CCEE - Metodologia de Gestão de Risco InfoPLD ao vivo 28/4/2014
Definição de Gestão de Risco Gestão de risco é a abordagem sistemática de identificar, analisar e controlar os riscos que são específicos para a realização dos objetivos da organização. Constitui assim a soma de todas as atividades proativas no sentido de acomodar a possibilidade de falha nos elementos do programa de organização.
Necessidade de Gestão de Risco Devido à complexidade do ambiente e ao tamanho da organização, a abordagem é holística - integrada e adotada pela organização como um todo. A manutenção da credibilidade da CCEE junto a seus clientes é necessária para o bom funcionamento do mercado (crítico para CCEE).
Benefícios da Gestão de Risco Reduzir o número de choques e surpresas Minimizar o impacto de eventos adversos Aumentar a probabilidade de alcançar os objetivos de forma aceitável Reduzir a ocorrência de impactos financeiros não esperados Gerenciar adequadamente a exposição aos riscos dentro dos limites de perda aceitáveis e definidos pela empresa Otimizar a tomada de decisão dos gestores em relação aos riscos e seus impactos para a empresa Assegurar que os investimentos estão sendo realizados baseados nos riscos aceitáveis e oportunidades Zelar pela imagem da empresa (credibilidade)
Metodologia Objetivo Estratégico: Mitigar os riscos da organização por meio do ciclo de Gestão de Risco
Compilação das Informações Identificar Classificar Avaliar Consolidar Identificação dos riscos da organização. Captação por meio de: Resultados de auditorias; Análise de incidentes; Chamados das Ouvidorias; Entrevistas com gestores; Solicitações das áreas; e Resultado dos indicadores Operacionais. Categorização do risco de acordo com a metodologia de Gestão de Risco. Categorizado como: Compliance; Estratégico; Financeiro; Operacional; e Regulatório. Análise da probabilidade, impacto e relevância do risco, bem como identificação e avaliação dos controles existentes. Tipos de controle: Tecnológico; Ambiente; Processo; e Pessoas. Nível de risco: Extremo; Alto; Médio; e Baixo. Geração do mapa de risco. Riscos agrupados com resultados ponderados e definição das Gerências Co-Responsáveis. Definir/ Priorizar Tratar Monitorar Reavaliar Definir a resposta ao risco e a prioridade no tratamento. Definição das ações de mitigação. Acompanhamento da implantação das ações de mitigação. Revisão e levantamento de riscos. Respostas ao risco: Evitar; Reduzir; Transferir/Compartilhar; e Aceitar. Execução de ações para mitigação dos riscos. Aferição do nível de eficiência dos controles adotados. Atualização do mapa de risco.
Papéis e responsabilidades Alta administração Definir a priorização das respostas aos riscos; Manter o foco na Gestão de Risco; Patrocinar as Gerências Co-Responsáveis no tratamento dos riscos. Gestores Gerência de Gestão de Risco Gerência Co-Responsável Informar os riscos de sua área; Ajudar a classificar os riscos identificados em sua área; Informar os controles existentes e sua percepção de eficiência; Auxiliar na identificação da Gerência Co-Responsável. Mapear e consolidar os riscos; Apresentar os riscos classificados e propor a gerência co-responsável; Auxiliar as gerências coresponsáveis na definição e cumprimento dos controles de mitigação; Acompanhar a implantação dos controles e medir sua eficiência; Revisar os riscos e atualizar o mapa de risco - Semestral. Conduzir as iniciativas de mitigação de riscos e aferir os níveis de eficiência dos controles com apoio da Gerência de Gestão de Risco e demais áreas que se façam necessárias; Apresentar o status e os resultados sobre as ações de mitigação realizadas. Obs.: A Gerência Co-Responsável não é a única responsável pela mitigação dos riscos, é a área responsável por liderar as ações de mitigação.
Calculando seus riscos Uma vez identificados e mapeados os riscos da organização deve-se calcular o Risco Inerente O valor de um Risco Inerente do negócio é calculado pela seguinte fórmula: Risco Inerente (RI) = Probabilidade (P) x Impacto (I) x Relevância (Rel)
Avaliando os controles mitigatórios Após a classificação dos riscos inicia-se o processo de avaliação de possíveis controles aplicados e sua respectiva eficiência A eficiência dos controles permite mitigar os riscos inerentes - desta forma, quanto mais controles eficientes existirem na organização, menor é a chance de um risco se materializar, restando apenas o chamado Risco Residual*: Risco Residual (RR) = RI x Eficiência do Controle (EC) * Risco que permanece após o controle de mitigação
PROBABILIDADE Mapa de Riscos Residuais 5 4 3 2 1 0 0 1 2 3 4 5 IMPACTO
Contato Martin Gomes Gerência Executiva de Compliance & Gestão de Risco Jefferson Souza Gerente de Segurança da Informação e Gestão de Risco Câmara de Comercialização de Energia Elétrica CCEE e-mail: martin.gomes@ccee.org.br