Brasiliano INTERISK O valor da Inteligência

Transcrição

1

2 GESTÃO DE RISCOS CORPORATIVOS 2 ª LINHA DE DEFESA NO CONTEXTO DO CONTROLO INTERNO Luanda, Angola, 22 de novembro de 2017 Prof. Dr. Antonio Celso Ribeiro Brasiliano, CRMA,CES,DEA,DSE,MBS Presidente da Brasiliano INTERISK

3 Sumário 1. Objetivo da Palestra 2. Facilitador 3. Contexto do Ambiente com a Gestão de Riscos Corporativos 4. Segunda Linha de Defesa: riscos e Controlos Internos 5. Função da terceira Linha de Defesa: teste de controlo 6. Conclusão

4 1. Objetivos da Palestra 1. Discutir o conceito e aplicação das Três Linhas de Defesa, integrada com a visão estratégica da empresa e das áreas de Riscos, Controles Internos, Conformidade e Auditoria; 2. Discutir o Papel e Responsabilidade da Auditoria Interna como Pilar Estratégico da Eficácia Foco nos pontos Chaves.

5 Prof. Dr. Antonio Celso Ribeiro Brasiliano, CRMA,CES,DEA,DSE,MBS Doutor em Science et Ingénierie de L Information et de L Intelligence Stratégique ( Ciência e Engenharia da Informação e Inteligência Estratégica) pela UNIVERSITÉ EAST PARIS - MARNE LA VALLÉE Paris França; Master Degree - Diplome D Etudes Approfondies (DEA) en Information Scientifique et Technique Veille Technologique (Inteligência Competitiva) pela UNIVERSITE TOULON Toulon - França; Especializado em: Inteligência Competitiva pela Universidade Federal do Rio de Janeiro - UFRJ; Gestión da Seguridad Empresarial Internacional Universidad Pontifícia Comillas de Madrid Espanha; Curso de Gestión da Seguridad Empresarial - Universidad Pontifícia Comillas de Madrid Espanha; Planejamento Empresarial, pela Fundação Getúlio Vargas - SP; Elaboração de Currículos pelo Centro de Estudos de Pessoal do Exército - CEP, Bacharel em Ciências Militares, graduado pela Academia Militar das Agulhas Negras; Bacharel em Administração de Empresas Universidad Mackenzie; Certificado em Gestão de Riscos - Certification in Risk Management Assurance CRMA, pelo IIA Global Institute of Internal Auditors, Certificado como Especialista em Segurança Empresarial CES pela ABSO. Autor dos livros: Inteligência em Riscos: Gestão Integrada em Riscos Corporativos; Gestão de Risco de Fraudes, Fraud Risk Assessment FRA, Gestão de Continuidade de Negócios GCN ; Guia Prático para a Gestão de Continuidade de Negócios, Cenários Prospectivos em Gestão de Riscos Corporativos: um estudo de caso brasileiro; Gestão e Análise de Riscos Corporativos: Método Brasiliano Avançado Alinhado com a ISO 31000; Análise de Risco Corporativo Método Brasiliano ; Manual de Análise de Risco Para a Segurança Empresarial ; Manual de Planejamento: Gestão de Riscos Corporativos ; A (IN)Segurança nas Redes Empresarias: A Inteligência Competitiva e a Fuga Involuntária das Informações ; Planejamento da Segurança Empresarial: Metodologia e Implantação ; Co-Autor dos Livros: Dicionário de Crime, Justiça e Sociedade, lançamento em Portugal onde colaborou com especialistas portugueses e demais países da Europa, sendo o único brasileiro a participar com textos sobre Fraudes Corporativas; Manual de Planejamento Tático e Técnico em Segurança Empresarial ; Segurança de Executivos" - Noções Anti-Sequestro e Sequestro: Como se Defender; Idealizador da Solução em Inteligência em Riscos Corporativos INTERISK; Professor Convidado do IPT da USP do Programa de Mestrado, para aulas de Análise de Riscos, da Fundação Dom Cabral e da Faculdade Trevisan para Cursos de Gestão de Riscos, Atual Coordenador Técnico e Professor do MBA - Gestão de Riscos Corporativos e Cursos de Extensão nos temas de Riscos, Compliance, Gestão de Continuidade de Negócios, Auditoria Baseada em Riscos, Controles Internos, Segurança Corporativa, todos em convênio com a Faculdade de Engenharia de São Paulo FESP; Membro do Institute of Internal Auditors IIA; do Instituto dos Auditores Internos do Brasil IIA Brasil; Membro da Associação Brasileira de Profissionais de Segurança Orgânica ABSO, Coordenou a 1ª Pesquisa de Vitimização Empresarial 2003 Contrato pela PENUD/ONU/SENASP; Profissional com mais de 25 anos de experiência em Gestão de Riscos, Palestrante nacional em inúmeros eventos da área de riscos, compliance, auditoria, controles internos e segurança corporativa. Palestrante Internacional em eventos na Argentina, Paraguai, África e Japão ( convidado pelo Organização PanAmericana de Saúde-OPAS, como expert em Planos de Contingência, na Conferência Mundial de Redução de Desastres,Yokohama). Experiência internacional em consultoria em GRC em Portugal, Cabo Verde, Angola, Moçambique, Uruguai, Argentina, Paraguai, Colômbia, México. Membro da Comissão de Estudo Especial de Gestão de Riscos da ABNT/CEE-63 ISO 31000/31010/31004 Gestão de Riscos e ISO 22301/22313 Gestão de Continuidade de Negócio Segurança da Sociedade. É Presidente da BRASILIANO INTERISK.

6 Três Linhas de Defesa Dezembro de Adaptação da Guidance on the 8th EU Company Law Directive da ECIIA (Confederação Europeia dos Institutos de Auditoria Interna) / /FERMA (Federação Europeia de Associações de Gerenciamento de Riscos), artigo 41 Normas imposta pela legislação europeia aplicáveis às empresas em toda a União Europeia. 14 Dezembro de 2011

7 Contexto do Mercado Corporativo e as Abordagens Estratégicas das Empresas 4 ª Revolução Industrial Disruptiva Veloz Ágil

8 Contexto do Mercado Corporativo e as Abordagens Estratégicas das Empresas Esta Revolução não diz respeito apenas a sistemas e máquinas inteligentes! Novas descobertas ocorrem simultaneamente em inúmeras áreas do conhecimento: sequenciamento genético a nanotecnologia, das energias renováveis a computação quântica; As tecnologias emergentes e as inovações são difundidas quase que em real time, muito mais rápida e amplamente, no nosso mundo interconectado; Brasiliano INTERISK O valor da Inteligência

9 Contexto do Mercado Corporativo e as Abordagens Estratégicas das Empresas VOLUME DE INFORMAÇÕES E DADOS: CISCO estima que em 2020 haverá 50 bilhões de dispositivos conectados à internet; Dezenas de bilhões de telas; Três bilhões de sensores em nossos carros; O conhecimento é dobrado a cada dois anos!

10 Contexto do Mercado Corporativo e as Abordagens Estratégicas das Empresas Negócios surgem e são Disruptivos: Uber/99 Fintechs São elementos fora de controle Surgem do ambiente externo: Sinais Sintomas

11 Nokia X Waze Importância de Prever Brasiliano INTERISK O valor da Inteligência

12 TENHO QUE SABER ONDE DEVO AUDITAR, ASSESSORAR, OBSERVAR, PERGUNTAR, INVESTIGAR, POIS A ABRANGÊNCIA É MUITO GRANDE, O VOLUME DE DADOS E INFORMAÇÕES SÃO BRUTAIS

13 A GESTÃO DE RISCOS, AUDITORIA, COMPLIANCE OU CONTROLES INTERNOS DEVEM QUEBRAR UM PARADIGMA: NÃO PODEM RELATAR O QUE ACONTECEU, MAS O QUE PODERÁ VIR A ACONTECER, NO FUTURO! Brasiliano INTERISK O valor da Inteligência ANTECIPAÇÃO

14 Contexto do Mercado Corporativo e as Abordagens Estratégicas das Empresas Brasiliano INTERISK O valor da Inteligência V U C A Volatilitity Volatilidade Uncertainty Incerteza Complexity Complexidade Ambiguity Ambiguidade 1. Aceitar 2. Não pensar demais 3. Mover-se VICA

15 Contexto do Mercado Corporativo e as Abordagens Estratégicas das Empresas Brasiliano INTERISK O valor da Inteligência V Volatidade Visão Velocidade I C A Incerteza Complexidade Ambiguidade Entendimento Não ortodoxia Não Dogmatizar Colaboração Entender a conectividade Co-Criação Interdependência Agilidade Abundância

16 6 D s Brasiliano INTERISK O valor da Inteligência Pensamento Linear x Exponencial

17 Operacionalizar as Três Linhas de Defesa há necessidade de implantar as melhores práticas, com métreicas e processos em Gestão de Riscos Corporativos - GRCorp Brasiliano INTERISK O valor da Inteligência Família ISO Como Guarda Chuva COSO II COSO II COSO I PROCESSO INTEGRADO - MÉTODO BRASILIANO -COM FERRAMENTA DE TI INTERISK

18 FRAMEWORK = PROCESSOS - MÉTODO BRASILIANO COSO II

19 Conclusão PERFIL DO GESTOR DE RISCOS/CONTROLES INTERNOS AUDITOR INTERNO Característica do Nexialista, onde a habilidade principal é a conectividade. Fonte: O marketing na Era do Nexo. Longo, Walter e Tavares, Zé Luis. Rio de Janeiro: BestSeller, 2009

20 Três Linhas de Defesa Brasiliano INTERISK O valor da Inteligência

21 Três Linhas de Defesa O conselho de administração é responsável pela fiscalização da gestão de riscos da empresa e pelo framework de controle. Todos na empresa desempenham uma função na gestão eficaz de riscos, mas a responsabilidade primária para a gestão e o controle dos riscos é delegada ao nível de gestão adequado dentro da empresa. O CEO e o CFO possuem a responsabilidade final para o conselho para a gestão de riscos e o framework de controle.

22 Conclusão O QUE É RISCO? Costuma-se entender risco como possibilidade de algo não dar certo. Mas seu conceito atual no mundo corporativo vai além: envolve a quantificação e a qualificação da incerteza, tanto no que diz respeito às perdas quanto aos ganhos por indivíduos ou organizações. Sendo o risco inerente a qualquer atividade e impossível de eliminar, a sua administração é um elemento-chave para a sobrevivência das instituições e empresas. Fonte: Cadernos de Governança Corporativa Gerenciamento de Riscos Corporativos: Evolução em Governança e Estratégia IBGC

23 Conclusão O QUE SÃO FATORES DE RISCOS? Riscos são incidentes ou ocorrências originadas a partir de fontes internas ou externas que podem impactar negativamente ou positivamente a instituição. O risco é composto por fatores de riscos causas internas e externas. Para compreender sua potencialidade há a necessidade de decompor o risco em suas respectivas causas.

24 Fator de Risco Causa Risco ISO Técnicas de Análise de Riscos

25 O QUE SÃO FATORES DE RISCOS? Brasiliano INTERISK O valor da Inteligência

26 Identificação dos Fatores de Riscos - DCE R 1Manipulação de quantidade recebidas - Fraude R 2 Recebimento de produtos fora da especificação de qualidade

27 IDENTIFICAÇÃO DOS PROCESSOS, ÁREAS, CRÍTICAS EM TERMOS DE IMPACTO NOS OBJETIVOS ESTRATÉGICOS Listagem de todos os processos das áreas de negócio da instituição e a seleção da criticidade frente a sua atividade fim. Ferramenta BIA Seleção pelos critérios Impacto x Tempo Informações obtidas através da Segunda Linha Gestão de Riscos

28 28 Brasiliano INTERISK O valor da Inteligência PRECISAMOS FOCAR QUAIS RISCOS SÃO CRÍTICOS NOS PROCESSOS E ÁREAS CRÍTICAS: INERENTE E RESIDUAL Materialidade do Risco Redução Máxima da Exposição Considerando seu Apetite ao Risco Atuante Risco Residual: exposição após implantar os controles julgados atuantes e necessários Implantação de Controles Preventivos e ou Detectivos: Reduzir o Nível de Risco Intermediário Insuficiente Fragilidade Passível de Redução por Ação de Controles

29 VISÃO DE ANTECIPAÇÃO - RISCOS Inerente Residual

30 APETITE AO RISCO: VISÕES Qualitativo Grau de Risco Fonte: Quantitativo R$

31 APETITE AO RISCO: NÍVEIS DE ACEITAÇÃO Brasiliano INTERISK O valor da Inteligência

32 Processo de Armazenagem Entrada de Mercadoria MAPEAMENTO DOS PROCESSOS

33 Identificação da Relevância dos Fatores de Riscos Vindo do Diagrama de Causa e Efeito Fraquezas (infraestrutura, pessoal, processo, tecnologia) e Ameaças (ambiente externo)

34 TESTE DE CONTROLES MEDIÇÃO DA EFICÁCIA Brasiliano INTERISK O valor da Inteligência Os controles são focados EFICÁCIA - para anular ou suportar os fatores de riscos mais influenciadores motrizes dos riscos críticos inerentes.

35 Conclusão O QUE É MENSURAR OS RISCOS MEDIR O TAMANHO DO RISCO SOB DA CRITICIDADE Matriz de Risco do Processo, Área, Gerência, Empresa

36 Probabilidade x Impacto Análise de Riscos - Inerente e Residual Risco Inerente FR. 278 (Ausência de local coberto adequado para as coletas de amostras dos caminhões em dias de chuva) Fatores de Riscos x Controles Risco Residual Risco 124 (Recebimento de produtos fora da especificação de qualidade) FR. 279 (Manipulação dos resultados das amostras de qualidade) FR. 281 (Existência de pragas no local de armazenagem) C.190 (E P) (Amostra de qualidade do produto entregue) C.185 (I P) (Controle magnético) Risco 124 (Recebimento de produtos fora da especificação de qualidade) Média Probabilidade: 3.92 Muito Alta Média Impacto: 4.00 Severo FR. 282 (Conluio entre o descarregamento e o motorista) C.188 (E P) (Recebimento de Ticket de pesagem) Média Probabilidade: 2.58 Alta Média Impacto: 4.00 Severo Legenda: (I) - Ineficaz (E) - Eficaz (P) - Preventivo (D) - Detectivo Brasiliano INTERISK O valor da Inteligência

37 Probabilidade x Impacto Análise de Riscos - Inerente e Residual Risco Inerente Risco 122 (Registro de produtos não recebidos) Média Probabilidade: 4.58 Elevada Média Impacto: 3.18 Moderado FR. 271 (Solicitação informal do cliente para entrada do produto) FR. 272 (Ausência de formalização do escritório para balança) FR. 273 (Liberação de entrada dos caminhões através da identificação pessoal do motorista) FR. 274 (Recebimento de produto sem aviso do cliente) FR. 275 (Falta de energia no armazém não permitindo o funcionamento da balança) FR. 276 (Ausência de nobreak e/ou gerador para a balança) FR. 277 (Manipulação das divergências de peso entrega) FR. 282 (Conluio entre o descarregamento e o motorista) FR. 283 (Ausência de padrão para as informações de recusas dos produtos) FR. 284 (Manipulação do lastro do caminhão pelo motorista) FR. 285 (Ausência de integração sistêmica entre a balança (entrada) e o sistema Alfa FR. 286 (Ausência de tempestividade no registro de entrada de estoque) Fatores de Riscos x Controles C.186 (I P). (Confirmação do cliente) C.185 (I P). (Controle magnético) C.187 (E P). (Validação da nota fiscal de entrada) (E P) C.188. (Ticket de pesagem) C.187 (E P). (Validação da nota fiscal de entrada) (I D) C.191. (Registro de estoque) C.188 (E P). (Ticket de pesagem) C.186 (I P). (Confirmação do cliente) C.188 (E P). (Ticket de pesagem) C.188 (E P). (Ticket de pesagem) C.191 (I D). (Registro de estoque) Risco Residual Estudo de Caso Risco 122 (Registro de produtos não recebidos) Média Probabilidade: 4.17 Muito Alta Média Impacto: 3.18 Moderado Legenda: (I) - Ineficaz (E) - Eficaz (P) - Preventivo (D) - Detectivo Brasiliano INTERISK O valor da Inteligência

38 Matriz de Riscos Brasiliano INTERISK O valor da Inteligência Avaliação de Riscos - Inerente e Residual No exemplo utilizado necessário implementar controles preventivos e/ou detectivos para inibir os fatores de riscos e implementar controles corretivos (exemplos - plano de emergência, plano de crise, plano de continuidade de negócios) visando mitigar o impacto

39 Avaliação de Riscos - Inerente e Residual Brasiliano INTERISK O valor da Inteligência

40 Conclusão MENSURAR OS RISCOS - MEDIR O TAMANHO DO RISCO SOB A ÓTICA DA INTERDEPNDÊNCIA Motrizes Ligação Independentes Dependentes Motricidade Matriz de Impactos Cruzados INTERCONECTIVIDADE ENTRE RISCOS

41 CRITICIDADE DOS RISCOS INDIVIDUAL Criticidade dos Riscos: PB x Impacto Fonte: Relatório Risk Report Fórum Mundial Brasiliano INTERISK O valor da Inteligência

42 INTERCONECTIVIDADE ENTRE RISCOS COLETIVO UM INFLUENCIANDO NO OUTRO Motricidade de cada Risco Fonte: Relatório Risk Report Fórum Mundial Brasiliano INTERISK O valor da Inteligência

43 Priorização dos Riscos: Criticidade x Motricidade Cruza a motricidade com a criticidade dos riscos, resultando na priorização estratégica dos riscos, os riscos chaves da instituição.

44 A Abrangência do Número de Disciplinas de Riscos Riscos Estratégicos 2. Riscos Operacionais 3. Riscos de Tecnologia da Informação 4. Riscos de Meio Ambiente 5. Riscos de Saúde e Segurança do Trabalhador 6. Riscos de Segurança Empresarial 7. Riscos Liquidez/Atuariais 8. Riscos Legais 9. Riscos de Crédito/Contraparte 10. Riscos de Comunicação 11. Riscos de Fraudes 12. Riscos no Projeto 13. Outras Tantas Disciplinas...

45 Disciplinas de Riscos são Ilhas Falta Visão Holística Faltam conexões entre as disciplinas Qual a consequência da falta destas conexões? Miopia para enxergar o Risco Sistêmico

46 A Integração das Disciplinas de Riscos N Disciplinas, com N ferramentas e métricas personalizadas, mas todas debaixo do mesmo Processo e Matriz de Risco! O Resultado é a Inteligência em Riscos, onde há análise e interpretação das informações.

47 Integra todos os Riscos e Informações Brasiliano INTERISK O valor da Inteligência

48 Painel de Controle e Monitoramento Processo Crítico x Risco Inerente Crítico x Controles Chaves = Risco Residual dentro do Apetite ao Risco Brasiliano INTERISK O valor da Inteligência

49 Mapeamento do Processo x Fatores de Riscos x Controles Gestão Baseada em Riscos Mapear Processos Críticos

50 TRÊS LINHAS DE DEFESA Como primeira linha de defesa, os gerentes operacionais gerenciam os riscos e têm propriedade sobre eles. Eles também são os responsáveis por implementar as ações corretivas para resolver deficiências em processos e controles. A gerência operacional é responsável por manter controles internos eficazes e por conduzir procedimentos de riscos e controle diariamente. A gerência operacional identifica, avalia, controla e mitiga os riscos, guiando o desenvolvimento e a implementação de políticas e procedimentos internos e garantindo que as atividades estejam de acordo com as metas e objetivos. Deve haver controles de gestão e de supervisão adequados em prática, para garantir a conformidade e para enfatizar colapsos de controle, processos inadequados e eventos inesperados.

51 TRÊS LINHAS DE DEFESA Segunda Linha como supervisora e facilitadora da primeira linha de defesa. Dupla Função! Uma função (e/ou comitê) de gerenciamento de riscos que facilite e monitore a implementação de práticas eficazes de gerenciamento de riscos por parte da gerência operacional e auxilie os proprietários dos riscos a definir a meta de exposição ao risco e a reportar adequadamente informações relacionadas a riscos em toda a organização.

52 TRÊS LINHAS DE DEFESA Como funções de gestão, elas podem intervir diretamente, de modo a modificar e desenvolver o controle interno e os sistemas de riscos. Portanto, não pode oferecer análises verdadeiramente independentes aos órgãos de governança acerca do gerenciamento de riscos e dos controles internos. As responsabilidades dessas funções incluem: 1.Apoiar as políticas de gestão, definir papéis e responsabilidades e estabelecer metas para implementação. 2.Fornecer estruturas de gerenciamento de riscos. 3.Identificar questões atuais e emergentes. 3.Identificar mudanças no apetite ao risco implícito da organização. 4.Auxiliar a gerência a desenvolver processos e controles para gerenciar riscos e questões. Brasiliano INTERISK O valor da Inteligência

53 TRÊS LINHAS DE DEFESA Função da Segunda Linha Produtos da Primeira Linha Produtos da Segunda Linha

54 TRÊS LINHAS DE DEFESA AO LONGO DOS PRÓXIMOS 30 ANOS, O FOCO DO TRABALHO, ESTARÁ EM SEGMENTAR E ANALISAR AS INFORMAÇÕES QUE SÃO CRIADAS. A ESCALA DESSA EMPREITADA EXIGE CICLOS DE COGNIÇÃO. SERÁ ATRAVÉS DA INTELIGÊNCIA ARTIFICIAL QUE TERÁ QUE LIDAR COM OS ZILHÕES DE INFORMAÇÕES. COGNIÇÃO: Cognição é o ato ou processo da aquisição do conhecimento que se dá através da percepção, da atenção, associação, memória, raciocínio, juízo, imaginação, pensamento e linguagem. É o conjunto dos processos mentais usados no pensamento na classificação, reconhecimento e compreensão para o julgamento através do raciocínio para o aprendizado de determinados sistemas e soluções de problemas.

55 AS INSTITUIÇÕES DEVEM, OBRIGATORIAMENTE, TRABALHAREM COM FERRAMENTA DE TI Não tem cabimento no século XXI, instituições de porte, ainda estarem realizando a Gestão de Riscos no Famoso anacrônico denominado SAP. SAP = Sistema Avançado de Planilha O que gera inúmeros riscos! Solução com Ferramenta de TI Com integrações automatizadas

56 TRÊS LINHAS DE DEFESA Os auditores internos fornecem ao órgão de governança e à alta administração avaliações abrangentes baseadas no maior nível de independência e objetividade dentro da organização. A auditoria interna provê avaliações sobre a eficácia da governança, do gerenciamento de riscos e dos controles internos, incluindo a forma como a primeira e a segunda linhas de defesa alcançam os objetivos de gerenciamento de riscos e controle

57 TRÊS LINHAS DE DEFESA Brasiliano INTERISK O valor da Inteligência

58 TRÊS LINHAS DE DEFESA Padrão 2120 Gerenciamento de riscos A atividade de auditoria interna deve avaliar a eficácia e contribuir para a melhoria do processo de gerenciamento de riscos. Interpretação: Determinar se os processos de gerenciamento de risco são efetivos é um julgamento resultante da avaliação do auditor interno de que: Os objetivos organizacionais apoiam e se alinham com a missão da organização. São identificados e avaliados riscos significativos. São selecionadas respostas de riscos apropriadas, com alinhamento do apetite de riscos. As informações dos riscos relevantes são capturadas e comunicadas em tempo hábil em toda a organização, permitindo que o pessoal, a administração e o conselho executem suas responsabilidades. Brasiliano INTERISK O valor da Inteligência

59 TRÊS LINHAS DE DEFESA IMPLEMENTAÇÃO A implementação do Padrão 2120, o CAE e toda a atividade de auditoria interna, deve demonstrar sua compreensão dos processos de gerenciamento de riscos da organização e buscar oportunidades de melhoria. Através de conversas com a gerência sênior e o conselho, o CAE considera o apetite de risco, tolerância ao risco e cultura de risco da organização. A atividade de auditoria interna deve alertar o gerenciamento para novos riscos, além de riscos que não foram adequadamente tratados, e fornecer recomendações e planos de ação para uma resposta adequada ao risco.

60 TRÊS LINHAS DE DEFESA IMPLEMENTAÇÃO Analisa o plano estratégico, o plano de negócios e as políticas da organização para ter discussões com o conselho e a alta administração, o CAE obtem uma visão para avaliar se os objetivos estratégicos da organização apoiam e alinham com sua missão, visão e apetite de risco. Para manter-se atualizado sobre possíveis exposições e oportunidades de risco, a atividade de auditoria interna também pode pesquisar novos desenvolvimentos e tendências relacionadas à indústria da organização, bem como processos que podem ser usados para monitorar, avaliar e responder a riscos e oportunidades considerados estratégicos.

61 TRÊS LINHAS DE DEFESA CONSIDERAÇÕES PARA DEMONSTRAR CONFORMIDADE Documentos que podem demonstrar conformidade com o Padrão 2120 incluem a carta de auditoria interna, que documenta as funções e responsabilidades da atividade de auditoria interna relacionadas ao gerenciamento de riscos e o plano de auditoria interna. Além disso, a conformidade pode ser evidenciada por atas de reuniões em que os elementos do padrão - como as recomendações de gerenciamento de riscos da atividade de auditoria interna - foram discutidos entre o CAE, o conselho e a alta administração, ou reuniões entre a atividade de auditoria interna e relevantes Comitês, forças-tarefa e gerenciamento sênior chave. As avaliações de risco realizadas pela atividade de auditoria interna e os planos de ação para abordar os riscos, demonstram a melhoria dos processos de gerenciamento de risco.

62 TRÊS LINHAS DE DEFESA AVALIAÇÃO DO PROCESSO DE GR O gerenciamento de riscos é um componente crítico do sistema de controle interno, de forma que os processos deficientes de gerenciamento de riscos são um indicador de que o sistema de controle interno da organização pode ser deficiente. Três formas de processos de avaliação que podem ser utilizados na avaliação de um processo de gerenciamento de riscos: Abordagem dos elementos do processo Abordagem dos princípios chave Abordagem do modelo de maturidade Brasiliano INTERISK O valor da Inteligência

63 TRÊS LINHAS DE DEFESA As responsabilidades do diretor-presidente incluem certificar-se de que todos os componentes do GRCorp estejam implementados. O diretor-presidente geralmente cumpre com as suas atribuições: Fornecendo liderança e direcionamento aos altos executivos. Em conjunto com eles, o diretor-presidente estabelece os valores, os princípios e as principais políticas (a serem aprovadas pelo CA) que constituem o alicerce do modelo de GRCorp e do sistema de controles internos;

64 TRÊS LINHAS DE DEFESA As responsabilidades do diretor-presidente incluem certificar-se de que todos os componentes do GRCorp estejam implementados. O diretor-presidente geralmente cumpre com as suas atribuições: Reunindo-se periodicamente com os diretores responsáveis pelas principais áreas funcionais vendas, marketing, produção, finanças, recursos humanos para revisar suas responsabilidades, inclusive a forma como administram riscos. O diretor-presidente adquire conhecimento dos riscos inerentes às operações, às respostas a risco e às melhorias de controles necessárias, bem como à condição das iniciativas em andamento.

65 TRÊS LINHAS DE DEFESA De posse dessas informações, o diretorpresidente estará em condições de monitorar as atividades e os riscos em relação ao apetite a riscos da empresa. No caso de alteração das circunstâncias, surgimento de novos riscos, implementação de estratégias ou ações antecipadas indicarem desalinhamento potencial em relação ao perfil e ao apetite a riscos da empresa, o diretorpresidente adotará as medidas necessárias para restabelecer o alinhamento e discutirá com o CA as medidas a serem adotadas, ou, ainda, se o perfil de riscos da empresa deve ser ajustado.

66 TRÊS LINHAS DE DEFESA O comitê de auditoria tem como objetivo: Supervisionar a qualidade e a integridade dos relatórios financeiros; Supervisionar a aderência às normas legais, estatutárias e regulatórias; Supervisionar a adequação dos processos relativos ao gerenciamento de riscos e ao sistema de controles internos, em linha com as diretrizes estabelecidas pelo CA; Supervisionar as atividades dos auditores internos e independentes.

67 TRÊS LINHAS DE DEFESA Principais Atividades relacionadas à gestão de riscos pelo conselho fiscal são: Conhecer os processos, o mapa de riscos e os responsáveis pelo processo de GRCorp e seu alinhamento com os objetivos do negócio bem como a estrutura de controles internos, os riscos monitorados, os controles chave, o sistema de monitoramento, e a adequação de pessoal e orçamento; Dialogar com os agentes com papel na definição, supervisão e monitoramento da gestão de riscos: comitê de auditoria, comitê de gestão de riscos, auditoria interna, áreas contábil, jurídica, de conformidade, de ética e conduta, buscando reunir informações sobre a gestão de riscos para subsidiar a formação de sua opinião sobre os atos de gestão; Definir, junto com os executivos, os tipos, formatos e a periodicidade da informação sobre riscos que o conselho fiscal necessita para seu dever de fiscalização.

68 TRÊS LINHAS DE DEFESA O Conselho de Administração deve: Procurar compreender os elementos-chave do sucesso da empresa; Avaliar os riscos estratégicos da empresa; Definir seu papel e o dos comitês de assessoramento na supervisão dos riscos; Avaliar se o GRCorp da empresa (incluindo pessoas e processos) é adequado e tem recursos suficientes; Discutir com a diretoria executiva o nível de efetividade do sistema de controles internos da organização, assim como fornecer orientações para o seu aprimoramento constante; Definir, junto aos executivos, os tipos, os formatos e a periodicidade da informação sobre riscos e controles internos que necessita para acompanhamento;

69 TRÊS LINHAS DE DEFESA Estimular o diálogo dinâmico e construtivo sobre riscos e controles entre a gestão e o CA, incluindo a disposição e a vontade dos conselheiros de questionar pressupostos; Monitorar de forma contínua os riscos que podem impactar os objetivos da organização; Monitorar os alinhamentos críticos: estratégia, riscos, controles, conformidade (compliance), incentivos e pessoas; Avaliar periodicamente se os processos de GRCorp permitem ao CA atingir seus objetivos de supervisão dos riscos; Ser o responsável formal pela orientação estratégica e pelo monitoramento das atividades de gestão de riscos e do sistema de controles internos da organização, além de refletir sobre o estágio de maturidade de GRCorp em que a companhia se encontra.

70 Conclusão REFLEXÃO

71 Prof. Dr. Antonio Celso Ribeiro Brasiliano, CRMA,CES,DEA,DSE,MBS Presidente Brasiliano INTERISK Telefone:

72