Upload
trinhlien
View
215
Download
0
Embed Size (px)
Citation preview
®Brasiliano INTERISK – O valor da Inteligência
Luanda, Angola, 22 de novembro de 2017
Prof. Dr. Antonio Celso Ribeiro Brasiliano, CRMA,CES,DEA,DSE,MBS Presidente da Brasiliano INTERISK
GESTÃO DE RISCOS CORPORATIVOS – 2ª LINHA DE DEFESA NO CONTEXTO DO CONTROLO INTERNO
®Brasiliano INTERISK – O valor da Inteligência
Sumário
1. Objetivo da Palestra
2. Facilitador
3. Contexto do Ambiente com a Gestão de Riscos Corporativos
4. Segunda Linha de Defesa: riscos e Controlos Internos
5. Função da terceira Linha de Defesa: teste de controlo
6. Conclusão
®Brasiliano INTERISK – O valor da Inteligência
1. Objetivos da Palestra
1. Discutir o conceito e aplicação das Três Linhas de Defesa, integrada com
a visão estratégica da empresa e das áreas de Riscos, Controles
Internos, Conformidade e Auditoria;
2. Discutir o Papel e Responsabilidade da Auditoria Interna como Pilar
Estratégico da Eficácia – Foco nos pontos Chaves .
®Brasiliano INTERISK – O valor da Inteligência
Prof. Dr. Antonio Celso Ribeiro Brasiliano, CRMA,CES,DEA,DSE,MBS
Doutor em Science et Ingénierie de L’Information et de L’Intelligence Stratégique ( Ciência e Engenharia da Informação e Inteligência Estratégica) pela UNIVERSITÉ EAST PARIS - MARNE LA VALLÉE – Paris – França; Master Degree - Diplome D´Etudes Approfondies (DEA) en Information Scientifique et Technique Veille Technologique (Inteligência Competitiva) pela UNIVERSITE TOULON – Toulon - França; Especializado em: Inteligência Competitiva pela Universidade Federal do Rio de Janeiro - UFRJ; Gestión da Seguridad Empresarial Internacional – Universidad Pontifícia Comillas de Madrid – Espanha; Curso de Gestión da Seguridad Empresarial - Universidad Pontifícia Comillas de Madrid – Espanha; Planejamento Empresarial, pela Fundação Getúlio Vargas - SP; Elaboração de Currículos pelo Centro de Estudos de Pessoal do Exército - CEP, Bacharel em Ciências Militares, graduado pela Academia Militar das Agulhas Negras; Bacharel em Administração de Empresas – Universidad Mackenzie; Certificado em Gestão de Riscos - Certification in Risk Management Assurance – CRMA, pelo IIA Global – Institute of Internal Auditors, Certificado como Especialista em Segurança Empresarial– CES pela ABSO. Autor dos livros: Inteligência em Riscos: Gestão Integrada em Riscos Corporativos; Gestão de Risco de Fraudes , Fraud Risk Assessment – FRA, “ Gestão de Continuidade de
Negócios – GCN”; Guia Prático para a Gestão de Continuidade de Negócios, Cenários Prospectivos em Gestão de Riscos Corporativos: um estudo de caso brasileiro; ” Gestão e Análise de Riscos Corporativos: Método Brasiliano Avançado” – Alinhado com a ISO 31000; ”Análise de Risco Corporativo – Método Brasiliano”; “Manual de Análise de Risco Para a Segurança Empresarial”; “Manual de Planejamento: Gestão de Riscos Corporativos”; “A (IN)Segurança nas Redes Empresarias: A Inteligência Competitiva e a Fuga Involuntária das Informações”; “Planejamento da Segurança Empresarial: Metodologia e Implantação”; Co-Autor dos Livros: “Dicionário de Crime, Justiça e Sociedade”, lançamento em Portugal onde colaborou com especialistas portugueses e demais países da Europa, sendo o único brasileiro a participar com textos sobre Fraudes Corporativas; “Manual de Planejamento Tático e Técnico em Segurança Empresarial”; “Segurança de Executivos" - Noções Anti-Sequestro e Sequestro: Como se Defender; Idealizador da Solução em Inteligência em Riscos Corporativos INTERISK; Professor Convidado do IPT da USP do Programa de Mestrado, para aulas de Análise de Riscos, da Fundação Dom Cabral e da Faculdade Trevisan para Cursos de Gestão de Riscos, Atual Coordenador Técnico e Professor do MBA - Gestão de Riscos Corporativos e Cursos de Extensão nos temas de Riscos, Compliance, Gestão de Continuidade de Negócios, Auditoria Baseada em Riscos, Controles Internos, Segurança Corporativa, todos em convênio com a Faculdade de Engenharia de São Paulo – FESP; Membro do Institute of Internal Auditors IIA; do Instituto dos Auditores Internos do Brasil – IIA Brasil; Membro da Associação Brasileira de Profissionais de Segurança Orgânica – ABSO, Coordenou a 1ª Pesquisa de Vitimização Empresarial 2003 – Contrato pela PENUD/ONU/SENASP; Profissional com mais de 25 anos de experiência em Gestão de Riscos, Palestrante nacional em inúmeros eventos da área de riscos, compliance, auditoria, controles internos e segurança corporativa. Palestrante Internacional em eventos na Argentina, Paraguai, África e Japão ( convidado pelo Organização PanAmericana de Saúde-OPAS, como expert em Planos de Contingência, na Conferência Mundial de Redução de Desastres,Yokohama). Experiência internacional em consultoria em GRC em Portugal, Cabo Verde, Angola, Moçambique, Uruguai, Argentina, Paraguai, Colômbia, México. Membro da Comissão de Estudo Especial de Gestão de Riscos da ABNT/CEE-63 – ISO 31000/31010/31004 – Gestão de Riscos e ISO 22301/22313 Gestão de Continuidade de Negócio – Segurança da Sociedade. É Presidente da BRASILIANO INTERISK.
®Brasiliano INTERISK – O valor da Inteligência
14 Dezembro de 2011
Três Linhas de Defesa
Dezembro de 2011 - Adaptação da
Guidance on the 8th EU Company
Law Directive da ECIIA
(Confederação Europeia dos
Institutos de Auditoria Interna) /
/FERMA (Federação Europeia de
Associações de Gerenciamento de
Riscos), artigo 41
Normas imposta pela legislação
europeia aplicáveis às empresas
em toda a União Europeia.
®Brasiliano INTERISK – O valor da Inteligência
Contexto do Mercado Corporativo e as Abordagens Estratégicas das Empresas
4ª Revolução Industrial
Disruptiva
Veloz
Ágil
®Brasiliano INTERISK – O valor da Inteligência
• Novas descobertas ocorrem simultaneamente
em inúmeras áreas do conhecimento:
sequenciamento genético a
nanotecnologia, das energias renováveis a
computação quântica;
• As tecnologias emergentes e as inovações
são difundidas quase que em “real time” ,
muito mais rápida e amplamente, no nosso
mundo interconectado;
Contexto do Mercado Corporativo e as Abordagens Estratégicas das Empresas
• Esta Revolução não diz respeito
apenas a sistemas e máquinas
inteligentes!
®Brasiliano INTERISK – O valor da Inteligência
VOLUME DE INFORMAÇÕES E DADOS:
• CISCO estima que em 2020 haverá 50 bilhões
de dispositivos conectados à internet;
• Dezenas de bilhões de telas;
• Três bilhões de sensores em nossos carros;
O conhecimento é dobrado a cada dois anos!
Contexto do Mercado Corporativo e as Abordagens Estratégicas das Empresas
®Brasiliano INTERISK – O valor da Inteligência
Negócios surgem e são Disruptivos:
• Uber/99
• Fintechs
São elementos fora de controle Surgem do ambiente externo: Sinais – Sintomas
Contexto do Mercado Corporativo e as Abordagens Estratégicas das Empresas
®Brasiliano INTERISK – O valor da Inteligência
TENHO QUE SABER ONDE DEVO AUDITAR, ASSESSORAR, OBSERVAR, PERGUNTAR, INVESTIGAR, POIS A ABRANGÊNCIA É MUITO GRANDE, O VOLUME DE DADOS E
INFORMAÇÕES SÃO BRUTAIS
®Brasiliano INTERISK – O valor da Inteligência
ANTECIPAÇÃO
A GESTÃO DE RISCOS, AUDITORIA, COMPLIANCE OU CONTROLES INTERNOS DEVEM QUEBRAR UM PARADIGMA: NÃO PODEM RELATAR O QUE ACONTECEU,
MAS O QUE PODERÁ VIR A ACONTECER, NO FUTURO!
®Brasiliano INTERISK – O valor da Inteligência
1. Aceitar
2. Não pensar demais 3. Mover-se
VICA
V U C A
Volatilitity Volatilidade
Uncertainty Incerteza
Complexity Complexidade
Ambiguity Ambiguidade
Contexto do Mercado Corporativo e as Abordagens Estratégicas das Empresas
®Brasiliano INTERISK – O valor da Inteligência
V I C A
Volatidade
Incerteza
Complexidade
Ambiguidade
Visão Velocidade
Agilidade Abundância
Entendimento Não ortodoxia – Não Dogmatizar
Colaboração Entender a conectividade
Co-Criação Interdependência
Contexto do Mercado Corporativo e as Abordagens Estratégicas das Empresas
®Brasiliano INTERISK – O valor da Inteligência
Família ISO 31000 Como “Guarda Chuva”
COSO II
PROCESSO INTEGRADO - MÉTODO BRASILIANO -COM FERRAMENTA DE TI INTERISK
COSO I
COSO II
Operacionalizar as Três Linhas de Defesa há necessidade de implantar as melhores práticas, com métreicas e processos
em Gestão de Riscos Corporativos - GRCorp
®Brasiliano INTERISK – O valor da Inteligência
Conclusão PERFIL DO GESTOR DE RISCOS/CONTROLES INTERNOS AUDITOR INTERNO
Característica do Nexialista, onde a habilidade principal é a conectividade.
Fonte: O marketing na Era do Nexo. Longo, Walter e Tavares, Zé Luis. Rio de Janeiro: BestSeller, 2009
®Brasiliano INTERISK – O valor da Inteligência
Três Linhas de Defesa
O conselho de administração é responsável pela fiscalização da
gestão de riscos da empresa e pelo framework de controle.
Todos na empresa desempenham uma função na gestão eficaz de
riscos, mas a responsabilidade primária para a gestão e o controle
dos riscos é delegada ao nível de gestão adequado dentro da empresa.
O CEO e o CFO possuem a responsabilidade final para o conselho para
a gestão de riscos e o framework de controle.
®Brasiliano INTERISK – O valor da Inteligência
Conclusão O QUE É RISCO?
Costuma-se entender risco como possibilidade de algo não dar certo.
Mas seu conceito atual no mundo corporativo vai além: envolve a
quantificação e a qualificação da incerteza, tanto no que diz respeito às
perdas quanto aos ganhos por indivíduos ou organizações.
Sendo o risco inerente a qualquer atividade – e impossível de eliminar
–, a sua administração é um elemento-chave para a sobrevivência das
instituições e empresas.
Fonte: Cadernos de Governança Corporativa – Gerenciamento de Riscos Corporativos: Evolução em Governança e Estratégia – IBGC - 2017
®Brasiliano INTERISK – O valor da Inteligência
Conclusão O QUE SÃO FATORES DE RISCOS?
Riscos são incidentes ou ocorrências originadas a partir de
fontes internas ou externas que podem impactar
negativamente ou positivamente a instituição.
O risco é composto por fatores de riscos – causas –
internas e externas. Para compreender sua potencialidade
há a necessidade de decompor o risco em suas respectivas
causas.
®Brasiliano INTERISK – O valor da Inteligência
Risco
Fator de Risco – Causa
ISO 31010
Técnicas de Análise de Riscos
®Brasiliano INTERISK – O valor da Inteligência
Identificação dos Fatores de Riscos - DCE
R 1Manipulação de quantidade recebidas - Fraude
R 2 Recebimento de produtos
fora da especificação de
qualidade
®Brasiliano INTERISK – O valor da Inteligência
Listagem de todos os processos das áreas de
negócio da instituição e a seleção da criticidade
frente a sua atividade fim.
Ferramenta BIA Seleção pelos critérios
Impacto x Tempo
Informações obtidas através da Segunda Linha Gestão de Riscos
IDENTIFICAÇÃO DOS PROCESSOS, ÁREAS, CRÍTICAS EM
TERMOS DE IMPACTO NOS OBJETIVOS ESTRATÉGICOS
®Brasiliano INTERISK – O valor da Inteligência 28
Materialidade do Risco
Risco Residual: exposição
após implantar os controles julgados atuantes e
necessários
Fragilidade Passível de Redução por Ação de
Controles
Implantação de Controles Preventivos e ou Detectivos:
Reduzir o Nível de Risco
Atuante
Redução Máxima da Exposição
Considerando seu Apetite ao Risco
Intermediário
Insuficiente
PRECISAMOS FOCAR QUAIS RISCOS SÃO CRÍTICOS NOS PROCESSOS E ÁREAS CRÍTICAS: INERENTE E RESIDUAL
®Brasiliano INTERISK – O valor da Inteligência
APETITE AO RISCO: VISÕES
Fonte:
Qualitativo – Grau de Risco Quantitativo – R$
®Brasiliano INTERISK – O valor da Inteligência
Processo de Armazenagem Entrada de Mercadoria
MAPEAMENTO DOS PROCESSOS
®Brasiliano INTERISK – O valor da Inteligência
Identificação da Relevância dos Fatores de Riscos
Vindo do Diagrama de Causa e Efeito
Fraquezas (infraestrutura, pessoal, processo, tecnologia) e Ameaças (ambiente externo)
®Brasiliano INTERISK – O valor da Inteligência
TESTE DE CONTROLES MEDIÇÃO DA EFICÁCIA
Os controles são focados – EFICÁCIA - para anular ou suportar os
fatores de riscos mais influenciadores – motrizes – dos riscos críticos
inerentes.
®Brasiliano INTERISK – O valor da Inteligência
Conclusão O QUE É MENSURAR OS RISCOS MEDIR O TAMANHO DO RISCO SOB DA CRITICIDADE
Matriz de Risco do Processo, Área, Gerência, Empresa
®Brasiliano INTERISK – O valor da Inteligência
Risco Inerente Fatores de Riscos x
Controles Risco Residual
FR. 278 (Ausência de local coberto adequado para as coletas
de amostras dos caminhões em dias de chuva)
Risco 124
(Recebimento de produtos fora da especificação de
qualidade)
FR. 279 (Manipulação dos
resultados das amostras de qualidade)
C.190 (Amostra de qualidade do produto entregue)
FR. 281 (Existência de pragas no local de armazenagem)
C.185 (Controle magnético)
FR. 282 (Conluio entre o
descarregamento e o motorista)
C.188 (Recebimento de
Ticket de pesagem)
(I|P)
(E|P)
Risco 124
(Recebimento de produtos fora da especificação de
qualidade)
Média Probabilidade:
3.92 Muito Alta Média Impacto:
4.00 Severo
Média Probabilidade:
2.58 Alta Média Impacto:
4.00 Severo
(E|P)
Legenda: (I) - Ineficaz (E) - Eficaz (P) - Preventivo (D) - Detectivo
Probabilidade x Impacto
Análise de Riscos - Inerente e Residual
®Brasiliano INTERISK – O valor da Inteligência
FR. 271 (Solicitação informal do cliente
para entrada do produto)
Risco 122
(Registro de produtos não recebidos)
FR. 272 (Ausência de formalização do
escritório para balança)
FR. 273 (Liberação de entrada dos caminhões através
da identificação pessoal do motorista)
FR. 274 (Recebimento de produto sem
aviso do cliente)
C.185 . (Controle magnético)
(I|P)
Risco 122
(Registro de produtos não recebidos)
Média Probabilidade:
4.58 Elevada Média Impacto:
3.18 Moderado
Média Probabilidade:
4.17 Muito Alta Média Impacto:
3.18 Moderado
C.186 . (Confirmação do cliente)
(I|P)
FR. 275 (Falta de energia no armazém não
permitindo o funcionamento da balança)
FR. 276 (Ausência de nobreak e/ou
gerador para a balança)
FR. 277 (Manipulação das divergências de
peso entrega)
C.187 . (Validação da nota fiscal
de entrada)
(E|P)
FR. 282 (Conluio entre o descarregamento
e o motorista)
C.188 . (Ticket de pesagem)
(E|P)
FR. 283 (Ausência de padrão para as
informações de recusas dos produtos)
FR. 284 (Manipulação do lastro do caminhão pelo motorista)
C.187 . (Validação da nota fiscal
de entrada)
(E|P)
FR. 285 (Ausência de integração sistêmica
entre a balança (entrada) e o sistema Alfa
C.191 . (Registro de estoque)
(I|D)
FR. 286 (Ausência de tempestividade no registro de entrada de estoque)
C.188 . (Ticket de pesagem)
(E|P)
C.186 . (Confirmação do cliente)
(I|P)
C.188 . (Ticket de pesagem)
(E|P)
C.188 . (Ticket de pesagem)
(E|P)
C.191 . (Registro de estoque)
(I|D)
Legenda: (I) - Ineficaz (E) - Eficaz (P) - Preventivo (D) - Detectivo
Estudo de Caso
Probabilidade x Impacto
Análise de Riscos - Inerente e Residual
Risco Inerente Fatores de Riscos x
Controles Risco Residual
®Brasiliano INTERISK – O valor da Inteligência
No exemplo utilizado necessário
implementar controles preventivos e/ou detectivos para inibir os fatores de
riscos e implementar controles corretivos (exemplos - plano de emergência, plano de
crise, plano de continuidade de
negócios) visando mitigar o impacto
Matriz de Riscos
Avaliação de Riscos - Inerente e Residual
®Brasiliano INTERISK – O valor da Inteligência
Conclusão
Motricidade Matriz de Impactos Cruzados INTERCONECTIVIDADE ENTRE RISCOS
MENSURAR OS RISCOS - MEDIR O TAMANHO DO RISCO
SOB A ÓTICA DA INTERDEPNDÊNCIA
Motrizes Ligação
Independentes Dependentes
®Brasiliano INTERISK – O valor da Inteligência
Criticidade dos Riscos: PB x Impacto
Fonte: Relatório Risk Report 2016 - Fórum Mundial
CRITICIDADE DOS RISCOS – INDIVIDUAL
®Brasiliano INTERISK – O valor da Inteligência Fonte: Relatório Risk Report 2016 - Fórum Mundial
Motricidade de cada Risco
INTERCONECTIVIDADE ENTRE RISCOS COLETIVO – UM INFLUENCIANDO NO OUTRO
®Brasiliano INTERISK – O valor da Inteligência
Priorização dos Riscos: Criticidade x Motricidade
Cruza a motricidade com a criticidade dos riscos,
resultando na priorização estratégica dos riscos, os riscos
chaves da instituição.
®Brasiliano INTERISK – O valor da Inteligência
1. Riscos Estratégicos
2. Riscos Operacionais
3. Riscos de Tecnologia da Informação
4. Riscos de Meio Ambiente
5. Riscos de Saúde e Segurança do Trabalhador
6. Riscos de Segurança Empresarial
7. Riscos Liquidez/Atuariais
8. Riscos Legais
9. Riscos de Crédito/Contraparte
10. Riscos de Comunicação
11. Riscos de Fraudes
12. Riscos no Projeto
13. Outras Tantas Disciplinas ...
A Abrangência do Número de Disciplinas de Riscos...
®Brasiliano INTERISK – O valor da Inteligência
Faltam conexões entre as disciplinas
Disciplinas de Riscos são Ilhas Falta Visão Holística
Qual a consequência da falta
destas conexões?
Miopia para enxergar o Risco
Sistêmico
®Brasiliano INTERISK – O valor da Inteligência
“N” Disciplinas, com “N” ferramentas e métricas personalizadas, mas todas debaixo do mesmo Processo e Matriz de Risco! O Resultado é a Inteligência em Riscos, onde há análise e interpretação das informações.
A Integração das Disciplinas de Riscos
®Brasiliano INTERISK – O valor da Inteligência
Processo Crítico x Risco Inerente Crítico x Controles Chaves = Risco Residual dentro do Apetite ao Risco
Painel de Controle e Monitoramento
®Brasiliano INTERISK – O valor da Inteligência
Mapear Processos Críticos
Gestão Baseada em Riscos
Mapeamento do Processo x Fatores de Riscos x Controles
®Brasiliano INTERISK – O valor da Inteligência
A gerência operacional é responsável por manter controles internos eficazes e por conduzir
procedimentos de riscos e controle diariamente.
A gerência operacional identifica, avalia, controla e mitiga os riscos, guiando o
desenvolvimento e a implementação de políticas e procedimentos internos e garantindo que
as atividades estejam de acordo com as metas e objetivos. Deve haver controles de gestão e
de supervisão adequados em prática, para garantir a conformidade e para enfatizar colapsos
de controle, processos inadequados e eventos inesperados.
Como primeira linha de defesa, os
gerentes operacionais gerenciam os
riscos e têm propriedade sobre eles.
Eles também são os responsáveis por
implementar as ações corretivas para
resolver deficiências em processos e
controles.
TRÊS LINHAS DE DEFESA
®Brasiliano INTERISK – O valor da Inteligência
Uma função (e/ou comitê) de gerenciamento de riscos que facilite e monitore a
implementação de práticas eficazes de gerenciamento de riscos por parte da gerência
operacional e auxilie os proprietários dos riscos a definir a meta de exposição ao risco
e a reportar adequadamente informações relacionadas a riscos em toda a organização.
Segunda Linha como supervisora e
facilitadora da primeira linha de
defesa.
Dupla Função!
TRÊS LINHAS DE DEFESA
®Brasiliano INTERISK – O valor da Inteligência
As responsabilidades dessas funções incluem:
1.Apoiar as políticas de gestão, definir papéis e responsabilidades e
estabelecer metas para implementação.
2.Fornecer estruturas de gerenciamento de riscos.
3.Identificar questões atuais e emergentes.
3.Identificar mudanças no apetite ao risco implícito da organização.
4.Auxiliar a gerência a desenvolver processos e controles para
gerenciar riscos e questões.
Como funções de gestão, elas podem
intervir diretamente, de modo a modificar
e desenvolver o controle interno e os
sistemas de riscos.
Portanto, não pode oferecer análises
verdadeiramente independentes aos
órgãos de governança acerca do
gerenciamento de riscos e dos
controles internos.
TRÊS LINHAS DE DEFESA
®Brasiliano INTERISK – O valor da Inteligência
Função da Segunda Linha
Produtos da Segunda Linha
Produtos da Primeira Linha
TRÊS LINHAS DE DEFESA
®Brasiliano INTERISK – O valor da Inteligência
“ AO LONGO DOS PRÓXIMOS 30 ANOS, O FOCO DO TRABALHO, ESTARÁ EM
SEGMENTAR E ANALISAR AS INFORMAÇÕES QUE SÃO CRIADAS. A ESCALA DESSA
EMPREITADA EXIGE CICLOS DE COGNIÇÃO.
SERÁ ATRAVÉS DA INTELIGÊNCIA ARTIFICIAL QUE TERÁ QUE LIDAR COM OS
ZILHÕES DE INFORMAÇÕES.
COGNIÇÃO: Cognição é o ato ou processo da aquisição do conhecimento que se dá
através da percepção, da atenção, associação, memória, raciocínio, juízo, imaginação,
pensamento e linguagem.
É o conjunto dos processos mentais usados no pensamento na classificação,
reconhecimento e compreensão para o julgamento através do raciocínio para o
aprendizado de determinados sistemas e soluções de problemas.
TRÊS LINHAS DE DEFESA
®Brasiliano INTERISK – O valor da Inteligência
Não tem cabimento no século XXI, instituições de porte,
ainda estarem realizando a Gestão de Riscos no Famoso
anacrônico denominado “SAP”.
AS INSTITUIÇÕES DEVEM, OBRIGATORIAMENTE, TRABALHAREM COM FERRAMENTA DE TI
SAP = Sistema Avançado de Planilha
O que gera inúmeros riscos!
Solução com Ferramenta de TI Com integrações automatizadas
®Brasiliano INTERISK – O valor da Inteligência
A auditoria interna provê avaliações sobre a eficácia da governança, do
gerenciamento de riscos e dos controles internos, incluindo a forma como a
primeira e a segunda linhas de defesa alcançam os objetivos de gerenciamento de
riscos e controle
Os auditores internos fornecem ao
órgão de governança e à alta
administração avaliações abrangentes
baseadas no maior nível de
independência e objetividade dentro
da organização.
TRÊS LINHAS DE DEFESA
®Brasiliano INTERISK – O valor da Inteligência
Padrão 2120 – Gerenciamento de riscos
A atividade de auditoria interna deve avaliar a eficácia e contribuir para a melhoria
do processo de gerenciamento de riscos.
Interpretação: Determinar se os processos de gerenciamento de risco são efetivos é
um julgamento resultante da avaliação do auditor interno de que:
Os objetivos organizacionais apoiam e se alinham com a missão da organização.
São identificados e avaliados riscos significativos.
São selecionadas respostas de riscos apropriadas, com alinhamento do
apetite de riscos.
As informações dos riscos relevantes são capturadas e comunicadas em
tempo hábil em toda a organização, permitindo que o pessoal, a administração
e o conselho executem suas responsabilidades.
TRÊS LINHAS DE DEFESA
®Brasiliano INTERISK – O valor da Inteligência
IMPLEMENTAÇÃO
A implementação do Padrão 2120, o CAE e toda a atividade de auditoria interna, deve
demonstrar sua compreensão dos processos de gerenciamento de riscos da organização
e buscar oportunidades de melhoria.
Através de conversas com a gerência sênior e o conselho, o CAE considera o apetite de
risco, tolerância ao risco e cultura de risco da organização.
A atividade de auditoria interna deve alertar o gerenciamento para novos riscos, além de
riscos que não foram adequadamente tratados, e fornecer recomendações e planos
de ação para uma resposta adequada ao risco.
TRÊS LINHAS DE DEFESA
®Brasiliano INTERISK – O valor da Inteligência
IMPLEMENTAÇÃO
Analisa o plano estratégico, o plano de negócios e as políticas da organização para ter discussões
com o conselho e a alta administração, o CAE obtem uma visão para avaliar se os objetivos
estratégicos da organização apoiam e alinham com sua missão, visão e apetite de risco.
Para manter-se atualizado sobre possíveis exposições e oportunidades de risco, a atividade
de auditoria interna também pode pesquisar novos desenvolvimentos e tendências
relacionadas à indústria da organização, bem como processos que podem ser usados para
monitorar, avaliar e responder a riscos e oportunidades considerados estratégicos.
TRÊS LINHAS DE DEFESA
®Brasiliano INTERISK – O valor da Inteligência
CONSIDERAÇÕES PARA DEMONSTRAR CONFORMIDADE Documentos que podem demonstrar conformidade com o Padrão 2120 incluem a carta de auditoria interna, que documenta as funções e responsabilidades da atividade de auditoria interna relacionadas ao gerenciamento de riscos e o plano de auditoria interna. Além disso, a conformidade pode ser evidenciada por atas de reuniões em que os elementos do padrão - como as recomendações de gerenciamento de riscos da atividade de auditoria interna - foram discutidos entre o CAE, o conselho e a alta administração, ou reuniões entre a atividade de auditoria interna e relevantes Comitês, forças-tarefa e gerenciamento sênior chave. As avaliações de risco realizadas pela atividade de auditoria interna e os planos de ação para abordar os riscos, demonstram a melhoria dos processos de gerenciamento de risco.
TRÊS LINHAS DE DEFESA
®Brasiliano INTERISK – O valor da Inteligência
AVALIAÇÃO DO PROCESSO DE GR
O gerenciamento de riscos é um componente crítico do sistema de
controle interno, de forma que os processos deficientes de gerenciamento de riscos
são um indicador de que o sistema de controle interno da organização pode
ser deficiente.
Três formas de processos de avaliação que podem ser utilizados na avaliação de um
processo de gerenciamento de riscos:
• Abordagem dos elementos do processo
• Abordagem dos princípios chave
• Abordagem do modelo de maturidade
TRÊS LINHAS DE DEFESA
®Brasiliano INTERISK – O valor da Inteligência
As responsabilidades do diretor-presidente
incluem certificar-se de que todos os
componentes do GRCorp estejam
implementados.
O diretor-presidente geralmente cumpre com
as suas atribuições:
• Fornecendo liderança e direcionamento aos altos executivos. Em conjunto com eles, o
diretor-presidente estabelece os valores, os princípios e as principais políticas (a serem
aprovadas pelo CA) que constituem o alicerce do modelo de GRCorp e do sistema de controles
internos;
TRÊS LINHAS DE DEFESA
®Brasiliano INTERISK – O valor da Inteligência
As responsabilidades do diretor-presidente
incluem certificar-se de que todos os
componentes do GRCorp estejam
implementados.
O diretor-presidente geralmente cumpre com
as suas atribuições:
• Reunindo-se periodicamente com os diretores responsáveis pelas principais áreas funcionais –
vendas, marketing, produção, finanças, recursos humanos – para revisar suas
responsabilidades, inclusive a forma como administram riscos. O diretor-presidente adquire
conhecimento dos riscos inerentes às operações, às respostas a risco e às melhorias de
controles necessárias, bem como à condição das iniciativas em andamento.
TRÊS LINHAS DE DEFESA
®Brasiliano INTERISK – O valor da Inteligência
• De posse dessas informações, o diretor-
presidente estará em condições de monitorar
as atividades e os riscos em relação ao
apetite a riscos da empresa.
• No caso de alteração das circunstâncias,
surgimento de novos riscos,
implementação de estratégias ou ações
antecipadas indicarem desalinhamento
potencial em relação ao perfil e ao
apetite a riscos da empresa, o diretor-
presidente adotará as medidas necessárias
para restabelecer o alinhamento e
discutirá com o CA as medidas a serem
adotadas, ou, ainda, se o perfil de riscos
da empresa deve ser ajustado.
TRÊS LINHAS DE DEFESA
®Brasiliano INTERISK – O valor da Inteligência
O comitê de auditoria tem como objetivo:
• ·Supervisionar a qualidade e a
integridade dos relatórios financeiros;
• ·Supervisionar a aderência às normas
legais, estatutárias e regulatórias;
• Supervisionar a adequação dos processos relativos ao gerenciamento
de riscos e ao sistema de controles internos, em linha com as diretrizes
estabelecidas pelo CA;
• Supervisionar as atividades dos auditores internos e independentes.
TRÊS LINHAS DE DEFESA
®Brasiliano INTERISK – O valor da Inteligência
Principais Atividades relacionadas à gestão de
riscos pelo conselho fiscal são:
• Conhecer os processos, o mapa de
riscos e os responsáveis pelo processo
de GRCorp e seu alinhamento com
os objetivos do negócio bem como a
estrutura de controles internos, os
riscos monitorados, os controles chave,
o sistema de monitoramento, e a
adequação de pessoal e orçamento;
• Dialogar com os agentes com papel na definição, supervisão e monitoramento da gestão
de riscos: comitê de auditoria, comitê de gestão de riscos, auditoria interna, áreas
contábil, jurídica, de conformidade, de ética e conduta, buscando reunir informações
sobre a gestão de riscos para subsidiar a formação de sua opinião sobre os atos de
gestão;
• Definir, junto com os executivos, os tipos, formatos e a periodicidade da informação sobre
riscos que o conselho fiscal necessita para seu dever de fiscalização.
TRÊS LINHAS DE DEFESA
®Brasiliano INTERISK – O valor da Inteligência
O Conselho de Administração deve:
• Procurar compreender os elementos-chave
do sucesso da empresa;
• Avaliar os riscos estratégicos da empresa;
• Definir seu papel e o dos comitês de
assessoramento na supervisão dos riscos;
• Avaliar se o GRCorp da empresa
(incluindo pessoas e processos) é
adequado e tem recursos
• suficientes;
• Discutir com a diretoria executiva o nível de efetividade do sistema de controles
internos da organização, assim como fornecer orientações para o seu aprimoramento
constante;
• Definir, junto aos executivos, os tipos, os formatos e a periodicidade da informação sobre
riscos e controles internos que necessita para acompanhamento;
TRÊS LINHAS DE DEFESA
®Brasiliano INTERISK – O valor da Inteligência
•Estimular o diálogo dinâmico e construtivo sobre
riscos e controles entre a gestão e o CA, incluindo a
disposição e a vontade dos conselheiros de
questionar pressupostos;
•Monitorar de forma contínua os riscos que
podem impactar os objetivos da organização;
•Monitorar os alinhamentos críticos: estratégia,
riscos, controles, conformidade (compliance),
incentivos e pessoas;
• Avaliar periodicamente se os processos de GRCorp permitem ao CA atingir seus objetivos de
supervisão dos riscos;
• Ser o responsável formal pela orientação estratégica e pelo monitoramento das atividades
de gestão de riscos e do sistema de controles internos da organização, além de refletir
sobre o estágio de maturidade de GRCorp em que a companhia se encontra.
TRÊS LINHAS DE DEFESA
®Brasiliano INTERISK – O valor da Inteligência
Prof. Dr. Antonio Celso Ribeiro Brasiliano, CRMA,CES,DEA,DSE,MBS
Presidente Brasiliano INTERISK
email: [email protected]
Telefone: 11 983507758
11 55316171