uso e para o alcance das metas organizacionais.

9

(10)

Fonte: Guidance on the 8th Company Law da ECIIA/FERMA, artigo 41 10

‣ A Alta Administração e CA – Conselho de Administração (ou similar) / Comitê de Auditoria são as

principais partes interessadas atendidas pelas ‘Linhas de Defesa’ e garantir que o modelo seja aplicado aos

processos de GRC - Governança, Gestão de Riscos e Conformidade .

(11)

11

(12)

12

Fonte: TCU - Referencial Básico de Combate à Fraude e Corrupção

12

(13)

1ª. Linha

Gestão Operacional

2ª. Linha

Gestão de Riscos e Compliance

3ª. Linha

Auditoria Interna

13

(14)

14

Conhecemos o negócio onde

atuamos?

(cadeia de valor, modelo de negócios e

outros)

Temos nossos processos críticos ou de

maior fragilidade mapeados?

Temos um guia para priorizar

os Riscos?

Nossos Controles Internos são os

melhores?

Nossos Indicadores

traduzem, realmente, ao

cenário de negócio?

Nosso tempo de resposta aos

Risco é coerente ao

negócio?

14

(15)

1ª. Linha

Gestão Operacional

2ª. Linha

Gestão de Riscos e Compliance

3ª. Linha

Auditoria Interna

15

(16)

16

Atuação de forma independente, mas não isolada das áreas executivas;

Apoiar os negócios na avaliação dos processos e riscos operacionais, e na validação do desenho dos controles e dos planos de ação;

Monitoramento e reporte da qualidade dos controles das operações através de testes e indicadores.

16

(17)

17

Garantir a qualidade do ambiente de controles e assegurar previsibilidade dos processos;

Responsável por coordenar as atividades de Controles Internos e Compliance junto às áreas de negócios;

Possuir comunicação direta com qualquer administrador ou colaborador, acesso a quaisquer informações necessárias no âmbito de suas responsabilidades.

17

(18)

Conhecimento profundo dos processos de negócios

Proximidade com a área

atendida

Ind epend ência

1. Avaliar os principais Riscos e entender os controles.

2. Antecipar riscos inesperados?

1. Monitorar e reportar

2. Assegurar a performance dos Controles

3. O quanto os testes e indicadores asseguram uma certificação de qualidade?

pro ce ssos de negó cio s Proxi midade

18

(19)

Atividades

• Monitoramento do ambiente regulatório e avaliação de impacto nos processos em sintonia com a área jurídica

• Garantia da aderência às normas externas e às políticas e

procedimento internos

• Disseminação da cultura de controles internos e

compliance na organização, por meio de programas de capacitação e conscientização

• Apoio às áreas executivas nos seus processos de auto- avaliação e priorização dos riscos

• Coordenação dos comitês setoriais e superior de riscos e compliance, fóruns para reporte e tomada de decisão

• Governança de aprovação de produtos e processos

• Identificação, captura e registro de eventos de riscos

• Avaliação do ambiente, riscos e controles priorizados

• Coordenação do processo de certificação de compliance (ex.:

SOX)

Cultura Governança

Controles Internos

Atividades

Compliance

19

(20)

3ª. Linha

Segregação de Atividades

1ª. Linha 2ª. Linha 3ª. Linha

1. Impor processos de Gestão de Riscos

2. Definir o apetite de riscos 3. Tomar decisões sobre

respostas a riscos

4. Implementar respostas a riscos

5. Responsabilidade de prestação de contas pela Gestão de Riscos

1. Desenvolver a estratégia de Gestão de Riscos

2. Manter e desenvolver a estrutura de ERM

3. Coordenar as atividades do ERM

4. Facilitar a identificação e avaliação de Riscos

5. Dar apoio à Administração para responder a Riscos 6. Consolidar relatórios sobre

Riscos

1. Avaliar e opinar o processo de

Gestão de Riscos

2. Dar certeza de que os Riscos

são avaliados corretamente

3. Avaliar a apresentação de

relatórios sobre Riscos-chave

20

Onde estão os Riscos Em conformidade Certificado

(21)

Órgãos funcionais e de gestão, responsáveis por operacionalizar a Gestão de Riscos e os Controles Internos

1ª

Funções de Gestão de Riscos & Conformidade, responsáveis por

estabelecer e monitorar normas e políticas

2ª

Auditoria interna, responsável por oferecer certificação e assessoria objetiva sobre GRC –

Governança, Riscos &

Conformidade

3ª

Linha

3ª. Linha

21

(22)

Modelo Europeu

○ Definição clara de

responsabilidades, limites que se encaixam na

estrutura geral de riscos e controles da organização.

Guidance on the 8th Company Law da ECIIA/FERMA

Fonte: http://www.eciia.eu/wp-content/uploads/2013/09/Blog-4.4-Avoid-reg-part-1.pdf

22

(23)

4a. Linha de Defesa

3a. Linha de Defesa

2a. Linha de Defesa

1a. Linha de Defesa

Auditoria Externa

Auditoria Interna

Gestão de Riscos &

Compliance

Gestor de Negócio

• Identificar Riscos

• Responder aos Riscos

• Planos de Ação

• Controles Internos

• Monitorar os Riscos

• Reportar os Riscos

• Identificar as regulamentações

• Estabelecer Políticas

• Definir linguagem comum de riscos

• Mensusar os Riscos

• Avaliar Riscos

• Auditar Processos

• Identificar falhas de Controle

• Certificar o ambiente de Controle Interno

• Avaliar os Riscos

• Auditar a organização

• Identificar falhas de Controle

• Certificar a organização

23

(24)

Três Linhas de Defesa