auditoria baseada em riscos abrparanacooperativo.coop.br/ppc/images/comunicacao/... · ®brasiliano...

®Brasiliano INTERISK – O valor da Inteligência


Curitiba, 28 de junho de 2018

Prof. Dr. Antonio Celso Ribeiro Brasiliano, CIGR, CRMA, CES,DEA, DSE, MBS

Presidente da Brasiliano INTERISK

AUDITORIA BASEADA EM RISCOS – ABR


Sumário

1.Objetivos do Seminário

2.Facilitador

3.Auditoria Baseada em Riscos x Auditoria Tradicional

4.Contexto do Ambiente Empresarial

5.Processos e Conceitos de Boas Práticas para operacionalizar as Três

Linhas de Defesa

6.Três Linhas de Defesa, Aplicação e Conceito Estratégico: funções e

responsabilidades

7.Conclusão


1. Apresentar o contexto empresarial neste século XXI;

2. Apresentar o contexto do gerenciamento de riscos corporativos integrado com os

modelos de governança, compliance e auditoria – Três Linhas de Defesa: funções e

responsabilidades;

3. Apresentar o conceito e emprego da Auditoria Baseada em Riscos – ABR, visando

ganhar produtividade, eficácia nos testes dos controles chaves dos riscos críticos

para o negócio da instituição. Agrega Valor.

Objetivos do Seminário

®Brasiliano INTERISK – O valor da Inteligência© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016

Prof. Dr. Antonio Celso Ribeiro Brasiliano,CIGR,CRMA,CES,DEA,DSE,MBS

Doutor em Science et Ingénierie de L’Information et de L’Intelligence Stratégique (Ciência e Engenharia da Informação e InteligênciaEstratégica) pela UNIVERSITÉ EAST PARIS - MARNE LA VALLÉE – Paris – França; Master Degree - Diplome D´Etudes Approfondies (DEA) enInformation Scientifique et Technique Veille Technologique (Inteligência Competitiva) pela UNIVERSITE TOULON – Toulon - França; Especializadoem: Inteligência Competitiva pela Universidade Federal do Rio de Janeiro - UFRJ; Gestión da Seguridad Empresarial Internacional – UniversidadPontifícia Comillas de Madrid – Espanha; Curso de Gestión da Seguridad Empresarial - Universidad Pontifícia Comillas de Madrid – Espanha;Planejamento Empresarial, pela Fundação Getúlio Vargas - SP; Elaboração de Currículos pelo Centro de Estudos de Pessoal do Exército - CEP,Bacharel em Ciências Militares, graduado pela Academia Militar das Agulhas Negras; Bacharel em Administração de Empresas – UniversidadeMackenzie; Certificado em Gestão de Riscos: Certificácion Internacional de Gestión de Riesgos – CIGR pela CEAS Espanha - Certification in RiskManagement Assurance – CRMA, pelo IIA Global – Institute of Internal Auditors, Certificado como Especialista em Segurança Empresarial – CESpela ABSO. Autor dos livros: Inteligência em Riscos: gestão Integrada em Riscos, com a inclusão do COSO ERM 2017 e ISO 31000: 2018“Mundo VICA – Volátil, Incerto, Complexo, Ambíguo. Estamos Preparados?”; “Inteligência em Riscos: Gestão Integrada em Riscos Corporativos”;“Gestão de Risco de Fraudes, Fraud Risk Assessment – FRA”; “Gestão de Continuidade de Negócios – GCN”; “Guia Prático para a Gestão deContinuidade de Negócios”; “Cenários Prospectivos em Gestão de Riscos Corporativos: um estudo de caso brasileiro”; “Gestão e Análise deRiscos Corporativos: Método Brasiliano Avançado” – Alinhado com a ISO 31000; "Análise de Risco Corporativo – Método Brasiliano"; “Manual deAnálise de Risco Para a Segurança Empresarial”; “Manual de Planejamento: Gestão de Riscos Corporativos”; “A (IN)Segurança nas Redes

Empresarias: A Inteligência Competitiva e a Fuga Involuntária das Informações”; “Planejamento da Segurança Empresarial: Metodologia e Implantação”; Coautor dos Livros: “Dicionário de Crime, Justiça e Sociedade” - lançamento em Portugal onde colaborou com especialistas portugueses e demais países da Europa, sendo o único brasileiro a participar com textos sobre Fraudes Corporativas; “Manual de Planejamento Tático e Técnico em Segurança Empresarial”; “Segurança de Executivos" -Noções Antissequestro e Sequestro: Como se Defender; Idealizador da Solução em Inteligência em Riscos Corporativos INTERISK; Professor Convidado do IPT da USP do Programa de Mestrado, para aulas de Análise de Riscos, da Fundação Dom Cabral e da Faculdade Trevisan para Cursos de Gestão de Riscos; Atual Coordenador Técnico e Professor do MBA - Gestão de Riscos Corporativos e Cursos de Extensão nos temas de Riscos, Compliance, Gestão de Continuidade de Negócios, Auditoria Baseada em Riscos, Controles Internos, Segurança Corporativa, todos em convênio com a Faculdade de Engenharia de São Paulo – FESP; Membro do Institute ofInternal Auditors IIA; do Instituto dos Auditores Internos do Brasil – IIA Brasil; Membro da Associação Brasileira de Profissionais de Segurança Orgânica – ABSO, Coordenou a 1ª Pesquisa de Vitimização Empresarial 2003 – Contrato pela PENUD/ONU/SENASP; Profissional com mais de 30 anos de experiência em Gestão de Riscos; Palestrante nacional em inúmeros eventos da área de riscos, compliance, auditoria, controles internos e segurança corporativa. Palestrante Internacional em eventos na Argentina, Paraguai, África e Japão (convidado pela Organização Pan-Americana de Saúde-OPAS, como expert em Planos de Contingência, na Conferência Mundial de Redução de Desastres, Yokohama). Experiência internacional em consultoria GRC em Portugal, Cabo Verde, Angola, Moçambique, Uruguai, Argentina, Paraguai, Colômbia, México. Membro da Comissão de Estudo Especial de Gestão de Riscos da ABNT/CEE-63 – ISO 31000/31010/31004 – Gestão de Riscos e ISO 22301/22313 Gestão de Continuidade de Negócio – Segurança da Sociedade. É Presidente da BRASILIANO INTERISK.


Alguns clientes Brasiliano INTERISK


CONCEITO, DEFINIÇÃO, ABRANGÊNCIA DA AUDITORIA

“AUDITORIA INTERNA é uma atividade independente e

objetiva que presta serviços de avaliação (assurance) e

consultoria, e tem como objetivo adicionar valor e

melhorar as operações de uma organização. Auxilia a

organização a alcançar seus objetivos, adotando uma

abordagem sistemática e disciplinada para a avaliação e

melhoria da eficácia dos processos de gerenciamento de

riscos, de controle e governança corporativa”

Fonte: IIA / IAIB


CONCEITO, DEFINIÇÃO, ABRANGÊNCIA DA AUDITORIA

Finalidade da Auditoria Interna

A Auditoria Interna tem por finalidade desenvolver um plano de

ação que auxilie a organização a alcançar seus objetivos adotando

uma abordagem sistêmica e disciplinada para a avaliação e

melhora da eficácia dos processos de gerenciamento de

riscos com o objetivo de adicionar valor e melhorar as

operações e resultados de uma organização.


IIA – The Institute of Internal Auditors – define Auditoria Baseada em Riscos –

ABR:

Como uma metodologia que associa a auditoria interna no arcabouço global da

gestão de riscos de uma organização.

A ABR possibilita que a auditoria interna garanta ao conselho de administração,

que os processos de gestão de riscos estão administrando os riscos de maneira

eficaz em relação ao apetite ao riscos.

AUDITORIA E CONTROLESAUDITORIA BASEADA EM RISCOS - ABR


Conclusão O QUE É RISCO?

Costuma-se entender risco como possibilidade de algo não dar certo.

Mas seu conceito atual no mundo corporativo vai além: envolve a quantificação e a

qualificação da incerteza, tanto no que diz respeito às perdas quanto aos ganhos por

indivíduos ou organizações.

Sendo o risco inerente a qualquer atividade – e impossível de eliminar –, a sua

administração é um elemento-chave para a sobrevivência das instituições e empresas.

Fonte: Cadernos de Governança Corporativa – Gerenciamento de Riscos Corporativos: Evolução em Governança e Estratégia – IBGC - 2017


Conclusão COMPONENTES DO RISCO

Para a exata delimitação do risco, devem-se identificar os três componentes: causas, as fontes, os fatores

de risco; o evento em si e as consequências, que são os efeitos financeiros, operacionais, legais,

imagem, recursos humanos...


ConclusãoO QUE SÃO CAUSAS, FONTES OU FATORES DE RISCOS?

Riscos são incidentes ou ocorrências originadas a partir de fontes internas

ou externas que podem impactar negativamente ou positivamente a instituição.

O risco é composto por fatores de riscos – causas – internas e externas.

Para compreender sua potencialidade há a necessidade de decompor o risco

em suas respectivas causas.


Risco

Fator de Risco – Causa - Fonte

ISO 31010Técnicas de Análise

de Riscos


Fator de Risco – Causa - Fonte


Identificação dos Fatores de Riscos – Diagrama de Causa e Efeito

R1 Manipulação de quantidade recebidas - Fraude

R2 Recebimento de produtos fora da

especificação de qualidade


Apetite de Risco

Apetite de risco é a quantidade de risco que a empresa deseja assumir para conseguir

atingir seus objetivos.

Ou podemos dizer também que apetite de risco é a quantidade de riscos, no sentido mais

amplo, que uma organização está disposta a aceitar em sua busca para agregar valor.

O apetite de risco reflete toda a filosofia administrativa de uma organização e, por sua

vez, influencia a cultura e o estilo operacional desta.


Apetite de Risco

A fixação do apetite de risco permite determinar na empresa o binômio risco x benefício,

controlar e manter os riscos em níveis desejados.

Para tanto, para possibilitar a concretização de geração de valor nas organizações, estas

devem fazer um balanço entre riscos x oportunidades x apetite de risco, e, servir de guia

para a tomada de decisões, alocação de recursos e a definição do alinhamento de toda

empresa para a busca dos objetivos fixados.

Permite fazer um monitoramento das ações, resultados e dos níveis de riscos

associados.


Fonte:

Exposição

APETITE AO RISCO: VISÕESApetite de Risco


APETITE AO RISCO: NÍVEIS DE ACEITAÇÃO

1 - Monitoramento2 – Apetite de Risco3 – Tolerância ao Risco4 – Capacidade de Risco


A eficácia da ABR depende:

1. Avaliar a eficácia do processo de gestão de riscos:

• Estruturado? • Possui política? • Alinhado com o apetite definido? • Alinhado com a estratégia e objetivos estratégicos? • Possui metodologia? • Possui métricas por disciplinas de riscos? • Controla a 1ª linha? • Consolida e integra riscos? • Utiliza Software?• Realiza reportes contínuos para a alta gestão?• Riscos e controles chaves são reportados e tratados?

Eficácia da Auditoria Baseada em Riscos


Segurança TI/Cibernética

▪ Rede de comunicação▪ Aplicações▪ Vírus

Segurança Pessoal ▪ Sequestros ▪ Assaltos▪ Epidemias (Avian Flu)▪ Acidentes

FORNECEDORES▪ Encerramento repentino de contrato▪ Novas regulamentações▪ Falência

Segurança na Cadeia Logística

• Armazenagem▪ Distribuição▪ Transporte▪ Greves

NEGÓCIOS▪ Disponibilidade▪ Imagem

GRC

Segurança Física▪ Incêndio▪ Alagamento▪ Desabamento▪ Ataque terrorista▪ Blackout

PROCESSOS ▪ Fraudes ▪ Ineficiência

▪ Segurança

ABRANGÊNCIA DA SEGURANÇA CORPORATIVA

Abrangência


ABRANGÊNCIA GERA INÚMERAS DISCIPLINAS……..

1. Riscos estratégicos.

2. Riscos operacionais – ligados a operação.

3. Riscos nos processos.

4. Riscos de tecnologia da informação.

5. Riscos de meio ambiente.

6. Riscos de saúde e segurança do trabalhador.

7. Riscos de segurança empresarial.

8. Riscos financeiros.

9. Riscos legais.

10. Riscos sociais.

11. Riscos de sustentabilidade.

12. Riscos de comunicação.

13. Riscos de fraudes.

14. Riscos na cadeia logística.

15. Riscos no projeto.

16. Outras tantas disciplinas.

As várias disciplinas de riscos, devem ser, gerenciadas, de forma integrada.

O que significa isto?


Apesar da grande diversidade e abrangência, devem utilizar um mesmo FRAMEWORK para a

Instituição toda!

O que pode e deve mudar? Ferramentas e critérios para estimar probabilidades e

impactos/consequências dos riscos

Mas TODAS AS DISCIPLINAS IRÃO PARA UMA ÚNICA MATRIZ!

Qual a razão dos riscos irem para uma única Matriz de Riscos?

A Instituição falar a mesma linguagem, saber a criticidade do risco e o apetite de risco.

Significa que os Gestores de Riscos, com o apoio e Suporte da Alta Gestão, devem:


A instituição possuir várias políticas – diretrizes de gestão de riscos;

A instituição possuir inúmeros Framework’s – um para cada disciplina,

alegando especificidade;

A instituição possuir várias metodologias, a forma como fazer o gerenciamento

de riscos;

A instituição possuir várias matrizes de riscos, uma matriz por disciplina de

risco. ACONTECE O QUÊ?

O QUE NÃO DEVE ACONTECER ?


O QUE NÃO DEVE ACONTECER?

A Alta Gestão e o Conselho de Administração da Empresa não

terão condições de supervisionar os riscos estratégicos e

críticos, farão voo cego, pois ficam sem parâmetros claros.


Consequência

O QUE NÃO DEVE ACONTECER?


1. POLÍTICA DE GESTÃO DE RISCOS – APETITE AO RISCO E RESPONSABILIDADES DOS “RISK’S OWNER”

2. PROCESSO DE GESTÃO DE RISCOS COM MÉTRICAS E METODOLOGIAS - DESCRIÇÃO POR DISCIPLINA

Matriz Única para a Empresa, INCLUINDO A AUDITORIA, Independente da disciplina e métrica

AUDITORIA DEVE CHECAR


ISO 31000COSO II

PROCESSO INTEGRADO -MÉTODO BRASILIANO -COM FERRAMENTA DE TI INTERISK

COSO I - Revisão 2013COSO ERM - Revisão 2017

Processo de Gerenciamento de Riscos Corporativos


Relato de informação financeira e não financeira, interna e externamente. Considera aspectos de fiabilidade, tempestividade,transparência e outras características relevantes.

Dado grande enfoque na formalização de papéis, julgamento e responsabilidades da alta administração para reforçar o seu mandato

Detalhamento de cada um destes componentes foi aprimorado para um total de 17 princípios e devem estar presentes e operantes portoda a entidade.

COSO I Foco no Controle Interno


Um novo conceito

COSO I Foco no Controle Interno


Tipos de

Controle

Características

PreventivosDesenhado para prevenir resultados indesejados Reduzem a possibilidade de sua ocorrência e detecção.

Exemplo: Cheques com duas assinaturas; Empenho prévio; Cadastro de fornecedores; etc

DetectivosDesenhado para detectar fatos indesejáveis. Detectam a manifestação/ocorrência de um fato.

Exemplo: Conciliação de contas: Bancos, Contas a Receber, Pagar, etc.

Preventivos são os controles que atuam sobre os fatores de riscos do diagrama de causa e efeito, ou seja, sãocontroles que irão prevenir o risco, fazer com que a probabilidade de ocorrência do riscos diminua.

Detectivos são controles que atuam após a ocorrência do risco, ou seja, detecta que ocorreu um evento (riscos) efaz com que seu impacto seja mitigado.

Exemplo: Processo de Expedição• Risco: Desvio de Material• Fator de risco: Expedição não autorizada de materiais• Controle Preventivo: Dupla conferência – Permite liberar o material apenas com a assinatura do conferente e

do líder de expedição (Age sobre o fator de risco “Expedição não autorizada de materiais”) – Se o controle foreficaz diminuirá a probabilidade do risco.

• Controle Detectivo: Inventário Mensal – Permite detectar divergências mensais entre a quantidade física equantidade em sistema, caso tenha ocorrido algum desvio (Age sobre o risco “Desvio de Material”). Se ocontrole for eficaz diminuirá o impacto do risco.

CONTROLES INTERNOSTipos de Controle Interno


Revisão Estratégica COSO ERM – 2017 INTEGRADO COM ESTRATÉGIA E DESEMPENHO

objetivos estratégicos, estratégia devem estar alinhados com

a missão, visão e valores da organização

• Objetivos Estratégicos e a Estratégias

• Desempenho

Processo de Gestão de Riscos e alinhados com o Apetite de Risco


COSO ERM – 2017 INTEGRADO COM ESTRATÉGIA E DESEMPENHO

05 COMPONENTES E 20 PRINCÍPIOS


Materialidade do Risco

Vulnerabilidade residual:exposição ao risco após tomar as medidas julgadas

adequadas - grau de preparação atuante(exposição não tratável no absoluto ou não tratável porque o custo

marginal de tratar é maior que o benefício marginal de tratar)

Vulnerabilidade Passível de Redução por AtuaçãoGrau de Preparação (Redutor de

Vulnerabilidade)

Redução Máxima da Vulnerabilidade

Considerando Grau de Preparação

AtuanteAtuante

Intermediário

Insuficiente

Que é a exposição ao risco depois de tomadas as ações de tratamento

CONCEITO IMPORTANTE É A VULNERABILIDADE RESIDUAL

RISCO INERENTE E RISCO RESIDUAL


VISÃO DE ANTECIPAÇÃO - RISCOS

Inerente Residual


Fonte: 13a Relatório de Riscos Globais do Fórum Mundial 2018

Se, o gestor de riscos fizer o “feijão com arroz”, ou seja identificar a Criticidade de cada Risco pela Probabilidade x Impacto


O que o Fórum Mundial pede que façamos além de identificar a Criticidade de cada risco?

Tenho que identificar a

Motricidade entre os

riscos, suas

interconectividade.

Saber o que um risco

influência em outro!



O que o Fórum Mundial pede que façamos além de identificar a Criticidade de cada risco?

Na Gestão de Riscos

identificamos a

Motricidade entre os

riscos utilizando o

Teorema de Bayes,

Probabilidades

Condicionantes,

facilitada pela Técnica

dos Impactos

Cruzados.



O que isto significa na prática?

Matriz de Impactos Cruzados – Teorema de Bayes



Matriz de Motricidade – Interdependência



Matriz de Riscos - Criticidade = Probabilidade x Impacto



Matriz de Motricidade – Interdependência

Motricidade Matriz de Impactos CruzadosINTERCONECTIVIDADE ENTRE RISCOS



Matriz de Priorização – Motricidade x Criticidade


Faltam conexões entre as disciplinas

Disciplinas de Riscos são Ilhas Falta Visão Holística

Qual a consequência da falta destas conexões?

Miopia para enxergar o Risco Sistêmico


“N” Disciplinas, com “N” ferramentas e métricas personalizadas, mas todas debaixo do mesmo Processo e Matriz de Risco! O Resultado é a Inteligência em Riscos, onde há análise e interpretação das informações.

A Integração das Disciplinas de Riscos


Integrar todos os Riscos e Informações – Inteligência em Riscos


Processo Crítico x Risco Inerente Crítico x Controles Chaves = Risco Residual dentro do Apetite ao Risco

Painel de Controle e Monitoramento


Não tem cabimento no século XXI, instituições de porte, ainda estarem

realizando a Gestão de Riscos no Famoso anacrônico denominado “S.A.P.”

AS INSTITUIÇÕES DEVEM, OBRIGATORIAMENTE, TRABALHAREM COM FERRAMENTA DE TI

SAP = Sistema Avançado de Planilha

O que gera inúmeros riscos!

Solução com Ferramenta de TICom integrações automatizadas


A eficácia da ABR depende:

2. Avaliar os controles chaves dos riscos inerentes críticos dos processos relevantes para o negócio

Eficácia da Auditoria Baseada em Riscos


Risco InerenteFatores de Riscos x

ControlesRisco Residual

FR. 278(Ausência de local coberto adequado para as coletas

de amostras dos caminhões em dias de chuva)

Risco 124

(Recebimento de produtos fora da especificação de

qualidade)

FR. 279(Manipulação dos

resultados das amostras de qualidade)

C.190(Amostra de qualidadedo produto entregue)

FR. 281(Existência de pragas no local de armazenagem)

C.185(Controle magnético)

FR. 282(Conluio entre o

descarregamento e o motorista)

C.188(Recebimento de

Ticket de pesagem)

(I|P)

(E|P)

Risco 124

(Recebimento de produtos fora da especificação de

qualidade)

Média Probabilidade:

3.92 Muito AltaMédia Impacto:

4.00 Severo


2.58 AltaMédia Impacto:

4.00 Severo

(E|P)

Legenda:(I) - Ineficaz(E) - Eficaz(P) - Preventivo(D) - Detectivo

Análise de Riscos - Inerente e Residual


FR. 271(Solicitação informal do cliente

para entrada do produto)

Risco 122

(Registro de produtos não recebidos)

FR. 272(Ausência de formalização do

escritório para balança)

FR. 273(Liberação de entrada dos caminhões através

da identificação pessoal do motorista)

FR. 274(Recebimento de produto sem

aviso do cliente)

C.185 .(Controle magnético)

(I|P)

Risco 122

(Registro de produtos não recebidos)


4.58 ElevadaMédia Impacto:

3.18 Moderado


4.17 Muito AltaMédia Impacto:

3.18 Moderado

C.186 .(Confirmação do cliente)

(I|P)

FR. 275(Falta de energia no armazém não

permitindo o funcionamento da balança)

FR. 276(Ausência de nobreak e/ou

gerador para a balança)

FR. 277(Manipulação das divergências de

peso entrega)

C.187 .(Validação da nota fiscal

de entrada)

(E|P)

FR. 282(Conluio entre o descarregamento

e o motorista)

C.188 .(Ticket de pesagem)

(E|P)

FR. 283(Ausência de padrão para as

informações de recusas dos produtos)

FR. 284(Manipulação do lastro do caminhão pelo motorista)

C.187 .(Validação da nota fiscal

de entrada)

(E|P)

FR. 285(Ausência de integração sistêmica

entre a balança (entrada) e o sistema Alfa

C.191 .(Registro de estoque)

(I|D)

FR. 286(Ausência de tempestividade no registro de entrada de estoque)


(E|P)

C.186 .(Confirmação do cliente)

(I|P)


(E|P)


(E|P)

C.191 .(Registro de estoque)

(I|D)

Legenda:(I) - Ineficaz(E) - Eficaz(P) - Preventivo(D) - Detectivo

Estudo de Caso

Análise de Riscos - Inerente e Residual

Risco InerenteFatores de Riscos x

ControlesRisco Residual


No exemplo utilizado necessário implementar

controles preventivos para inibir os fatores de riscos e

implementar controles detectivos e mitigadores

(exemplos - plano de emergência, plano de crise, plano de continuidade de

negócios) visando diminuir o impacto

Avaliação de Riscos - Inerente e Residual


Alguns Casos:

Onde estavam os Auditores?

Principais escândalos corporativos de 2010 a 2016


FRAUDE – 2015 - VW

“ ATÉ 2018, QUEREMOS LEVAR O GRUPO AO TOPO DA INDÚSTRIA GLOBAL”

Martin Winterkorn – Presidente em 2011na montadora no Tennessee - USA

“ ATÉ 2018, QUEREMOS LEVAR O GRUPO AO TOPO DA INDÚSTRIA GLOBAL”

Martin Winterkorn – Presidente em 2011na montadora no Tennessee - USAAções caíram 34%

Multas podem chegar até 18 bilhões de dólares


Fraude – Petrobrás

Consequência direta:- Queda do valor das ações + 50%- Credibilidade da diretoria e Petrobrás- Paralização de obras

- Ações na justiça


Wells Frago - 2016

O Presidente pediu Desculpas e assumiu oerro, mas não adiantou....


A Importância de uma Adequada Gestão de Riscos Apetite de Risco Alto?

BP - British Petroleum, em 2007

Uma Comissão de inquérito dos Estados Unidos atribui o desastre a:

FALHAS DE GESTÃO, QUE INCAPACITAVA OS INDIVÍDUOS ENVOLVIDOS NAIDENTIFICAÇÃO, AVALIAÇÃO, COMUNICAÇÃO E TRATAMENTO DOS RISCOSDE FORMA ADEQUADA!

Quando Tony Hayward tornou-se CEO da BP em 2007, ele jurou

fazer segurança sua prioridade máxima. Dentre as novas regras

que ele instituiu, a necessidade de que todos os funcionários

usassem tampas em xícaras de café durante a caminhada e

abstivessem de escrever mensagens de texto enquanto dirigiam.


FIFA - 2015


YAHOO - 2016


OLYMPUS - 2011


Fonte: IBGC – Cadernos de Governança - Gerenciamento de Riscos Corporativos – Evolução em Governança e Estratégia – 2017.

PONTOS DE REFLEXÃO PARA OS AUDITORES GESTÃO DE RISCOS CORPORATIVOS

• O que pode comprometer o cumprimento das estratégias e metas?

• Onde estão as maiores oportunidades, ameaças e incertezas?

• Quais são os principais riscos?

• Como a Cooperativa responde aos riscos?

• Existem informações confiáveis para tomada de decisões?

• O que é feito para assegurar que os riscos estejam em um nível aceitável?

• A cooperativa possui consciência da importância do processo de gestão deriscos?

• A cooperativa tem as competências necessárias para gerir riscos assumidos?

• Quem identifica e monitora ativamente os riscos da Cooperativa?

• Que padrões e metodologias são utilizados?


Disruptiva

Veloz

Ágil

A Revolução 4.0 impacta as maisdiversas áreas das empresas, estáinvertendo a forma de pensar, trabalhar,produzir....novas competências serãonecessárias!!

O Mundo vive hoje turbulências imprevisíveis e mudanças exponenciais para as quais as empresas e seus líderes não estão preparados!


A Revolução Industrial 4.0 integra as

tecnologias físicas e lógicas, como Inteligência

Artificial, Robótica, Computação Cognitiva,

Analytics e Internet das Coisas (IoT).

HAVENDO INTERCONECTIVIDADE EM TUDO!

As outras revoluções industriais vieram com inovações

tecnológicas, com o objetivo de trazer maior

produtividade e eficiência aos processos.

AS EMPRESAS NECESSITAM QUEBRAR DOGMAS DA ADMINISTRAÇÃO, ASSUMIR RISCOS, SER OUSADAS


VOLUME DE INFORMAÇÕES E DADOS:

• CISCO estima que em 2020 haverá 50 bilhões de

dispositivos conectados à internet.

• Dezenas de bilhões de telas.

• Três bilhões de sensores em nossos carros.

O conhecimento é dobrado a cada dois anos!

CONTEXTO DO MERCADO CORPORATIVO E AS ABORDAGENS ESTRATÉGICAS DAS EMPRESAS


TENHO QUE SABER ONDE DEVO AUDITAR, ASSESSORAR, OBSERVAR, PERGUNTAR, INVESTIGAR, POIS A ABRANGÊNCIA É MUITO GRANDE, O VOLUME DE DADOS E

INFORMAÇÕES SÃO BRUTAIS


A REVOLUÇÃO INDUSTRIAL 4.O IMPACTA DIRETAMENTE EM 4 PILARES ESTRATÉGICOS

• ESTRATÉGIA DA EMPRESA

• TECNOLOGIA

• TALENTOS E FORÇA DE TRABALHO

• IMPACTO SOCIAL


ANTECIPAÇÃO

A GESTÃO DE RISCOS E AUDITORIA DEVEM QUEBRAR UM PARADIGMA: NÃO PODEM RELATAR O QUE ACONTECEU, MAS O QUE PODERÁ VIR A ACONTECER, NO FUTURO!


VUCA

VolatilitityVolatilidade

UncertaintyIncerteza

ComplexityComplexidade

AmbiguityAmbiguidade

1. Aceitar

2. Não pensar demais3. Mover-se

VICA

AMBIENTE EXTREMAMENTE TURBULENTO, GERA:


VICA

Volatilidade

Incerteza

Complexidade

Ambiguidade

VisãoVelocidade

AgilidadeAbundância

EntendimentoNão ortodoxia – Não Dogmatizar

Colaboração Entender a conectividade

Cocriação Interdependência

AMBIENTE EXTREMAMENTE TURBULENTO, GERA:


6 D’s

Pensamento Linear x Exponencial


Riscos que Impactam a Estratégia de Negócio da Empresa, fazendo com quenão cumpra com seus objetivos!

Trajetória da Empresa

A empresa necessita alinhar sua estratégia de negócio, neste ambiente turbulento, aos Riscos....

Objetivosdas Diretrizes Estratégicas

Os riscos devem ser antecipados, o Planejamento Estratégico deve possuir umaabordagem múltipla de mercado.

A instituição tem que possuir ESTRATÉGIAS ADAPTATIVAS E VISIONÁRIAS!


A gestão de riscos torna a empresa mais resiliente aos efeitos dasincertezas e mais HÁBIL em alcançar seus objetivos Estratégicos.AMBIDESTRA

Remediação

Prevenção

Mitigação

ObjetivosEstratégicos

Trajetória COM Gestão de Riscos


Conclusão PERFIL DO AUDITOR INTERNO

Característica do Nexialista, onde a habilidade principal é a conectividade.

Fonte: O marketing na Era do Nexo. Longo, Walter e Tavares, Zé Luis. Rio de Janeiro: BestSeller, 2009


14 Dezembro de 2011

Dezembro de 2011 - Adaptação da

Guidance on the 8th EU Company

Law Directive da ECIIA

(Confederação Europeia dos

Institutos de Auditoria Interna) /

/FERMA (Federação Europeia de

Associações de Gerenciamento de

Riscos), artigo 41

Normas imposta pela legislação

europeia aplicáveis às empresas

em toda a União Europeia.

LINHAS DE DEFESA


Funções que gerenciam

e são proprietários

dos riscos

Funções que supervisionam

os riscos

Facilitadores

Funções que fornecem avaliações

independentes

Janeiro de 2013

LINHAS DE DEFESA


O modelo apresenta um novo ponto de vista sobre as operações,ajudando a garantir o sucesso contínuo das iniciativas de gerenciamento deriscos, e é aplicável a qualquer organização - não importando seu tamanhoou complexidade.Mesmo em empresas em que não haja uma estrutura ousistema formal de gerenciamento de riscos, o modelo de Três Linhas deDefesa pode melhorar a clareza dos riscos e controles e ajudar a aumentar aeficácia dos sistemas de gerenciamento deriscos.

O modelo de Três Linhas deDefesa é uma forma simples eeficaz de melhorar acomunicação do gerenciamentode riscos e controle por meio doesclarecimento dos papéis eresponsabilidades essenciais.

CONCEITOS ESTRATÉGICOS


A gerência operacional é responsável por manter controles internoseficazes e por conduzir procedimentos de riscos e controle diariamente.A gerência operacional identifica, avalia, controla e mitiga os riscos,guiando o desenvolvimento e a implementação de políticas eprocedimentos internos e garantindo que as atividades estejam deacordo com as metas e objetivos. Deve haver controles de gestão e desupervisão adequados em prática, para garantir a conformidade e paraenfatizar colapsos de controle,processos inadequados e eventos inesperados.

Como primeira linha de defesa,os gerentes operacionaisgerenciam os riscos e têmpropriedade sobre eles. Elestambém são os responsáveispor implementar as açõescorretivas para resolverdeficiências em processos econtroles.



Uma função (e/ou comitê) de gerenciamento de riscos que facilite

e monitore a implementação de práticas eficazes de gerenciamento de

riscos por parte da gerência operacional e auxilie os proprietários dos

riscos a definir a meta de exposição ao risco e a reportar adequadamente

informações relacionadas a riscos em toda a organização.

Segunda Linha como

supervisora e facilitadora da

primeira linha de defesa.

Dupla Função!



As responsabilidades dessas funções incluem:

1. Apoiar as políticas de gestão, definir papéis e responsabilidades eestabelecer metas para implementação.2. Fornecer estruturas de gerenciamento de riscos.3. Identificar questões atuais e emergentes.3. Identificar mudanças no apetite ao risco implícito da organização.4. Auxiliar a gerência a desenvolver processos e controles paragerenciar riscos e questões.

Como funções de gestão, elaspodem intervir diretamente, demodo a modificar e desenvolver ocontrole interno e os sistemas deriscos.Portanto, não pode ofereceranálises verdadeiramenteindependentes aos órgãos degovernança acerca dogerenciamento de riscos e doscontroles internos.



EN

TR

AD

A

Mapa de Riscos das Disciplinas

Fatores de Riscos Críticos /

Relevantes das Disciplinas

Controles Chaves Suportam os

Fatores de Riscos Críticos

Planos de Ações

GRC

Realiza:

Análises Interpretações

Estudos de Impactos Cruzados

Estudos de Interconectividade

Consolidaçãodas Informações

Supervisiona e Capacita a

Aplicação da Metodologia

SA

ÍD

A

Mapa de Riscos Integrado

Riscos Críticos dos Processos Críticos

Fatores de Riscos Críticos e

Controles Chaves que suportam os Fatores Riscos

Críticos

Controle dos Planos de Ações:

Eficácia e Implantação

Listagem Processos / Áreas

Críticas para o Negócio

Produtos da Primeira Linha:

VISÃO DOS RISCOS POR ÁREA

GERÊNCIA/DIRETORIA

Função da Segunda Linha

Produtos da Segunda Linha

VISÃO HOLÍSTICAESTRATÉGICA

EMPRESA COMO UM TODO

Inteligência em Riscos Corporativos - IRC

TRÊS LINHAS DE DEFESA


A auditoria interna provê avaliações sobre a eficácia da governança,

do gerenciamento de riscos e dos controles internos, incluindo a

forma como a primeira e a segunda linhas de defesa alcançam os

objetivos de gerenciamento de riscos e controle

Os auditores internos fornecem ao órgão de governança e à alta administração avaliações abrangentes baseadas no maior nível de independência e objetividade dentro da organização.



Auditoria Baseada em Riscos - ABR,

otimiza tempo de coleta de dados,

cerca de 60%, foca em análise,

interpretação e verificação.



Padrão 2120 – Gerenciamento de riscos

A atividade de auditoria interna deve avaliar a eficácia e contribuir para a melhoria

do processo de gerenciamento de riscos.

Interpretação: Determinar se os processos de gerenciamento de risco são efetivos é

um julgamento resultante da avaliação do auditor interno de que:

• Os objetivos organizacionais apoiam e se alinham com a missão da organização.

• São identificados e avaliados riscos significativos.

• São selecionadas respostas de riscos apropriadas, com alinhamento do

apetite de riscos.

• As informações dos riscos relevantes são capturadas e comunicadas em

tempo hábil em toda a organização, permitindo que o pessoal, a administração

e o conselho executem suas responsabilidades.



AUDITORIA BASEADA EM RISCOS - ABR


1. Comunicação e Consulta


Início

Durante

Término

Partes Interessadas, 1ª,2ª , Alta Direção, Conselho de Administração e Comitês.


2. Contexto Interno e Externo



Processo

Avaliado

3. Identificação dos Processos Críticos - BIA



Análise do Gestor Análise do Auditor

3. Identificação dos Processos Críticos - BIA



3. Identificação dos Processos Críticos – BIA (Gestor)


Identificação dos Processos Críticos – BIA (Auditor)


4. Risco Inerente - Contextualização



Análise do Gestor

Análise do Auditor

4. Risco Inerente - Contextualização



4. Risco Inerente - Matriz de Risco (Gestor)



4. Risco Inerente - Matriz de Risco (Auditor)



5. Risco Residual - Controles Chaves



6. Testes de Controles - Avaliação dos Controles


G G A


Risco

Avaliado

Controle

Avaliado

6. Testes de Controles - Avaliação dos Controles



6. Testes de Controles - Parecer dos Controles



Análise do Gestor

Análise do Auditor

6. Testes de Controles - Avaliação do Risco Residual



6. Risco Residual - Matriz de Risco (Gestor)


Risco Residual - Matriz de Risco (Auditor)


7. Plano de Ação



7. Plano de Ação


Gestor


8. Monitoramento e Análise Crítica


Processo Crítico x Risco Inerente Crítico x Controles

Chaves = Risco Residual dentro do Apetite ao Risco


Resultado:

1)Valida o Processo de GRC

2) Testa a Eficácia dos Controles Chaves

3) Sugere Linhas Gerais do Plano de Ação

para o Gestor, tendo em vista, a

Ineficácia do Controle

4) Comunica e Relaciona com os Comitês,

Conselho e Diretoria

5) Assessora as Gerências da Primeira e

Segunda Linha

Cic

lo A

nu

alProdutos:

Processos Críticos

Especiais

Contínuas

CONCLUSÃO


Prof. Dr. Antonio Celso Ribeiro Brasiliano, CRMA,CES,DEA,DSE,MBS

Presidente Brasiliano INTERISK

email: [email protected]

Telefone: 11 983507758

11 55316171

auditoria baseada em riscos abrparanacooperativo.coop.br/ppc/images/comunicacao/... · ®brasiliano...

Documents