®
Curitiba, 28 de junho de 2018
Prof. Dr. Antonio Celso Ribeiro Brasiliano, CIGR, CRMA, CES,DEA, DSE, MBS
Presidente da Brasiliano INTERISK
®
Sumário
1. Objetivos do Seminário
2. Facilitador
3. Auditoria Baseada em Riscos x Auditoria Tradicional
4. Contexto do Ambiente Empresarial
5. Processos e Conceitos de Boas Práticas para operacionalizar as Três
Linhas de Defesa
6. Três Linhas de Defesa, Aplicação e Conceito Estratégico: funções e
responsabilidades
®
1.
Apresentar o contexto empresarial neste século XXI;
2.
Apresentar o contexto do gerenciamento de riscos corporativos integrado com os
modelos de governança, compliance e auditoria – Três Linhas de Defesa: funções e
responsabilidades;
3.
Apresentar o conceito e emprego da Auditoria Baseada em Riscos – ABR, visando
ganhar produtividade, eficácia nos testes dos controles chaves dos riscos críticos
para o negócio da instituição. Agrega Valor.
®
© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016
Prof. Dr. Antonio Celso Ribeiro Brasiliano
,
CIGR,CRMA,CES,DEA,DSE,MBS
Doutor em Science et Ingénierie de L’Information et de L’Intelligence Stratégique (Ciência e Engenharia da Informação e Inteligência
Estratégica) pela UNIVERSITÉ EAST PARIS - MARNE LA VALLÉE – Paris – França; Master Degree - Diplome D´Etudes Approfondies (DEA) en
Information Scientifique et Technique Veille Technologique (Inteligência Competitiva) pela UNIVERSITE TOULON – Toulon - França; Especializado
em: Inteligência Competitiva pela Universidade Federal do Rio de Janeiro - UFRJ; Gestión da Seguridad Empresarial Internacional – Universidad
Pontifícia Comillas de Madrid – Espanha; Curso de Gestión da Seguridad Empresarial - Universidad Pontifícia Comillas de Madrid – Espanha;
Planejamento Empresarial, pela Fundação Getúlio Vargas - SP; Elaboração de Currículos pelo Centro de Estudos de Pessoal do Exército - CEP,
Bacharel em Ciências Militares, graduado pela Academia Militar das Agulhas Negras; Bacharel em Administração de Empresas – Universidade
Mackenzie; Certificado em Gestão de Riscos: Certificácion Internacional de Gestión de Riesgos – CIGR pela CEAS Espanha - Certification in Risk
Management Assurance – CRMA, pelo IIA Global – Institute of Internal Auditors, Certificado como Especialista em Segurança Empresarial – CES
pela ABSO. Autor dos livros: Inteligência em Riscos: gestão Integrada em Riscos, com a inclusão do COSO ERM 2017 e ISO 31000: 2018
“Mundo VICA – Volátil, Incerto, Complexo, Ambíguo. Estamos Preparados?”; “Inteligência em Riscos: Gestão Integrada em Riscos Corporativos”;
“Gestão de Risco de Fraudes, Fraud Risk Assessment – FRA”; “Gestão de Continuidade de Negócios – GCN”; “Guia Prático para a Gestão de
Continuidade de Negócios”; “Cenários Prospectivos em Gestão de Riscos Corporativos: um estudo de caso brasileiro”; “Gestão e Análise de
Riscos Corporativos: Método Brasiliano Avançado” – Alinhado com a ISO 31000; "Análise de Risco Corporativo – Método Brasiliano"; “Manual de
Análise de Risco Para a Segurança Empresarial”; “Manual de Planejamento: Gestão de Riscos Corporativos”; “A (IN)Segurança nas Redes
Empresarias: A Inteligência Competitiva e a Fuga Involuntária das Informações”; “Planejamento da Segurança Empresarial: Metodologia e Implantação”; Coautor dos
Livros: “Dicionário de Crime, Justiça e Sociedade” - lançamento em Portugal onde colaborou com especialistas portugueses e demais países da Europa, sendo o único
brasileiro a participar com textos sobre Fraudes Corporativas; “Manual de Planejamento Tático e Técnico em Segurança Empresarial”; “Segurança de Executivos"
-Noções Antissequestro e Sequestro: Como se Defender; Idealizador da Solução em Inteligência em Riscos Corporativos INTERISK; Professor Convidado do IPT da
USP do Programa de Mestrado, para aulas de Análise de Riscos, da Fundação Dom Cabral e da Faculdade Trevisan para Cursos de Gestão de Riscos; Atual Coordenador
Técnico e Professor do MBA - Gestão de Riscos Corporativos e Cursos de Extensão nos temas de Riscos, Compliance, Gestão de Continuidade de Negócios, Auditoria
Baseada em Riscos, Controles Internos, Segurança Corporativa, todos em convênio com a Faculdade de Engenharia de São Paulo – FESP; Membro do Institute of
Internal Auditors IIA; do Instituto dos Auditores Internos do Brasil – IIA Brasil; Membro da Associação Brasileira de Profissionais de Segurança Orgânica – ABSO,
Coordenou a 1ª Pesquisa de Vitimização Empresarial 2003 – Contrato pela PENUD/ONU/SENASP; Profissional com mais de 30 anos de experiência em Gestão de Riscos;
Palestrante nacional em inúmeros eventos da área de riscos, compliance, auditoria, controles internos e segurança corporativa. Palestrante Internacional em eventos na
Argentina, Paraguai, África e Japão (convidado pela Organização Pan-Americana de Saúde-OPAS, como expert em Planos de Contingência, na Conferência Mundial de
Redução de Desastres, Yokohama). Experiência internacional em consultoria GRC em Portugal, Cabo Verde, Angola, Moçambique, Uruguai, Argentina, Paraguai,
Colômbia, México. Membro da Comissão de Estudo Especial de Gestão de Riscos da ABNT/CEE-63 – ISO 31000/31010/31004 – Gestão de Riscos e ISO 22301/22313
Gestão de Continuidade de Negócio – Segurança da Sociedade. É Presidente da BRASILIANO INTERISK.
®
© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016
®
© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016
®
© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016
®
© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016
®
CONCEITO, DEFINIÇÃO, ABRANGÊNCIA DA
AUDITORIA
“AUDITORIA INTERNA é uma atividade independente e
objetiva que presta serviços de avaliação (assurance) e
consultoria, e tem como objetivo adicionar valor e
melhorar as operações de uma organização.
Auxilia a
organização a alcançar seus objetivos
, adotando uma
abordagem sistemática e disciplinada para a avaliação e
melhoria da
eficácia dos processos de gerenciamento de
riscos, de controle e governança corporativa
”
®
CONCEITO, DEFINIÇÃO, ABRANGÊNCIA DA
AUDITORIA
Finalidade da Auditoria Interna
A Auditoria Interna tem por finalidade desenvolver um
plano de
ação
que auxilie a organização a alcançar seus
objetivos
adotando
uma
abordagem sistêmica e disciplinada
para a
avaliação e
melhora da eficácia dos processos de gerenciamento de
riscos
com o
objetivo de adicionar valor e melhorar as
operações e resultados de
uma organização.
®
IIA – The Institute of Internal Auditors – define Auditoria Baseada em Riscos –
ABR:
Como uma metodologia que associa a auditoria interna no arcabouço global da
gestão de riscos de uma organização.
A ABR possibilita que a auditoria interna garanta ao conselho de administração,
que os processos de gestão de riscos estão administrando os riscos de maneira
eficaz em relação ao apetite ao riscos.
®
© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016
Conclusão
O QUE É RISCO?
Costuma-se entender risco
como possibilidade de
algo não dar certo
.
Mas seu conceito atual no mundo corporativo vai além
: envolve a quantificação e a
qualificação da incerteza, tanto no que diz respeito às
perdas quanto aos ganhos
por
indivíduos ou organizações.
Sendo o risco inerente a qualquer atividade –
e impossível de eliminar
–, a
sua
administração é um elemento-chave
para a sobrevivência das instituições e empresas.
Fonte: Cadernos de Governança Corporativa – Gerenciamento de Riscos Corporativos: Evolução em Governança e
Estratégia – IBGC - 2017
®
© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016
Conclusão
COMPONENTES DO RISCO
Para a exata delimitação do risco, devem-se identificar os três componentes:
causas, as fontes, os fatores
de risco;
o evento em si
e
as consequências
, que
são os efeitos financeiros, operacionais, legais,
imagem, recursos humanos...
®
© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016
Conclusão
O QUE SÃO CAUSAS, FONTES OU FATORES DE RISCOS?
Riscos
são incidentes ou ocorrências
originadas a partir de fontes internas
ou externas
que podem impactar negativamente ou positivamente a instituição.
O risco é composto por fatores de riscos
– causas –
internas e externas
.
Para
compreender
sua potencialidade
há a necessidade de decompor o risco
®
© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016
Risco
Fator de Risco – Causa - Fonte
ISO 31010
Técnicas de Análise
de Riscos
®
®
Identificação dos Fatores de Riscos – Diagrama de Causa e Efeito
R1 Manipulação de quantidade recebidas - Fraude
R2 Recebimento de produtos fora da
especificação de qualidade
®
© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016
Apetite de Risco
Apetite de risco é a quantidade de risco
que a empresa deseja assumir para conseguir
atingir seus objetivos
.
Ou podemos dizer também que apetite de risco é a quantidade de riscos, no sentido mais
amplo, que uma organização está disposta a aceitar em sua busca para agregar valor.
O apetite de risco reflete toda a filosofia administrativa de uma organização e, por sua
®
© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016
Apetite de Risco
A
fixação do apetite de risco permite determinar na empresa o binômio risco x benefício
,
controlar e manter os riscos em níveis desejados.
Para tanto, para possibilitar a concretização de geração de valor nas organizações, estas
devem
fazer um balanço entre riscos x oportunidades x apetite de risco
, e, servir de
guia
para a tomada de decisões, alocação de recursos e a definição do alinhamento de toda
empresa para a busca dos objetivos fixados.
Permite fazer um monitoramento das ações, resultados e dos níveis de riscos
associados.
®
Fonte:
Exposição
®
APETITE AO RISCO: NÍVEIS DE ACEITAÇÃO
1 - Monitoramento
2 – Apetite de Risco
3 – Tolerância ao Risco
4 – Capacidade de Risco
®
A eficácia da ABR depende:
1. Avaliar a eficácia do processo de gestão de riscos:
•
Estruturado?
•
Possui política?
•
Alinhado com o apetite definido?
•
Alinhado com a estratégia e objetivos estratégicos?
•
Possui metodologia?
•
Possui métricas por disciplinas de riscos?
•
Controla a 1
ª
linha?
•
Consolida e integra riscos?
•
Utiliza Software?
•
Realiza reportes contínuos para a alta gestão?
•
Riscos e controles chaves são reportados e tratados?
®
Segurança
TI/Cibernética
▪
Rede de comunicação
▪
Aplicações
▪
Vírus
Segurança
Pessoal
▪
Sequestros
▪
Assaltos
▪
Epidemias (Avian Flu)
▪
Acidentes
FORNECEDORES
▪
Encerramento repentino de contrato
▪
Novas regulamentações
▪
Falência
Segurança na Cadeia
Logística
• Armazenagem
▪
Distribuição
▪
Transporte
▪
Greves
NEGÓCIOS
▪
Disponibilidade
▪
Imagem
GRC
Segurança Física
▪
Incêndio
▪
Alagamento
▪
Desabamento
▪
Ataque terrorista
▪
Blackout
PROCESSOS
▪
Fraudes
▪
Ineficiência
▪
Segurança
ABRANGÊNCIA DA SEGURANÇA CORPORATIVA
®
ABRANGÊNCIA GERA INÚMERAS DISCIPLINAS……..
1. Riscos estratégicos.
2. Riscos operacionais – ligados a
operação.
3. Riscos nos processos.
4. Riscos de tecnologia da
informação.
5. Riscos de meio ambiente.
6. Riscos de saúde e segurança do
trabalhador.
7. Riscos de segurança empresarial.
8. Riscos financeiros.
9. Riscos legais.
10. Riscos sociais.
11. Riscos de sustentabilidade.
12. Riscos de comunicação.
13. Riscos de fraudes.
14. Riscos na cadeia logística.
15. Riscos no projeto.
16. Outras tantas disciplinas.
As várias disciplinas de riscos, devem ser, gerenciadas, de forma integrada.
O que significa isto?
®
Apesar da grande diversidade e abrangência, devem utilizar um mesmo FRAMEWORK para a
Instituição toda!
O que pode e deve mudar? Ferramentas e critérios para estimar probabilidades e
impactos/consequências dos riscos
Mas TODAS AS DISCIPLINAS IRÃO PARA UMA ÚNICA MATRIZ!
Qual a razão dos riscos irem para uma única Matriz de Riscos?
A Instituição falar a mesma linguagem, saber a criticidade do risco e o apetite de risco.
Significa que os Gestores de Riscos, com o apoio e Suporte da Alta Gestão,
devem:
®
A instituição possuir várias políticas – diretrizes de gestão de riscos;
A instituição possuir inúmeros Framework’s – um para cada disciplina,
alegando especificidade;
A instituição possuir várias metodologias, a forma como fazer o gerenciamento
de riscos;
A instituição possuir várias matrizes de riscos, uma matriz por disciplina de
risco. ACONTECE O QUÊ?
®
O QUE NÃO DEVE ACONTECER?
A Alta Gestão e o Conselho de Administração da Empresa não
terão condições de supervisionar os riscos estratégicos e
críticos, farão voo cego, pois ficam sem parâmetros claros.
®
Consequência
®
1. POLÍTICA DE GESTÃO DE RISCOS – APETITE AO RISCO E RESPONSABILIDADES
DOS “RISK’S OWNER”
2. PROCESSO DE GESTÃO DE RISCOS COM MÉTRICAS E METODOLOGIAS - DESCRIÇÃO
POR DISCIPLINA
Matriz Única para a Empresa,
INCLUINDO A AUDITORIA
,
Independente da disciplina e métrica
®
ISO 31000
COSO II
PROCESSO INTEGRADO - MÉTODO BRASILIANO - COM FERRAMENTA DE TI INTERISK
COSO I - Revisão 2013
COSO ERM - Revisão 2017
®
Relato de informação financeira e não financeira, interna e externamente. Considera aspectos de fiabilidade, tempestividade,
transparência e outras características relevantes.
Dado grande enfoque na formalização de papéis, julgamento e responsabilidades da alta administração para reforçar o seu mandato
Detalhamento de cada um destes componentes foi aprimorado para um total de 17 princípios e devem estar presentes e operantes por
toda a entidade.
®
Um novo conceito
®
Tipos de
Controle
Características
Preventivos
Desenhado para prevenir resultados indesejados Reduzem a
possibilidade de sua ocorrência e detecção.
Exemplo: Cheques com duas assinaturas; Empenho prévio; Cadastro
de fornecedores; etc
Detectivos
Desenhado para detectar fatos indesejáveis. Detectam a
manifestação/ocorrência de um fato.
Exemplo: Conciliação de contas: Bancos, Contas a Receber,
Pagar, etc.
Preventivos são os controles que atuam sobre os fatores de riscos do diagrama de causa e efeito, ou seja, são
controles que irão prevenir o risco, fazer com que a probabilidade de ocorrência do riscos diminua.
Detectivos são controles que atuam após a ocorrência do risco, ou seja, detecta que ocorreu um evento (riscos) e
faz com que seu impacto seja mitigado.
Exemplo: Processo de Expedição
• Risco: Desvio de Material
• Fator de risco: Expedição não autorizada de materiais
• Controle Preventivo: Dupla conferência – Permite liberar o material apenas com a assinatura do conferente e
do líder de expedição (Age sobre o fator de risco “Expedição não autorizada de materiais”) – Se o controle for
eficaz diminuirá a probabilidade do risco.
• Controle Detectivo: Inventário Mensal – Permite detectar divergências mensais entre a quantidade física e
quantidade em sistema, caso tenha ocorrido algum desvio (Age sobre o risco “Desvio de Material”). Se o
controle for eficaz diminuirá o impacto do risco.
®
Revisão Estratégica
COSO ERM – 2017
INTEGRADO COM ESTRATÉGIA E DESEMPENHO
objetivos estratégicos, estratégia devem estar alinhados com
a missão, visão e valores da organização
•
Objetivos Estratégicos e a Estratégias
•
Desempenho
Processo de Gestão de
Riscos e alinhados com
o Apetite de Risco
®
COSO ERM – 2017
INTEGRADO COM ESTRATÉGIA E DESEMPENHO
®
Materialidade do Risco
Vulnerabilidade residual:
exposição ao risco após tomar as medidas julgadas
adequadas - grau de preparação atuante
(exposição não tratável no absoluto ou não tratável porque o custo
marginal de tratar é maior que o benefício marginal de tratar)
Vulnerabilidade Passível de Redução por Atuação
Grau de Preparação (Redutor de
Vulnerabilidade)
Redução Máxima da Vulnerabilidade
Considerando Grau de Preparação
Atuante
Atuante
Intermediário
Insuficiente
Que é a exposição ao risco depois de tomadas as ações de tratamento
CONCEITO IMPORTANTE É A
VULNERABILIDADE RESIDUAL
®
VISÃO DE ANTECIPAÇÃO - RISCOS
®
© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016
Fonte: 13
aRelatório de Riscos Globais do Fórum Mundial 2018
Se, o gestor de riscos fizer o “feijão com arroz”, ou seja identificar a
Criticidade de cada Risco pela Probabilidade x Impacto
®
© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016
O que o Fórum Mundial pede que façamos além de identificar a
Criticidade de cada risco?
Tenho que identificar a
Motricidade entre os
riscos, suas
interconectividade.
Saber o que um risco
influência em outro!
®
© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016
O que o Fórum Mundial pede que façamos além de identificar a
Criticidade de cada risco?
Na Gestão de Riscos
identificamos a
Motricidade entre os
riscos utilizando o
Teorema de Bayes,
Probabilidades
Condicionantes,
facilitada pela Técnica
dos Impactos
Cruzados.
®
© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016
O que isto significa na prática?
®
© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016
O que isto significa na prática?
®
© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016
O que isto significa na prática?
®
© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016
O que isto significa na prática?
Matriz de Motricidade – Interdependência
Motricidade Matriz de Impactos Cruzados
INTERCONECTIVIDADE ENTRE RISCOS
®
© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016
O que isto significa na prática?
®
Faltam conexões entre as
disciplinas
Disciplinas de Riscos são Ilhas
Falta Visão Holística
Qual a consequência da falta
destas conexões?
Miopia para enxergar o Risco
Sistêmico
®
“N” Disciplinas, com “N” ferramentas e métricas
personalizadas, mas todas debaixo do mesmo Processo e
Matriz de Risco! O Resultado é a Inteligência em Riscos,
onde há análise e interpretação das informações.
®
®Brasiliano INTERISK – O valor da Inteligência
Processo Crítico x Risco Inerente Crítico x Controles Chaves = Risco Residual
dentro do Apetite ao Risco
®
Não tem cabimento no século XXI, instituições de porte, ainda estarem
realizando a Gestão de Riscos no Famoso anacrônico denominado “S.A.P.”
AS INSTITUIÇÕES DEVEM, OBRIGATORIAMENTE,
TRABALHAREM COM FERRAMENTA DE TI
SAP = Sistema Avançado de Planilha
O que gera inúmeros riscos!
Solução com Ferramenta de TI
Com integrações automatizadas
®
A eficácia da ABR depende:
2. Avaliar os controles chaves dos riscos inerentes críticos
dos processos relevantes para o negócio
®
Risco Inerente
Fatores de Riscos x
Controles
Risco Residual
FR. 278
(Ausência de local coberto adequado para as coletas de amostras dos caminhões
em dias de chuva)
Risco 124
(Recebimento de produtos fora da especificação de qualidade)FR. 279
(Manipulação dos resultados das amostrasde qualidade)
C.190
(Amostra de qualidade do produto entregue)FR. 281
(Existência de pragas no local de armazenagem)C.185
(Controle magnético)FR. 282
(Conluio entre o descarregamento e o motorista)C.188
(Recebimento de Ticket de pesagem)(
I
|P)
(
E
|P)
Risco 124
(Recebimento de produtos fora da especificação de qualidade)Média Probabilidade:
3.92
Muito Alta
Média Impacto:
4.00
Severo
Média Probabilidade:
2.58
Alta
Média Impacto:
4.00
Severo
(
E
|P)
Legenda:
(
I
) - Ineficaz
(
E
) - Eficaz
(P) - Preventivo
(D) - Detectivo
®
FR. 271
(Solicitação informal do cliente para entrada do produto)
Risco 122
(Registro de produtos não recebidos)FR. 272
(Ausência de formalização do escritório para balança)FR. 273
(Liberação de entrada dos caminhões através da identificação pessoal do motorista)
FR. 274
(Recebimento de produto sem aviso do cliente)
C.185
.
(Controle magnético)(
I
|P)
Risco 122
(Registro de produtos não recebidos)Média Probabilidade:
4.58
Elevada
Média Impacto:
3.18
Moderado
Média Probabilidade:
4.17
Muito Alta
Média Impacto:
3.18
Moderado
C.186
. (Confirmação do cliente)(
I
|P)
FR. 275
(Falta de energia no armazém não permitindo o funcionamento da balança)
FR. 276
(Ausência de nobreak e/ou gerador para a balança)
FR. 277
(Manipulação das divergências de peso entrega)
C.187
.(Validação da nota fiscal de entrada)
(
E
|P)
FR. 282
(Conluio entre o descarregamento e o motorista)
C.188
.(Ticket de pesagem)
(
E
|P)
FR. 283
(Ausência de padrão para as informações de recusas dos produtos)
FR. 284
(Manipulação do lastro do caminhão pelo motorista)
C.187
.(Validação da nota fiscal de entrada)
(
E
|P)
FR. 285
(Ausência de integração sistêmica entre a balança (entrada) e o sistema Alfa
C.191
.(Registro de estoque)
(
I
|D)
FR. 286
(Ausência de tempestividade no registro de entrada de estoque)
C.188
. (Ticket de pesagem)(
E
|P)
C.186
.
(Confirmação do cliente)(
I
|P)
C.188
. (Ticket de pesagem)(
E
|P)
C.188
. (Ticket de pesagem)(
E
|P)
C.191
. (Registro de estoque)(
I
|D)
Legenda:
(
I
) - Ineficaz
(
E
) - Eficaz
(P) - Preventivo
(D) - Detectivo
Estudo de Caso
Análise de Riscos - Inerente e Residual
®
No exemplo utilizado
necessário implementar
controles preventivos para
inibir os fatores de riscos e
implementar controles
detectivos e mitigadores
(exemplos - plano de
emergência, plano de crise,
plano de continuidade de
negócios) visando diminuir o
impacto
®
Alguns Casos:
Onde estavam os Auditores?
®
FRAUDE
–
2015
- VW
“ ATÉ 2018, QUEREMOS LEVAR O GRUPO AO
TOPO DA INDÚSTRIA GLOBAL”
Martin Winterkorn – Presidente em 2011na
montadora no Tennessee - USA
“ ATÉ 2018, QUEREMOS LEVAR O GRUPO
AO TOPO DA INDÚSTRIA GLOBAL”
Martin Winterkorn – Presidente em 2011na
montadora no Tennessee - USA
Ações caíram 34%
®
Fraude – Petrobrás
Consequência direta:
- Queda do valor das ações + 50%
- Credibilidade da diretoria e Petrobrás
- Paralização de obras
®Brasiliano INTERISK – O valor da Inteligência
Wells Frago - 2016
O Presidente pediu
Desculpas e assumiu o
erro, mas não adiantou....
®Brasiliano INTERISK – O valor da Inteligência
A Importância de uma Adequada Gestão de Riscos
Apetite de Risco Alto?
BP - British Petroleum, em 2007
Uma Comissão de inquérito dos Estados Unidos atribui o desastre a:
FALHAS DE GESTÃO, QUE INCAPACITAVA OS INDIVÍDUOS ENVOLVIDOS NA
IDENTIFICAÇÃO, AVALIAÇÃO, COMUNICAÇÃO E TRATAMENTO DOS RISCOS
DE FORMA ADEQUADA!
Quando Tony Hayward tornou-se CEO da BP em 2007, ele jurou
fazer segurança sua prioridade máxima. Dentre as novas regras
que ele instituiu, a necessidade de que todos os funcionários
usassem tampas
em xícaras de café durante a caminhada e
abstivessem de escrever mensagens de texto enquanto dirigiam.
®
®
®
®
© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016
Fonte: IBGC – Cadernos de Governança - Gerenciamento de Riscos Corporativos – Evolução em Governança e Estratégia – 2017.
PONTOS DE REFLEXÃO PARA OS AUDITORES
GESTÃO DE RISCOS CORPORATIVOS
•
O que pode comprometer o cumprimento das estratégias e metas?
•
Onde estão as maiores oportunidades, ameaças e incertezas?
•
Quais são os principais riscos?
•
Como a Cooperativa responde aos riscos?
•
Existem informações confiáveis para tomada de decisões?
•
O que é feito para assegurar que os riscos estejam em um nível aceitável?
•
A cooperativa possui consciência da importância do processo de gestão de
riscos?
•
A cooperativa tem as competências necessárias para gerir riscos assumidos?
•
Quem identifica e monitora ativamente os riscos da Cooperativa?
®
Disruptiva
Veloz
Ágil
A
Revolução
4.0
impacta
as
mais
diversas
áreas
das
empresas,
está
invertendo a forma de pensar, trabalhar,
produzir....novas
competências
serão
necessárias!!
O Mundo vive hoje turbulências imprevisíveis e mudanças exponenciais para as
quais as empresas e seus líderes não estão preparados!
®
A Revolução Industrial 4.0 integra as
tecnologias físicas e lógicas, como Inteligência
Artificial, Robótica, Computação Cognitiva,
Analytics e Internet das Coisas (IoT).
HAVENDO INTERCONECTIVIDADE EM TUDO!
As outras revoluções industriais vieram com inovações
tecnológicas, com o objetivo de trazer maior
produtividade e eficiência aos processos.
AS EMPRESAS NECESSITAM QUEBRAR DOGMAS DA
ADMINISTRAÇÃO, ASSUMIR RISCOS, SER OUSADAS
®
VOLUME DE INFORMAÇÕES E DADOS:
•
CISCO estima que em 2020 haverá 50 bilhões de
dispositivos conectados à internet.
•
Dezenas de bilhões de telas.
•
Três bilhões de sensores em nossos carros.
O conhecimento é dobrado a cada dois anos!
CONTEXTO DO MERCADO CORPORATIVO E AS ABORDAGENS
ESTRATÉGICAS DAS EMPRESAS
®
TENHO QUE SABER ONDE DEVO AUDITAR, ASSESSORAR, OBSERVAR, PERGUNTAR,
INVESTIGAR, POIS A ABRANGÊNCIA É MUITO GRANDE, O VOLUME DE DADOS E
®
A REVOLUÇÃO INDUSTRIAL 4.O IMPACTA DIRETAMENTE EM
4 PILARES ESTRATÉGICOS
•
ESTRATÉGIA DA EMPRESA
•
TECNOLOGIA
•
TALENTOS E FORÇA DE TRABALHO
•
IMPACTO SOCIAL
®
ANTECIPAÇÃO
A GESTÃO DE RISCOS E AUDITORIA DEVEM QUEBRAR UM PARADIGMA:
NÃO PODEM
®
V
U
C
A
Volatilitity
Volatilidade
Uncertainty
Incerteza
Complexity
Complexidade
Ambiguity
Ambiguidade
1. Aceitar
2. Não pensar demais
3. Mover-se
VICA
®
V
I
C
A
Volatilidade
Incerteza
Complexidade
Ambiguidade
Visão
Velocidade
Agilidade
Abundância
Entendimento
Não ortodoxia – Não Dogmatizar
Colaboração
Entender a conectividade
Cocriação
Interdependência
®
6 D’s
®
Riscos que Impactam a Estratégia de Negócio da Empresa, fazendo com que
não cumpra com seus objetivos!
Trajetória da
Empresa
A empresa necessita alinhar sua estratégia de negócio, neste ambiente
turbulento, aos Riscos....
Objetivos
das Diretrizes
Estratégicas
Os riscos devem ser antecipados, o Planejamento Estratégico deve possuir uma
abordagem múltipla de mercado.
®
A gestão de riscos torna a empresa mais resiliente aos efeitos das
incertezas e mais HÁBIL em alcançar seus objetivos Estratégicos.
AMBIDESTRA
Remediação
Prevenção
Mitigação
Objetivos
Estratégicos
®
© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016
Conclusão
PERFIL DO AUDITOR INTERNO
Característica do Nexialista, onde a habilidade principal é a conectividade.
®
14 Dezembro de 2011
Dezembro de 2011 - Adaptação da
Guidance on the 8th EU Company Law Directive da ECIIA
(Confederação Europeia dos Institutos de Auditoria Interna) / /FERMA (Federação Europeia de Associações de Gerenciamento de Riscos), artigo 41
Normas imposta pela legislação europeia aplicáveis às empresas em toda a União Europeia.
®
Funções que
gerenciam
e são
proprietários
dos riscos
Funções que
supervisionam
os riscos
Facilitadores
Funções que
fornecem
avaliações
independentes
Janeiro de 2013
LINHAS DE DEFESA
®
O modelo apresenta um novo ponto de vista sobre as operações,
ajudando a garantir o sucesso contínuo das iniciativas de gerenciamento de
riscos, e é aplicável a qualquer organização - não importando seu tamanho
ou complexidade.
Mesmo em empresas em que não haja uma estrutura ou
sistema formal de gerenciamento de riscos, o modelo de Três Linhas de
Defesa pode melhorar a clareza dos riscos e controles e ajudar a aumentar a
eficácia dos sistemas de gerenciamento de
riscos.
O modelo de Três Linhas de
Defesa é uma forma simples e
eficaz
de
melhorar
a
comunicação do gerenciamento
de riscos e controle por meio do
esclarecimento
dos
papéis
e
responsabilidades essenciais.
®
A gerência operacional é responsável por manter controles internos
eficazes e por conduzir procedimentos de riscos e controle diariamente.
A gerência operacional identifica, avalia, controla e mitiga os riscos,
guiando o desenvolvimento e a implementação de políticas e
procedimentos internos e garantindo que as atividades estejam de
acordo com as metas e objetivos. Deve haver controles de gestão e de
supervisão adequados em prática, para garantir a conformidade e para
enfatizar colapsos de controle,
processos inadequados e eventos inesperados.
Como primeira linha de defesa,
os
gerentes
operacionais
gerenciam os riscos e têm
propriedade sobre eles. Eles
também são os responsáveis
por
implementar
as
ações
corretivas
para
resolver
deficiências em processos e
controles.
®
Uma função (e/ou comitê) de gerenciamento de riscos que facilite
e monitore a implementação de práticas eficazes de gerenciamento de
riscos por parte da gerência operacional e auxilie os proprietários dos
riscos a definir a meta de exposição ao risco e a reportar adequadamente
informações relacionadas a riscos em toda a organização.
Segunda Linha como
supervisora e facilitadora da
primeira linha de defesa.
Dupla Função!
®
As responsabilidades dessas funções incluem:
1. Apoiar as políticas de gestão, definir papéis e responsabilidades e
estabelecer metas para implementação.
2. Fornecer estruturas de gerenciamento de riscos.
3. Identificar questões atuais e emergentes.
3. Identificar mudanças no apetite ao risco implícito da organização.
4. Auxiliar a gerência a desenvolver processos e controles para
gerenciar riscos e questões.
Como
funções
de
gestão,
elas
podem
intervir
diretamente,
de
modo a modificar e desenvolver o
controle interno e os sistemas de
riscos.
Portanto,
não
pode
oferecer
análises
verdadeiramente
independentes aos órgãos de
governança
acerca
do
gerenciamento de riscos e dos
controles internos.
®
E
NTRADA
Mapa de Riscos
das Disciplinas
Fatores de Riscos
Críticos /
Relevantes das
Disciplinas
Controles Chaves
Suportam os
Fatores de Riscos
Críticos
Planos de Ações
GRC
Realiza:
Análises
Interpretações
Estudos de
Impactos Cruzados
Estudos de
Interconectividade
Consolidação
das Informações
Supervisiona e
Capacita a
Aplicação da
Metodologia
SAÍ
DA
Mapa de Riscos
Integrado
Riscos Críticos dos
Processos Críticos
Fatores de Riscos
Críticos e
Controles Chaves
que suportam os
Fatores Riscos
Críticos
Controle dos
Planos de Ações:
Eficácia e
Implantação
Listagem
Processos / Áreas
Críticas para o
Negócio
Produtos da
Primeira Linha:
VISÃO DOS RISCOS POR
ÁREA
GERÊNCIA/DIRETORIA
Função da Segunda Linha
Produtos da
Segunda Linha
VISÃO HOLÍSTICA
ESTRATÉGICA
EMPRESA COMO UM TODO
Inteligência em Riscos
Corporativos - IRC
®
A auditoria interna provê avaliações sobre a eficácia da governança,
do gerenciamento de riscos e dos controles internos, incluindo a
forma como a primeira e a segunda linhas de defesa alcançam os
objetivos de gerenciamento de riscos e controle
Os auditores internos fornecem
ao órgão de governança e à
alta administração avaliações
abrangentes baseadas no
maior nível de
independência e
objetividade dentro da
organização.
CONCEITOS ESTRATÉGICOS
®
Auditoria Baseada em Riscos - ABR,
otimiza tempo de coleta de dados,
cerca de 60%, foca em análise,
interpretação e verificação.
®
®
Padrão 2120 – Gerenciamento de riscos
A atividade de auditoria interna deve avaliar a eficácia e contribuir para a melhoria
do processo de gerenciamento de riscos.
Interpretação: Determinar se os processos de gerenciamento de risco são efetivos é
um julgamento resultante da avaliação do auditor interno de que:
• Os objetivos organizacionais apoiam e se alinham com a missão da organização.
• São identificados e avaliados riscos significativos.
• São selecionadas respostas de riscos apropriadas, com alinhamento do
apetite de riscos.
•
As informações dos riscos relevantes são capturadas e comunicadas em
tempo hábil em toda a organização, permitindo que o pessoal, a administração
e o conselho executem suas responsabilidades.
®
© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016
®
1. Comunicação e Consulta
AUDITORIA BASEADA EM RISCOS - ABR
Início
Durante
Término
Partes Interessadas, 1
ª
,2
ª
, Alta Direção,
®
2. Contexto Interno e Externo
®
AUDITORIA BASEADA EM RISCOS - ABR
®
Processo
Avaliado
3. Identificação dos Processos Críticos - BIA
®
Análise do Gestor
Análise do Auditor
3. Identificação dos Processos Críticos - BIA
®
3. Identificação dos Processos Críticos – BIA (
Gestor
)
AUDITORIA BASEADA EM RISCOS - ABR
®
4. Risco Inerente - Contextualização
®
Análise do Gestor
Análise do Auditor
4. Risco Inerente - Contextualização
®
4. Risco Inerente - Matriz de Risco (
Gestor
)
®
4. Risco Inerente - Matriz de Risco (
Auditor
)
®
5. Risco Residual - Controles Chaves
®
6. Testes de Controles - Avaliação dos Controles
AUDITORIA BASEADA EM RISCOS - ABR
®
Risco
Avaliado
Controle
Avaliado
6. Testes de Controles - Avaliação dos Controles
®
6. Testes de Controles - Parecer dos Controles
®
Análise do Gestor
Análise do Auditor
6. Testes de Controles - Avaliação do Risco Residual
®
6. Risco Residual - Matriz de Risco (
Gestor
)
AUDITORIA BASEADA EM RISCOS - ABR
®
7. Plano de Ação
®
7. Plano de Ação
AUDITORIA BASEADA EM RISCOS - ABR
®
© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016
8. Monitoramento e Análise Crítica
AUDITORIA BASEADA EM RISCOS - ABR
Processo Crítico x Risco
Inerente Crítico x Controles
Chaves = Risco Residual
dentro do Apetite ao Risco
®
Resultado:
1)Valida o Processo de GRC
2) Testa a Eficácia dos Controles Chaves
3) Sugere Linhas Gerais do Plano de Ação
para o Gestor, tendo em vista, a
Ineficácia do Controle
4) Comunica e Relaciona com os Comitês,
Conselho e Diretoria
5) Assessora as Gerências da Primeira e
Segunda Linha
Ci
cl
o
Anu
al
Produtos:
Processos
Críticos
Especiais
Contínuas
CONCLUSÃO
®