auditoria baseada em riscos abrparanacooperativo.coop.br/ppc/images/comunicacao/... · ®brasiliano...
TRANSCRIPT
®Brasiliano INTERISK – O valor da Inteligência
®Brasiliano INTERISK – O valor da Inteligência
Curitiba, 28 de junho de 2018
Prof. Dr. Antonio Celso Ribeiro Brasiliano, CIGR, CRMA, CES,DEA, DSE, MBS
Presidente da Brasiliano INTERISK
AUDITORIA BASEADA EM RISCOS – ABR
®Brasiliano INTERISK – O valor da Inteligência
Sumário
1.Objetivos do Seminário
2.Facilitador
3.Auditoria Baseada em Riscos x Auditoria Tradicional
4.Contexto do Ambiente Empresarial
5.Processos e Conceitos de Boas Práticas para operacionalizar as Três
Linhas de Defesa
6.Três Linhas de Defesa, Aplicação e Conceito Estratégico: funções e
responsabilidades
7.Conclusão
®Brasiliano INTERISK – O valor da Inteligência
1. Apresentar o contexto empresarial neste século XXI;
2. Apresentar o contexto do gerenciamento de riscos corporativos integrado com os
modelos de governança, compliance e auditoria – Três Linhas de Defesa: funções e
responsabilidades;
3. Apresentar o conceito e emprego da Auditoria Baseada em Riscos – ABR, visando
ganhar produtividade, eficácia nos testes dos controles chaves dos riscos críticos
para o negócio da instituição. Agrega Valor.
Objetivos do Seminário
®Brasiliano INTERISK – O valor da Inteligência© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016
Prof. Dr. Antonio Celso Ribeiro Brasiliano,CIGR,CRMA,CES,DEA,DSE,MBS
Doutor em Science et Ingénierie de L’Information et de L’Intelligence Stratégique (Ciência e Engenharia da Informação e InteligênciaEstratégica) pela UNIVERSITÉ EAST PARIS - MARNE LA VALLÉE – Paris – França; Master Degree - Diplome D´Etudes Approfondies (DEA) enInformation Scientifique et Technique Veille Technologique (Inteligência Competitiva) pela UNIVERSITE TOULON – Toulon - França; Especializadoem: Inteligência Competitiva pela Universidade Federal do Rio de Janeiro - UFRJ; Gestión da Seguridad Empresarial Internacional – UniversidadPontifícia Comillas de Madrid – Espanha; Curso de Gestión da Seguridad Empresarial - Universidad Pontifícia Comillas de Madrid – Espanha;Planejamento Empresarial, pela Fundação Getúlio Vargas - SP; Elaboração de Currículos pelo Centro de Estudos de Pessoal do Exército - CEP,Bacharel em Ciências Militares, graduado pela Academia Militar das Agulhas Negras; Bacharel em Administração de Empresas – UniversidadeMackenzie; Certificado em Gestão de Riscos: Certificácion Internacional de Gestión de Riesgos – CIGR pela CEAS Espanha - Certification in RiskManagement Assurance – CRMA, pelo IIA Global – Institute of Internal Auditors, Certificado como Especialista em Segurança Empresarial – CESpela ABSO. Autor dos livros: Inteligência em Riscos: gestão Integrada em Riscos, com a inclusão do COSO ERM 2017 e ISO 31000: 2018“Mundo VICA – Volátil, Incerto, Complexo, Ambíguo. Estamos Preparados?”; “Inteligência em Riscos: Gestão Integrada em Riscos Corporativos”;“Gestão de Risco de Fraudes, Fraud Risk Assessment – FRA”; “Gestão de Continuidade de Negócios – GCN”; “Guia Prático para a Gestão deContinuidade de Negócios”; “Cenários Prospectivos em Gestão de Riscos Corporativos: um estudo de caso brasileiro”; “Gestão e Análise deRiscos Corporativos: Método Brasiliano Avançado” – Alinhado com a ISO 31000; "Análise de Risco Corporativo – Método Brasiliano"; “Manual deAnálise de Risco Para a Segurança Empresarial”; “Manual de Planejamento: Gestão de Riscos Corporativos”; “A (IN)Segurança nas Redes
Empresarias: A Inteligência Competitiva e a Fuga Involuntária das Informações”; “Planejamento da Segurança Empresarial: Metodologia e Implantação”; Coautor dos Livros: “Dicionário de Crime, Justiça e Sociedade” - lançamento em Portugal onde colaborou com especialistas portugueses e demais países da Europa, sendo o único brasileiro a participar com textos sobre Fraudes Corporativas; “Manual de Planejamento Tático e Técnico em Segurança Empresarial”; “Segurança de Executivos" -Noções Antissequestro e Sequestro: Como se Defender; Idealizador da Solução em Inteligência em Riscos Corporativos INTERISK; Professor Convidado do IPT da USP do Programa de Mestrado, para aulas de Análise de Riscos, da Fundação Dom Cabral e da Faculdade Trevisan para Cursos de Gestão de Riscos; Atual Coordenador Técnico e Professor do MBA - Gestão de Riscos Corporativos e Cursos de Extensão nos temas de Riscos, Compliance, Gestão de Continuidade de Negócios, Auditoria Baseada em Riscos, Controles Internos, Segurança Corporativa, todos em convênio com a Faculdade de Engenharia de São Paulo – FESP; Membro do Institute ofInternal Auditors IIA; do Instituto dos Auditores Internos do Brasil – IIA Brasil; Membro da Associação Brasileira de Profissionais de Segurança Orgânica – ABSO, Coordenou a 1ª Pesquisa de Vitimização Empresarial 2003 – Contrato pela PENUD/ONU/SENASP; Profissional com mais de 30 anos de experiência em Gestão de Riscos; Palestrante nacional em inúmeros eventos da área de riscos, compliance, auditoria, controles internos e segurança corporativa. Palestrante Internacional em eventos na Argentina, Paraguai, África e Japão (convidado pela Organização Pan-Americana de Saúde-OPAS, como expert em Planos de Contingência, na Conferência Mundial de Redução de Desastres, Yokohama). Experiência internacional em consultoria GRC em Portugal, Cabo Verde, Angola, Moçambique, Uruguai, Argentina, Paraguai, Colômbia, México. Membro da Comissão de Estudo Especial de Gestão de Riscos da ABNT/CEE-63 – ISO 31000/31010/31004 – Gestão de Riscos e ISO 22301/22313 Gestão de Continuidade de Negócio – Segurança da Sociedade. É Presidente da BRASILIANO INTERISK.
®Brasiliano INTERISK – O valor da Inteligência© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016
Alguns clientes Brasiliano INTERISK
®Brasiliano INTERISK – O valor da Inteligência© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016
Alguns clientes Brasiliano INTERISK
®Brasiliano INTERISK – O valor da Inteligência© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016
Alguns clientes Brasiliano INTERISK
®Brasiliano INTERISK – O valor da Inteligência© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016
Alguns clientes Brasiliano INTERISK
®Brasiliano INTERISK – O valor da Inteligência
CONCEITO, DEFINIÇÃO, ABRANGÊNCIA DA AUDITORIA
“AUDITORIA INTERNA é uma atividade independente e
objetiva que presta serviços de avaliação (assurance) e
consultoria, e tem como objetivo adicionar valor e
melhorar as operações de uma organização. Auxilia a
organização a alcançar seus objetivos, adotando uma
abordagem sistemática e disciplinada para a avaliação e
melhoria da eficácia dos processos de gerenciamento de
riscos, de controle e governança corporativa”
Fonte: IIA / IAIB
®Brasiliano INTERISK – O valor da Inteligência
CONCEITO, DEFINIÇÃO, ABRANGÊNCIA DA AUDITORIA
Finalidade da Auditoria Interna
A Auditoria Interna tem por finalidade desenvolver um plano de
ação que auxilie a organização a alcançar seus objetivos adotando
uma abordagem sistêmica e disciplinada para a avaliação e
melhora da eficácia dos processos de gerenciamento de
riscos com o objetivo de adicionar valor e melhorar as
operações e resultados de uma organização.
®Brasiliano INTERISK – O valor da Inteligência
IIA – The Institute of Internal Auditors – define Auditoria Baseada em Riscos –
ABR:
Como uma metodologia que associa a auditoria interna no arcabouço global da
gestão de riscos de uma organização.
A ABR possibilita que a auditoria interna garanta ao conselho de administração,
que os processos de gestão de riscos estão administrando os riscos de maneira
eficaz em relação ao apetite ao riscos.
AUDITORIA E CONTROLESAUDITORIA BASEADA EM RISCOS - ABR
®Brasiliano INTERISK – O valor da Inteligência© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016
Conclusão O QUE É RISCO?
Costuma-se entender risco como possibilidade de algo não dar certo.
Mas seu conceito atual no mundo corporativo vai além: envolve a quantificação e a
qualificação da incerteza, tanto no que diz respeito às perdas quanto aos ganhos por
indivíduos ou organizações.
Sendo o risco inerente a qualquer atividade – e impossível de eliminar –, a sua
administração é um elemento-chave para a sobrevivência das instituições e empresas.
Fonte: Cadernos de Governança Corporativa – Gerenciamento de Riscos Corporativos: Evolução em Governança e Estratégia – IBGC - 2017
®Brasiliano INTERISK – O valor da Inteligência© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016
Conclusão COMPONENTES DO RISCO
Para a exata delimitação do risco, devem-se identificar os três componentes: causas, as fontes, os fatores
de risco; o evento em si e as consequências, que são os efeitos financeiros, operacionais, legais,
imagem, recursos humanos...
®Brasiliano INTERISK – O valor da Inteligência© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016
ConclusãoO QUE SÃO CAUSAS, FONTES OU FATORES DE RISCOS?
Riscos são incidentes ou ocorrências originadas a partir de fontes internas
ou externas que podem impactar negativamente ou positivamente a instituição.
O risco é composto por fatores de riscos – causas – internas e externas.
Para compreender sua potencialidade há a necessidade de decompor o risco
em suas respectivas causas.
®Brasiliano INTERISK – O valor da Inteligência© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016
Risco
Fator de Risco – Causa - Fonte
ISO 31010Técnicas de Análise
de Riscos
®Brasiliano INTERISK – O valor da Inteligência
Fator de Risco – Causa - Fonte
®Brasiliano INTERISK – O valor da Inteligência
Identificação dos Fatores de Riscos – Diagrama de Causa e Efeito
R1 Manipulação de quantidade recebidas - Fraude
R2 Recebimento de produtos fora da
especificação de qualidade
®Brasiliano INTERISK – O valor da Inteligência© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016
Apetite de Risco
Apetite de risco é a quantidade de risco que a empresa deseja assumir para conseguir
atingir seus objetivos.
Ou podemos dizer também que apetite de risco é a quantidade de riscos, no sentido mais
amplo, que uma organização está disposta a aceitar em sua busca para agregar valor.
O apetite de risco reflete toda a filosofia administrativa de uma organização e, por sua
vez, influencia a cultura e o estilo operacional desta.
®Brasiliano INTERISK – O valor da Inteligência© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016
Apetite de Risco
A fixação do apetite de risco permite determinar na empresa o binômio risco x benefício,
controlar e manter os riscos em níveis desejados.
Para tanto, para possibilitar a concretização de geração de valor nas organizações, estas
devem fazer um balanço entre riscos x oportunidades x apetite de risco, e, servir de guia
para a tomada de decisões, alocação de recursos e a definição do alinhamento de toda
empresa para a busca dos objetivos fixados.
Permite fazer um monitoramento das ações, resultados e dos níveis de riscos
associados.
®Brasiliano INTERISK – O valor da Inteligência
Fonte:
Exposição
APETITE AO RISCO: VISÕESApetite de Risco
®Brasiliano INTERISK – O valor da Inteligência
APETITE AO RISCO: NÍVEIS DE ACEITAÇÃO
1 - Monitoramento2 – Apetite de Risco3 – Tolerância ao Risco4 – Capacidade de Risco
®Brasiliano INTERISK – O valor da Inteligência
A eficácia da ABR depende:
1. Avaliar a eficácia do processo de gestão de riscos:
• Estruturado? • Possui política? • Alinhado com o apetite definido? • Alinhado com a estratégia e objetivos estratégicos? • Possui metodologia? • Possui métricas por disciplinas de riscos? • Controla a 1ª linha? • Consolida e integra riscos? • Utiliza Software?• Realiza reportes contínuos para a alta gestão?• Riscos e controles chaves são reportados e tratados?
Eficácia da Auditoria Baseada em Riscos
®Brasiliano INTERISK – O valor da Inteligência
Segurança TI/Cibernética
▪ Rede de comunicação▪ Aplicações▪ Vírus
Segurança Pessoal ▪ Sequestros ▪ Assaltos▪ Epidemias (Avian Flu)▪ Acidentes
FORNECEDORES▪ Encerramento repentino de contrato▪ Novas regulamentações▪ Falência
Segurança na Cadeia Logística
• Armazenagem▪ Distribuição▪ Transporte▪ Greves
NEGÓCIOS▪ Disponibilidade▪ Imagem
GRC
Segurança Física▪ Incêndio▪ Alagamento▪ Desabamento▪ Ataque terrorista▪ Blackout
PROCESSOS ▪ Fraudes ▪ Ineficiência
▪ Segurança
ABRANGÊNCIA DA SEGURANÇA CORPORATIVA
Abrangência
®Brasiliano INTERISK – O valor da Inteligência
ABRANGÊNCIA GERA INÚMERAS DISCIPLINAS……..
1. Riscos estratégicos.
2. Riscos operacionais – ligados a operação.
3. Riscos nos processos.
4. Riscos de tecnologia da informação.
5. Riscos de meio ambiente.
6. Riscos de saúde e segurança do trabalhador.
7. Riscos de segurança empresarial.
8. Riscos financeiros.
9. Riscos legais.
10. Riscos sociais.
11. Riscos de sustentabilidade.
12. Riscos de comunicação.
13. Riscos de fraudes.
14. Riscos na cadeia logística.
15. Riscos no projeto.
16. Outras tantas disciplinas.
As várias disciplinas de riscos, devem ser, gerenciadas, de forma integrada.
O que significa isto?
®Brasiliano INTERISK – O valor da Inteligência
Apesar da grande diversidade e abrangência, devem utilizar um mesmo FRAMEWORK para a
Instituição toda!
O que pode e deve mudar? Ferramentas e critérios para estimar probabilidades e
impactos/consequências dos riscos
Mas TODAS AS DISCIPLINAS IRÃO PARA UMA ÚNICA MATRIZ!
Qual a razão dos riscos irem para uma única Matriz de Riscos?
A Instituição falar a mesma linguagem, saber a criticidade do risco e o apetite de risco.
Significa que os Gestores de Riscos, com o apoio e Suporte da Alta Gestão, devem:
®Brasiliano INTERISK – O valor da Inteligência
A instituição possuir várias políticas – diretrizes de gestão de riscos;
A instituição possuir inúmeros Framework’s – um para cada disciplina,
alegando especificidade;
A instituição possuir várias metodologias, a forma como fazer o gerenciamento
de riscos;
A instituição possuir várias matrizes de riscos, uma matriz por disciplina de
risco. ACONTECE O QUÊ?
O QUE NÃO DEVE ACONTECER ?
®Brasiliano INTERISK – O valor da Inteligência
O QUE NÃO DEVE ACONTECER?
A Alta Gestão e o Conselho de Administração da Empresa não
terão condições de supervisionar os riscos estratégicos e
críticos, farão voo cego, pois ficam sem parâmetros claros.
®Brasiliano INTERISK – O valor da Inteligência
Consequência
O QUE NÃO DEVE ACONTECER?
®Brasiliano INTERISK – O valor da Inteligência
1. POLÍTICA DE GESTÃO DE RISCOS – APETITE AO RISCO E RESPONSABILIDADES DOS “RISK’S OWNER”
2. PROCESSO DE GESTÃO DE RISCOS COM MÉTRICAS E METODOLOGIAS - DESCRIÇÃO POR DISCIPLINA
Matriz Única para a Empresa, INCLUINDO A AUDITORIA, Independente da disciplina e métrica
AUDITORIA DEVE CHECAR
®Brasiliano INTERISK – O valor da Inteligência
ISO 31000COSO II
PROCESSO INTEGRADO -MÉTODO BRASILIANO -COM FERRAMENTA DE TI INTERISK
COSO I - Revisão 2013COSO ERM - Revisão 2017
Processo de Gerenciamento de Riscos Corporativos
®Brasiliano INTERISK – O valor da Inteligência
Relato de informação financeira e não financeira, interna e externamente. Considera aspectos de fiabilidade, tempestividade,transparência e outras características relevantes.
Dado grande enfoque na formalização de papéis, julgamento e responsabilidades da alta administração para reforçar o seu mandato
Detalhamento de cada um destes componentes foi aprimorado para um total de 17 princípios e devem estar presentes e operantes portoda a entidade.
COSO I Foco no Controle Interno
®Brasiliano INTERISK – O valor da Inteligência
Um novo conceito
COSO I Foco no Controle Interno
®Brasiliano INTERISK – O valor da Inteligência
Tipos de
Controle
Características
PreventivosDesenhado para prevenir resultados indesejados Reduzem a possibilidade de sua ocorrência e detecção.
Exemplo: Cheques com duas assinaturas; Empenho prévio; Cadastro de fornecedores; etc
DetectivosDesenhado para detectar fatos indesejáveis. Detectam a manifestação/ocorrência de um fato.
Exemplo: Conciliação de contas: Bancos, Contas a Receber, Pagar, etc.
Preventivos são os controles que atuam sobre os fatores de riscos do diagrama de causa e efeito, ou seja, sãocontroles que irão prevenir o risco, fazer com que a probabilidade de ocorrência do riscos diminua.
Detectivos são controles que atuam após a ocorrência do risco, ou seja, detecta que ocorreu um evento (riscos) efaz com que seu impacto seja mitigado.
Exemplo: Processo de Expedição• Risco: Desvio de Material• Fator de risco: Expedição não autorizada de materiais• Controle Preventivo: Dupla conferência – Permite liberar o material apenas com a assinatura do conferente e
do líder de expedição (Age sobre o fator de risco “Expedição não autorizada de materiais”) – Se o controle foreficaz diminuirá a probabilidade do risco.
• Controle Detectivo: Inventário Mensal – Permite detectar divergências mensais entre a quantidade física equantidade em sistema, caso tenha ocorrido algum desvio (Age sobre o risco “Desvio de Material”). Se ocontrole for eficaz diminuirá o impacto do risco.
CONTROLES INTERNOSTipos de Controle Interno
®Brasiliano INTERISK – O valor da Inteligência
Revisão Estratégica COSO ERM – 2017 INTEGRADO COM ESTRATÉGIA E DESEMPENHO
objetivos estratégicos, estratégia devem estar alinhados com
a missão, visão e valores da organização
• Objetivos Estratégicos e a Estratégias
• Desempenho
Processo de Gestão de Riscos e alinhados com o Apetite de Risco
®Brasiliano INTERISK – O valor da Inteligência
COSO ERM – 2017 INTEGRADO COM ESTRATÉGIA E DESEMPENHO
05 COMPONENTES E 20 PRINCÍPIOS
®Brasiliano INTERISK – O valor da Inteligência
Materialidade do Risco
Vulnerabilidade residual:exposição ao risco após tomar as medidas julgadas
adequadas - grau de preparação atuante(exposição não tratável no absoluto ou não tratável porque o custo
marginal de tratar é maior que o benefício marginal de tratar)
Vulnerabilidade Passível de Redução por AtuaçãoGrau de Preparação (Redutor de
Vulnerabilidade)
Redução Máxima da Vulnerabilidade
Considerando Grau de Preparação
AtuanteAtuante
Intermediário
Insuficiente
Que é a exposição ao risco depois de tomadas as ações de tratamento
CONCEITO IMPORTANTE É A VULNERABILIDADE RESIDUAL
RISCO INERENTE E RISCO RESIDUAL
®Brasiliano INTERISK – O valor da Inteligência
VISÃO DE ANTECIPAÇÃO - RISCOS
Inerente Residual
®Brasiliano INTERISK – O valor da Inteligência© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016
Fonte: 13a Relatório de Riscos Globais do Fórum Mundial 2018
Se, o gestor de riscos fizer o “feijão com arroz”, ou seja identificar a Criticidade de cada Risco pela Probabilidade x Impacto
®Brasiliano INTERISK – O valor da Inteligência© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016
O que o Fórum Mundial pede que façamos além de identificar a Criticidade de cada risco?
Tenho que identificar a
Motricidade entre os
riscos, suas
interconectividade.
Saber o que um risco
influência em outro!
Fonte: 13a Relatório de Riscos Globais do Fórum Mundial 2018
®Brasiliano INTERISK – O valor da Inteligência© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016
O que o Fórum Mundial pede que façamos além de identificar a Criticidade de cada risco?
Na Gestão de Riscos
identificamos a
Motricidade entre os
riscos utilizando o
Teorema de Bayes,
Probabilidades
Condicionantes,
facilitada pela Técnica
dos Impactos
Cruzados.
Fonte: 13a Relatório de Riscos Globais do Fórum Mundial 2018
®Brasiliano INTERISK – O valor da Inteligência© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016
O que isto significa na prática?
Matriz de Impactos Cruzados – Teorema de Bayes
®Brasiliano INTERISK – O valor da Inteligência© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016
O que isto significa na prática?
Matriz de Motricidade – Interdependência
®Brasiliano INTERISK – O valor da Inteligência© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016
O que isto significa na prática?
Matriz de Riscos - Criticidade = Probabilidade x Impacto
®Brasiliano INTERISK – O valor da Inteligência© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016
O que isto significa na prática?
Matriz de Motricidade – Interdependência
Motricidade Matriz de Impactos CruzadosINTERCONECTIVIDADE ENTRE RISCOS
®Brasiliano INTERISK – O valor da Inteligência© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016
O que isto significa na prática?
Matriz de Priorização – Motricidade x Criticidade
®Brasiliano INTERISK – O valor da Inteligência
Faltam conexões entre as disciplinas
Disciplinas de Riscos são Ilhas Falta Visão Holística
Qual a consequência da falta destas conexões?
Miopia para enxergar o Risco Sistêmico
®Brasiliano INTERISK – O valor da Inteligência
“N” Disciplinas, com “N” ferramentas e métricas personalizadas, mas todas debaixo do mesmo Processo e Matriz de Risco! O Resultado é a Inteligência em Riscos, onde há análise e interpretação das informações.
A Integração das Disciplinas de Riscos
®Brasiliano INTERISK – O valor da Inteligência
Integrar todos os Riscos e Informações – Inteligência em Riscos
®Brasiliano INTERISK – O valor da Inteligência
Processo Crítico x Risco Inerente Crítico x Controles Chaves = Risco Residual dentro do Apetite ao Risco
Painel de Controle e Monitoramento
®Brasiliano INTERISK – O valor da Inteligência
Não tem cabimento no século XXI, instituições de porte, ainda estarem
realizando a Gestão de Riscos no Famoso anacrônico denominado “S.A.P.”
AS INSTITUIÇÕES DEVEM, OBRIGATORIAMENTE, TRABALHAREM COM FERRAMENTA DE TI
SAP = Sistema Avançado de Planilha
O que gera inúmeros riscos!
Solução com Ferramenta de TICom integrações automatizadas
®Brasiliano INTERISK – O valor da Inteligência
A eficácia da ABR depende:
2. Avaliar os controles chaves dos riscos inerentes críticos dos processos relevantes para o negócio
Eficácia da Auditoria Baseada em Riscos
®Brasiliano INTERISK – O valor da Inteligência
Risco InerenteFatores de Riscos x
ControlesRisco Residual
FR. 278(Ausência de local coberto adequado para as coletas
de amostras dos caminhões em dias de chuva)
Risco 124
(Recebimento de produtos fora da especificação de
qualidade)
FR. 279(Manipulação dos
resultados das amostras de qualidade)
C.190(Amostra de qualidadedo produto entregue)
FR. 281(Existência de pragas no local de armazenagem)
C.185(Controle magnético)
FR. 282(Conluio entre o
descarregamento e o motorista)
C.188(Recebimento de
Ticket de pesagem)
(I|P)
(E|P)
Risco 124
(Recebimento de produtos fora da especificação de
qualidade)
Média Probabilidade:
3.92 Muito AltaMédia Impacto:
4.00 Severo
Média Probabilidade:
2.58 AltaMédia Impacto:
4.00 Severo
(E|P)
Legenda:(I) - Ineficaz(E) - Eficaz(P) - Preventivo(D) - Detectivo
Análise de Riscos - Inerente e Residual
®Brasiliano INTERISK – O valor da Inteligência
FR. 271(Solicitação informal do cliente
para entrada do produto)
Risco 122
(Registro de produtos não recebidos)
FR. 272(Ausência de formalização do
escritório para balança)
FR. 273(Liberação de entrada dos caminhões através
da identificação pessoal do motorista)
FR. 274(Recebimento de produto sem
aviso do cliente)
C.185 .(Controle magnético)
(I|P)
Risco 122
(Registro de produtos não recebidos)
Média Probabilidade:
4.58 ElevadaMédia Impacto:
3.18 Moderado
Média Probabilidade:
4.17 Muito AltaMédia Impacto:
3.18 Moderado
C.186 .(Confirmação do cliente)
(I|P)
FR. 275(Falta de energia no armazém não
permitindo o funcionamento da balança)
FR. 276(Ausência de nobreak e/ou
gerador para a balança)
FR. 277(Manipulação das divergências de
peso entrega)
C.187 .(Validação da nota fiscal
de entrada)
(E|P)
FR. 282(Conluio entre o descarregamento
e o motorista)
C.188 .(Ticket de pesagem)
(E|P)
FR. 283(Ausência de padrão para as
informações de recusas dos produtos)
FR. 284(Manipulação do lastro do caminhão pelo motorista)
C.187 .(Validação da nota fiscal
de entrada)
(E|P)
FR. 285(Ausência de integração sistêmica
entre a balança (entrada) e o sistema Alfa
C.191 .(Registro de estoque)
(I|D)
FR. 286(Ausência de tempestividade no registro de entrada de estoque)
C.188 .(Ticket de pesagem)
(E|P)
C.186 .(Confirmação do cliente)
(I|P)
C.188 .(Ticket de pesagem)
(E|P)
C.188 .(Ticket de pesagem)
(E|P)
C.191 .(Registro de estoque)
(I|D)
Legenda:(I) - Ineficaz(E) - Eficaz(P) - Preventivo(D) - Detectivo
Estudo de Caso
Análise de Riscos - Inerente e Residual
Risco InerenteFatores de Riscos x
ControlesRisco Residual
®Brasiliano INTERISK – O valor da Inteligência
No exemplo utilizado necessário implementar
controles preventivos para inibir os fatores de riscos e
implementar controles detectivos e mitigadores
(exemplos - plano de emergência, plano de crise, plano de continuidade de
negócios) visando diminuir o impacto
Avaliação de Riscos - Inerente e Residual
®Brasiliano INTERISK – O valor da Inteligência
®Brasiliano INTERISK – O valor da Inteligência
Alguns Casos:
Onde estavam os Auditores?
Principais escândalos corporativos de 2010 a 2016
®Brasiliano INTERISK – O valor da Inteligência
FRAUDE – 2015 - VW
“ ATÉ 2018, QUEREMOS LEVAR O GRUPO AO TOPO DA INDÚSTRIA GLOBAL”
Martin Winterkorn – Presidente em 2011na montadora no Tennessee - USA
“ ATÉ 2018, QUEREMOS LEVAR O GRUPO AO TOPO DA INDÚSTRIA GLOBAL”
Martin Winterkorn – Presidente em 2011na montadora no Tennessee - USAAções caíram 34%
Multas podem chegar até 18 bilhões de dólares
®Brasiliano INTERISK – O valor da Inteligência
Fraude – Petrobrás
Consequência direta:- Queda do valor das ações + 50%- Credibilidade da diretoria e Petrobrás- Paralização de obras
- Ações na justiça
®Brasiliano INTERISK – O valor da Inteligência
Wells Frago - 2016
O Presidente pediu Desculpas e assumiu oerro, mas não adiantou....
®Brasiliano INTERISK – O valor da Inteligência
A Importância de uma Adequada Gestão de Riscos Apetite de Risco Alto?
BP - British Petroleum, em 2007
Uma Comissão de inquérito dos Estados Unidos atribui o desastre a:
FALHAS DE GESTÃO, QUE INCAPACITAVA OS INDIVÍDUOS ENVOLVIDOS NAIDENTIFICAÇÃO, AVALIAÇÃO, COMUNICAÇÃO E TRATAMENTO DOS RISCOSDE FORMA ADEQUADA!
Quando Tony Hayward tornou-se CEO da BP em 2007, ele jurou
fazer segurança sua prioridade máxima. Dentre as novas regras
que ele instituiu, a necessidade de que todos os funcionários
usassem tampas em xícaras de café durante a caminhada e
abstivessem de escrever mensagens de texto enquanto dirigiam.
®Brasiliano INTERISK – O valor da Inteligência
FIFA - 2015
®Brasiliano INTERISK – O valor da Inteligência
YAHOO - 2016
®Brasiliano INTERISK – O valor da Inteligência
OLYMPUS - 2011
®Brasiliano INTERISK – O valor da Inteligência
®Brasiliano INTERISK – O valor da Inteligência© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016
Fonte: IBGC – Cadernos de Governança - Gerenciamento de Riscos Corporativos – Evolução em Governança e Estratégia – 2017.
PONTOS DE REFLEXÃO PARA OS AUDITORES GESTÃO DE RISCOS CORPORATIVOS
• O que pode comprometer o cumprimento das estratégias e metas?
• Onde estão as maiores oportunidades, ameaças e incertezas?
• Quais são os principais riscos?
• Como a Cooperativa responde aos riscos?
• Existem informações confiáveis para tomada de decisões?
• O que é feito para assegurar que os riscos estejam em um nível aceitável?
• A cooperativa possui consciência da importância do processo de gestão deriscos?
• A cooperativa tem as competências necessárias para gerir riscos assumidos?
• Quem identifica e monitora ativamente os riscos da Cooperativa?
• Que padrões e metodologias são utilizados?
®Brasiliano INTERISK – O valor da Inteligência
Disruptiva
Veloz
Ágil
A Revolução 4.0 impacta as maisdiversas áreas das empresas, estáinvertendo a forma de pensar, trabalhar,produzir....novas competências serãonecessárias!!
O Mundo vive hoje turbulências imprevisíveis e mudanças exponenciais para as quais as empresas e seus líderes não estão preparados!
®Brasiliano INTERISK – O valor da Inteligência
A Revolução Industrial 4.0 integra as
tecnologias físicas e lógicas, como Inteligência
Artificial, Robótica, Computação Cognitiva,
Analytics e Internet das Coisas (IoT).
HAVENDO INTERCONECTIVIDADE EM TUDO!
As outras revoluções industriais vieram com inovações
tecnológicas, com o objetivo de trazer maior
produtividade e eficiência aos processos.
AS EMPRESAS NECESSITAM QUEBRAR DOGMAS DA ADMINISTRAÇÃO, ASSUMIR RISCOS, SER OUSADAS
®Brasiliano INTERISK – O valor da Inteligência
VOLUME DE INFORMAÇÕES E DADOS:
• CISCO estima que em 2020 haverá 50 bilhões de
dispositivos conectados à internet.
• Dezenas de bilhões de telas.
• Três bilhões de sensores em nossos carros.
O conhecimento é dobrado a cada dois anos!
CONTEXTO DO MERCADO CORPORATIVO E AS ABORDAGENS ESTRATÉGICAS DAS EMPRESAS
®Brasiliano INTERISK – O valor da Inteligência
TENHO QUE SABER ONDE DEVO AUDITAR, ASSESSORAR, OBSERVAR, PERGUNTAR, INVESTIGAR, POIS A ABRANGÊNCIA É MUITO GRANDE, O VOLUME DE DADOS E
INFORMAÇÕES SÃO BRUTAIS
®Brasiliano INTERISK – O valor da Inteligência
A REVOLUÇÃO INDUSTRIAL 4.O IMPACTA DIRETAMENTE EM 4 PILARES ESTRATÉGICOS
• ESTRATÉGIA DA EMPRESA
• TECNOLOGIA
• TALENTOS E FORÇA DE TRABALHO
• IMPACTO SOCIAL
®Brasiliano INTERISK – O valor da Inteligência
ANTECIPAÇÃO
A GESTÃO DE RISCOS E AUDITORIA DEVEM QUEBRAR UM PARADIGMA: NÃO PODEM RELATAR O QUE ACONTECEU, MAS O QUE PODERÁ VIR A ACONTECER, NO FUTURO!
®Brasiliano INTERISK – O valor da Inteligência
VUCA
VolatilitityVolatilidade
UncertaintyIncerteza
ComplexityComplexidade
AmbiguityAmbiguidade
1. Aceitar
2. Não pensar demais3. Mover-se
VICA
AMBIENTE EXTREMAMENTE TURBULENTO, GERA:
®Brasiliano INTERISK – O valor da Inteligência
VICA
Volatilidade
Incerteza
Complexidade
Ambiguidade
VisãoVelocidade
AgilidadeAbundância
EntendimentoNão ortodoxia – Não Dogmatizar
Colaboração Entender a conectividade
Cocriação Interdependência
AMBIENTE EXTREMAMENTE TURBULENTO, GERA:
®Brasiliano INTERISK – O valor da Inteligência
6 D’s
Pensamento Linear x Exponencial
®Brasiliano INTERISK – O valor da Inteligência
Riscos que Impactam a Estratégia de Negócio da Empresa, fazendo com quenão cumpra com seus objetivos!
Trajetória da Empresa
A empresa necessita alinhar sua estratégia de negócio, neste ambiente turbulento, aos Riscos....
Objetivosdas Diretrizes Estratégicas
Os riscos devem ser antecipados, o Planejamento Estratégico deve possuir umaabordagem múltipla de mercado.
A instituição tem que possuir ESTRATÉGIAS ADAPTATIVAS E VISIONÁRIAS!
®Brasiliano INTERISK – O valor da Inteligência
A gestão de riscos torna a empresa mais resiliente aos efeitos dasincertezas e mais HÁBIL em alcançar seus objetivos Estratégicos.AMBIDESTRA
Remediação
Prevenção
Mitigação
ObjetivosEstratégicos
Trajetória COM Gestão de Riscos
®Brasiliano INTERISK – O valor da Inteligência© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016
Conclusão PERFIL DO AUDITOR INTERNO
Característica do Nexialista, onde a habilidade principal é a conectividade.
Fonte: O marketing na Era do Nexo. Longo, Walter e Tavares, Zé Luis. Rio de Janeiro: BestSeller, 2009
®Brasiliano INTERISK – O valor da Inteligência
14 Dezembro de 2011
Dezembro de 2011 - Adaptação da
Guidance on the 8th EU Company
Law Directive da ECIIA
(Confederação Europeia dos
Institutos de Auditoria Interna) /
/FERMA (Federação Europeia de
Associações de Gerenciamento de
Riscos), artigo 41
Normas imposta pela legislação
europeia aplicáveis às empresas
em toda a União Europeia.
LINHAS DE DEFESA
®Brasiliano INTERISK – O valor da Inteligência
Funções que gerenciam
e são proprietários
dos riscos
Funções que supervisionam
os riscos
Facilitadores
Funções que fornecem avaliações
independentes
Janeiro de 2013
LINHAS DE DEFESA
®Brasiliano INTERISK – O valor da Inteligência
O modelo apresenta um novo ponto de vista sobre as operações,ajudando a garantir o sucesso contínuo das iniciativas de gerenciamento deriscos, e é aplicável a qualquer organização - não importando seu tamanhoou complexidade.Mesmo em empresas em que não haja uma estrutura ousistema formal de gerenciamento de riscos, o modelo de Três Linhas deDefesa pode melhorar a clareza dos riscos e controles e ajudar a aumentar aeficácia dos sistemas de gerenciamento deriscos.
O modelo de Três Linhas deDefesa é uma forma simples eeficaz de melhorar acomunicação do gerenciamentode riscos e controle por meio doesclarecimento dos papéis eresponsabilidades essenciais.
CONCEITOS ESTRATÉGICOS
®Brasiliano INTERISK – O valor da Inteligência
A gerência operacional é responsável por manter controles internoseficazes e por conduzir procedimentos de riscos e controle diariamente.A gerência operacional identifica, avalia, controla e mitiga os riscos,guiando o desenvolvimento e a implementação de políticas eprocedimentos internos e garantindo que as atividades estejam deacordo com as metas e objetivos. Deve haver controles de gestão e desupervisão adequados em prática, para garantir a conformidade e paraenfatizar colapsos de controle,processos inadequados e eventos inesperados.
Como primeira linha de defesa,os gerentes operacionaisgerenciam os riscos e têmpropriedade sobre eles. Elestambém são os responsáveispor implementar as açõescorretivas para resolverdeficiências em processos econtroles.
CONCEITOS ESTRATÉGICOS
®Brasiliano INTERISK – O valor da Inteligência
Uma função (e/ou comitê) de gerenciamento de riscos que facilite
e monitore a implementação de práticas eficazes de gerenciamento de
riscos por parte da gerência operacional e auxilie os proprietários dos
riscos a definir a meta de exposição ao risco e a reportar adequadamente
informações relacionadas a riscos em toda a organização.
Segunda Linha como
supervisora e facilitadora da
primeira linha de defesa.
Dupla Função!
CONCEITOS ESTRATÉGICOS
®Brasiliano INTERISK – O valor da Inteligência
As responsabilidades dessas funções incluem:
1. Apoiar as políticas de gestão, definir papéis e responsabilidades eestabelecer metas para implementação.2. Fornecer estruturas de gerenciamento de riscos.3. Identificar questões atuais e emergentes.3. Identificar mudanças no apetite ao risco implícito da organização.4. Auxiliar a gerência a desenvolver processos e controles paragerenciar riscos e questões.
Como funções de gestão, elaspodem intervir diretamente, demodo a modificar e desenvolver ocontrole interno e os sistemas deriscos.Portanto, não pode ofereceranálises verdadeiramenteindependentes aos órgãos degovernança acerca dogerenciamento de riscos e doscontroles internos.
CONCEITOS ESTRATÉGICOS
®Brasiliano INTERISK – O valor da Inteligência
EN
TR
AD
A
Mapa de Riscos das Disciplinas
Fatores de Riscos Críticos /
Relevantes das Disciplinas
Controles Chaves Suportam os
Fatores de Riscos Críticos
Planos de Ações
GRC
Realiza:
Análises Interpretações
Estudos de Impactos Cruzados
Estudos de Interconectividade
Consolidaçãodas Informações
Supervisiona e Capacita a
Aplicação da Metodologia
SA
ÍD
A
Mapa de Riscos Integrado
Riscos Críticos dos Processos Críticos
Fatores de Riscos Críticos e
Controles Chaves que suportam os Fatores Riscos
Críticos
Controle dos Planos de Ações:
Eficácia e Implantação
Listagem Processos / Áreas
Críticas para o Negócio
Produtos da Primeira Linha:
VISÃO DOS RISCOS POR ÁREA
GERÊNCIA/DIRETORIA
Função da Segunda Linha
Produtos da Segunda Linha
VISÃO HOLÍSTICAESTRATÉGICA
EMPRESA COMO UM TODO
Inteligência em Riscos Corporativos - IRC
TRÊS LINHAS DE DEFESA
®Brasiliano INTERISK – O valor da Inteligência
A auditoria interna provê avaliações sobre a eficácia da governança,
do gerenciamento de riscos e dos controles internos, incluindo a
forma como a primeira e a segunda linhas de defesa alcançam os
objetivos de gerenciamento de riscos e controle
Os auditores internos fornecem ao órgão de governança e à alta administração avaliações abrangentes baseadas no maior nível de independência e objetividade dentro da organização.
CONCEITOS ESTRATÉGICOS
®Brasiliano INTERISK – O valor da Inteligência
Auditoria Baseada em Riscos - ABR,
otimiza tempo de coleta de dados,
cerca de 60%, foca em análise,
interpretação e verificação.
TRÊS LINHAS DE DEFESA
®Brasiliano INTERISK – O valor da Inteligência
TRÊS LINHAS DE DEFESA
®Brasiliano INTERISK – O valor da Inteligência
Padrão 2120 – Gerenciamento de riscos
A atividade de auditoria interna deve avaliar a eficácia e contribuir para a melhoria
do processo de gerenciamento de riscos.
Interpretação: Determinar se os processos de gerenciamento de risco são efetivos é
um julgamento resultante da avaliação do auditor interno de que:
• Os objetivos organizacionais apoiam e se alinham com a missão da organização.
• São identificados e avaliados riscos significativos.
• São selecionadas respostas de riscos apropriadas, com alinhamento do
apetite de riscos.
• As informações dos riscos relevantes são capturadas e comunicadas em
tempo hábil em toda a organização, permitindo que o pessoal, a administração
e o conselho executem suas responsabilidades.
TRÊS LINHAS DE DEFESA
®Brasiliano INTERISK – O valor da Inteligência© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016
AUDITORIA BASEADA EM RISCOS - ABR
®Brasiliano INTERISK – O valor da Inteligência
1. Comunicação e Consulta
AUDITORIA BASEADA EM RISCOS - ABR
Início
Durante
Término
Partes Interessadas, 1ª,2ª , Alta Direção, Conselho de Administração e Comitês.
®Brasiliano INTERISK – O valor da Inteligência
2. Contexto Interno e Externo
AUDITORIA BASEADA EM RISCOS - ABR
®Brasiliano INTERISK – O valor da Inteligência
AUDITORIA BASEADA EM RISCOS - ABR
2. Contexto Interno e Externo
®Brasiliano INTERISK – O valor da Inteligência
Processo
Avaliado
3. Identificação dos Processos Críticos - BIA
AUDITORIA BASEADA EM RISCOS - ABR
®Brasiliano INTERISK – O valor da Inteligência
Análise do Gestor Análise do Auditor
3. Identificação dos Processos Críticos - BIA
AUDITORIA BASEADA EM RISCOS - ABR
®Brasiliano INTERISK – O valor da Inteligência
3. Identificação dos Processos Críticos – BIA (Gestor)
AUDITORIA BASEADA EM RISCOS - ABR
Identificação dos Processos Críticos – BIA (Auditor)
®Brasiliano INTERISK – O valor da Inteligência
4. Risco Inerente - Contextualização
AUDITORIA BASEADA EM RISCOS - ABR
®Brasiliano INTERISK – O valor da Inteligência
Análise do Gestor
Análise do Auditor
4. Risco Inerente - Contextualização
AUDITORIA BASEADA EM RISCOS - ABR
®Brasiliano INTERISK – O valor da Inteligência
4. Risco Inerente - Matriz de Risco (Gestor)
AUDITORIA BASEADA EM RISCOS - ABR
®Brasiliano INTERISK – O valor da Inteligência
4. Risco Inerente - Matriz de Risco (Auditor)
AUDITORIA BASEADA EM RISCOS - ABR
®Brasiliano INTERISK – O valor da Inteligência
5. Risco Residual - Controles Chaves
AUDITORIA BASEADA EM RISCOS - ABR
®Brasiliano INTERISK – O valor da Inteligência
6. Testes de Controles - Avaliação dos Controles
AUDITORIA BASEADA EM RISCOS - ABR
G G A
®Brasiliano INTERISK – O valor da Inteligência
Risco
Avaliado
Controle
Avaliado
6. Testes de Controles - Avaliação dos Controles
AUDITORIA BASEADA EM RISCOS - ABR
®Brasiliano INTERISK – O valor da Inteligência
6. Testes de Controles - Parecer dos Controles
AUDITORIA BASEADA EM RISCOS - ABR
®Brasiliano INTERISK – O valor da Inteligência
Análise do Gestor
Análise do Auditor
6. Testes de Controles - Avaliação do Risco Residual
AUDITORIA BASEADA EM RISCOS - ABR
®Brasiliano INTERISK – O valor da Inteligência
6. Risco Residual - Matriz de Risco (Gestor)
AUDITORIA BASEADA EM RISCOS - ABR
Risco Residual - Matriz de Risco (Auditor)
®Brasiliano INTERISK – O valor da Inteligência
7. Plano de Ação
AUDITORIA BASEADA EM RISCOS - ABR
®Brasiliano INTERISK – O valor da Inteligência
7. Plano de Ação
AUDITORIA BASEADA EM RISCOS - ABR
Gestor
®Brasiliano INTERISK – O valor da Inteligência© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016
8. Monitoramento e Análise Crítica
AUDITORIA BASEADA EM RISCOS - ABR
Processo Crítico x Risco Inerente Crítico x Controles
Chaves = Risco Residual dentro do Apetite ao Risco
®Brasiliano INTERISK – O valor da Inteligência
Resultado:
1)Valida o Processo de GRC
2) Testa a Eficácia dos Controles Chaves
3) Sugere Linhas Gerais do Plano de Ação
para o Gestor, tendo em vista, a
Ineficácia do Controle
4) Comunica e Relaciona com os Comitês,
Conselho e Diretoria
5) Assessora as Gerências da Primeira e
Segunda Linha
Cic
lo A
nu
alProdutos:
Processos Críticos
Especiais
Contínuas
CONCLUSÃO
®Brasiliano INTERISK – O valor da Inteligência© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016
Prof. Dr. Antonio Celso Ribeiro Brasiliano, CRMA,CES,DEA,DSE,MBS
Presidente Brasiliano INTERISK
email: [email protected]
Telefone: 11 983507758
11 55316171
®Brasiliano INTERISK – O valor da Inteligência
®Brasiliano INTERISK – O valor da Inteligência