gestão de riscos e

Gestão de Riscos e Controles Internos na

Central Nacional Unimed

Fabíola Azevedo GrijóSuperintendente de Estratégia, Governança e Riscos

Cuidar da saúde do cliente como operadora nacional, representando, fortalecendo,

apoiando e integrando o Sistema Unimed.

Nosso Propósito

Ser referência no mercado de saúde suplementar e gerar valor para as sócias.

Nossa Visão de FuturoCooperação | Ética | Sustentabilidade Inovação | Respeito aos Colaboradores

Compromisso com os Clientes

Nossos Valores

Porto Seguro, 29 de agosto de 2019

• Mestrado Acadêmico em Administração Estratégica - Universidade Salvador;• Pós-Graduada em Redes de Computadores - Universidade Salvador;• Pós-Graduada em Análise de Sistemas - Universidade Estácio de Sá;• Graduação em Administração de Empresas - Universidade Salvador.

Possui 32 anos de carreira, atuando há 29 anos no mercado de saúde, sendo que 10 anosem cooperativas do Sistema Unimed: Unimed Vitória, Seguros Unimed e há 2 anos, atuacomo Superintendente de Estratégia, Governança e Riscos na Central Nacional Unimedliderando as seguintes áreas:

• Governança Corporativa e Societário;• Gestão de Riscos, Compliance e Segurança da Informação;• Estratégia e Projetos;• Processos e Qualidade;• Inteligência de Informações.

Fabíola GrijóSuperintendente de Estratégia,

Governança e Riscos

Central Nacional Unimed

MINICURRÍCULO

Gestão de Riscos e Controles Internos na CNU

Desafios enfrentados e Pontos positivos desta jornada

Planejamento 2020 - 2021

AGENDA

Estrutura de Governança da Central NacionalUnimed

1

2

3

4

Estrutura de Gestão de Riscos e Controles Internos

AGENDA


1

2

3

4



Estrutura de Governança Corporativa

Assembleia Geral

Conselho Fiscal

Conselho de Administração

Comitê de Governança, Riscos e Auditoria Interna

Auditoria Interna

Comitê de Investimento

Comitê de Ética e Compliance

Diretoria Executiva

Comitê de Reajuste e Precificação

DIRETORIA

TÉCNICA

OPERACIONAL

DIRETORIA COMERCIAL

E MKT

DIRETORIA

ATENÇÃO E

SAÚDE

GERÊNCIA DE OUVIDORIA

DIRETORIA

ADM. E

FINANCEIRA

SUP. ESTRATÉGIAGOV. E RISCOS

SUP. TECNOLOGIASUP. GESTÃO DE PESSOAS

SUP. NOVOS NEGÓCIOS SUP. REDE

SUP. OPERAÇÕES

SUP. COMERCIAL CORPORATIVO

SUP. DE MKT E PRODUTOSSUP. COMERCIAL PME E ADESÃO

SUP. PROVIMENTO EM SAÚDE

SUP . ADM. E FINANCEIRO

PRESIDENTE

ASSESSORIA INSTITUCIONALASSESSORIA TÉCNICA

SUP. JURÍDICA SUP. COM. E SUSTENTABILIDADE

ESTRUTURA ORGANIZACIONALDA CNU

SUPERINTENDÊNCIA DE ESTRATÉGIA,GOVERNANÇA E RISCOS

GERÊNCIA DE PROCESSOS E

QUALIDADE

GERÊNCIA DERISCOS E SEGURANÇA

DA INFORMAÇÃO

GERÊNCIA DEINTELIGÊNCIA DE

INFORMAÇÕES

GERÊNCIA DEGOVERNANÇA, ÉTICA

E COMPLIANCE

COORDENAÇÃO DEESTRATÉGIA E PROJETOS

MARCELO SERAFIM

SUPERINTENDÊNCIA DE ESTRATÉGIA, GOVERNANÇA E RISCOS

FABÍOLA GRIJÓ

GERÊNCIA DEESTRATÉGIA E

PROJETOS

COORDENAÇÃO DEPROCESSOS E QUALIDADE

MARCELO ALVES

COORDENAÇÃO DE RISCOS E C.I.

BRUNA COLANTONIO

COORDENAÇÃO DE SEG. DA INF. E CONT. DE NEGÓCIOS

CARLOS ALBERTO CAMPOS

COORDENAÇÃO INF. ANALÍTICAS

GABRIEL RIBEIRO

COORDENAÇÃO INF. CORPORATIVAS

ISABELA NICOLAY

COORDENAÇÃO GOVERNANÇA E

SOCIETÁRIOMARIANA MÁS

COORDENAÇÃO COMPLIANCE

MARIA AUGUSTA

ASSUNÇÃO

Gestão de Riscos e Controles Internos

AGENDA


1

2

3

4



Março

Preparação

para

RN 277 e

conquista da

acreditação

Nível Ouro

RN 277.

Fortalecimento

da área de

Riscos e

Controles

Internos com a

contratação de

colaboradores.

Publicação da nova

Política de Gestão

de Riscos e

Controles Internos

com as melhores

práticas de

mercado – COSO -

conceito das Três

Linhas de Defesa;

Planejamento das

atividades para

obtenção do Selo

de Referência em

Gestão de Riscos

ISO 31000:2018.

Maio

Junho

Participação

da Unimed

consulta

pública 67 que

deu origem à

RN 443.

Agosto

Instauração do

Comitê de

Governança,

Riscos e

Auditoria Interna;

Publicação da

primeira versão do

Mapa de Riscos

Operacionais, com

base no Control

Self Assement.

Certificação

ISO 9001:2015

Setembro

Outubro

Publicação da primeira

versão do Mapa de

Riscos Estratégicos;

Realização da

Auditoria Diagnóstica,

por órgão credenciado,

do Selo de Referência

da ISO 31000:2018.

Auditoria do Selo

de Referência, por

órgão credenciado

da ISO 31000:2018

Obtenção do

Selo de

Referência em

Gestão de

Riscos

ISO 31.000:2018

Dezembro

2017 2018

Evolução da Gestão de Riscos e Controles Internos na CNU – 2017 - 2018

Revisão da

metodologia de

Gestão de

Riscos e

Controles

Internos e

reestruturação

da estrutura

organizacional.

• Implantação do Processo Follow up e Escalation das recomendações de riscos vencidas ou

não definidas;

• Planejamento do Risk Assessment nos processos da camada de Apoio da Rede de Valor da

CNU;

• Realização do Risk Assessment nos Processos da camada de Négocio da Rede de Valor;

• Estruturação da metodologia de Risco Ocupacional;

• Diagnóstico de Aderência dos processos da CNU à RN 443;

• Campanha para Disseminação SGQ e GRC com o tema Jogos de Inverno.

FEV ABR JUN OUTAGO DEZJAN MAR MAI JUL SET NOV

Comunicação / Treinamentos / Formalização dos Processos / Documentação / Armazenamento de Evidências

• Estruturação do Processo para avaliação da

Maturidade dos Controles Internos;

• Auditoria de Manutenção do selo ISO

31.000:2018;

• Risk Assessment dos demais processos

planejados para o ano;

• Estruturação da nova metodologia Riscos

Estratégicos;

• Diagnóstico para implantação dos controles

da LGPDP (Lei nº 13.709/2018).

Evolução da Gestão de Riscos e Controles Internos na CNU – 2019

2019

Implantação da metodologia de Riscos e Controles Internos

- Control Self Assessment -

Definição dos Gestores e Multiplicadores de Riscos

GESTOR DE RISCOS MULTIPLICADOR

Colaborador especialista, capacitado pela Equipe de Riscos e Controles Internos, responsável pela disseminação dos conhecimentos de Gestão de Riscos a todos os colaboradores envolvidos no processo a qual estes representam.

Responsável pelos riscos do processo a qual está inserido, bem como pelo seu tratamento, envolvimento em todos assuntos relacionados a riscos e reporte à Equipe de Riscos e Controles Internos.

Responde de forma efetiva pela aceitação de riscos ou pela implantação de ações para sua mitigação.

A implantação da metodologia de Riscos e

Controles Internos definida ocorreu por

meio da aplicação do Control Self

Assessment (CSA) - que considera a auto-

avaliação da empresa (gestores de riscos, multiplicadores e

equipes) quanto aos seus riscos e controles.

Mapeamento dos Riscos e Controles Internos

Workshop de Gestão de Riscos

Disseminação da cultura, papéis e responsabilidades.

Estruturação das Matrizes de Risco em conjunto com os Gestores de Risco e Multiplicadores

Aplicação prática da metodologia e análise por toda a rede de valor da CNU (Control Self Assessment).

68 Matrizes de Risco elaboradas67 Riscos Operacionais identificados+ de 940 Fatores de Risco454 recomendações de mitigação dos riscos

Fotografia do primeiro do Mapa de Riscos de toda a empresa.

Estrutura de controles internos efetiva e consistente, de acordo com a complexidade das operações e aderente aos aspectos regulatórios vigentes.

Riscos assumidos de forma consciente e dentro de limites estabelecidos.

Estabelecimento de Níveis de Maturidade da Gestão de Riscos da CNU.

Manutenção da Certificação ISO 9001:2015 e Selo de Referência em Gestão de Riscos ISO 31000:2018.

Estruturação e implantação do Modelo de Capital baseado em Risco.

Implementação dos itens não aderentes da RN 443.

Pilares de Gestão de Riscos e Controles Internos

Política de Gestão de Riscos e Controles Internos

POLÍTICA DE GESTÃO DE RISCOS E

CONTROLES INTERNOS POSICIONAMENTO

Apoio da Alta Direção

Colaboradores alinhados e aculturados

à Gestão de Risco

Atuação nas principais Categorias de Risco

Metodologia baseada na integração entre os conceitos das Três Linhas de Defesa, COSO e ISO

31.0000:2018

Responsabilidades definidas na metodologia de Riscos

GESTÃO DE RISCOS OPERACIONAIS

Atividades para Gestão dos Riscos e Controles Internos

Exposição de Riscos nos Processos

Mapas de Riscos

Classificação do Impacto

Classificação de Vulnerabilidade

Matriz de Riscos e Controles Internos

Resposta ao Risco

Report ao Comitê de Governança, Riscos e Auditoria Interna e ao


GESTÃO DE RISCOS ESTRATÉGICOS

Avaliar os Objetivos Estratégicos

Identificar os Cenários de Riscos

Avaliar os Riscos Estratégicos








à Gestão de Risco



31.0000:2018





Mapas de Riscos




Resposta ao Risco









Em desenvolvimento a metodologia para avaliação dos Riscos

Financeiros, Subscrição, Ocupacional, Socioambiental e

Assistencial.






à Gestão de Risco



31.0000:2018





Mapas de Riscos




Resposta ao Risco














à Gestão de Risco



31.0000:2018



Mapas de Riscos




Resposta ao Risco
















à Gestão de Risco



31.0000:2018



Mapas de Riscos




Resposta ao Risco











Extremo Alta Média Baixa

Risco Operacional

- Possível falha ou demora em processos

internos que possam afetar a

continuidade da CNU;

- Impacto Financeiro: Acima de 10% do

PL.


internos gerando insatisfação com perda

de clientes;

- Perda de informações;

- Impacto Financeiro: De 3% a 10% do PL.


internos gerando insatisfação moderada

e remota chance de perda de clientes;

- Perda temporária de informações;



internos sem gerar insatisfação e perda

de clientes;

- Sem perda de informações;

- Impacto Financeiro: Até 1% do PL.

Risco de

Conformidade

- Inexistência, descumprimento ou não

acompanhamento de normativos com

impacto extremo financeiro/ governança,

que possam afetar a continuidade da

CNU;

- Impacto Financeiro: Acima de 10% do

PL.


acompanhamento de normativos com alto

impacto financeiro/ governança;



acompanhamento de normativos com

médio impacto financeiro/ governança;



acompanhamento de normativos sem

impacto visível financeiro/ governança;

- Impacto Financeiro: De Até 1% do PL.

Risco

Reputacional/Imagem

Desgastes marcantes à imagem, que

possam afetar a continuidade da CNU.

Fatores que produzam desgastes

marcantes à imagem da CNU.

Fatores que comprometam de forma

passageira a imagem da CNU.

Fatores que afetam internamente a

imagem da CNU.

CategoriaAvaliação de Impacto

Alto Médio Baixo






à Gestão de Risco



31.0000:2018



Mapas de Riscos




Resposta ao Risco











A vulnerabilidade dos processos aos riscos identificados é mensurada através da Árvore de Decisão de Vulnerabilidade de acordo com o desenho de cada controle interno realizado, que considera se o controle é manual ou automático, detectivo ou preventivo e chave ou compensatório.


POSICIONAMENTO



à Gestão de Risco



31.0000:2018



Mapas de Riscos




Resposta ao Risco











MAPA DE RISCOS OPERACIONAIS


POSICIONAMENTO



à Gestão de Risco



31.0000:2018



Mapas de Riscos




Resposta ao Risco











Categorias de Resposta ao Risco

Evitar Não correr o risco e descontinuar as atividades que geram riscos. Evitar o risco pode implicar na descontinuação

de uma linha de produtos, divisão de negócios ou processos.

Mitigar Ações são tomadas para reduzir a probabilidade de materialização e/ou severidade do risco. Esta resposta

envolve o aprimoramento ou criação de controles e melhorias em processos.

Compartilhar Atividades que visam reduzir a probabilidade de ocorrência e/ou severidade do risco, por meio da transferência

ou compartilhamento de uma parte do risco, por exemplo: cosseguro, resseguro ou outsourcing.

Aceitar Nenhuma ação será tomada para influenciar a probabilidade de ocorrência e/ou severidade do risco.

Em casos de ACEITAÇÃO, ou seja, nenhuma ação corretiva será

realizada para a mitigação da materialização do risco, a seguinte alçada

de aprovação deve ser seguida e formalmente documentada:



POSICIONAMENTO



à Gestão de Risco



31.0000:2018



Mapas de Riscos




Resposta ao Risco











MAPA DE RISCOS ESTRATÉGICOS


POSICIONAMENTO



à Gestão de Risco



31.0000:2018



Mapas de Riscos




Resposta ao Risco











Atuação nas principais

Categorias de Risco

Metodologia baseada na

integração entre os conceitos

das Três Linhas de Defesa,

COSO e ISO 31.0000:2018

Mapas de Riscos


Classificação de

Vulnerabilidade

Matriz de Riscos e

Controles Internos

Resposta ao Risco

ExtremaEvento iminente.

Histórico recorrente (evento ocorrido todo ano nos últimos 2 anos).

AltaHistórico de ocorrência regular (evento ocorrido pelo menos uma vez nos últimos 2

anos).

ModeradaHistórico de ocorrência ocasional(evento ocorrido pelo menos uma vez nos últimos 5

anos).

Baixa Não existe histórico de ocorrência do evento nos ultimos 5 anos.

Avaliação da Probabilidade

Extremo Alta Média Baixa

Risco Estratégico

Fatores que impedem o atingimento de

objetivos estratégicos, comprometendo

a continuidade da CNU.

Fatores que impedem o atingimento de

objetivos estratégicos.

Fatores que geram atraso no

atingimento dos objetivos estratégicos.

Fatores que não impedem o

atingimento dos objetivos estratégicos.

CategoriaAvaliação de Impacto

Alto Médio Baixo

Implantação da metodologia

de Risk Assessment

Implantação do Risk Assessment

1. Preparação Interna 2. Reunião Inicial3. Entendimento

do Controle4. Elaborações

dos Entregáveis5. Validação

Reunião para levantamento e consolidação de

informações junto às áreas (não se limitando à): Compliance, Segurança da Informação, Processos e

Qualidade, Jurídico, Estratégia e Projetos,

Inteligência de Informações e

Auditoria Interna.

Reunião inicial com Gestor para

entendimento dos riscos e controles relacionados ao

processo avaliado (considerando histórico para

avaliação).

Entendimento dos Controles com

pontos focais para detalhamento e

obtenção de evidências.

Avaliação e elaboração de

entregáveis para validação com as

áreas.

Validação e atualização da Matriz

de Riscos, indicadores, etc. Participam desta etapa os pontos

focais e multiplicadores,

gestores, superintendentes,

diretoria e Comitê de Governança, Riscos e

Auditoria Interna.

Monitoramento da implantação das

recomendações para mitigação dos Riscos,

e escalonamento para as alçadas

competentes, no caso de não implantação.

6. Acompanhamento e Escalonamento

Após a primeira visão do Mapa de Riscos da CNU - por meio da aplicação do CSA - iniciou-se a aplicação do RiskAssessment que considera a avaliação dos riscos e controles dos processos pelas Equipe de Riscos e Controles Interno da CNUObjetivo: Aumentar o nível de maturidade da empresa prezando pela melhoria contínua de nossos controles.

Modelo do Painel de Resultados obtidos com a Gestão de Riscos

Resultados ControlSelf Assessment

Recomendações: XXX

Fatores de risco: XXX

Gestores: XX

Matrizes de Risco: XX

Extremo XAlto

X

Médio XX

BaixoXX

Resultados RiskAssessment

XX RISCOS IDENTIFICADOS

Recomendações: XXX

Fatores de risco: XXXX

Gestores: XX

Matrizes de Risco: XXExtremo;0

AltoX

Médio;XX

BaixoXX

XX RISCOS IDENTIFICADOS

Data-base: 01/02/19.


AGENDA


1

2

3

4



Principais desafios enfrentados

4. Consolidação de todos os fatores de riscos da empresa em um Mapa de Riscos Corporativo.

1. Conquistar a sinergia entre as diversas equipes responsáveis pela gestão de riscos na CNU ;

2. Divulgação da metodologia a todas as áreas da empresa, atingindo todos os níveis hierárquicos;

3. Implantação efetiva da metodologia de riscos em todos os processos da CNU;

Pontos positivos dessa jornada

4. Estabelecimento de uma cultura de riscos na empresa;

1. Participação e engajamento de todas as área da CNU;

2. Patrocínio e participação ativa da Alta Direção;

3. Integração entre as atividades das equipes de Qualidade, Estratégia, Compliance e Segurança de Informação;

5. Sinergia da metodologia implantada com a RN 443.


AGENDA


1

2

3

4



Planejamento para 2020 -2021

• Estruturação dos Indicadores chaves de Risco (KRI) para monitoramento dos riscos altos e extremos;

• Estruturação para atendimento à nova versão da RN 277.

• Adequação da estrutura da área de Riscos para atendimento aos normativos RN 443 CNU totalmente

aderente em dezembro de 2020);

• Implantação do Modelo de Capital Baseado em Riscos e LGDP;

• Risk Assessment dos processos da Camada de Negócio – Rede de Valor CNU;

• Implantação dos Gaps para atendimento à RN 443;

• Implantação dos Controles para adequação à LGPD;

• Estruturação dos processos da CNU para desenvolvimento do Modelo de Capital Baseado em Risco.

20

20

/202

1

São Paulo, 09 de agosto de 2018

Porto Seguro, 29 de agosto de 2018

OBRIGADA!

Fabíola Azevedo GrijóSuperintendência de Estratégia, Governança e Riscos

[email protected]

“Depois de termos conseguido subir a uma grande montanha, só descobrimos que existem ainda mais grandes montanhas para subir.”

NELSON MANDELA

gestão de riscos e

Documents