Consultoria especializada em Gestão de Riscos e Gestão de Processos de Negócios

(1)

Repensando o Papel

da Gestão de Riscos:

Aproveitando

Oportunidades em

Ambientes Incertos e

Dinâmicos

Andre Macieira

(21) 2561

(21) 2561--5619

5619

andre.macieira@elogroup.com.br

(2)

Elo Group

Elo Group -- Visão Institucional

Visão Institucional

Consultoria especializada em Gestão de Riscos e Gestão de

Processos de Negócios

Ampla experiência em projetos em diversos segmentos (financeiro,

seguradoras, varejo, elétrico, petróleo, fármacos, telecomunicações,

governo, construção e manufatura)

Quadro de consultores altamente capacitado atuando como

professores em MBAs e cursos diversos da COPPE / UFRJ;

Fundada no Parque Tecnológico da COPPE/UFRJ, um dos mais

reconhecidos centros de pesquisa e desenvolvimento da América

Latina;

Spin-off do Grupo de Produção Integrada,

da Engenharia de Produção da COPPE/UFRJ;

Acesso a uma rede de excelência de especialistas no Brasil, EUA

(Carnegie Mellon University e North Caroline State University) e

Europa (L´Ècole Central de Paris e Politécnico di Turino)

(3)

Experiências e Referências

PROJETOS

(4)

Por que se

fala tanto em

gestão de

riscos ?

(5)

O velho sistema de gestão das organizações

(6)

O Velho Sistema de Gestão

1998

1998 –

– Visibilidade limitada para tomada de decisão

Visibilidade limitada para tomada de decisão

Risk

Awareness

O Velho Sistema de Gestão

Risk

Intuition

1998

1958

Awareness

(7)

Nos últimos meses, quantas

vezes você se surpreendeu

com alguma notícia que não

esperava?

O novo ambiente de gestão

Pressão regulatória crescente Consolidação do mercado de capitais Pandemias Demandas constantes por Inovação Complexificação dos Produtos e Serviços Aumento significativo da concorrência

Pressão por redução de custos e aumento de eficiência Intensificação do uso de Tecnologia da Informação Fusões e aquisições Responsabilidade sócio-Ambiental Intensificação de práticas de Outsourcing Globalização Dos segmentos Aquecimento global Acidentes naturais Conflitos étnicos Preocupação com a reputação A ascensão de fraudes eletrônicas Maior atenção a questões trabalhistas Terrorismo Ascensão do crédito

(8)

Queda drástica da visibilidade

Para tomada de decisão

O Velho Sistema de Gestão

2008

2008 –

– Os sistemas de gestão não evoluíram na mesma

Os sistemas de gestão não evoluíram na mesma

velocidade que a complexidade do ambiente de gestão

2008

Risk Awareness

O Velho Sistema de Gestão

O Novo Ambiente Empresarial

1998

1958

Risk

(9)

Evidências de que as organizações não conseguiram reinventar

suas práticas para aproveitar oportunidades neste novo ambiente

“Trinta anos atrás, um gestor tinha a opção de ir devagar, esperando pela

informação quando decisões estratégicas importantes eram necessárias.

O gestor de hoje não tem esse luxo, o ritmo dos negócios acelerou e as

decisões são requeridas imediatamente mesmo quando a informação

usada está desatualizada.” (Kenneth G. McGee; Heads Up; Gartner; 2004)

“Nós observamos que empresas estavam tendo dificuldades para tirar

vantagem das oportunidades criadas pela digitalização e pela globalização

por que suas organizações não foram desenvolvidas para o novo mundo”

(Bryan & Joyce; Mobilizing Minds; McKinsey; 2007)

“Some challenges simply can't be met without reinventing our

100-year-old management model” (Gary Hamel – The Future of Management)

(10)

Por que se

fala tanto em

gestão de

riscos ?

A capacidade de reagir e se adaptar rapidamente a mudanças e incertezas do

ambiente é uma diferencial competitivo fundamental para este século XXI.

Os sistemas de gestão não evoluíram na mesma velocidade

que a complexidade do ambiente de gestão

(11)

Retomando

Retomando a

a gestão

gestão de

de riscos

riscos,

, controles

controles e

e

auditoria

auditoria hoje

hoje…

…

Valor gerado

Pela gestão

De riscos,

Controles e

auditoria

(12)

Criador de

relatórios a serem

guardados na

gaveta

Input

mode

“Portador de

Ação

segregada da

organização

“What’s most important is for

firms to take a step back and try

to understand the desired end

goal”

• Chris Richardson, E&Y

“For many institutions, it is a

time for a reflection.”

Algumas

Algumas críticas

críticas…

…

“Data library

mentality”

“Burocratizador”

“Portador de

más notícias”

“Back room

project”

Blame

Culture

time for a reflection.”

• Alfred Seivold, Federal

Deposit Insurance

Corporation

“Think about all the billion of

dollars that have been burned

on the altar of enterprise-wide

risk management (ERM)”

(13)

Como a

Como a gestão

gestão de

de riscos

riscos,

, controles

controles e auditoria

e auditoria deve

deve evoluir

evoluir para

para

aproveitar

aproveitar as

as oportunidades

oportunidades do novo

do novo ambiente

ambiente de

de gestão

gestão ?

?

Valor gerado

Pela gestão

De riscos,

Controles e

auditoria

?

(14)

Como inovar em gestão

de riscos para

aproveitar as

oportunidades criadas

por um ambiente

dinâmico e incerto ?

(15)

Serviço 1

Serviço 1 –

– Convergência de Taxonomia (GRC)

Convergência de Taxonomia (GRC)

“It’s amazing how much risk exists because of different people speaking in

different languages”

(16)

Exemplos de Taxonomia: Saúde e Biologia

Reino

_{Filo Classe Ordem Família Gênero Espécie}

Otorrinolaringologista Endocrinologista

Vírus Bactéria Fungo Protozoário

Epidemiologista

(17)

Exemplo de uma Taxonomia Organizacional

• Imagem no mercado

• Relacionamento com cliente • Conformidade legal • Eficiência operacional • Diferencial competitivo • Clima organizacional • Segurança da informação • Segurança e saúde do funcionário • Propriedade intelectual • Disputas trabalhistas • Redução de competências • Fusões e aquisições • Complexidade em gestão • Outsourcing

• Design (Visão funcional) • Design (Visão de processos) • Estrutura de gestão • Estratégia • Competências • Recompensas e Motivação • Infra-estrutura tecnológica • Fornecedores e Terceiros • Clientes • Controles, Compliance e

Fontes de Riscos

Riscos

Impactos

C

o

n

tr

o

le

s

P

ro

ce

ss

o

s

• Ambiente interno • Definição de objetivo • Identificação de evento • Avaliação de risco • Infra-estrutura

• Gerência de Recursos Humanos • Desenvolvimento de Tecnologia • Aquisição • Logística Interna • Operações • Logística Externa • Marketing de Vendas • Serviço • Resposta a risco • Atividades de controle • Informação e comunicação • Monitoração Cadeia de Valor de Porter COSO Adaptado Norton& Kaplan (2008)

(18)

Compliance Compliance

Linhas de Negócio

Linhas de Negócio ISO 9001ISO 9001 _{Análise de}_{Análise de}

Políticas e Procedimentos Políticas e Procedimentos Arquitetura de Processos Arquitetura de Processos Questionários Questionários Indicadores de Desempenho Indicadores de Desempenho Gestão da Mudança Gestão da Mudança Treinamento e Coaching Treinamento e Coaching Código da conduta ética Código da conduta ética Segurança Física E Patrimonial Segurança Física E Patrimonial Relação com Investidor Relação com Investidor Gestão Escritório de Projetos Gestão Escritório de Projetos Gestão (Escritório) de Contratos Terceiros Gestão (Escritório) de

Contratos Terceiros Gestão da

Imagem Gestão da Imagem PNQ PNQ Auditoria Externa Auditoria Externa Governança Governança

Identificando as diversas iniciativas de

uma organização...

Base de lições aprendidas Base de lições aprendidas Base de Perdas Externas Base de Perdas Externas Linhas de Negócio

Linhas de Negócio _{Análise de}

Cenários Análise de Cenários ISO 9001 ISO 9001 Relatórios Internos Relatórios Internos Comitês de Tecnologia Comitês de Tecnologia Testes de Auditoria Testes de Auditoria Relatórios Externos Relatórios Externos Plano de Continuidade Com Negócio Plano de Continuidade Com Negócio Ouvidoria Ouvidoria Canal de Denúncias Canal de Denúncias Sindicância Sindicância Rotinas de Tratamento de Ocorrências Rotinas de Tratamento de Ocorrências Segurança da Informação Segurança da Informação Pesquisa de Satisfação do Cliente Pesquisa de Satisfação do Cliente Pesquisa de Satisfação dos Funcionários Pesquisa de Satisfação dos Funcionários Gestão de TI Gestão de TI Helpdesk Helpdesk Conselhos de Administração e Fiscal Conselhos de Administração e Fiscal Saúde e Segurança Saúde e Segurança Acompanhamento Do Orçamento Acompanhamento Do Orçamento Desenvolvimento de Produto Desenvolvimento de Produto Portfólio de Clientes Portfólio de Clientes Governança Corporativa Governança Corporativa Gestão de Multas Gestão de Multas Six Sigma Six Sigma Relacionamento Com Investidor Relacionamento Com Investidor

(19)

• Imagem no mercado • Relacionamento com cliente • Conformidade legal • Ef iciência operacional • Dif erencial competitivo • Segurança da inf ormação

• Segurança e saúde do f uncionário • Propriedade intelectual • Disputas trabalhistas • Redução de competências • Fusões e aquisições • Design (Visão f uncional)

• Design (Visão de processos) • Estrutura de gestão • Estratégia • Competências • Recompensas e Motivação • Infra-estrutura tecnológica • Fornecedores e Terceiros

Fontes de Riscos Riscos Impactos

Linhas de Negócio

E aplicando uma taxonomia única.

• Clima organizacional • Complexidade em gestão

• Problemas com outsourcing • Gestão de projetos • Falha tecnológica • Clientes • Controles, Compliance e Continuidade •Governança Corporativa •Auditoria Interna e Externa

C o n tr o le s P ro ce ss o s • Ambiente interno • Definição de objetivo • Identificação de evento • Avaliação de risco • Inf ra-estrutura

• Gerência de Recursos Humanos • Desenvolvimento de Tecnologia • Aquisição • Logística Interna • Operações • Logística Externa • Marketing de Vendas • Serviço • Resposta a risco • Atividades de controle • Inf ormação e comunicação • Monitoração Base de lições aprendidas Base de lições aprendidas Base de Perdas Externas Base de Perdas Externas Linhas de Negócio

(20)

(21)

Serviço 2

Serviço 2 –

– Convergência de Iniciativas (GRC)

Convergência de Iniciativas (GRC)

“Some challenges simply can't be met without reinventing our 100-year-old

management model” (Gary Hamel – The Future of Management)

Convergência de Taxonomia

Convergência de Iniciativas

(22)

•Qual a periodicidade de execução das

iniciativas?

•Quais são as fontes de informação

utilizadas?

•Quais processos estão no escopo desta

iniciativa?

•Quais os critérios de priorização utilizados?

•Quem analisa e valida os resultados

obtidos da análise?

•Como as informada geradas são

armazenadas?

• Qual encaminhamento dado aos

problemas percebidos?

Aumentando a maturidade da GRC em sua

organização

1

1 _Aventureiro 22 33 44 55

•Atuação caso a caso •Informação indisponível Fragmentado •Informações em silos •Iniciativas isoladas Integrado •Abordagem única de GRC •Informações coletas são compartilhadas

Alinhado

•Abordagem estratégica de GRC •Informações são coletadas de forma alinhada da estratégia

Otimizado •GRC otimizado •Eliminação de ineficiências Maturidade GRC Adaptado de OCEG ? ? ?

(23)

Migrando de uma GRC artesanal

de iniciativas...

Políticas e Procedimentos Políticas e Procedimentos Indicadores de Desempenho Indicadores de Desempenho Treinamento e Coaching Treinamento e Coaching Compliance Compliance

?

? ? ?

Pesquisa de Satisfação do Cliente Pesquisa de Satisfação do Cliente Helpdesk Helpdesk Ouvidoria Ouvidoria Segurança da Informação Segurança da Informação Desenvolvimento de Produto Desenvolvimento de Produto

?

(24)

Linhas de Negócio

...Passando por uma GRC

fragmentada...

Base de lições aprendidas Base de lições aprendidas Base de Perdas Externas Base de Perdas Externas Linhas de Negócio

(25)

Compliance Compliance Análise de Análise de ISO 9001 ISO 9001 Políticas e Procedimentos Políticas e Procedimentos Arquitetura de Processos Arquitetura de Processos Questionários Questionários Indicadores de Desempenho Indicadores de Desempenho Gestão da Mudança Gestão da Mudança Treinamento e Coaching Treinamento e Coaching Plano de Continuidade Com Negócio Plano de Continuidade Com Negócio Código da conduta ética Código da conduta ética Segurança Física E Patrimonial Segurança Física E Patrimonial Relação com Investidor Relação com Investidor Gestão Escritório de Projetos Gestão Escritório de Projetos Gestão (Escritório) de Contratos Terceiros Gestão (Escritório) de

Imagem Gestão da Imagem PNQ PNQ Auditoria Externa Auditoria Externa Governança Governança • Imagem no mercado • Relacionamento com cliente • Conformidade legal • Eficiência operacional • Diferencial competitivo • Clima organizacional • Segurança da informação • Segurança e saúde do funcionário • Propriedade intelectual • Disputas trabalhistas • Redução de competências • Fusões e aquisições • Complexidade em gestão • Problemas com outsourcing • Design (Visão funcional)

• Design (Visão de processos) • Estrutura de gestão • Estratégia • Competências • Recompensas e Motivação • Infra-estrutura tecnológica • Fornecedores e Terceiros • Clientes • Controles, Compliance e

...Adicionando taxonomia para

uma GRC Integrada...

Base de lições aprendidas Base de lições aprendidas Base de Perdas Externas Base de Perdas Externas Linhas de Negócio Linhas de Negócio Análise de Cenários Análise de Cenários ISO 9001 ISO 9001 Relatórios Internos Relatórios Internos Comitês de Tecnologia Comitês de Tecnologia Testes de Auditoria Testes de Auditoria Relatórios Externos Relatórios Externos Com Negócio Com Negócio Ouvidoria Ouvidoria Canal de Denúncias Canal de Denúncias Sindicância Sindicância Rotinas de Tratamento de Ocorrências Rotinas de Tratamento de Ocorrências Segurança da Informação Segurança da Informação Pesquisa de Satisfação do Cliente Pesquisa de Satisfação do Cliente Pesquisa de Satisfação dos Funcionários Pesquisa de Satisfação dos Funcionários Gestão de TI Gestão de TI Helpdesk Helpdesk Conselhos de Administração e Fiscal Conselhos de Administração e Fiscal Saúde e Segurança Saúde e Segurança Acompanhamento Do Orçamento Acompanhamento Do Orçamento Desenvolvimento de Produto Desenvolvimento de Produto Portfólio de Clientes Portfólio de Clientes Governança Corporativa Governança Corporativa Gestão de Multas Gestão de Multas Six Sigma Six Sigma Relacionamento Com Investidor Relacionamento Com Investidor

• Problemas com outsourcing • Gestão de projetos • Falha tecnológica • Controles, Compliance e

Continuidade •Governança Corporativa •Auditoria Interna e Externa

C o n tr o le s P ro c e ss o s • Ambiente interno • Def inição de objetivo • Identificação de evento • Avaliação de risco

• Inf ra-estrutura

• Gerência de Recursos Humanos • Desenvolvimento de Tecnologia • Aquisição • Logística Interna • Operações • Logística Externa • Marketing de Vendas • Serviço • Resposta a risco • Atividades de controle • Informação e comunicação • Monitoração

(26)

• Imagem no mercado • Relacionamento com cliente • Conformidade legal • Eficiência operacional • Diferencial competitivo • Clima organizacional • Segurança da informação • Segurança e saúde do funcionário • Propriedade intelectual • Disputas trabalhistas • Redução de competências • Fusões e aquisições • Complexidade em gestão • Problemas com outsourcing • Design (Visão funcional)

• Design (Visão de processos) • Estrutura de gestão • Estratégia • Competências • Recompensas e Motivação • Infra-estrutura tecnológica • Fornecedores e Terceiros • Clientes • Controles, Compliance e

Linhas de Negócio Linhas de Negócio Análise de Cenários Análise de Cenários Políticas e procedimentos

Políticas e procedimentos Comitês de TecnologiaComitês de Tecnologia

Arquitetura de Processos Arquitetura de Processos Questionários Questionários Indicadores de Desempenho Indicadores de Desempenho Testes de Auditoria Testes de Auditoria Gestão da Mudança Gestão da Mudança Treinamento e Coaching Treinamento e Coaching Relatórios Externos Relatórios Externos Plano de Plano de

Código da conduta ética Código da conduta ética

Segurança Física E Patrimonial Segurança Física E Patrimonial Saúde e Segurança Saúde e Segurança Relação com Investidor Relação com Investidor Gestão Escritório de Projetos Gestão Escritório de Projetos Gestão (Escritório) de Contratos Terceiros Gestão (Escritório) de

...Até uma GRC Convergente!

• Problemas com outsourcing • Gestão de projetos • Falha tecnológica • Controles, Compliance e

Continuidade •Governança Corporativa •Auditoria Interna e Externa

C o n tr o le s P ro c e ss o s • Ambiente interno • Def inição de objetivo • Identificação de evento • Avaliação de risco

• Inf ra-estrutura

• Gerência de Recursos Humanos • Desenvolvimento de Tecnologia • Aquisição • Logística Interna • Operações • Logística Externa • Marketing de Vendas • Serviço • Resposta a risco • Atividades de controle • Informação e comunicação • Monitoração Compliance Compliance Base de lições aprendidas Base de lições aprendidas Base de Perdas Externas Base de Perdas Externas ISO 9001 ISO 9001 Relatórios Internos Relatórios Internos Plano de Continuidade Com Negócio Plano de Continuidade Com Negócio Ouvidoria Ouvidoria Canal de Denúncias Canal de Denúncias Sindicância Sindicância Rotinas de Tratamento de Ocorrências Rotinas de Tratamento de Ocorrências Segurança da Informação Segurança da Informação Pesquisa de Satisfação do Cliente Pesquisa de Satisfação do Cliente Pesquisa de Satisfação dos Funcionários Pesquisa de Satisfação dos Funcionários Gestão de TI Gestão de TI Helpdesk Helpdesk Conselhos de Administração e Fiscal Conselhos de Administração e Fiscal Acompanhamento Do Orçamento Acompanhamento Do Orçamento Desenvolvimento de Produto Desenvolvimento de Produto Portfólio de Clientes Portfólio de Clientes Governança Corporativa Governança Corporativa _{Gestão de} Multas Gestão de Multas Six Sigma Six Sigma Relacionamento Com Investidor Relacionamento Com Investidor

(27)

(28)

Serviço 3

Serviço 3 –

– Convergência de Tecnologias (GRC)

Convergência de Tecnologias (GRC)

“The big issue is how you get all of the data—from all of the multiple places

in which it resides—to the decision maker within a timeframe that best

enables that decision maker to do his or her job” (Philip Howard)

Convergência de Taxonomia

Convergência de Iniciativas

(29)

Convergência de tecnologias

“We are using humans as the middleware because the IT architectural isn’t in a

situation where you push the button and get the information you need”

(30)

Taxonomia

Tecnologia

(31)

Serviço 4

Serviço 4 –

– Criação de Repositório Integrado de Ocorrência

Criação de Repositório Integrado de Ocorrência

“As unexpected events begin to materialize, someone somewhere sees early warning signs.

But the first to know tend to be lower in rank, invisible, reluctant to speak up, and may not

even realize that what they are seeing is important.” (Power to predict)

Repositório de Ocorrências

Convergência de Taxonomia

Convergência de Iniciativas

Convergência de Tecnologia

Repositório de Ocorrências

(32)

Coleta Integrada de Informações: Investigações, incidentes, questões,

eventos, reclamações, recomendações, preocupações, perdas...

Pesquisa de Notícias Ouvidoria Relatório Consultoria Indicadores de Vendas Diagnóstico de RH

Reclamações

sobre produtos

Notícias ruins

sobre empresa

Baixo sucesso

de campanha

de marketing

Baixo

desempenho de

vendas

Diagnóstico de

RH apontando

necessidade de

treinamento

Impacto Imagem Cliente Legal Operacional Dif. Compet. Clima Org. !! !! !! !! !!

(33)

Repositório integrado de ocorrências

(34)

Taxonomia

Tecnologia

(35)

Serviço 5

Serviço 5 –

– Monitoração em tempo real de riscos empresariais

Monitoração em tempo real de riscos empresariais

“Surpresas de negócios não deveriam ser surpresas. A informação que

permitiria aos gestores transformar estes eventos atualmente

inesperados em oportunidades está disponível.” (Kenneth G. McGee; Heads

Up; Gartner; 2004)

Repositório de Ocorrências

Monitoração em Tempo Real de Riscos

Convergência de Taxonomia

Convergência de Iniciativas

Convergência de Tecnologia

Repositório de Ocorrências

(36)

Como são geridos os riscos de mercado ?

Um evento ocorrido em qualquer lugar do mundo, rapidamente se reflete na atualização quase que

online dos riscos de mercado dos papéis de todas as empresas envolvidas. Contudo, nos sistemas

atuais de gestão de riscos empresariais, a saída de um executivo importante aparentemente não

representa impacto para revisão dos ratings dos riscos sendo gerenciados.

(37)

Como são geridos os riscos empresariais ?

Riscos Avaliação Risco

Inerente Estrutura de Controles Internos Tipo de controle

A solicitação de compra é analisada e aprovada pelo proprietário do Centro de Custo apoiado pelo sistema Compras, de acordo com a divisão de

responsabilidades da empresa

Detectivo

A elaboração do orçamento da área solicitante define em linhas gerais quais bens devem ou não ser adquiridos.

Preventivo Em caso de solicitação de um ativo fixo para a

empresa, esta é analisada e aprovada pela Área de gestão de ativos, de acordo com a Política de Compras

Detectivo

A solicitação de compra é analisada e aprovada pelo proprietário do Centro de Custo apoiado pelo sistema Compras, de acordo com a divisão de

responsabilidades da empresa

Detectivo

A solicitação de compra é revisada pela área de compras que busca interagir com o solicitante a fim de compreender o que realmente deve ser adquirido. Em caso de dúvidas por parte do fornecedor, esclarecimentos por parte do solicitante serão necessários. Detectivo Especificação técnica inadequada do material/serviço solicitado M Solicitação de compra de um produto ou serviço desnecessário B

Performance Plano de Ação

Formalização das especificações técnicas ideais na Política de

Compras

I S

Reclamações

sobre produtos

Notícias ruins

sobre empresa

Baixo sucesso de

campanha de

marketing

Baixo desempenho

de vendas

Diagnóstico de RH

apontando

necessidade de

treinamento

A Política de Compras foi estabelecida para determinar o correto procedimento das cotações de produtos a serem adquiridos pela empresa.

Preventivo

O pré-cadastro de fornecedores é monitorado pela área de Compras, no sistema de Compras, para garantir o conhecimento do comportamento histórico de um determinado fornecedor para com seus compromissos no que tange o prazo e a qualidade dos produtos.

Preventivo Realização de compras de

fornecedores que não ofereçam serviços/produtos pelo melhor preço dada a especificação de

qualidade.

A

necessários.

(38)

Quais são as principais diferenças ?

A informação necessária para gestão

do risco de mercado é:

A informação necessária para gestão dos

riscos empresariais:

Está Disponível contudo dispersa em

Pesquisa de Notícias Ouvidoria Relatório Consultoria Indicadores de Vendas Diagnóstico de RH

Reclamações sobre produtos Notícias ruins sobre empresa Baixo sucesso de campanha de marketing Baixo desempenho de vendas Diagnóstico de RH apontando necessidade de treinamento

A Política de Compras foi estabelecida para determinar o correto procedimento das cotações de produtos a serem adquiridos pela empresa.

Preventivo O pré-cadastro de fornecedores é monitorado pela área de Compras, no sistema de Compras, para garantir o conhecimento do comportamento histórico de um determinado fornecedor para com seus compromissos no que tange o prazo e a qualidade dos produtos.

Preventivo Realização de compras de

fornecedores que não ofereçam serviços/produtos pelo melhor preço dada a especificação de

qualidade.

A

Riscos Avaliação Risco

Inerente Estrutura de Controles Internos Tipo de controle

A solicitação de compra é analisada e aprovada pelo proprietário do Centro de Custo apoiado pelo sistema Compras, de acordo com a divisão de responsabilidades da empresa

Detectivo A elaboração do orçamento da área solicitante define em linhas gerais quais bens devem ou não ser adquiridos.

Preventivo Em caso de solicitação de um ativo fixo para a empresa, esta é analisada e aprovada pela Área de gestão de ativos, de acordo com a Política de Compras

Detectivo A solicitação de compra é analisada e aprovada pelo proprietário do Centro de Custo apoiado pelo sistema Compras, de acordo com a divisão de responsabilidades da empresa

Detectivo A solicitação de compra é revisada pela área de compras que busca interagir com o solicitante a fim de compreender o que realmente deve ser adquirido. Em caso de dúvidas por parte do fornecedor, esclarecimentos por parte do solicitante serão necessários. Detectivo Especificação técnica inadequada do material/serviço solicitado M Solicitação de compra de um produto ou serviço desnecessário B S

Performance Plano de Ação

Formalização das especificações técnicas ideais na Política de

Compras

I S

Coletada continuamente;

Analisada de forma estruturada com

taxonomias e rating únicos para toda

organização;

Disponibilizada com grande usabilidade

para todos gestores tomarem suas

decisões;

Está Disponível contudo dispersa em

relatórios, planilhas, databases, atas de

reunião, avaliações de desempenho,

formulários de reclamações, etc..

Possui uma linguagem despadronizada e

critérios de avaliação não comparáveis de

acordo com quem coleta a informação

É pouca utilizada para tomada de decisão

(39)

Taxonomia

Tecnologia

(40)

Serviço 6

Serviço 6 –

– Otimização da estratégia

Otimização da estratégia

“

Our problem is not about strategy, but the execution of

it” (

Norton & Kaplan 2008)

Repositório de Ocorrências

Monitoração em Tempo Real de Riscos

Otimização da Estratégia

Convergência de Taxonomia

Convergência de Iniciativas

Convergência de Tecnologia

Repositório de Ocorrências

(41)

Maximizando resultados em ambiente de incerteza

“We have identified the need for a new organization

function which we call the Office of Strategic

Management (OSM), to be the process owner of the

strategy execution system” (2008, Norton e Kaplan)

(42)

Taxonomia

Tecnologia

(43)

Como inovar em gestão

de riscos para

aproveitar as

oportunidades criadas

por um ambiente

dinâmico e incerto ?

Convergência de Taxonomia, Convergência de iniciativas,

Convergência de Tecnologia, Repositório de Ocorrências,

(44)

QUAIS SERÃO OS NOVOS SERVIÇOS PRESTADOS

POR ÁREAS DE GESTÃO DE RISCOS, CONTROLES

E AUDITORIAS

E AUDITORIAS APÓS

APÓS 2012 ??

2012 ??

(45)

Serviço 7

Serviço 7 –

– Predição

Predição

“Companies will increasingly go toward Predictive Business as they begin to look at business events in greater and greater detail aid in tighter and tighter time frames. Using historical knowledge, you will create a set of standard pattern in which behavior-of events, customers and transactions will be identified. The next time you see this sequence of behavior

aligning in the same or similar fashion, you will know the likelihood that it will result in the same kind of out come”

Repositório de Ocorrências

Monitoração em Tempo Real de Riscos

Otimização da Estratégia

Predição

Convergência de Taxonomia

Convergência de Iniciativas

Convergência de Tecnologia

Repositório de Ocorrências

(46)

Inovações em técnicas preditivas

Homem de smoking + mulher de vestido branco

Sinos

Arroz voando

Projeto Musing Wikipedia (CEP)

(47)

CONSIDERAÇÕES FINAIS

(48)

Queda drástica de

visibilidade

O Velho Sistema de Gestão

Risk

Awareness

2008

2008 –

– Os sistemas de gestão não evoluíram na mesma

Os sistemas de gestão não evoluíram na mesma

velocidade que a complexidade do ambiente de gestão

O Velho Sistema de Gestão

O Novo Ambiente Empresarial

Risk

Intuition

1998

(49)

Inovando os sistemas de gestão com a GRC para

aproveitar oportunidades em um ambiente dinâmico

Convergência de Iniciativas

Convergência de Tecnologia

Repositório de Ocorrências

Monitoração em Tempo Real de Riscos

Otimização da Estratégia

Predição

Convergência de Taxonomia

A capacidade de reagir e se adaptar rapidamente a mudanças e

incertezas do ambiente é uma diferencial competitivo

fundamental para este século XXI.

(50)

O Desafio da Mudança

“Mudar alguma coisa implica não apenas aprender algo novo, mas desaprender algo que já existe, e,

possivelmente, está atrapalhando. O que a maioria das teorias e dos modelos sobre aprendizado

negligencia é a dinâmica do desaprendizado, da superação da resistência à mudança. Eles supõem que, se

você conseguir ter uma visão bastante clara de um futuro positivo, essa motivação será suficiente para

começar o novo aprendizado.” Edgar Schein

The risk and compliance consulting market is currently at $36 billion and is expected to grow

to more than $50 billion worldwide over the next three years (Rasmussen)

Risk Awareness

1. Convergência de Taxonomia

2. Convergência de Iniciativas

3. Convergência de Tecnologia

4. Repositório de Ocorrências

5. Monitoração de Riscos em Tempo real

6. Otimização da Estratégia

7. Predição

Risk

Intuition

(51)

Experiências em GRC

2 22 2 Monitoração Contínua de Fontes de Informação Monitoração de Indicadores de Risco e Performance

Disseminação de Linguagem Uniformizada de Análise Classificação Uniformizada de Problemas, preocupações Apoio na Apuração de Incidentes Ocorridos (ou quase) Modelagem de Processos (procedimentos) Modelagem e Avaliação de Riscos Elaboração e Monitoração de Planos de Ação Modelagem e Avaliação de Controles Auditoria/ Testes de Controle Estratégia de Gestão de Riscos e Auditoria Demandas Específicas de Modelagem Demandas Estratégicas 1 2 3 4 5 6 7 8 9 10 11 Outras demandas

Nome Descrição Gravidade Áreas StatusData de

OcorrênciaFonte de InformaçãoEncaminhamentoRiscosProcessos

Pro cess o de cisó rio Estrutu ra org aniz aciona l e atrib uiçõ es Des en ho d e proc es so Com pe tênc ias Gov erna nç a Cor pora tiva Plano de carrei ra e su ce ssão Sistem as de remun er ação e ince ntivos M odel o orça men tário Plane jam ento e straté gico Infra -estru tura física In fra-e strutu ra d o SIN Infra -estru tura te cn ológ ica Aplicat ivos Ética e cu ltura orga niza cion al Rel ação com Forne ce dore s Rel ação com A gent es Nor mas , pol íticas e proc ed imen tos Fluxo de in form ação e co mun icaç ão D egra daçã o de Im ag em do O NS peran te So cied ad e D egra daçã o de Im ag em do ONS p eran te G over no Degra daçã o da Seg uran ça Elétrica Degra daçã o da Seg uran ça Ene rgétic a Degra daçã o da Econ om icid ade Pe rda de c redibilid ad e fre nte aos Agent es Não ate ndim en to a re gula ção Técni ca Não ate ndim en to a regu laçã o Cor po rativ a Não ate ndim en to a legi slação Tra ba lhista Não ate ndim en to a le gislaç ão T rib utário-Fisc al Não atend im ento a out ras le gislaç ões (Cível , Crim in al, A mbien tal, et c.) Per da de em pr eg ado Ju nior/ P le no Per da de em pr eg ado Sen ior/ Espec ialis tas/ Ges tores D egra daçã o do clim a or ga nizacion al c om o um to do Deg ra daçã o do clim a en tre á reas Cus tos intern os exce ssiv os re lacion ad os a co nt rataçã o de servi ços Cus tos intern os exce ssiv os re lacion ad os a aq uisiçã o Cus tos intern os exce ssiv os re lacion ad os a ge stão de pess oa l P erda s rela tivas a aciden tes ou m á ut ilizaçã o de ativ os /re cursos Per das finan ce iras de vida s a fra ud e ou erro

Sim Sim Sim Sim Sim Sim Sim Sim Sim Sim Sim Si m

Sim Sim Si m Sim Sim Sim Sim Sim

Sim Sim Si m Sim Sim Sim Sim Sim Sim Sim

Si m Sim Sim

Sim Sim Sim Si m Sim Sim Sim Sim Sim Sim Sim Sim Sim Sim

Sim Sim Si m Sim Sim Si m Sim Sim Sim Sim

Sim

Sim Sim Sim Sim Sim Sim Sim Sim Sim Sim Sim Sim Sim

Sim Sim Sim Sim Sim Sim Si m Sim Pouco Grave Muito Grave Grave Grave Grave Pouco Grave Pouco Grave Pouco Grave Muito Grave Pouco Grave Grave Muito Grave Grave Pouco Grave Pouco Grave Muito Grave Grave Grave

Nome Rating Ranking

D e gr a da çã o d e Im a ge m d o O N S p er a nt e S oc ie d a de D e gr a da çã o d e Im a ge m d o O N S p er a nt e G o ve rn o D e gr a da çã o da S e gu ra n ça E lé tr ic a D e gr a da çã o da S e gu ra n ça E n er g ét ic a D eg ra d aç ão d a E co n om ic id a de P er d a d e cr e di bi lid a de fr e nt e a os A ge nt es N ã o at e nd im e nt o a r eg ul aç ã o T é cn ic a N ã o at e nd im e nt o a r eg ul aç ã o C o rp o ra tiv a N ã o a te nd im en to a le gi sl aç ã o T ra ba lh is ta N ã o a te nd im en to a le gi sl aç ã o T rib ut á rio -F is ca l N ão a te n di m e nt o a o ut ra s le gi sl a çõ es ( C ív e l, C ri m in a l, A m b ie nt al , e tc .) P e rd a d e e m pr e ga do J un io r/ P le n o asdas 27 7 Pouco Relevante Irrelevante Pouco Relevante Relevante sadas fsfsa 39 3 Relevante Irrelevante Irrelevante Irrelevante Pouco

Relevante dfgdfhd 15 9 Irrelevante Pouco

Relevante

Pouco

Relevante Irrelevante asdas 27 7 Relevante Irrelevante Irrelevante Irrelevante Pouco

Relevante Pouco Relevante sdgsdg 33 5 Irrelevante Pouco

Relevante Irrelevante Irrelevante

Muito Relevante

sdgsdddgdvdv 9 10 Pouco

Relevante Irrelevante Irrelevante Pouco Relevante ntyntys 30 6 Irrelevante Pouco

Relevante Irrelevante Relevante Irrelevante dgfbd 42 1 Irrelevante Relevante Pouco

Relevante fbdf 9 10 Irrelevante Pouco

Relevante Irrelevante Irrelevante Pouco Relevante

3 12 Irrelevante Irrelevante Irrelevante Pouco Relevante erbre ybnrtgf 42 1 RelevantePouco Relevante Irrelevante Irrelevante esdc rdqwbvt4 39 3 RelevantePouco Irrelevante RelevanteMuito

Severidade Muito Alto Alto Médio Baixo Organização GER Monitoração Contínua de Fontes de Informação 2

Definir processos relacionados ao problema ocorrido

Identificar categorias de causa associadas a cada processo

Definir nível de gravidade do problema Registrar informações de descrição, áreas envolvidas e data

de ocorrência

Identificar categorias de impacto

associados a cada processo Validar classificação do problema

4.1 Problema Grave Registrar informações de encaminhamento, riscos associados Apoio na Apuração de Incidentes Ocorridos (ou quase) 5 4.2 4.3 4.4 4.5 4.6 4.7 Estratégia de

Baixo Muito raro Raro Pouco Provável Provável Probabilidade Modelagem e Avaliação de Riscos 7

Atualizar encaminhamento dado ao problema Sugerir riscos a serem analisados

4.6 4.7 4.8 4.9 Estratégia de Gestão de Riscos e Auditoria 6

(52)

Considerações

Considerações finais

finais

Como saber se você está fazendo um bom trabalho?

• “You know you’re doing a good job when there are no surprises and you know

immediately about anything unusual…”

(CRO, Global Banking Group)

“ If HP knew what HP knows, it would be three times more profitable”

(Lew Plat, CEO of HP)

“Operational risk can change the world. It just needs the chance to show what it can do”

(Ellen Davis, Opr Risk & Compliance, 2008)

Comparada a outros tipos de inovação, a da gestão tem um poder inigualável de criar

vantagens competitivas mais poderosas e duradouras”

(53)

Modelos de Referência

Red Book OCEG

TransConstellation

(54)

Livros

Operational Risk 2.0 Ellen Davis

Managing the Unexpected

Michael Power The Black Swan

Nassim Taleb

Managing the Unexpected Karl Weick e Kathleen Sutcliffe

(55)

Periódicos

http://www.opriskandcompliance.com/

OpRisk & Compliance

GRC Illustrated Series

http://www.oceg.org/view/illustrations

http://www.oceg.org/view/GRC360

(56)