Brasiliano INTERISK O valor da Inteligência

(1)

(2)

®

Curitiba, 28 de junho de 2018

Prof. Dr. Antonio Celso Ribeiro Brasiliano, CIGR, CRMA, CES,DEA, DSE, MBS

Presidente da Brasiliano INTERISK

(3)

®

Sumário

1. Objetivos do Seminário

2. Facilitador

3. Auditoria Baseada em Riscos x Auditoria Tradicional

4. Contexto do Ambiente Empresarial

5. Processos e Conceitos de Boas Práticas para operacionalizar as Três

Linhas de Defesa

6. Três Linhas de Defesa, Aplicação e Conceito Estratégico: funções e

responsabilidades

(4)

®

1. Apresentar o contexto empresarial neste século XXI;

2. Apresentar o contexto do gerenciamento de riscos corporativos integrado com os

modelos de governança, compliance e auditoria – Três Linhas de Defesa: funções e

responsabilidades;

3. Apresentar o conceito e emprego da Auditoria Baseada em Riscos – ABR, visando

ganhar produtividade, eficácia nos testes dos controles chaves dos riscos críticos

para o negócio da instituição. Agrega Valor.

(5)

®

© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016

Prof. Dr. Antonio Celso Ribeiro Brasiliano

,

CIGR,CRMA,CES,DEA,DSE,MBS

Doutor em Science et Ingénierie de L’Information et de L’Intelligence Stratégique (Ciência e Engenharia da Informação e Inteligência

Estratégica) pela UNIVERSITÉ EAST PARIS - MARNE LA VALLÉE – Paris – França; Master Degree - Diplome D´Etudes Approfondies (DEA) en

Information Scientifique et Technique Veille Technologique (Inteligência Competitiva) pela UNIVERSITE TOULON – Toulon - França; Especializado

em: Inteligência Competitiva pela Universidade Federal do Rio de Janeiro - UFRJ; Gestión da Seguridad Empresarial Internacional – Universidad

Pontifícia Comillas de Madrid – Espanha; Curso de Gestión da Seguridad Empresarial - Universidad Pontifícia Comillas de Madrid – Espanha;

Planejamento Empresarial, pela Fundação Getúlio Vargas - SP; Elaboração de Currículos pelo Centro de Estudos de Pessoal do Exército - CEP,

Bacharel em Ciências Militares, graduado pela Academia Militar das Agulhas Negras; Bacharel em Administração de Empresas – Universidade

Mackenzie; Certificado em Gestão de Riscos: Certificácion Internacional de Gestión de Riesgos – CIGR pela CEAS Espanha - Certification in Risk

Management Assurance – CRMA, pelo IIA Global – Institute of Internal Auditors, Certificado como Especialista em Segurança Empresarial – CES

pela ABSO. Autor dos livros: Inteligência em Riscos: gestão Integrada em Riscos, com a inclusão do COSO ERM 2017 e ISO 31000: 2018

“Mundo VICA – Volátil, Incerto, Complexo, Ambíguo. Estamos Preparados?”; “Inteligência em Riscos: Gestão Integrada em Riscos Corporativos”;

“Gestão de Risco de Fraudes, Fraud Risk Assessment – FRA”; “Gestão de Continuidade de Negócios – GCN”; “Guia Prático para a Gestão de

Continuidade de Negócios”; “Cenários Prospectivos em Gestão de Riscos Corporativos: um estudo de caso brasileiro”; “Gestão e Análise de

Riscos Corporativos: Método Brasiliano Avançado” – Alinhado com a ISO 31000; "Análise de Risco Corporativo – Método Brasiliano"; “Manual de

Análise de Risco Para a Segurança Empresarial”; “Manual de Planejamento: Gestão de Riscos Corporativos”; “A (IN)Segurança nas Redes

Empresarias: A Inteligência Competitiva e a Fuga Involuntária das Informações”; “Planejamento da Segurança Empresarial: Metodologia e Implantação”; Coautor dos

Livros: “Dicionário de Crime, Justiça e Sociedade” - lançamento em Portugal onde colaborou com especialistas portugueses e demais países da Europa, sendo o único

brasileiro a participar com textos sobre Fraudes Corporativas; “Manual de Planejamento Tático e Técnico em Segurança Empresarial”; “Segurança de Executivos"

-Noções Antissequestro e Sequestro: Como se Defender; Idealizador da Solução em Inteligência em Riscos Corporativos INTERISK; Professor Convidado do IPT da

USP do Programa de Mestrado, para aulas de Análise de Riscos, da Fundação Dom Cabral e da Faculdade Trevisan para Cursos de Gestão de Riscos; Atual Coordenador

Técnico e Professor do MBA - Gestão de Riscos Corporativos e Cursos de Extensão nos temas de Riscos, Compliance, Gestão de Continuidade de Negócios, Auditoria

Baseada em Riscos, Controles Internos, Segurança Corporativa, todos em convênio com a Faculdade de Engenharia de São Paulo – FESP; Membro do Institute of

Internal Auditors IIA; do Instituto dos Auditores Internos do Brasil – IIA Brasil; Membro da Associação Brasileira de Profissionais de Segurança Orgânica – ABSO,

Coordenou a 1ª Pesquisa de Vitimização Empresarial 2003 – Contrato pela PENUD/ONU/SENASP; Profissional com mais de 30 anos de experiência em Gestão de Riscos;

Palestrante nacional em inúmeros eventos da área de riscos, compliance, auditoria, controles internos e segurança corporativa. Palestrante Internacional em eventos na

Argentina, Paraguai, África e Japão (convidado pela Organização Pan-Americana de Saúde-OPAS, como expert em Planos de Contingência, na Conferência Mundial de

Redução de Desastres, Yokohama). Experiência internacional em consultoria GRC em Portugal, Cabo Verde, Angola, Moçambique, Uruguai, Argentina, Paraguai,

Colômbia, México. Membro da Comissão de Estudo Especial de Gestão de Riscos da ABNT/CEE-63 – ISO 31000/31010/31004 – Gestão de Riscos e ISO 22301/22313

Gestão de Continuidade de Negócio – Segurança da Sociedade. É Presidente da BRASILIANO INTERISK.

(6)

®

© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016

(7)

®

© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016

(8)

®

© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016

(9)

®

© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016

(10)

®

CONCEITO, DEFINIÇÃO, ABRANGÊNCIA DA

AUDITORIA

“AUDITORIA INTERNA é uma atividade independente e

objetiva que presta serviços de avaliação (assurance) e

consultoria, e tem como objetivo adicionar valor e

melhorar as operações de uma organização.

Auxilia a

organização a alcançar seus objetivos

, adotando uma

abordagem sistemática e disciplinada para a avaliação e

melhoria da

eficácia dos processos de gerenciamento de

riscos, de controle e governança corporativa

”

(11)

®

CONCEITO, DEFINIÇÃO, ABRANGÊNCIA DA

AUDITORIA

Finalidade da Auditoria Interna

A Auditoria Interna tem por finalidade desenvolver um

plano de

ação

que auxilie a organização a alcançar seus

objetivos

adotando

uma

abordagem sistêmica e disciplinada

para a

avaliação e

melhora da eficácia dos processos de gerenciamento de

riscos

com o

objetivo de adicionar valor e melhorar as

operações e resultados de

uma organização.

(12)

®

IIA – The Institute of Internal Auditors – define Auditoria Baseada em Riscos –

ABR:

Como uma metodologia que associa a auditoria interna no arcabouço global da

gestão de riscos de uma organização.

A ABR possibilita que a auditoria interna garanta ao conselho de administração,

que os processos de gestão de riscos estão administrando os riscos de maneira

eficaz em relação ao apetite ao riscos.

(13)

®

© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016

Conclusão

O QUE É RISCO?

Costuma-se entender risco

como possibilidade de

algo não dar certo

.

Mas seu conceito atual no mundo corporativo vai além

: envolve a quantificação e a

qualificação da incerteza, tanto no que diz respeito às

perdas quanto aos ganhos

por

indivíduos ou organizações.

Sendo o risco inerente a qualquer atividade –

e impossível de eliminar

–, a

sua

administração é um elemento-chave

para a sobrevivência das instituições e empresas.

Fonte: Cadernos de Governança Corporativa – Gerenciamento de Riscos Corporativos: Evolução em Governança e

Estratégia – IBGC - 2017

(14)

®

© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016

Conclusão

COMPONENTES DO RISCO

Para a exata delimitação do risco, devem-se identificar os três componentes:

causas, as fontes, os fatores

de risco;

o evento em si

e

as consequências

, que

são os efeitos financeiros, operacionais, legais,

imagem, recursos humanos...

(15)

®

© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016

Conclusão

O QUE SÃO CAUSAS, FONTES OU FATORES DE RISCOS?

Riscos

são incidentes ou ocorrências

originadas a partir de fontes internas

ou externas

que podem impactar negativamente ou positivamente a instituição.

O risco é composto por fatores de riscos

– causas –

internas e externas

.

Para

compreender

sua potencialidade

há a necessidade de decompor o risco

(16)

®

© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016

Risco

Fator de Risco – Causa - Fonte

ISO 31010

Técnicas de Análise

de Riscos

(17)

®

(18)

®

Identificação dos Fatores de Riscos – Diagrama de Causa e Efeito

R1 Manipulação de quantidade recebidas - Fraude

R2 Recebimento de produtos fora da

especificação de qualidade

(19)

®

© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016

Apetite de Risco

Apetite de risco é a quantidade de risco

que a empresa deseja assumir para conseguir

atingir seus objetivos

.

Ou podemos dizer também que apetite de risco é a quantidade de riscos, no sentido mais

amplo, que uma organização está disposta a aceitar em sua busca para agregar valor.

O apetite de risco reflete toda a filosofia administrativa de uma organização e, por sua

(20)

®

© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016

Apetite de Risco

A

fixação do apetite de risco permite determinar na empresa o binômio risco x benefício

,

controlar e manter os riscos em níveis desejados.

Para tanto, para possibilitar a concretização de geração de valor nas organizações, estas

devem

fazer um balanço entre riscos x oportunidades x apetite de risco

, e, servir de

guia

para a tomada de decisões, alocação de recursos e a definição do alinhamento de toda

empresa para a busca dos objetivos fixados.

Permite fazer um monitoramento das ações, resultados e dos níveis de riscos

associados.

(21)

®

Fonte:

Exposição

(22)

®

APETITE AO RISCO: NÍVEIS DE ACEITAÇÃO

1 - Monitoramento

2 – Apetite de Risco

3 – Tolerância ao Risco

4 – Capacidade de Risco

(23)

®

A eficácia da ABR depende:

1. Avaliar a eficácia do processo de gestão de riscos:

• Estruturado?

• Possui política?

• Alinhado com o apetite definido?

• Alinhado com a estratégia e objetivos estratégicos?

• Possui metodologia?

• Possui métricas por disciplinas de riscos?

• Controla a 1

ª

_linha?

• Consolida e integra riscos?

• Utiliza Software?

• Realiza reportes contínuos para a alta gestão?

• Riscos e controles chaves são reportados e tratados?

(24)

®

Segurança

TI/Cibernética

▪ Rede de comunicação

▪ Aplicações

▪ Vírus

Segurança

Pessoal

▪ Sequestros

▪ Assaltos

▪ Epidemias (Avian Flu)

▪ Acidentes

FORNECEDORES

▪ Encerramento repentino de contrato

▪ Novas regulamentações

▪ Falência

Segurança na Cadeia

Logística

• Armazenagem

▪ Distribuição

▪ Transporte

▪ Greves

NEGÓCIOS

▪ Disponibilidade

▪ Imagem

GRC

Segurança Física

▪ Incêndio

▪ Alagamento

▪ Desabamento

▪ Ataque terrorista

▪ Blackout

PROCESSOS

▪ Fraudes

▪ Ineficiência

▪ Segurança

ABRANGÊNCIA DA SEGURANÇA CORPORATIVA

(25)

®

ABRANGÊNCIA GERA INÚMERAS DISCIPLINAS……..

1. Riscos estratégicos.

2. Riscos operacionais – ligados a

operação.

3. Riscos nos processos.

4. Riscos de tecnologia da

informação.

5. Riscos de meio ambiente.

6. Riscos de saúde e segurança do

trabalhador.

7. Riscos de segurança empresarial.

8. Riscos financeiros.

9. Riscos legais.

10. Riscos sociais.

11. Riscos de sustentabilidade.

12. Riscos de comunicação.

13. Riscos de fraudes.

14. Riscos na cadeia logística.

15. Riscos no projeto.

16. Outras tantas disciplinas.

As várias disciplinas de riscos, devem ser, gerenciadas, de forma integrada.

O que significa isto?

(26)

®

Apesar da grande diversidade e abrangência, devem utilizar um mesmo FRAMEWORK para a

Instituição toda!

O que pode e deve mudar? Ferramentas e critérios para estimar probabilidades e

impactos/consequências dos riscos

Mas TODAS AS DISCIPLINAS IRÃO PARA UMA ÚNICA MATRIZ!

Qual a razão dos riscos irem para uma única Matriz de Riscos?

A Instituição falar a mesma linguagem, saber a criticidade do risco e o apetite de risco.

Significa que os Gestores de Riscos, com o apoio e Suporte da Alta Gestão,

devem:

(27)

®

A instituição possuir várias políticas – diretrizes de gestão de riscos;

A instituição possuir inúmeros Framework’s – um para cada disciplina,

alegando especificidade;

A instituição possuir várias metodologias, a forma como fazer o gerenciamento

de riscos;

A instituição possuir várias matrizes de riscos, uma matriz por disciplina de

risco. ACONTECE O QUÊ?

(28)

®

O QUE NÃO DEVE ACONTECER?

A Alta Gestão e o Conselho de Administração da Empresa não

terão condições de supervisionar os riscos estratégicos e

críticos, farão voo cego, pois ficam sem parâmetros claros.

(29)

®

Consequência

(30)

®

1. POLÍTICA DE GESTÃO DE RISCOS – APETITE AO RISCO E RESPONSABILIDADES

DOS “RISK’S OWNER”

2. PROCESSO DE GESTÃO DE RISCOS COM MÉTRICAS E METODOLOGIAS - DESCRIÇÃO

POR DISCIPLINA

Matriz Única para a Empresa,

INCLUINDO A AUDITORIA

,

Independente da disciplina e métrica

(31)

®

ISO 31000

COSO II

PROCESSO INTEGRADO - MÉTODO BRASILIANO - COM FERRAMENTA DE TI INTERISK

COSO I - Revisão 2013

COSO ERM - Revisão 2017

(32)

®

Relato de informação financeira e não financeira, interna e externamente. Considera aspectos de fiabilidade, tempestividade,

transparência e outras características relevantes.

Dado grande enfoque na formalização de papéis, julgamento e responsabilidades da alta administração para reforçar o seu mandato

Detalhamento de cada um destes componentes foi aprimorado para um total de 17 princípios e devem estar presentes e operantes por

toda a entidade.

(33)

®

Um novo conceito

(34)

®

Tipos de

Controle

Características

Preventivos

Desenhado para prevenir resultados indesejados Reduzem a

_{possibilidade de sua ocorrência e detecção.}

Exemplo: Cheques com duas assinaturas; Empenho prévio; Cadastro

de fornecedores; etc

Detectivos

Desenhado para detectar fatos indesejáveis. Detectam a

_{manifestação/ocorrência de um fato.}

Exemplo: Conciliação de contas: Bancos, Contas a Receber,

Pagar, etc.

Preventivos são os controles que atuam sobre os fatores de riscos do diagrama de causa e efeito, ou seja, são

controles que irão prevenir o risco, fazer com que a probabilidade de ocorrência do riscos diminua.

Detectivos são controles que atuam após a ocorrência do risco, ou seja, detecta que ocorreu um evento (riscos) e

faz com que seu impacto seja mitigado.

Exemplo: Processo de Expedição

• Risco: Desvio de Material

• Fator de risco: Expedição não autorizada de materiais

• Controle Preventivo: Dupla conferência – Permite liberar o material apenas com a assinatura do conferente e

do líder de expedição (Age sobre o fator de risco “Expedição não autorizada de materiais”) – Se o controle for

eficaz diminuirá a probabilidade do risco.

• Controle Detectivo: Inventário Mensal – Permite detectar divergências mensais entre a quantidade física e

quantidade em sistema, caso tenha ocorrido algum desvio (Age sobre o risco “Desvio de Material”). Se o

controle for eficaz diminuirá o impacto do risco.

(35)

®

Revisão Estratégica

COSO ERM – 2017

INTEGRADO COM ESTRATÉGIA E DESEMPENHO

objetivos estratégicos, estratégia devem estar alinhados com

a missão, visão e valores da organização

• Objetivos Estratégicos e a Estratégias

• Desempenho

Processo de Gestão de

Riscos e alinhados com

o Apetite de Risco

(36)

®

COSO ERM – 2017

INTEGRADO COM ESTRATÉGIA E DESEMPENHO

(37)

®

Materialidade do Risco

Vulnerabilidade residual:

exposição ao risco após tomar as medidas julgadas

adequadas - grau de preparação atuante

(exposição não tratável no absoluto ou não tratável porque o custo

marginal de tratar é maior que o benefício marginal de tratar)

Vulnerabilidade Passível de Redução por Atuação

Grau de Preparação (Redutor de

Vulnerabilidade)

Redução Máxima da Vulnerabilidade

Considerando Grau de Preparação

Atuante

Intermediário

Insuficiente

Que é a exposição ao risco depois de tomadas as ações de tratamento

CONCEITO IMPORTANTE É A

VULNERABILIDADE RESIDUAL

(38)

®

VISÃO DE ANTECIPAÇÃO - RISCOS

(39)

®

© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016

Fonte: 13

a

_{Relatório de Riscos Globais do Fórum Mundial 2018}

Se, o gestor de riscos fizer o “feijão com arroz”, ou seja identificar a

Criticidade de cada Risco pela Probabilidade x Impacto

(40)

®

© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016

O que o Fórum Mundial pede que façamos além de identificar a

Criticidade de cada risco?

Tenho que identificar a

Motricidade entre os

riscos, suas

interconectividade.

Saber o que um risco

influência em outro!

(41)

®

© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016

O que o Fórum Mundial pede que façamos além de identificar a

Criticidade de cada risco?

Na Gestão de Riscos

identificamos a

Motricidade entre os

riscos utilizando o

Teorema de Bayes,

Probabilidades

Condicionantes,

facilitada pela Técnica

dos Impactos

Cruzados.

(42)

®

© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016

O que isto significa na prática?

(43)

®

© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016

O que isto significa na prática?

(44)

®

© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016

O que isto significa na prática?

(45)

®

© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016

O que isto significa na prática?

Matriz de Motricidade – Interdependência

Motricidade Matriz de Impactos Cruzados

INTERCONECTIVIDADE ENTRE RISCOS

(46)

®

© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016

O que isto significa na prática?

(47)

®

Faltam conexões entre as

disciplinas

Disciplinas de Riscos são Ilhas

Falta Visão Holística

Qual a consequência da falta

destas conexões?

Miopia para enxergar o Risco

Sistêmico

(48)

®

“N” Disciplinas, com “N” ferramentas e métricas

personalizadas, mas todas debaixo do mesmo Processo e

Matriz de Risco! O Resultado é a Inteligência em Riscos,

onde há análise e interpretação das informações.

(49)

®

(50)

®Brasiliano INTERISK – O valor da Inteligência

Processo Crítico x Risco Inerente Crítico x Controles Chaves = Risco Residual

dentro do Apetite ao Risco

(51)

®

Não tem cabimento no século XXI, instituições de porte, ainda estarem

realizando a Gestão de Riscos no Famoso anacrônico denominado “S.A.P.”

AS INSTITUIÇÕES DEVEM, OBRIGATORIAMENTE,

TRABALHAREM COM FERRAMENTA DE TI

SAP = Sistema Avançado de Planilha

O que gera inúmeros riscos!

Solução com Ferramenta de TI

Com integrações automatizadas

(52)

®

A eficácia da ABR depende:

2. Avaliar os controles chaves dos riscos inerentes críticos

dos processos relevantes para o negócio

(53)

®

Risco Inerente

Fatores de Riscos x

_Controles

Risco Residual

FR. 278

(Ausência de local coberto adequado para as coletas de amostras dos caminhões

em dias de chuva)

Risco 124

(Recebimento de produtos fora da especificação de qualidade)

FR. 279

(Manipulação dos resultados das amostras

de qualidade)

C.190

(Amostra de qualidade do produto entregue)

FR. 281

(Existência de pragas no local de armazenagem)

C.185

(Controle magnético)

FR. 282

(Conluio entre o descarregamento e o motorista)

C.188

(Recebimento de Ticket de pesagem)

(

I

|P)

(

E

|P)

Risco 124

(Recebimento de produtos fora da especificação de qualidade)

Média Probabilidade:

3.92 Muito Alta

Média Impacto:

4.00 Severo

Média Probabilidade:

2.58 Alta

Média Impacto:

4.00 Severo

(

E

|P)

Legenda:

(

I

) - Ineficaz

(

E

) - Eficaz

(P) - Preventivo

(D) - Detectivo

(54)

®

FR. 271

(Solicitação informal do cliente para entrada do produto)

Risco 122

(Registro de produtos não recebidos)

FR. 272

(Ausência de formalização do escritório para balança)

FR. 273

(Liberação de entrada dos caminhões através da identificação pessoal do motorista)

FR. 274

(Recebimento de produto sem aviso do cliente)

C.185 .

(Controle magnético)

(

I

|P)

Risco 122

(Registro de produtos não recebidos)

Média Probabilidade:

4.58 Elevada

Média Impacto:

3.18 Moderado

Média Probabilidade:

4.17 Muito Alta

Média Impacto:

3.18 Moderado

C.186

. (Confirmação do cliente)

(

I

|P)

FR. 275

(Falta de energia no armazém não permitindo o funcionamento da balança)

FR. 276

(Ausência de nobreak e/ou gerador para a balança)

FR. 277

(Manipulação das divergências de peso entrega)

C.187

.

(Validação da nota fiscal de entrada)

(

E

|P)

FR. 282

(Conluio entre o descarregamento e o motorista)

C.188

.

(Ticket de pesagem)

(

E

|P)

FR. 283

(Ausência de padrão para as informações de recusas dos produtos)

FR. 284

(Manipulação do lastro do caminhão pelo motorista)

C.187

.

(Validação da nota fiscal de entrada)

(

E

|P)

FR. 285

(Ausência de integração sistêmica entre a balança (entrada) e o sistema Alfa

C.191

.

(Registro de estoque)

(

I

|D)

FR. 286

(Ausência de tempestividade no registro de entrada de estoque)

C.188

. (Ticket de pesagem)

(

E

|P)

C.186 .

(Confirmação do cliente)

(

I

|P)

C.188 (

E

|P)

C.188 (

E

|P)

C.191

. (Registro de estoque)

(

I

|D)

Legenda:

(

I

) - Ineficaz

(

E

) - Eficaz

(P) - Preventivo

(D) - Detectivo

Estudo de Caso

Análise de Riscos - Inerente e Residual

(55)

®

No exemplo utilizado

necessário implementar

controles preventivos para

inibir os fatores de riscos e

implementar controles

detectivos e mitigadores

(exemplos - plano de

emergência, plano de crise,

plano de continuidade de

negócios) visando diminuir o

impacto

(56)

(57)

®

Alguns Casos:

Onde estavam os Auditores?

(58)

®

FRAUDE

–

2015

- VW

“ ATÉ 2018, QUEREMOS LEVAR O GRUPO AO

TOPO DA INDÚSTRIA GLOBAL”

Martin Winterkorn – Presidente em 2011na

montadora no Tennessee - USA

“ ATÉ 2018, QUEREMOS LEVAR O GRUPO

AO TOPO DA INDÚSTRIA GLOBAL”

Martin Winterkorn – Presidente em 2011na

montadora no Tennessee - USA

Ações caíram 34%

(59)

®

Fraude – Petrobrás

Consequência direta:

- Queda do valor das ações + 50%

- Credibilidade da diretoria e Petrobrás

- Paralização de obras

(60)

Wells Frago - 2016

O Presidente pediu

Desculpas e assumiu o

erro, mas não adiantou....

(61)

A Importância de uma Adequada Gestão de Riscos

Apetite de Risco Alto?

BP - British Petroleum, em 2007

Uma Comissão de inquérito dos Estados Unidos atribui o desastre a:

FALHAS DE GESTÃO, QUE INCAPACITAVA OS INDIVÍDUOS ENVOLVIDOS NA

IDENTIFICAÇÃO, AVALIAÇÃO, COMUNICAÇÃO E TRATAMENTO DOS RISCOS

DE FORMA ADEQUADA!

Quando Tony Hayward tornou-se CEO da BP em 2007, ele jurou

fazer segurança sua prioridade máxima. Dentre as novas regras

que ele instituiu, a necessidade de que todos os funcionários

usassem tampas

em xícaras de café durante a caminhada e

abstivessem de escrever mensagens de texto enquanto dirigiam.

(62)

®

(63)

®

(64)

®

(65)

(66)

®

© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016

Fonte: IBGC – Cadernos de Governança - Gerenciamento de Riscos Corporativos – Evolução em Governança e Estratégia – 2017.

PONTOS DE REFLEXÃO PARA OS AUDITORES

GESTÃO DE RISCOS CORPORATIVOS

• O que pode comprometer o cumprimento das estratégias e metas?

• Onde estão as maiores oportunidades, ameaças e incertezas?

• Quais são os principais riscos?

• Como a Cooperativa responde aos riscos?

• Existem informações confiáveis para tomada de decisões?

• O que é feito para assegurar que os riscos estejam em um nível aceitável?

• A cooperativa possui consciência da importância do processo de gestão de

riscos?

• A cooperativa tem as competências necessárias para gerir riscos assumidos?

• Quem identifica e monitora ativamente os riscos da Cooperativa?

(67)

®

Disruptiva

Veloz

Ágil

A

Revolução

4.0 impacta

as

mais

diversas

áreas

das

empresas,

está

invertendo a forma de pensar, trabalhar,

produzir....novas

competências

serão

necessárias!!

O Mundo vive hoje turbulências imprevisíveis e mudanças exponenciais para as

quais as empresas e seus líderes não estão preparados!

(68)

®

A Revolução Industrial 4.0 integra as

tecnologias físicas e lógicas, como Inteligência

Artificial, Robótica, Computação Cognitiva,

Analytics e Internet das Coisas (IoT).

HAVENDO INTERCONECTIVIDADE EM TUDO!

As outras revoluções industriais vieram com inovações

tecnológicas, com o objetivo de trazer maior

produtividade e eficiência aos processos.

AS EMPRESAS NECESSITAM QUEBRAR DOGMAS DA

ADMINISTRAÇÃO, ASSUMIR RISCOS, SER OUSADAS

(69)

®

VOLUME DE INFORMAÇÕES E DADOS:

• CISCO estima que em 2020 haverá 50 bilhões de

dispositivos conectados à internet.

• Dezenas de bilhões de telas.

• Três bilhões de sensores em nossos carros.

O conhecimento é dobrado a cada dois anos!

CONTEXTO DO MERCADO CORPORATIVO E AS ABORDAGENS

ESTRATÉGICAS DAS EMPRESAS

(70)

®

TENHO QUE SABER ONDE DEVO AUDITAR, ASSESSORAR, OBSERVAR, PERGUNTAR,

INVESTIGAR, POIS A ABRANGÊNCIA É MUITO GRANDE, O VOLUME DE DADOS E

(71)

®

A REVOLUÇÃO INDUSTRIAL 4.O IMPACTA DIRETAMENTE EM

4 PILARES ESTRATÉGICOS

• ESTRATÉGIA DA EMPRESA

• TECNOLOGIA

• TALENTOS E FORÇA DE TRABALHO

• IMPACTO SOCIAL

(72)

®

ANTECIPAÇÃO

A GESTÃO DE RISCOS E AUDITORIA DEVEM QUEBRAR UM PARADIGMA:

NÃO PODEM

(73)

®

V

U

C

A

Volatilitity

Volatilidade

Uncertainty

Incerteza

Complexity

Complexidade

Ambiguity

Ambiguidade

1. Aceitar

2. Não pensar demais

3. Mover-se

VICA

(74)

®

V

I

C

A

Volatilidade

Incerteza

Complexidade

Ambiguidade

Visão

Velocidade

Agilidade

Abundância

Entendimento

Não ortodoxia – Não Dogmatizar

Colaboração

Entender a conectividade

Cocriação

Interdependência

(75)

®

6 D’s

(76)

®

Riscos que Impactam a Estratégia de Negócio da Empresa, fazendo com que

não cumpra com seus objetivos!

Trajetória da

Empresa

A empresa necessita alinhar sua estratégia de negócio, neste ambiente

turbulento, aos Riscos....

Objetivos

das Diretrizes

Estratégicas

Os riscos devem ser antecipados, o Planejamento Estratégico deve possuir uma

abordagem múltipla de mercado.

(77)

®

A gestão de riscos torna a empresa mais resiliente aos efeitos das

incertezas e mais HÁBIL em alcançar seus objetivos Estratégicos.

AMBIDESTRA

Remediação

Prevenção

Mitigação

Objetivos

Estratégicos

(78)

®

Conclusão

PERFIL DO AUDITOR INTERNO

Característica do Nexialista, onde a habilidade principal é a conectividade.

(79)

®

14 Dezembro de 2011

Dezembro de 2011 - Adaptação da

Guidance on the 8th EU Company Law Directive da ECIIA

(Confederação Europeia dos Institutos de Auditoria Interna) / /FERMA (Federação Europeia de Associações de Gerenciamento de Riscos), artigo 41

Normas imposta pela legislação europeia aplicáveis às empresas em toda a União Europeia.

(80)

®

Funções que

gerenciam

e são

proprietários

dos riscos

Funções que

supervisionam

os riscos

Facilitadores

Funções que

fornecem

avaliações

independentes

Janeiro de 2013

LINHAS DE DEFESA

(81)

®

O modelo apresenta um novo ponto de vista sobre as operações,

ajudando a garantir o sucesso contínuo das iniciativas de gerenciamento de

riscos, e é aplicável a qualquer organização - não importando seu tamanho

ou complexidade.

Mesmo em empresas em que não haja uma estrutura ou

sistema formal de gerenciamento de riscos, o modelo de Três Linhas de

Defesa pode melhorar a clareza dos riscos e controles e ajudar a aumentar a

eficácia dos sistemas de gerenciamento de

riscos.

O modelo de Três Linhas de

Defesa é uma forma simples e

eficaz

de

melhorar

a

comunicação do gerenciamento

de riscos e controle por meio do

esclarecimento

dos

papéis

e

responsabilidades essenciais.

(82)

®

A gerência operacional é responsável por manter controles internos

eficazes e por conduzir procedimentos de riscos e controle diariamente.

A gerência operacional identifica, avalia, controla e mitiga os riscos,

guiando o desenvolvimento e a implementação de políticas e

procedimentos internos e garantindo que as atividades estejam de

acordo com as metas e objetivos. Deve haver controles de gestão e de

supervisão adequados em prática, para garantir a conformidade e para

enfatizar colapsos de controle,

processos inadequados e eventos inesperados.

Como primeira linha de defesa,

os

gerentes

operacionais

gerenciam os riscos e têm

propriedade sobre eles. Eles

também são os responsáveis

por

implementar

as

ações

corretivas

para

resolver

deficiências em processos e

controles.

(83)

®

Uma função (e/ou comitê) de gerenciamento de riscos que facilite

e monitore a implementação de práticas eficazes de gerenciamento de

riscos por parte da gerência operacional e auxilie os proprietários dos

riscos a definir a meta de exposição ao risco e a reportar adequadamente

informações relacionadas a riscos em toda a organização.

Segunda Linha como

supervisora e facilitadora da

primeira linha de defesa.

Dupla Função!

(84)

®

As responsabilidades dessas funções incluem:

1. Apoiar as políticas de gestão, definir papéis e responsabilidades e

estabelecer metas para implementação.

2. Fornecer estruturas de gerenciamento de riscos.

3. Identificar questões atuais e emergentes.

3. Identificar mudanças no apetite ao risco implícito da organização.

4. Auxiliar a gerência a desenvolver processos e controles para

gerenciar riscos e questões.

Como

funções

de

gestão,

elas

podem

intervir

diretamente,

de

modo a modificar e desenvolver o

controle interno e os sistemas de

riscos.

Portanto,

não

pode

oferecer

análises

verdadeiramente

independentes aos órgãos de

governança

acerca

do

gerenciamento de riscos e dos

controles internos.

(85)

®

E

NTRADA

Mapa de Riscos

das Disciplinas

Fatores de Riscos

Críticos /

Relevantes das

Disciplinas

Controles Chaves

Suportam os

Fatores de Riscos

Críticos

Planos de Ações

GRC

Realiza:

Análises

Interpretações

Estudos de

Impactos Cruzados

Estudos de

Interconectividade

Consolidação

das Informações

Supervisiona e

Capacita a

Aplicação da

Metodologia

SAÍ

DA

Mapa de Riscos

Integrado

Riscos Críticos dos

Processos Críticos

Fatores de Riscos

Críticos e

Controles Chaves

que suportam os

Fatores Riscos

Críticos

Controle dos

Planos de Ações:

Eficácia e

Implantação

Listagem

Processos / Áreas

Críticas para o

Negócio

Produtos da

Primeira Linha:

VISÃO DOS RISCOS POR

ÁREA

GERÊNCIA/DIRETORIA

Função da Segunda Linha

Produtos da

Segunda Linha

VISÃO HOLÍSTICA

ESTRATÉGICA

EMPRESA COMO UM TODO

Inteligência em Riscos

Corporativos - IRC

(86)

®

A auditoria interna provê avaliações sobre a eficácia da governança,

do gerenciamento de riscos e dos controles internos, incluindo a

forma como a primeira e a segunda linhas de defesa alcançam os

objetivos de gerenciamento de riscos e controle

Os auditores internos fornecem

ao órgão de governança e à

alta administração avaliações

abrangentes baseadas no

maior nível de

independência e

objetividade dentro da

organização.

CONCEITOS ESTRATÉGICOS

(87)

®

Auditoria Baseada em Riscos - ABR,

otimiza tempo de coleta de dados,

cerca de 60%, foca em análise,

interpretação e verificação.

(88)

®

(89)

®

Padrão 2120 – Gerenciamento de riscos

A atividade de auditoria interna deve avaliar a eficácia e contribuir para a melhoria

do processo de gerenciamento de riscos.

Interpretação: Determinar se os processos de gerenciamento de risco são efetivos é

um julgamento resultante da avaliação do auditor interno de que:

• Os objetivos organizacionais apoiam e se alinham com a missão da organização.

• São identificados e avaliados riscos significativos.

• São selecionadas respostas de riscos apropriadas, com alinhamento do

apetite de riscos.

• As informações dos riscos relevantes são capturadas e comunicadas em

tempo hábil em toda a organização, permitindo que o pessoal, a administração

e o conselho executem suas responsabilidades.

(90)

®

(91)

®

1. Comunicação e Consulta

AUDITORIA BASEADA EM RISCOS - ABR



Início



Durante



Término

Partes Interessadas, 1

ª

_,2

ª

_{, Alta Direção,}

(92)

®

2. Contexto Interno e Externo

(93)

®

AUDITORIA BASEADA EM RISCOS - ABR

(94)

®

Processo

Avaliado

3. Identificação dos Processos Críticos - BIA

(95)

®

Análise do Gestor

_{Análise do Auditor}

3. Identificação dos Processos Críticos - BIA

(96)

®

3. Identificação dos Processos Críticos – BIA (

Gestor

)

AUDITORIA BASEADA EM RISCOS - ABR

(97)

®

4. Risco Inerente - Contextualização

(98)

®

Análise do Gestor

Análise do Auditor

4. Risco Inerente - Contextualização

(99)

®

4. Risco Inerente - Matriz de Risco (

Gestor

)

(100)

®

4. Risco Inerente - Matriz de Risco (

Auditor

)

(101)

®

5. Risco Residual - Controles Chaves

(102)

®

6. Testes de Controles - Avaliação dos Controles

AUDITORIA BASEADA EM RISCOS - ABR

(103)

®

Risco

Avaliado

Controle

Avaliado

6. Testes de Controles - Avaliação dos Controles

(104)

®

6. Testes de Controles - Parecer dos Controles

(105)

®

Análise do Gestor

Análise do Auditor

6. Testes de Controles - Avaliação do Risco Residual

(106)

®

6. Risco Residual - Matriz de Risco (

Gestor

)

AUDITORIA BASEADA EM RISCOS - ABR

(107)

®

7. Plano de Ação

(108)

®

7. Plano de Ação

AUDITORIA BASEADA EM RISCOS - ABR

(109)

®

8. Monitoramento e Análise Crítica

AUDITORIA BASEADA EM RISCOS - ABR

Processo Crítico x Risco

Inerente Crítico x Controles

Chaves = Risco Residual

dentro do Apetite ao Risco

(110)

®

Resultado:

1)Valida o Processo de GRC

2) Testa a Eficácia dos Controles Chaves

3) Sugere Linhas Gerais do Plano de Ação

para o Gestor, tendo em vista, a

Ineficácia do Controle

4) Comunica e Relaciona com os Comitês,

Conselho e Diretoria

5) Assessora as Gerências da Primeira e

Segunda Linha

Ci

cl

o

Anu

al

Produtos:

Processos

Críticos

Especiais

Contínuas

CONCLUSÃO

(111)

®

Prof. Dr. Antonio Celso Ribeiro Brasiliano

, CRMA,CES,DEA,DSE,MBS

Presidente Brasiliano INTERISK

email: abrasiliano@brasiliano.com.br

Telefone: 11 983507758

(112)

(113)