Case de Implementação SAP GRC 10 Risk Management e Process Control

Transcrição

1 Case de Implementação SAP GRC 10 Risk Management e Process Control

2 Agenda 1. Sobre a Cemig 2. Objetivos da Cemig com o Projeto 3. Visão Geral da Metodologia de Gestão de Riscos Cemig 4. Visão Geral da solução SAP GRC Risk Management e Process Control 5. Escopo do Projeto GRC na Cemig 6. Cronograma macro 7. Resultados e Benefícios 8. Principais Funcionalidades da Solução 9. Lições aprendidas 10. Road Map Trilhado e Próximos Passos 11. Questões mais comuns 12. Conclusões

3 1. Sobre a Cemig

4 1. Sobre a Cemig Negócios do Setor Elétrico Comercialização Mercado Livre Geração Transmissão Distribuição Comercialização Mercado Cativo

5 Insumos Produtos Insumos Produtos Insumos Produtos Insumos Produtos Insumos Produtos 1. Sobre a Cemig O Grupo Cemig O Grupo Cemig é responsável pelo atendimento de cerca de 33 milhões de pessoas em 805 municípios em Minas Gerais e Rio de Janeiro (incluindo a Light) e pela gestão da maior rede de distribuição de energia elétrica da América do Sul, com mais de 460 mil quilômetros de extensão. Além disso, a Empresa atua fora do País com a LT Charrúa Nueva Temuco, no Chile, que entrou em operação em Atuação em 23 estados do Brasil e no Chile: 107 empresas e 15 consórcios no segmento de energia e outros negócios relacionados. Comercialização Lightcom Empresa Serv. Com. Energia Clientes AT/MT Cemig Trading Cemig GT Geração Transmissão Distribuição Clientes MT/BT Lightger TBE Cemig D Light Energia PCHs TAESA Transchile Charrúa Light GASMIG Renova (Usinas Eólicas) Transmissoras Poder Público Light (ESCO) Outros Negócios Clientes AT/MT/BT Efficientia (ESCO) EBL (ESCO) Axxiom (TI) CR Zongshen (Veículos) Light Soluções Cemig Serviços Cemig Telecom Ativas (Data Center) Instituto Light (Des. Social e Urbano) Centro GET (Gestão Estratégica de Tecnologia) Consumidores Empresas Energia

6 1. Sobre a Cemig Grupo Cemig: Maior Empresa Integrada do Setor Elétrico Brasileiro Nº1 Grupo de Distribuidoras* + Nº3 Grupo de Transmissão + Nº3 Grupo de Geração Nº1 Empresa Integrada do Setor Elétrico RR AP Geração AC Presente em Estados e no Chile AM RO PA MT MS DF GO SP PR SC TO MA PI BA MG CE RN PB PE AL SE RJ ES Geração em construção Transmissão Transmissão em construção Distribuição Consumidores Livres Compra de Energia Geração Eólica Distribuição de Gás Telecomunicação Chile RS * Em número de consumidores e extensão de linhas de distribuição

7 1. Sobre a Cemig Cemig GT e D: Posicionamento atual Participação atual no mercado brasileiro* Distribuição Geração Transmissão Distribuição de Gás Natural OBS: Mercado Brasileiro de Distribuição (12% do total de energia distribuída no mercado livre e no mercado cativo) Mercado Brasileiro de Geração (7% do total da capacidade instalada) Mercado Brasileiro de Transmissão (13% da capacidade de transmissão do país) Mercado Brasileiro de Gás Natural (6% do total de Gás Natural distribuído no país) *Não considera os efeitos da Lei n /2013

8 1. Sobre a Cemig: Solidez nos números Cemig Geração, Transmissão e Distribuição: Número de usinas 65 Capacidade instalada MW Localidades em Minas Gerais Linhas de distribuição Linhas de transmissão km km Fonte:

9 2. Objetivos da Cemig com o Projeto

10 TO BE Início AS IS 2. Objetivos da CEMIG com o projeto Gestão de Riscos na CEMIG antes do projeto O papel do SAP GRC Risk Management e Process Control na evolução A Implantação da Metodologia de Gestão Riscos B Mapeamento e Registro dos Riscos com apoio da ferramenta SGIR 1 Estabelecer uma plataforma robusta para o crescimento e aprimoramento da Gestão de Riscos na CEMIG 2 Potencializar a participação das áreas de negócio na disseminação da Cultura de gestão de riscos 3 Repositório centralizado de Riscos, Avaliação, Planos de Ações, Controles e Documentação 4 Automatização do processo de Avaliação, atualização de Plano de Resposta e Signoff dos Riscos

11 3. Visão geral da metodologia de Gestão de Riscos Cemig

12 NÍVEIS PROCESSOS 3. Visão Macro da Metodologia de Gestão Riscos Cemig ABORDAGEM TOP-DOWN ACIONISTAS Presidência Presidência CFO CRO COO CIO Diretorias SP SP SP SP SP SP SP SP Superintendências GR GR GR GR GR GR GR GR GR GR Gerências ESTRATÉGICOS RISCO

13 3. Visão Macro da Metodologia de Gestão Riscos Cemig Fluxo do Trabalho do ciclo de Revisão Devolver para Elaboração Devolver para Revisão Concluir Elaboração Concluir Revisão Aprovar Interlocutor: Especialista designado pela Gerência/Superintendência para elaboração ou revisão do Risco; Reelaboração Revisor: Gerente da área responsável pela gestão do Risco; Aprovador: Superintendente responsável pela aprovação do Risco.

14 4. Visão Geral A Solução SAP GRC RM e PC

15 4. Visão Macro da Solução SAP GRC Solução SAP GRC (Governance, Risk and Compliance) Access Control Process Control Risk Management Mapeamento da Matriz de Segregação de funções Solicitação de acessos com a devida avaliação dos riscos Gestão de usuários avançados Avaliação de riscos nas manutenções de perfis Repositório central para as matrizes de controles e para a documentação da avaliação dos controles Workflow automatizado para controle do Self- Assessment, do Teste de Efetivade dos Controles e Signoff Dashboards e relatórios para monitoramento Mapeamento dos riscos estratégicos Matrizes de Heat Map (classificação e exposição ao risco) Gestão dos planos de ação Integração com o Process Control para tratamento dos riscos através de controles já implementados

16 4. Cenário de Integração entre o SAP GRC RM e PC PC Definição de estrutura organizacional Teste de controles Auto avaliação de controles Certificação anual Multiplas conformidades Integração Associação de um controle existente no PC a um risco no RM Proposta de um novo controle como resposta a um risco identificado Resultado de auto avaliação de controle no PC para atualização do risco no RM Resultado do teste de controle no PC para atualização da eficácia do risco em RM RM Identificação do risco Avaliação do risco Plano de Resposta Associação de Controles Elaboração de Cenários

17 4. Associação do SAP GRC RM e PC na metodologia Cemig Nova Metodologia Causa Evento Efeito Monitoramento Riscos / Oportunidades Controles / Medidas Incidentes Comunicação e consulta Fato ou Condição Incerteza: Risco ou Oportunidade Impacto Possível: Prejuízo ou Benefício Monitoramento e Avaliação sob critérios Mapeamento Gestão de Riscos: RM e PC Partes interessadas Objetivos estratégicos Contexto interno e externo Política de Gestão de Riscos e Oportunidades Identificação e Análise Fonte Evento Avaliação Causa Probabilidade Impacto Adjacentes Influentes Integração de níveis Tratamento de riscos: Mitigação Eliminação Prevenção Redução Risco Inerente/residual Tratamento/ Modificação Ações de mitigação Plano de Resposta Medidas Compartilhadas Controles associados Estrutura da Gestão Titular (responsável) Processo de Gestão Atitude perante o risco / oportunidade

18 RP INCERTEZAS REGULATÓRIAS SOBRE A COMERCIALIZAÇÃO DE ENERGIA DA GERADORA RP INCERTEZAS REGULATÓRIAS SOBRE A COMERCIALIZAÇÃO DE ENERGIA DA GERADORA concessões Político e Regulatório RP INCERTEZAS REGULATÓRIAS SOBRE A COMERCIALIZAÇÃO DE ENERGIA DA GERADORA RE-02 Renovações de concessões RE-03 Revisão Tarifária 4. Associação do SAP GRC RM e PC na metodologia Cemig TOP Categoria de Risco Estratégico Político e Regulatório CMRC, Diretoria e Conselho UP Riscos Estratégicos Riscos de Processo DOWN Categoria de Risco Riscos Estratégicos Processo (+ Relevantes) RE-02 Renovações de RE-03 Revisão Tarifária Diretorias e Superintendências GRC Riscos de Processo BOTTOM Categoria de Risco Político e Regulatório Processo Gerências Riscos Estratégicos RE-02 Renovações de concessões RE-03 Revisão Tarifária Riscos de Processo

19 5. Escopo do Projeto GRC

20 5. Escopo do Projeto GRC na Cemig Números do Projeto Estrutura Organizacional Quantidade Diretorias 11 Superintendências 47 Gerências 149 Estrutura de Riscos Quantidade Riscos Estratégicos 25 Riscos de Processos 160 Controles mitigatórios 425 Planos de Resposta em andamento 101 Pessoas envolvidas Quantidade Equipe de Riscos 7 Especialistas dos Processos 200 Responsáveis por Plano de Resposta e controles 200

21 5. Escopo do Projeto GRC na Cemig Atividades do Projeto Gerenciamento Plano Estratégico do Projeto Cronograma detalhado Apresentação Kick Off Apresentação Status Projeto Instalação: SAP Process Control e Risk Management Implementação: Solução SAP Process Control e Risk Management Documentação Business Blueprint Documentação Configuração Suporte Pós Go Live Treinamento Treinamento para a equipe de Gestão de Riscos e equipe de TI Treinamento para o usuário final

22 5. Escopo do Projeto GRC na Cemig Fases do Projeto 6.0 TESTES GLOBAIS (PARTE 2) 2.0 INSTALAÇÃO DA SOLUÇÃO 4.0 CONFIGURA- ÇÃO 5.0 TESTES UNITÁRIOS E INTEGRADOS (PARTE 1) 8.0 GO LIVE E OPER. ASSISTIDA 1.0. MOBILIZAÇÃO 7.0 PREPARA- ÇÃO CUTOVER 3.1 ANÁLISE DA METODO- LOGIA ATUAL 3.2 ANÁLISE DETALHADA DAS FUNÇiONALI- DADES 3.3 ANÁLISE DE GAPS E DESENHO DE AJUSTES 3.4 REDESENHO DA METODO-LOGIA 9.1 ANALISE DOS RISCOS DE UM (1) PROCESSO 9.2 PLANEJAMENTO DAS ATIVIDADES PARA O CICLO E ACOMPANHAMENTO DAS ATIVIDADES BLUE PRINT (REVISÃO DA METODOLOGIA) CONCLUSÃO Pontos de controle do projeto

23 5. Escopo do Projeto GRC na Cemig Cenário Objetivo do Projeto Melhoria Contínua de gestão de riscos Definição Escopo Identificar, Avaliar e monitorar riscos Propor Controles Autoavaliação do controle Teste de efetividade do controle Sign-Off Equipe de Gerenciamento de Riscos Titular do Risco (Gestor da Unidade Organizacional) Titular do Processo / Atividade (Superintendência) Especialista do processo Resp. pelo ToE e CSA Resp. Pto Crítico e Plan. Respt. Diretores

24 6. Cronograma macro

25 6. Cronograma macro

26 7. Resultados e Benefícios

27 7. Benefícios e Diferenciais O sistema permitirá executar de forma concreta um modelo mais sofisticado de Gestão de Riscos: Considera causas e consequências de um risco e as atribui a distintos níveis hierárquicos da organização; Isso permite que um risco que está sendo gerido em um nível mais operacional possua uma ligação direta com um risco que está sendo avaliado pelo nível mais estratégico; Além disso, a ferramenta permite o gerenciamento de workflows de distintos agentes envolvidos na gestão de riscos, como o gestor do processo, a equipe de gestão de riscos da Cemig, Superintendentes e Diretores; Também, a geração de relatórios, Heat Maps e Dashboards que até então demandava significativo tempo da equipe responsável, será bastante otimizada;

28 7. Benefício e Diferenciais cont. O modelo anterior de gestão de riscos corporativos era executado em ciclos anuais; Com a implementação da ferramenta, a gestão de riscos passa a ser "on line"; Isso significa, por exemplo, que o surgimento de um novo risco, a alteração em sua avaliação (impacto e probabilidade) ou a atribuição de status dos planos de mitigação podem ser inseridos no sistema a qualquer momento, fazendo com que todos os agentes envolvidos na gestão de riscos tenham acesso imediato à essa informação, elevando a transparência de todo o processo.

29 8. Principais Funcionalidades da Solução

30 8. Principais Funcionalidades da Solução Dados Mestres (Cadastro de Riscos)

31 8. Principais Funcionalidades da Solução Análise de Riscos

32 8. Principais Funcionalidades da Solução Designação de plano de ação

33 8. Principais Funcionalidades da Solução Integração com Controles

34 8. Principais Funcionalidades da Solução Matriz Heatmap

35 8. Funcionalidades Principais da Solução Dashboards Total de exposisão do risco na organização Visão geral dos riscos por causa Visão geral dos riscos por categoria de impacto Nível do risco por categoria de risco

36 9. Lições aprendidas

37 9. Lições aprendidas Começar pequeno, com implementação de funções básicas e posteriormente evoluindo para funções mais sofisticadas; Disponibilização de ambiente tecnológico adequado, inclusive ambiente de teste de configuração tipo Sand box; Avaliação estimativa de quantidades de acessos simultâneos; Definir escalas de impacto testando juntamente com a metodologia de cálculo de nível de impacto e perda prevista; Definir claramente papéis e responsabilidades nos Workflows; Estruturar Manual Técnico com passo-a-passo e telas do sistema para usuários em seus diversos níveis, alinhado ao Manual de Metodologia; Necessidade de forte integração entre áreas envolvidas na implantação como a Equipe de Risco, Área de TI e Auditoria;

38 9. Lições aprendidas (cont.) Piloto utilizando case de maior complexidade para testar todas as possibilidades de necessidade de ajustes; Etapas de Mapeamento, Criação dos Riscos, Análise e Plano de Resposta realizadas pela Equipe de Risco em conjunto com as áreas de negócio (padronização e qualidade dos dados); Associar uso de ferramentas ou modelos matemáticos e estatísticos para quantificação de impactos e probabilidades; Processo de comunicação eficaz, visando transmitir a cultura de gestão de riscos para as pessoas (benefícios para a empresa).

39 10. Road Map Trilhado e Próximos Passos

40 10. Road Map Trilhado e Próximos Passos Implementação Sequencial e Gradual Para estabelecermos a correta Gestão de Mudança nas áreas de Negócio Onda 0 Implementação da Metodologia de Gestão de Riscos Onda 1 Implementação do SAP GRC Risk Management e Processo Control Onda 2 Próximos passos Aprimorar a quantificação da análise de riscos Potencial de análise de Montecarlo e cenários Atuar na maturidade continua dos Processos e Pessoas

41 11. Questões mais comuns

42 11. Questões mais comuns Análise Risco Quantitativa x Qualitativa continua a necessidade de se trabalhar a metodologia de quantificação e estimação qualitativa; Integração da camada de riscos (estratégicos + operação) com os controles internos dos processos de negócio vinculação importante entre os riscos possibilita análise de cenários; Gestão de planos de ação coerência com o risco, custos, prazos, papéis e responsabilidades; Key Risk Indicator (KRIs) importante para monitoramento. Evolução do processo; Processo contínuo e dinâmico a ferramenta possibilita reavaliação dos riscos pelas áreas e maior foco no monitoramento, evitando o ciclo anual de mapeamento de riscos.

43 12. Conclusões

44 12. Conclusões A implantação da ferramenta GRC SAP proporcionou um passo importante na evolução do processo de Gerenciamento de Riscos Corporativos da Cemig; A tendência é de novos ciclos de evolução à medida em que o aprendizado do uso da ferramenta e a incorporação da cultura de gerenciamento de riscos nas pessoas forem se consolidando; Um passo importante para o futuro será estender o uso da metodologia e da ferramenta para as demais empresas do Grupo Cemig, integrando os riscos; A evolução é contínua e o aprendizado deve ser nosso maior combustível para crescer.