Embed Size (px)
Citation preview
Gestão Integrada deGovernança,
Gestão de Riscos,Gestão de Incidentes,
Conformidadee Controles Internos
Fernando Nery | [email protected]
Gestão Integrada
Frase de Edwards Deming,adotada por Michael Bloomberg
na gestão de sua empresa e da cidade de Nova Iorque.
“In God we trust.Everyone else, bring data!”
”A mentalidade de risco habilita uma organização a determinar os fatores que poderiam causar desvios nos seus
processos e no seu sistema de gestão da qualidade em relação aos resultados planejados, a colocar em prática
controles preventivos para minimizar efeitos negativos e a maximizar o aproveitamento das
oportunidades que surjam.”ISO 9001:2015
”A consideração do perfil de risco, o entendimento dos papéis dos agentes de governança e o uso de critérios éticos são essenciais para que sejam tomadas decisões mais
equilibradas, informadas e refletidas.”Código das melhores práticas de governança corporativa.IBGC – Instituto Brasileiro de Governança Corporativa
”...a alta administração avalia, direciona e monitora o sistema de gestão de riscos e
controle interno e estabelece medidas que asseguram que os dirigentes implementem e monitorem práticas de
gestão de riscos e controle interno.”Referencial básico de governança aplicável a órgãos e
entidades da administração públicaTribunal de Contas da União.
”O estatuto da empresa pública, da sociedade de economia mista e de suas subsidiárias deverá observar regras de governança corporativa, de
transparência e de estruturas, práticas de gestão de riscos e de controle interno, composição da administração e, havendo acionistas, mecanismos para sua
proteção, todos constantes desta Lei.” Lei 13.303/2016 -‐ Dispõe sobre o estatuto jurídico da
empresa pública, da sociedade de economia mista e de suas subsidiárias, no âmbito da União, dos Estados, do Distrito
Federal e dos Municípios.
”Dispõe sobre controles internos, gestão de riscos e governança no âmbito do Poder Executivo
federal.”Instrução Normativa Conjunta no. 1/2016
MPOG e CGU
”As Empresas Estatais Federais devem implementar políticas de Conformidade e
Gerenciamento de Riscos adequadas ao seu porte e consistentes com a natureza, complexidade e risco das
operações por elas realizadas.”Resolução n 18/2016
Comissão Interministerial de Governança Corporativa e de Administração de Participações Societárias da União -‐
CGPAR
Um mundo pouco automatizado e pouquíssimo integrado
Gestão'Integrada
Gestão de Ativos
Integraçãoe Automatização
Gestão Integrada de Riscos e Controles Internos
A regulamentação exige!A legislação e a regulação passaram a obrigar as organizações a implementar Governança,
Gestão de Riscos, Controles Internos, e outras providências correlatas.
Integração aumenta a eficácia!A implementação destes recursos é complexa e exige o tratamento integrado e automatizado.
Alinhado com o negócio!Um ambiente integrado e automatizado, além de atender à legislação e regulação, compõe um
excelente instrumento de monitoramento e gestão integrada do negócio.
123
INC 01 CGU/MPOGCGPAR 18, ...Lei 13.303
...
Gestão de Riscos e Controles InternosAlinhados com o Negócio!Fonte: www.oceg.org
Operações
Monitoramento Centralizado e Compartilhado
Os assuntos eram tratados de forma separada, agora são integrados.
Regulamentação deGovernança,
Gestão de Riscos,Controles Internos,
Conformidade.
Instrução Normativa Conjunta 01CGU e MPOG
2016 – MPOG e CGU publicaram Instrução Normativa Conjunta,
determinando a adoção de medidas de
Controles Internos, Governança e Gestão de Riscos no Poder Executivo Federal
Gestão de Riscos e Controles InternosISO 31000 e COSO Frameworks para Gestão
de Riscos e Controles Internos – ABNT ISO 31000, COSO ERM e
COSO ICIF
Instrução Normativa Conjunta 01CGU e MPOG
Orientação e conceitos da INC 01 MPOG/CGU sobre a implementação de Controles Internos, Gestão de Riscos e
Governança.
RiscosOperacionais
Imagem Reputação Legais
Financeiros Orçamentários
Instrução Normativa Conjunta 01CGU e MPOG
Criação de comitê pelos órgãos do Poder Executivo
Federal
Monitoramento pela CGU
Governança Pública Ampla literatura produzida e
divulgada pelo TCU sobre Governança
Pública
Resolução CGPAR 11 2016 -‐ CGPAR determina
Governança de TI para as Empresas Estatais Federais
Resolução CGPAR 18
2016 -‐ CGPAR determina Conformidade e Gestão de Riscos para as Empresas
Estatais Federais
Lei 13.303+ Estatais Federais+ Estatais Estaduais+ Estatais Municipais
2016 – Lei 13.303 dispõe sobre o Estatuto Jurídico da Empresa Pública Federal, Estadual ou Municipal
Lei 13.303
2016 – Lei 13.303 determina a
implementação de Gestão de Riscos e Controles
Internos
Lei 13.303
2016 – Lei 13.303 responsabilidade na alta
gestão.
Segurança da Informação – DSIC/GSI
Judiciário
TSTSTJ
STF PDTI
STF
Resolução 176/2013 CNJ
Resolução 211/2015 CNJ
Alguns Projetos que Usam estes Recursos para Criar um
Ambiente Automatizado e Integrado
Alguns Casos
Jogos Panamericanos Rio2007190 – Atendimento e DespachoDefesa Civil e
Gestão de Riscos e Desastres
Monitoramento da Cadeia de Combustíveis
Gestão de Demandas emTelecomunicaçõesDefesa Cibernética
Copa 2014Monitoramento de Processos e Gestão de Riscos Olimpíadas 2016
Secretaria Extraordinária para Grandes Eventos - MJ
Interagências
Centros Integrados de Comando e ControleCICCR – PMRJ - Operação 190
Centro Integrado de Comando e ControleCICCR – PMRJ - Operação 190
Pequeno
MédioGrande
Projetos detodos os tamanhos
”pense grande,começe pequenocresça rapidamente”
Automatização da Gestão Integrada de Riscos e Controles
Internos
Incerteza
Normalidade
Gestão Integrada
Pessoas eCanais de
Comunicação
Ativos, Clientes, Fornecedores
Gestão de Riscos e Incidentes
Planejamento, Processos, Projetos
e Obras
Conformidade e Controles
Objetivos e Estratégias
Monitoramento de Ocorrências,
Incidentes, Crises
Operação Indicadores eNão-‐conformidade
Visão Situacional
Decisão eResposta
Monitoramento do Mundo Externo
Governança
Regulador
”Risco é o Efeito da Incerteza nosObjetivos”
NBr ISO 31000
Objetivos, unidades, processos, gestão de ativos, pessoas, políticade gestão de riscos, métricas e critérios de aceitação de riscos
Catálogo de riscos (perfil de risco), cenários, responsabilidades
Questionários, entrevistas, matriz de riscos inerentes (probabiliadde e impacto)
Matriz controles internos, matriz de riscos residuais, KRI, plano de tratamento
Implantação e operação de controles internos, integração, ocorrências, indicadores, KRI
Visão situacional e monitoramento, incidentes,
ocorrências e Avaliações externas
Decisão, canais de comunicação, alertas, dashboards, Helpline
Automatização de Gestão de riscos utilizando a ISO 31.000 (2009)
Processo de Avaliação de Riscos
ISO 31000 como Metaframework para a Automatização de Gestão de Riscos e Controles Internos
Estabelecimento do Contexto
Identificação de Riscos
Comunicação e Consulta
Tratamento de Riscos
Monitoramento e Análise Crítica
Análise de Riscos
Avaliação de Riscos
Reativo
Preventivo
ISO 31000 como Metaframework para a Automatização de Gestão de Riscos e Controles Internos
Estabelecimento do Contexto
Identificação de Riscos
Comunicação e Consulta
Tratamento de Riscos
Monitoramento e Análise Crítica
Avaliação de RiscosAnálise de Riscos
Processo de Avaliação de Riscos
ISO 31000 e COSO
Estabelecimento do Contexto
Identificação de Riscos
Comunicação e Consulta
Tratamento de Riscos
Monitoramento e Análise Crítica
Avaliação de RiscosAnálise de Riscos
Processo de Avaliação de Riscos
ISO 31000 na abrangência(consenso internacional, integrado à legislação brasileira, termos oficiais em português)
COSO na profundidade(adotado pelas corporações, muito tempo de mercado,
maior detalhamentoevolução constante)
Modelo integrado de Riscos e Controles Internos
Processo de Avaliação de Riscos
Estabelecimento do Contexto
Identificação de Riscos
Comunicação e Consulta
Tratamento de Riscos
Monitoramento e Análise Crítica
Análise de Riscos
Avaliação de Riscos
ISO 31000, INC 01, COSO
Ambiente deControle(II.III.11.I)
Avaliação deRisco(II.III.11.II)
Atividades de ControlesInternos
(II.III.11.III)
Informação e Comunicação(II.III.11.IV)
Atividades deMonitoramento(II.III.11.V) Cap II – Dos Controles internos da Gestão
Cap III – Da Gestão de Riscos
Atividades de ControlesInternos
(III.III.16.VI)
Informação e Comunicação(III.III.16.VII)
Monitoramento(III.III.16.VII)
Ambiente Interno
(III.III.16.I)
Fixação de Objetivos(III.III.16.II)
Identficação de Eventos(III.III.16.III)
Avaliação de Riscos(III.III.16.IV)
Resposta a Riscos(III.III.16.V)
INC 01
Processo de Avaliação de Riscos
Automatização
Estabelecimento do Contexto
Identificação de Riscos
Comunicação e Consulta
Tratamento de Riscos
Monitoramento e Análise Crítica
Análise de RiscosAvaliação de Riscos
•Política Gestão de Riscos•Organização•Unidades•Pessoas•Objetivos•Apetite de Risco•Gestão de Ativos•Processos•Projetos•Ativos para controles externos
Gestão de Ativos
Definição de Áreas de Interesse
Edificações, Pontos de Interesse e Áreas de Interesse
Plantas Baixas
Módulo Risk Manager
Visão de Ativos Integrada ao Planejamento
”Risco é o efeito da incerteza nos objetivos”
ABNT NBr ISO 31000
Visão de Ativos Integradaao Planejamento Estratégico
PPA
Planejamento Estratégico
Objetivos
Metas
Iniciativas
Programas (LOA)
Ações (LOA)
Processo de Avaliação de Riscos
ISO 31000 como Metaframework para a Gestão de Riscos
Estabelecimento do Contexto
Identificação de Riscos
Comunicação e Consulta
Tratamento de Riscos
Monitoramento e Análise Crítica
Análise de RiscosAvaliação de Riscos
•Levantamento de Riscos•Entrevistas às Áreas-‐Fim•Catálogo de Riscos•Perfil de Riscos•Bases de Conhecimento•Questionários•Coletas•Critérios
Gestão do Catálogo de Riscos
Processo de Avaliação de Riscos
ISO 31000 como Metaframework para a Gestão de Riscos
Estabelecimento do Contexto
Identificação de Riscos
Comunicação e Consulta
Tratamento de Riscos
Monitoramento e Análise Crítica
Análise de RiscosAnálise de Riscos
•Questionários•Coletas Remotas•Self Assessment•Coletas Presenciais•Matriz de Riscos Inerentes
Pesquisa e Questionários
Pesquisa e Questionários
Matriz e Riscos Inerentes
ISO 31000 como Metaframework para a Gestão de Riscos
Estabelecimento do Contexto
Identificação de Riscos
Comunicação e Consulta
Tratamento de Riscos
Monitoramento e Análise Crítica
Avaliação de Riscos
Avaliação de Riscos
Processo de Avaliação de Riscos
•Visão Integrada de Riscos•Relatórios•Matriz de Riscos Residuais•Matriz de Controles Internos•Matriz de Controles Externos•KRI•Não-‐conformidades
Gestão de Riscos
Processo de Avaliação de Riscos
ISO 31000 como Metaframework para a Gestão de Riscos
Estabelecimento do Contexto
Identificação de Riscos
Comunicação e Consulta
Tratamento de Riscos
Monitoramento e Análise Crítica
Análise de RiscosAvaliação de Riscos
• Integrações• Indicadores•Decisão•Resposta•Workflow•Operação de Controles
Processo de Avaliação de Riscos
ISO 31000 como Metaframework para a Gestão de Riscos
Estabelecimento do Contexto
Identificação de Riscos
Comunicação e Consulta
Tratamento de Riscos
Monitoramento e Análise Crítica
Análise de RiscosAvaliação de Riscos
• Integração• Workflow• Alertas• Decisão• Resposta• Fontes Abertas• Gestão de Ocorrências• Gestão de Incidentes• Gestão de Crise• Monitoramento Externo• KRI• Melhoria Contínua• Identificação de Oportunidades• Incidentes em Regulados
Monitoramento de Ocorrências Internas e Externas
Rádio
Redes Sociais
Sistemas eBancos de Dados
Telefonemas
SMS
APPs Sensorese Alarmes
Câmeras FontesAbertas
email Serviços deInformação
Monitoramento de Câmeras Internas e da Proximidade
Botão de Pânico e Alarmes de Incêndio, Presença e Outros
Monitoramento de Obras
Monitoramento da Disponibilidade de Sistemas, Energia Elétrica, Água, Ar Condicionado, Telecomunicações, …
Monitoramento de Veículos e GPS
Inteligência em Fontes Abertas
Segurança Cibernética
”What is interesting in 2016 is thegrowth of interest in Enterprise Incident Management - organizationslooking for a single platform tomanage the range of incidents, issues, cases, and investigations across theorganization.”
Michael Rassmusen
Gestão Corporativa de Incidentes
Processo de Avaliação de Riscos
ISO 31000 como Metaframework para a Gestão de Riscos
Estabelecimento do Contexto
Identificação de Riscos
Comunicação e Consulta
Tratamento de Riscos
Monitoramento e Análise Crítica
Análise de RiscosAvaliação de Riscos
•Visão Situacional•Canal de Comunicação•Prestação de Contas•Decisão•Transparência
Exemplo de Painel de Visão SituacionalVisão
GeográficaCanal de
Comunicação
Gestão de Ativos
Monitoramentoda Operação
Alertas e Alarmes
imagem de exemplo feita a partir de informações públicas obtidas na internet
Relatórios e Estatísticas
Mensagens Instantâneas Integradas
Workflow
Workflow
Workflow
Workflow
Tablet dos Gestores
Mensagens Instantâneas e Alertas
Obrigado!Gestão Integrada de
Governança,Gestão de Riscos,
Gestão de Incidentes,Conformidade
e Controles Internos
Fernando Nery | [email protected]
Gestão Integrada
