Brasiliano INTERISK O valor da Inteligência

Transcrição

1

2 AUDITORIA BASEADA EM RISCOS ABR Curitiba, 28 de junho de 2018 Prof. Dr. Antonio Celso Ribeiro Brasiliano, CIGR, CRMA, CES,DEA, DSE, MBS Presidente da Brasiliano INTERISK

3 Sumário 1. Objetivos do Seminário 2. Facilitador 3. Auditoria Baseada em Riscos x Auditoria Tradicional 4. Contexto do Ambiente Empresarial 5. Processos e Conceitos de Boas Práticas para operacionalizar as Três Linhas de Defesa 6. Três Linhas de Defesa, Aplicação e Conceito Estratégico: funções e responsabilidades 7. Conclusão

4 Objetivos do Seminário 1. Apresentar o contexto empresarial neste século XXI; 2. Apresentar o contexto do gerenciamento de riscos corporativos integrado com os modelos de governança, compliance e auditoria Três Linhas de Defesa: funções e responsabilidades; 3. Apresentar o conceito e emprego da Auditoria Baseada em Riscos ABR, visando ganhar produtividade, eficácia nos testes dos controles chaves dos riscos críticos para o negócio da instituição. Agrega Valor.

5 Prof. Dr. Antonio Celso Ribeiro Brasiliano, CIGR,CRMA,CES,DEA,DSE,MBS Doutor em Science et Ingénierie de L Information et de L Intelligence Stratégique (Ciência e Engenharia da Informação e Inteligência Estratégica) pela UNIVERSITÉ EAST PARIS - MARNE LA VALLÉE Paris França; Master Degree - Diplome D Etudes Approfondies (DEA) en Information Scientifique et Technique Veille Technologique (Inteligência Competitiva) pela UNIVERSITE TOULON Toulon - França; Especializado em: Inteligência Competitiva pela Universidade Federal do Rio de Janeiro - UFRJ; Gestión da Seguridad Empresarial Internacional Universidad Pontifícia Comillas de Madrid Espanha; Curso de Gestión da Seguridad Empresarial - Universidad Pontifícia Comillas de Madrid Espanha; Planejamento Empresarial, pela Fundação Getúlio Vargas - SP; Elaboração de Currículos pelo Centro de Estudos de Pessoal do Exército - CEP, Bacharel em Ciências Militares, graduado pela Academia Militar das Agulhas Negras; Bacharel em Administração de Empresas Universidade Mackenzie; Certificado em Gestão de Riscos: Certificácion Internacional de Gestión de Riesgos CIGR pela CEAS Espanha - Certification in Risk Management Assurance CRMA, pelo IIA Global Institute of Internal Auditors, Certificado como Especialista em Segurança Empresarial CES pela ABSO. Autor dos livros: Inteligência em Riscos: gestão Integrada em Riscos, com a inclusão do COSO ERM 2017 e ISO 31000: 2018 Mundo VICA Volátil, Incerto, Complexo, Ambíguo. Estamos Preparados? ; Inteligência em Riscos: Gestão Integrada em Riscos Corporativos ; Gestão de Risco de Fraudes, Fraud Risk Assessment FRA ; Gestão de Continuidade de Negócios GCN ; Guia Prático para a Gestão de Continuidade de Negócios ; Cenários Prospectivos em Gestão de Riscos Corporativos: um estudo de caso brasileiro ; Gestão e Análise de Riscos Corporativos: Método Brasiliano Avançado Alinhado com a ISO 31000; "Análise de Risco Corporativo Método Brasiliano"; Manual de Análise de Risco Para a Segurança Empresarial ; Manual de Planejamento: Gestão de Riscos Corporativos ; A (IN)Segurança nas Redes Empresarias: A Inteligência Competitiva e a Fuga Involuntária das Informações ; Planejamento da Segurança Empresarial: Metodologia e Implantação ; Coautor dos Livros: Dicionário de Crime, Justiça e Sociedade - lançamento em Portugal onde colaborou com especialistas portugueses e demais países da Europa, sendo o único brasileiro a participar com textos sobre Fraudes Corporativas; Manual de Planejamento Tático e Técnico em Segurança Empresarial ; Segurança de Executivos" - Noções Antissequestro e Sequestro: Como se Defender; Idealizador da Solução em Inteligência em Riscos Corporativos INTERISK; Professor Convidado do IPT da USP do Programa de Mestrado, para aulas de Análise de Riscos, da Fundação Dom Cabral e da Faculdade Trevisan para Cursos de Gestão de Riscos; Atual Coordenador Técnico e Professor do MBA - Gestão de Riscos Corporativos e Cursos de Extensão nos temas de Riscos, Compliance, Gestão de Continuidade de Negócios, Auditoria Baseada em Riscos, Controles Internos, Segurança Corporativa, todos em convênio com a Faculdade de Engenharia de São Paulo FESP; Membro do Institute of Internal Auditors IIA; do Instituto dos Auditores Internos do Brasil IIA Brasil; Membro da Associação Brasileira de Profissionais de Segurança Orgânica ABSO, Coordenou a 1ª Pesquisa de Vitimização Empresarial 2003 Contrato pela PENUD/ONU/SENASP; Profissional com mais de 30 anos de experiência em Gestão de Riscos; Palestrante nacional em inúmeros eventos da área de riscos, compliance, auditoria, controles internos e segurança corporativa. Palestrante Internacional em eventos na Argentina, Paraguai, África e Japão (convidado pela Organização Pan-Americana de Saúde-OPAS, como expert em Planos de Contingência, na Conferência Mundial de Redução de Desastres, Yokohama). Experiência internacional em consultoria GRC em Portugal, Cabo Verde, Angola, Moçambique, Uruguai, Argentina, Paraguai, Colômbia, México. Membro da Comissão de Estudo Especial de Gestão de Riscos da ABNT/CEE-63 ISO 31000/31010/31004 Gestão de Riscos e ISO 22301/22313 Gestão de Continuidade de Negócio Segurança da Sociedade. É Presidente da BRASILIANO INTERISK. Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016

6 Alguns clientes Brasiliano INTERISK Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016

7 Alguns clientes Brasiliano INTERISK Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016

8 Alguns clientes Brasiliano INTERISK Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016

9 Alguns clientes Brasiliano INTERISK Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016

10 CONCEITO, DEFINIÇÃO, ABRANGÊNCIA DA AUDITORIA AUDITORIA INTERNA é uma atividade independente e objetiva que presta serviços de avaliação (assurance) e consultoria, e tem como objetivo adicionar valor e melhorar as operações de uma organização. Auxilia a organização a alcançar seus objetivos, adotando uma abordagem sistemática e disciplinada para a avaliação e melhoria da eficácia dos processos de gerenciamento de riscos, de controle e governança corporativa Fonte: IIA / IAIB

11 CONCEITO, DEFINIÇÃO, ABRANGÊNCIA DA AUDITORIA Finalidade da Auditoria Interna A Auditoria Interna tem por finalidade desenvolver um plano de ação que auxilie a organização a alcançar seus objetivos adotando uma abordagem sistêmica e disciplinada para a avaliação e melhora da eficácia dos processos de gerenciamento de riscos com o objetivo de adicionar valor e melhorar as operações e resultados de uma organização.

12 AUDITORIA AUDITORIA E CONTROLES BASEADA EM RISCOS - ABR IIA The Institute of Internal Auditors define Auditoria Baseada em Riscos ABR: Como uma metodologia que associa a auditoria interna no arcabouço global da gestão de riscos de uma organização. A ABR possibilita que a auditoria interna garanta ao conselho de administração, que os processos de gestão de riscos estão administrando os riscos de maneira eficaz em relação ao apetite ao riscos.

13 Conclusão O QUE É RISCO? Costuma-se entender risco como possibilidade de algo não dar certo. Mas seu conceito atual no mundo corporativo vai além: envolve a quantificação e a qualificação da incerteza, tanto no que diz respeito às perdas quanto aos ganhos por indivíduos ou organizações. Sendo o risco inerente a qualquer atividade e impossível de eliminar, a sua administração é um elemento-chave para a sobrevivência das instituições e empresas. Fonte: Cadernos de Governança Corporativa Gerenciamento de Riscos Corporativos: Evolução em Governança e Estratégia IBGC Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016

14 Conclusão COMPONENTES DO RISCO Para a exata delimitação do risco, devem-se identificar os três componentes: causas, as fontes, os fatores de risco; o evento em si e as consequências, que são os efeitos financeiros, operacionais, legais, imagem, recursos humanos... Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016

15 Conclusão O QUE SÃO CAUSAS, FONTES OU FATORES DE RISCOS? Riscos são incidentes ou ocorrências originadas a partir de fontes internas ou externas que podem impactar negativamente ou positivamente a instituição. O risco é composto por fatores de riscos causas internas e externas. Para compreender sua potencialidade há a necessidade de decompor o risco em suas respectivas causas. Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016

16 Fator de Risco Causa - Fonte ISO Técnicas de Análise de Riscos Risco Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016

17 Fator de Risco Causa - Fonte

18 Identificação dos Fatores de Riscos Diagrama de Causa e Efeito R1 Manipulação de quantidade recebidas - Fraude R2 Recebimento de produtos fora da especificação de qualidade

19 Apetite de Risco Apetite de risco é a quantidade de risco que a empresa deseja assumir para conseguir atingir seus objetivos. Ou podemos dizer também que apetite de risco é a quantidade de riscos, no sentido mais amplo, que uma organização está disposta a aceitar em sua busca para agregar valor. O apetite de risco reflete toda a filosofia administrativa de uma organização e, por sua vez, influencia a cultura e o estilo operacional desta. Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016

20 Apetite de Risco A fixação do apetite de risco permite determinar na empresa o binômio risco x benefício, controlar e manter os riscos em níveis desejados. Para tanto, para possibilitar a concretização de geração de valor nas organizações, estas devem fazer um balanço entre riscos x oportunidades x apetite de risco, e, servir de guia para a tomada de decisões, alocação de recursos e a definição do alinhamento de toda empresa para a busca dos objetivos fixados. Permite fazer um monitoramento das ações, resultados e dos níveis de riscos associados. Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016

21 APETITE AO RISCO: Apetite VISÕES de Risco Exposição Fonte:

22 APETITE AO RISCO: NÍVEIS DE ACEITAÇÃO 1 - Monitoramento 2 Apetite de Risco 3 Tolerância ao Risco 4 Capacidade de Risco

23 Eficácia da Auditoria Baseada em Riscos A eficácia da ABR depende: 1. Avaliar a eficácia do processo de gestão de riscos: Estruturado? Possui política? Alinhado com o apetite definido? Alinhado com a estratégia e objetivos estratégicos? Possui metodologia? Possui métricas por disciplinas de riscos? Controla a 1 ª linha? Consolida e integra riscos? Utiliza Software? Realiza reportes contínuos para a alta gestão? Riscos e controles chaves são reportados e tratados?

24 ABRANGÊNCIA DA SEGURANÇA CORPORATIVA Abrangência NEGÓCIOS FORNECEDORES Disponibilidade Encerramento repentino de contrato Imagem Novas regulamentações Falência Segurança TI/Cibernética Rede de comunicação Aplicações Vírus Segurança Pessoal Sequestros Assaltos Epidemias (Avian Flu) Acidentes GRC Segurança na Cadeia Logística Armazenagem Distribuição Transporte Greves PROCESSOS Fraudes Ineficiência Segurança Segurança Física Incêndio Alagamento Desabamento Ataque terrorista Blackout

25 ABRANGÊNCIA GERA INÚMERAS DISCIPLINAS.. 1. Riscos estratégicos. 2. Riscos operacionais ligados a operação. 3. Riscos nos processos. 4. Riscos de tecnologia da informação. 5. Riscos de meio ambiente. 6. Riscos de saúde e segurança do trabalhador. 7. Riscos de segurança empresarial. 8. Riscos financeiros. 9. Riscos legais. 10. Riscos sociais. 11. Riscos de sustentabilidade. 12. Riscos de comunicação. 13. Riscos de fraudes. 14. Riscos na cadeia logística. 15. Riscos no projeto. 16. Outras tantas disciplinas. As várias disciplinas de riscos, devem ser, gerenciadas, de forma integrada. O que significa isto?

26 Significa que os Gestores de Riscos, com o apoio e Suporte da Alta Gestão, devem: Apesar da grande diversidade e abrangência, devem utilizar um mesmo FRAMEWORK para a Instituição toda! O que pode e deve mudar? Ferramentas e critérios para estimar probabilidades e impactos/consequências dos riscos Mas TODAS AS DISCIPLINAS IRÃO PARA UMA ÚNICA MATRIZ! Qual a razão dos riscos irem para uma única Matriz de Riscos? A Instituição falar a mesma linguagem, saber a criticidade do risco e o apetite de risco.

27 O QUE NÃO DEVE ACONTECER? A instituição possuir várias políticas diretrizes de gestão de riscos; A instituição possuir inúmeros Framework s um para cada disciplina, alegando especificidade; A instituição possuir várias metodologias, a forma como fazer o gerenciamento de riscos; A instituição possuir várias matrizes de riscos, uma matriz por disciplina de risco. ACONTECE O QUÊ?

28 O QUE NÃO DEVE ACONTECER? A Alta Gestão e o Conselho de Administração da Empresa não terão condições de supervisionar os riscos estratégicos e críticos, farão voo cego, pois ficam sem parâmetros claros.

29 O QUE NÃO DEVE ACONTECER? Consequência

30 AUDITORIA DEVE CHECAR 1. POLÍTICA DE GESTÃO DE RISCOS APETITE AO RISCO E RESPONSABILIDADES DOS RISK S OWNER 2. PROCESSO DE GESTÃO DE RISCOS COM MÉTRICAS E METODOLOGIAS - DESCRIÇÃO POR DISCIPLINA Matriz Única para a Empresa, INCLUINDO A AUDITORIA, Independente da disciplina e métrica

31 Processo de Gerenciamento de Riscos Corporativos ISO COSO ERM - Revisão 2017 COSO II COSO I - Revisão 2013 PROCESSO INTEGRADO - MÉTODO BRASILIANO - COM FERRAMENTA DE TI INTERISK

32 COSO I Foco no Controle Interno Relato de informação financeira e não financeira, interna e externamente. Considera aspectos de fiabilidade, tempestividade, transparência e outras características relevantes. Dado grande enfoque na formalização de papéis, julgamento e responsabilidades da alta administração para reforçar o seu mandato Detalhamento de cada um destes componentes foi aprimorado para um total de 17 princípios e devem estar presentes e operantes por toda a entidade.

33 COSO I Foco no Controle Interno Um novo conceito

34 CONTROLES INTERNOS Tipos de Controle Interno Tipos de Controle Preventivos Características Desenhado para prevenir resultados indesejados Reduzem a possibilidade de sua ocorrência e detecção. Exemplo: Cheques com duas assinaturas; Empenho prévio; Cadastro de fornecedores; etc Detectivos Desenhado para detectar fatos indesejáveis. Detectam a manifestação/ocorrência de um fato. Exemplo: Conciliação de contas: Bancos, Contas a Receber, Pagar, etc. Preventivos são os controles que atuam sobre os fatores de riscos do diagrama de causa e efeito, ou seja, são controles que irão prevenir o risco, fazer com que a probabilidade de ocorrência do riscos diminua. Detectivos são controles que atuam após a ocorrência do risco, ou seja, detecta que ocorreu um evento (riscos) e faz com que seu impacto seja mitigado. Exemplo: Processo de Expedição Risco: Desvio de Material Fator de risco: Expedição não autorizada de materiais Controle Preventivo: Dupla conferência Permite liberar o material apenas com a assinatura do conferente e do líder de expedição (Age sobre o fator de risco Expedição não autorizada de materiais ) Se o controle for eficaz diminuirá a probabilidade do risco. Controle Detectivo: Inventário Mensal Permite detectar divergências mensais entre a quantidade física e quantidade em sistema, caso tenha ocorrido algum desvio (Age sobre o risco Desvio de Material ). Se o controle for eficaz diminuirá o impacto do risco.

35 Revisão Estratégica COSO ERM 2017 INTEGRADO COM ESTRATÉGIA E DESEMPENHO objetivos estratégicos, estratégia devem estar alinhados com a missão, visão e valores da organização Objetivos Estratégicos e a Estratégias Desempenho Processo de Gestão de Riscos e alinhados com o Apetite de Risco

36 COSO ERM 2017 INTEGRADO COM ESTRATÉGIA E DESEMPENHO 05 COMPONENTES E 20 PRINCÍPIOS

37 CONCEITO RISCO IMPORTANTE INERENTE É A E RISCO RESIDUAL VULNERABILIDADE RESIDUAL Que é a exposição ao risco depois de tomadas as ações de tratamento Materialidade do Risco Redução Máxima da Vulnerabilidade Considerando Grau de Preparação Atuante Atuante Vulnerabilidade residual: exposição ao risco após tomar as medidas julgadas adequadas - grau de preparação atuante (exposição não tratável no absoluto ou não tratável porque o custo marginal de tratar é maior que o benefício marginal de tratar) Grau de Preparação (Redutor de Vulnerabilidade) Intermediário Vulnerabilidade Passível de Redução por Atuação Insuficiente

38 VISÃO DE ANTECIPAÇÃO - RISCOS Inerente Residual

39 Se, o gestor de riscos fizer o feijão com arroz, ou seja identificar a Criticidade de cada Risco pela Probabilidade x Impacto Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016 Fonte: 13 a Relatório de Riscos Globais do Fórum Mundial 2018

40 O que o Fórum Mundial pede que façamos além de identificar a Criticidade de cada risco? Tenho que identificar a Motricidade entre os riscos, suas interconectividade. Saber o que um risco influência em outro! Fonte: 13 a Relatório de Riscos Globais do Fórum Mundial 2018 Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016

41 O que o Fórum Mundial pede que façamos além de identificar a Criticidade de cada risco? Na Gestão de Riscos identificamos a Motricidade entre os riscos utilizando o Teorema de Bayes, Probabilidades Condicionantes, facilitada pela Técnica dos Impactos Cruzados. Fonte: 13 a Relatório de Riscos Globais do Fórum Mundial 2018 Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016

42 O que isto significa na prática? Matriz de Impactos Cruzados Teorema de Bayes Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016

43 O que isto significa na prática? Matriz de Motricidade Interdependência Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016

44 O que isto significa na prática? Matriz de Riscos - Criticidade = Probabilidade x Impacto Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016

45 O que isto significa na prática? Matriz de Motricidade Interdependência Motricidade Matriz de Impactos Cruzados INTERCONECTIVIDADE ENTRE RISCOS Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016

46 O que isto significa na prática? Matriz de Priorização Motricidade x Criticidade Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016

47 Disciplinas de Riscos são Ilhas Falta Visão Holística Faltam conexões entre as disciplinas Qual a consequência da falta destas conexões? Miopia para enxergar o Risco Sistêmico

48 A Integração das Disciplinas de Riscos N Disciplinas, com N ferramentas e métricas personalizadas, mas todas debaixo do mesmo Processo e Matriz de Risco! O Resultado é a Inteligência em Riscos, onde há análise e interpretação das informações.

49 Integrar todos os Riscos e Informações Inteligência em Riscos

50 Painel de Controle e Monitoramento Processo Crítico x Risco Inerente Crítico x Controles Chaves = Risco Residual dentro do Apetite ao Risco

51 AS INSTITUIÇÕES DEVEM, OBRIGATORIAMENTE, TRABALHAREM COM FERRAMENTA DE TI Não tem cabimento no século XXI, instituições de porte, ainda estarem realizando a Gestão de Riscos no Famoso anacrônico denominado S.A.P. SAP = Sistema Avançado de Planilha O que gera inúmeros riscos! Solução com Ferramenta de TI Com integrações automatizadas

52 Eficácia da Auditoria Baseada em Riscos A eficácia da ABR depende: 2. Avaliar os controles chaves dos riscos inerentes críticos dos processos relevantes para o negócio

53 Análise de Riscos - Inerente e Residual Risco Inerente FR. 278 (Ausência de local coberto adequado para as coletas de amostras dos caminhões em dias de chuva) Fatores de Riscos x Controles Risco Residual Risco 124 (Recebimento de produtos fora da especificação de qualidade) FR. 279 (Manipulação dos resultados das amostras de qualidade) FR. 281 (Existência de pragas no local de armazenagem) C.190 (E P) (Amostra de qualidade do produto entregue) C.185 (I P) (Controle magnético) Risco 124 (Recebimento de produtos fora da especificação de qualidade) Média Probabilidade: 3.92 Muito Alta Média Impacto: 4.00 Severo FR. 282 (Conluio entre o descarregamento e o motorista) C.188 (E P) (Recebimento de Ticket de pesagem) Média Probabilidade: 2.58 Alta Média Impacto: 4.00 Severo Legenda: (I) - Ineficaz (E) - Eficaz (P) - Preventivo (D) - Detectivo

54 Análise de Riscos - Inerente e Residual Risco Inerente Fatores de Riscos x Controles Risco Residual Legenda: (I) - Ineficaz (E) - Eficaz (P) - Preventivo (D) - Detectivo Risco 122 (Registro de produtos não recebidos) Média Probabilidade: 4.58 Elevada Média Impacto: 3.18 Moderado FR. 271 (Solicitação informal do cliente para entrada do produto) FR. 272 (Ausência de formalização do escritório para balança) FR. 273 (Liberação de entrada dos caminhões através da identificação pessoal do motorista) FR. 274 (Recebimento de produto sem aviso do cliente) FR. 275 (Falta de energia no armazém não permitindo o funcionamento da balança) FR. 276 (Ausência de nobreak e/ou gerador para a balança) FR. 277 (Manipulação das divergências de peso entrega) FR. 282 (Conluio entre o descarregamento e o motorista) FR. 283 (Ausência de padrão para as informações de recusas dos produtos) FR. 284 (Manipulação do lastro do caminhão pelo motorista) FR. 285 (Ausência de integração sistêmica entre a balança (entrada) e o sistema Alfa FR. 286 (Ausência de tempestividade no registro de entrada de estoque) C.186 (I P). (Confirmação do cliente) C.185 (I P). (Controle magnético) C.187 (E P). (Validação da nota fiscal de entrada) (E P) C.188. (Ticket de pesagem) C.187 (E P). (Validação da nota fiscal de entrada) (I D) C.191. (Registro de estoque) C.188 (E P). (Ticket de pesagem) C.186 (I P). (Confirmação do cliente) C.188 (E P). (Ticket de pesagem) C.188 (E P). (Ticket de pesagem) C.191 (I D). (Registro de estoque) Estudo de Caso Risco 122 (Registro de produtos não recebidos) Média Probabilidade: 4.17 Muito Alta Média Impacto: 3.18 Moderado

55 Avaliação de Riscos - Inerente e Residual No exemplo utilizado necessário implementar controles preventivos para inibir os fatores de riscos e implementar controles detectivos e mitigadores (exemplos - plano de emergência, plano de crise, plano de continuidade de negócios) visando diminuir o impacto

56

57 Alguns Casos: Onde estavam os Auditores? Principais escândalos corporativos de 2010 a 2016

58 FRAUDE VW ATÉ 2018, QUEREMOS LEVAR O GRUPO AO TOPO DA INDÚSTRIA GLOBAL Martin Winterkorn Presidente em 2011na montadora no Tennessee - USA ATÉ 2018, QUEREMOS LEVAR O GRUPO AO TOPO DA INDÚSTRIA GLOBAL Ações caíram 34% Multas podem chegar até 18 bilhões de dólares Martin Winterkorn Presidente em 2011na montadora no Tennessee - USA

59 Fraude Petrobrás Consequência direta: - Queda do valor das ações + 50% - Credibilidade da diretoria e Petrobrás - Paralização de obras - Ações na justiça

60 Wells Frago O Presidente pediu Desculpas e assumiu o erro, mas não adiantou...

61 A Importância de uma Adequada Gestão de Riscos Apetite de Risco Alto? BP - British Petroleum, em 2007 Quando Tony Hayward tornou-se CEO da BP em 2007, ele jurou fazer segurança sua prioridade máxima. Dentre as novas regras que ele instituiu, a necessidade de que todos os funcionários usassem tampas em xícaras de café durante a caminhada e abstivessem de escrever mensagens de texto enquanto dirigiam. Uma Comissão de inquérito dos Estados Unidos atribui o desastre a: FALHAS DE GESTÃO, QUE INCAPACITAVA OS INDIVÍDUOS ENVOLVIDOS NA IDENTIFICAÇÃO, AVALIAÇÃO, COMUNICAÇÃO E TRATAMENTO DOS RISCOS DE FORMA ADEQUADA!

62 FIFA

63 YAHOO

64 OLYMPUS

65

66 PONTOS DE REFLEXÃO PARA OS AUDITORES GESTÃO DE RISCOS CORPORATIVOS O que pode comprometer o cumprimento das estratégias e metas? Onde estão as maiores oportunidades, ameaças e incertezas? Quais são os principais riscos? Como a Cooperativa responde aos riscos? Existem informações confiáveis para tomada de decisões? O que é feito para assegurar que os riscos estejam em um nível aceitável? A cooperativa possui consciência da importância do processo de gestão de riscos? A cooperativa tem as competências necessárias para gerir riscos assumidos? Quem identifica e monitora ativamente os riscos da Cooperativa? Que padrões e metodologias são utilizados? Fonte: IBGC Cadernos de Governança - Gerenciamento de Riscos Corporativos Evolução em Governança e Estratégia Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016

67 O Mundo vive hoje turbulências imprevisíveis e mudanças exponenciais para as quais as empresas e seus líderes não estão preparados! Disruptiva Veloz Ágil A Revolução 4.0 impacta as mais diversas áreas das empresas, está invertendo a forma de pensar, trabalhar, produzir...novas competências serão necessárias!!

68 AS EMPRESAS NECESSITAM QUEBRAR DOGMAS DA ADMINISTRAÇÃO, ASSUMIR RISCOS, SER OUSADAS As outras revoluções industriais vieram com inovações tecnológicas, com o objetivo de trazer maior produtividade e eficiência aos processos. A Revolução Industrial 4.0 integra as tecnologias físicas e lógicas, como Inteligência Artificial, Robótica, Computação Cognitiva, Analytics e Internet das Coisas (IoT). HAVENDO INTERCONECTIVIDADE EM TUDO!

69 CONTEXTO DO MERCADO CORPORATIVO E AS ABORDAGENS ESTRATÉGICAS DAS EMPRESAS VOLUME DE INFORMAÇÕES E DADOS: CISCO estima que em 2020 haverá 50 bilhões de dispositivos conectados à internet. Dezenas de bilhões de telas. Três bilhões de sensores em nossos carros. O conhecimento é dobrado a cada dois anos!

70 TENHO QUE SABER ONDE DEVO AUDITAR, ASSESSORAR, OBSERVAR, PERGUNTAR, INVESTIGAR, POIS A ABRANGÊNCIA É MUITO GRANDE, O VOLUME DE DADOS E INFORMAÇÕES SÃO BRUTAIS

71 A REVOLUÇÃO INDUSTRIAL 4.O IMPACTA DIRETAMENTE EM 4 PILARES ESTRATÉGICOS ESTRATÉGIA DA EMPRESA TECNOLOGIA TALENTOS E FORÇA DE TRABALHO IMPACTO SOCIAL

72 A GESTÃO DE RISCOS E AUDITORIA DEVEM QUEBRAR UM PARADIGMA: NÃO PODEM RELATAR O QUE ACONTECEU, MAS O QUE PODERÁ VIR A ACONTECER, NO FUTURO! ANTECIPAÇÃO

73 AMBIENTE EXTREMAMENTE TURBULENTO, GERA: V U C A Volatilitity Volatilidade Uncertainty Incerteza Complexity Complexidade Ambiguity Ambiguidade 1. Aceitar 2. Não pensar demais 3. Mover-se VICA

74 AMBIENTE EXTREMAMENTE TURBULENTO, GERA: V I C A Volatilidade Incerteza Complexidade Ambiguidade Visão Velocidade Entendimento Não ortodoxia Não Dogmatizar Colaboração Entender a conectividade Cocriação Interdependência Agilidade Abundância

75 6 D s Pensamento Linear x Exponencial

76 A empresa necessita alinhar sua estratégia de negócio, neste ambiente turbulento, aos Riscos... Riscos que Impactam a Estratégia de Negócio da Empresa, fazendo com que não cumpra com seus objetivos! Trajetória da Empresa Objetivos das Diretrizes Estratégicas Os riscos devem ser antecipados, o Planejamento Estratégico deve possuir uma abordagem múltipla de mercado. A instituição tem que possuir ESTRATÉGIAS ADAPTATIVAS E VISIONÁRIAS!

77 Trajetória COM Gestão de Riscos Mitigação Remediação Prevenção Objetivos Estratégicos A gestão de riscos torna a empresa mais resiliente aos efeitos das incertezas e mais HÁBIL em alcançar seus objetivos Estratégicos. AMBIDESTRA

78 Conclusão PERFIL DO AUDITOR INTERNO Característica do Nexialista, onde a habilidade principal é a conectividade. Fonte: O marketing na Era do Nexo. Longo, Walter e Tavares, Zé Luis. Rio de Janeiro: BestSeller, 2009 Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016

79 LINHAS DE DEFESA Dezembro de Adaptação da Guidance on the 8th EU Company Law Directive da ECIIA (Confederação Europeia dos Institutos de Auditoria Interna) / /FERMA (Federação Europeia de Associações de Gerenciamento de Riscos), artigo 41 Normas imposta pela legislação europeia aplicáveis às empresas em toda a União Europeia. 14 Dezembro de 2011

80 LINHAS DE DEFESA Janeiro de 2013 Funções que gerenciam e são proprietários dos riscos Funções que supervisionam os riscos Facilitadores Funções que fornecem avaliações independentes

81 CONCEITOS ESTRATÉGICOS O modelo de Três Linhas de Defesa é uma forma simples e eficaz de melhorar a comunicação do gerenciamento de riscos e controle por meio do esclarecimento dos papéis e responsabilidades essenciais. O modelo apresenta um novo ponto de vista sobre as operações, ajudando a garantir o sucesso contínuo das iniciativas de gerenciamento de riscos, e é aplicável a qualquer organização - não importando seu tamanho ou complexidade. Mesmo em empresas em que não haja uma estrutura ou sistema formal de gerenciamento de riscos, o modelo de Três Linhas de Defesa pode melhorar a clareza dos riscos e controles e ajudar a aumentar a eficácia dos sistemas de gerenciamento de riscos.

82 CONCEITOS ESTRATÉGICOS Como primeira linha de defesa, os gerentes operacionais gerenciam os riscos e têm propriedade sobre eles. Eles também são os responsáveis por implementar as ações corretivas para resolver deficiências em processos e controles. A gerência operacional é responsável por manter controles internos eficazes e por conduzir procedimentos de riscos e controle diariamente. A gerência operacional identifica, avalia, controla e mitiga os riscos, guiando o desenvolvimento e a implementação de políticas e procedimentos internos e garantindo que as atividades estejam de acordo com as metas e objetivos. Deve haver controles de gestão e de supervisão adequados em prática, para garantir a conformidade e para enfatizar colapsos de controle, processos inadequados e eventos inesperados.

83 CONCEITOS ESTRATÉGICOS Segunda Linha como supervisora e facilitadora da primeira linha de defesa. Dupla Função! Uma função (e/ou comitê) de gerenciamento de riscos que facilite e monitore a implementação de práticas eficazes de gerenciamento de riscos por parte da gerência operacional e auxilie os proprietários dos riscos a definir a meta de exposição ao risco e a reportar adequadamente informações relacionadas a riscos em toda a organização.

84 CONCEITOS ESTRATÉGICOS As responsabilidades dessas funções incluem: Como funções de gestão, elas podem intervir diretamente, de modo a modificar e desenvolver o controle interno e os sistemas de riscos. Portanto, não pode oferecer análises verdadeiramente independentes aos órgãos de governança acerca do gerenciamento de riscos e dos controles internos. 1. Apoiar as políticas de gestão, definir papéis e responsabilidades e estabelecer metas para implementação. 2. Fornecer estruturas de gerenciamento de riscos. 3. Identificar questões atuais e emergentes. 3. Identificar mudanças no apetite ao risco implícito da organização. 4. Auxiliar a gerência a desenvolver processos e controles para gerenciar riscos e questões.

85 ENTRADA SAÍDA TRÊS LINHAS DE DEFESA Mapa de Riscos das Disciplinas Fatores de Riscos Críticos / Relevantes das Disciplinas Controles Chaves Suportam os Fatores de Riscos Críticos Planos de Ações GRC Realiza: Análises Interpretações Estudos de Impactos Cruzados Estudos de Interconectividade Consolidação das Informações Supervisiona e Capacita a Aplicação da Metodologia Função da Segunda Linha Listagem Processos / Áreas Críticas para o Negócio Mapa de Riscos Integrado Riscos Críticos dos Processos Críticos Fatores de Riscos Críticos e Controles Chaves que suportam os Fatores Riscos Críticos Controle dos Planos de Ações: Eficácia e Implantação Produtos da Primeira Linha: VISÃO DOS RISCOS POR ÁREA GERÊNCIA/DIRETORIA Inteligência em Riscos Corporativos - IRC Produtos da Segunda Linha VISÃO HOLÍSTICA ESTRATÉGICA EMPRESA COMO UM TODO

86 CONCEITOS ESTRATÉGICOS Os auditores internos fornecem ao órgão de governança e à alta administração avaliações abrangentes baseadas no maior nível de independência e objetividade dentro da organização. A auditoria interna provê avaliações sobre a eficácia da governança, do gerenciamento de riscos e dos controles internos, incluindo a forma como a primeira e a segunda linhas de defesa alcançam os objetivos de gerenciamento de riscos e controle

87 TRÊS LINHAS DE DEFESA Auditoria Baseada em Riscos - ABR, otimiza tempo de coleta de dados, cerca de 60%, foca em análise, interpretação e verificação.

88 TRÊS LINHAS DE DEFESA

89 TRÊS LINHAS DE DEFESA Padrão 2120 Gerenciamento de riscos A atividade de auditoria interna deve avaliar a eficácia e contribuir para a melhoria do processo de gerenciamento de riscos. Interpretação: Determinar se os processos de gerenciamento de risco são efetivos é um julgamento resultante da avaliação do auditor interno de que: Os objetivos organizacionais apoiam e se alinham com a missão da organização. São identificados e avaliados riscos significativos. São selecionadas respostas de riscos apropriadas, com alinhamento do apetite de riscos. As informações dos riscos relevantes são capturadas e comunicadas em tempo hábil em toda a organização, permitindo que o pessoal, a administração e o conselho executem suas responsabilidades.

90 AUDITORIA BASEADA EM RISCOS - ABR Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016

91 AUDITORIA BASEADA EM RISCOS - ABR 1. Comunicação e Consulta Início Durante Partes Interessadas, 1 ª,2 ª, Alta Direção, Conselho de Administração e Comitês. Término

92 AUDITORIA BASEADA EM RISCOS - ABR 2. Contexto Interno e Externo

93 AUDITORIA BASEADA EM RISCOS - ABR 2. Contexto Interno e Externo

94 AUDITORIA BASEADA EM RISCOS - ABR 3. Identificação dos Processos Críticos - BIA Processo Avaliado

95 AUDITORIA BASEADA EM RISCOS - ABR 3. Identificação dos Processos Críticos - BIA Análise do Gestor Análise do Auditor

96 AUDITORIA BASEADA EM RISCOS - ABR 3. Identificação dos Processos Críticos BIA (Gestor) Identificação dos Processos Críticos BIA (Auditor)

97 AUDITORIA BASEADA EM RISCOS - ABR 4. Risco Inerente - Contextualização

98 AUDITORIA BASEADA EM RISCOS - ABR 4. Risco Inerente - Contextualização Análise do Gestor Análise do Auditor

99 AUDITORIA BASEADA EM RISCOS - ABR 4. Risco Inerente - Matriz de Risco (Gestor)

100 AUDITORIA BASEADA EM RISCOS - ABR 4. Risco Inerente - Matriz de Risco (Auditor)

101 AUDITORIA BASEADA EM RISCOS - ABR 5. Risco Residual - Controles Chaves

102 AUDITORIA BASEADA EM RISCOS - ABR 6. Testes de Controles - Avaliação dos Controles G G A

103 AUDITORIA BASEADA EM RISCOS - ABR 6. Testes de Controles - Avaliação dos Controles Risco Avaliado Controle Avaliado

104 AUDITORIA BASEADA EM RISCOS - ABR 6. Testes de Controles - Parecer dos Controles

105 AUDITORIA BASEADA EM RISCOS - ABR 6. Testes de Controles - Avaliação do Risco Residual Análise do Gestor Análise do Auditor

106 AUDITORIA BASEADA EM RISCOS - ABR 6. Risco Residual - Matriz de Risco (Gestor) Risco Residual - Matriz de Risco (Auditor)

107 AUDITORIA BASEADA EM RISCOS - ABR 7. Plano de Ação

108 AUDITORIA BASEADA EM RISCOS - ABR 7. Plano de Ação Gestor

109 AUDITORIA BASEADA EM RISCOS - ABR 8. Monitoramento e Análise Crítica Processo Crítico x Risco Inerente Crítico x Controles Chaves = Risco Residual dentro do Apetite ao Risco Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016

110 Ciclo Anual CONCLUSÃO Resultado: 1)Valida o Processo de GRC Produtos: Processos Críticos Especiais Contínuas 2) Testa a Eficácia dos Controles Chaves 3) Sugere Linhas Gerais do Plano de Ação para o Gestor, tendo em vista, a Ineficácia do Controle 4) Comunica e Relaciona com os Comitês, Conselho e Diretoria 5) Assessora as Gerências da Primeira e Segunda Linha

111 Prof. Dr. Antonio Celso Ribeiro Brasiliano, CRMA,CES,DEA,DSE,MBS Presidente Brasiliano INTERISK Telefone: Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016

112

113