1. GERENCIAMENTO
DE RISCOS
EMPRESARIAS
Do Projeto ao Negócio
Walther Krause, MSc, PMP
wkrause@uol.com.br
2. "O Caminho do risco é o
sucesso.
O do acaso é a sorte"
(Raul Seixas, Caminhos)
RISK!
Gerenciamento de Riscos Empresariais Walther Krause
3. E tudo muda …
Agenda
Pode-se regulamentar as incertezas ???
Paradigmas do gerenciamento de riscos
Os modelos de referência
GRE – mundo dos negócios e dos projetos
E agora ? Por onde começar ???
Gerenciamento de Riscos Empresariais Walther Krause
4. E tudo muda …
Agenda
Pode-se regulamentar as incertezas ???
Paradigmas do gerenciamento de riscos
Os modelos de referência
GRE – mundo dos negócios e dos projetos
E agora ? Por onde começar ???
Gerenciamento de Riscos Empresariais Walther Krause
5. Onde você está agora ?
“uma vez por ano” “dinâmico”
Gerenciamento de Riscos Empresariais Walther Krause
6. E,
T
EN ISA
EL O
C C
EX A
A IC
ES ÚN
R A
P É
EM O ” ters
A ÇÃ TE Pe
A A N om
R O V NE T
A N A
“P I M
A ER
P
Gerenciamento de Riscos Empresariais Walther Krause
7. ONDA DE MUDANÇAS
5a ONDA
INTUIÇÃO
4a ONDA
PRODUTIVIDADE
3a ONDA 20 anos
INFORMÁTICA
2a ONDA 30 anos
INDUSTRIAL Qualidade Total
1a ONDA 120 anos
AGRÍCOLA
Idéias
3 mil anos Humanware
Criatividade
Capital $
Família
Terra Software
Hardware
Alvin Tofler
Gerenciamento de Riscos Empresariais Walther Krause
9. O Projeto Moderno
• Ciclos de vida curtos para os projetos
• Poucos recursos capacitados
• Necessidade de velocidade
• Mudanças de escopo - no negócio, na
tecnologia, nos concorrentes
• Interdependência entre projetos
• Processo dirigido pelo negócio e pelos clientes
• Desenvolvimento de solução para o que for
necessário, com a tecnologia existente
Gerenciamento de Riscos Empresariais Walther Krause
10. Melhor Relacionamento Melhor Gerência
com o Cliente da Terceirização
Garantia da
Gerência de Riscos
Satisfação
do Cliente
Menor Tempo
para o Mercado
Redução do Redução do Custo
Retrabalho da Manutenção
Aumento da Produtividade
Melhora da Qualidade
Gerenciamento de Riscos Empresariais Walther Krause
11. Projeto
Projeto
Gerente do Projeto Gerente do Projeto
ANTES DEPOIS
Gerenciamento de Riscos Empresariais Walther Krause
12. E tudo muda …
Agenda
Pode-se regulamentar as incertezas ???
Paradigmas do gerenciamento de riscos
Os modelos de referência
GRE – mundo dos negócios e dos projetos
E agora ? Por onde começar ???
Gerenciamento de Riscos Empresariais Walther Krause
13. 1946 ISO (International Organization for Standardization)
1966 Auditoria Analítica – Skinner / Anderson - Canadá
1991 FDICIA (Federal Deposit Insurance Corporation Improvement
Act) e CADBURY (Internal Control and Financial Reporting) no
Reino Unido
1992 COSO (Committee of Sponsoring Organizations of the Treadway
Commission)
1994 KON TRAG (Controle e transparência das empresas alemãs)
1995 CoCo (Canadian Institute of Chartered Accountants' Criteria of
Control Committee) e ANZ 4360 Risk Management (Standards
Australia and New Zealand)
1996 COBIT (Control Objectives for information and Related
Technology)
1997 G – 30 (The Group of Thirty)
1998 BASILEIA (Mercado Financeiro)
1999 TURNBULL (Controle e transparência para Bolsa de Londres)
2001 BASILEIA 2 (Mercado Financeiro)
2002 SARBANES-OXLEY e Standarts do PCAOB
2004 Nova edição do COSO. Versão final: 09/2004
Gerenciamento de Riscos Empresariais Walther Krause
14. Código Civil
Código Penal Regulamentos
Instituições Financeiras
Banco Central (3380, 2817, 2554, ...), Susep 249...,
CGPC 13 ; Basiléia II ;PCI/DSS, BITS, PQO/BM&F,
Anbid
Mercado de Capitais
CVM (358, ...), Sarbanes Oxley
Governo
Decretos 4553, 3505, TCU
Receita e Fazenda
Receita Federal,
Nota Fiscal Eletrônica
Saúde
Hippa, Resoluções CFM
Gerenciamento de Riscos Empresariais Walther Krause
15. Modelos
Segurança da Informação
ISO 17799, ISO 27001
Gestão de TI
Cobit, Itil, ISO 20000
Gestão da Continuidade do Negócio
BS 25999
Gestão de Riscos
COSO, ISO Guia 73, AS/NZS 4360, ‘ISO 31000’
Avaliação de Fornecedores
eSCM
Desenvolvimento de Sistemas
CMMi, ISO 15408
Gerenciamento de Projetos
PMBok
Gerenciamento de Riscos Empresariais Walther Krause
16. E tudo muda …
Agenda
Pode-se regulamentar as incertezas ???
Paradigmas do gerenciamento de riscos
Os modelos de referência
GRE – mundo dos negócios e dos projetos
E agora ? Por onde começar ???
Gerenciamento de Riscos Empresariais Walther Krause
17. O que é o risco ?
O que é o risco ?
Risco é um evento potencial que pode afetar o
Risco é um evento potencial que pode afetar o
resultado esperado de determinado objetivo.
resultado esperado de determinado objetivo.
O que é o gerenciamento de riscos ?
O que é o gerenciamento de riscos ?
Processo sistemático de identificação, análise e
Processo sistemático de identificação, análise e
respostas aos riscos. Isso inclui maximizar a
respostas aos riscos. Isso inclui maximizar a
probabilidade e as conseqüências de eventos
probabilidade e as conseqüências de eventos
positivos
positivos e e minimizar
minimizar a a probabilidade
probabilidade ee
conseqüências que eventos adversos possam trazer
conseqüências que eventos adversos possam trazer
aos objetivos da organização.
aos objetivos da organização.
Gerenciamento de Riscos Empresariais Walther Krause
18. De velhos paradigmas Para novos paradigmas
• Avaliação de riscos é eventual • Avaliação de riscos é uma
atividade contínua
• Auditoria Interna é responsável por • Todos devem aplicar o
verificar controles e riscos gerenciamento de riscos
• O gerenciamento de riscos é • Avaliação e controle de riscos
departamental possuem metodologia corporativa
• Controles com foco em riscos • Controles com foco em garantir a
financeiros sustentabilidade do negócio
• Inspecionar, detectar e reagir aos • Antecipar e prevenir riscos
riscos • monitorar controles em um
processo contínuo.
Gerenciamento de Riscos Empresariais Walther Krause
20. Gerenciamento de Riscos
Empresariais - GRE
Estratégia
Empresarial
Gerenciamento de Riscos Empresariais Walther Krause
21. Respostas ao Risco
Prevenção
Prevenção
Transferência
Transferência
Mitigação
Mitigação
Aceitação
Aceitação
Gerenciamento de Riscos Empresariais Walther Krause
22. Controles
Padronizados Monitorados
Monitorados
Padronizados
As atividades de controle estão Controles padronizados eetestados
Controles padronizados testados
As atividades de controle estão
documentadas eepadronizadas. periodicamente. Os resultados dos
periodicamente. Os resultados dos
documentadas padronizadas.
testes são reportados ààgerência.
testes são reportados gerência.
Informais
Informais Otimizados
Otimizados
Existem controles mas eles
Existem controles mas eles Sistemas integrados, há
Sistemas integrados, há
não estão adequadamente
não estão adequadamente monitoramento em tempo real ee
monitoramento em tempo real
documentados.
documentados. aprimoramento contínuo.
aprimoramento contínuo.
Não Confiáveis
Não Confiáveis
Ambiente Imprevisível.
Ambiente Imprevisível.
Não há sistema
Não há sistema
de informação integrado.
de informação integrado.
Gerenciamento de Riscos Empresariais Walther Krause
23. Análise de Valor
Alto
Risco
(impacto x
probabili Médio
dade)
Baixo
Baixo Médio Alto
Valor para o Negócio
Gerenciamento de Riscos Empresariais Walther Krause
26. E tudo muda …
Agenda
Pode-se regulamentar as incertezas ???
Paradigmas do gerenciamento de riscos
Os modelos de referência
GRE – mundo dos negócios e dos projetos
E agora ? Por onde começar ???
Gerenciamento de Riscos Empresariais Walther Krause
27. COSO
Objetiva determinar se Controles Internos
o controle interno está sobre Relatórios
adequadamente Financeiros – SOX 404
desenhado e
monitorado
As políticas e
procedimentos que
ajudam a assegurar
que as ações
identificadas para
O processo que gerenciar riscos são
assegura que executadas
informações tempestivamente
relevantes são
identificadas e
comunicadas
tempestivamente
Avaliação em Nível de Entidade
(Controles de Governança)
A avaliação dos
fatores internos e
externos que têm Cultura de controle
impacto no de uma organização.
desempenho de
uma organização
Gerenciamento de Riscos Empresariais
Fonte: Deloitte – Seminário IBGC - 2004
Walther Krause
28. AS/NZS 4360 – ISO 31.000
Estabelecimento do Contexto
Comunicar e Consultar
Processo de Risco
Monitorar e Rever
Identificação do Risco
Análise do Risco
Avaliação do Risco
Tratamento do Risco
Gerenciamento de Riscos Empresariais Walther Krause
29. COBIT IT PROCESSES DEFINED WITHIN THE FOUR DOMAINS
PO1 define a strategic IT plan
BUSINESS OBJECTIVES PO2 define the information architecture
PO3 determine the technological direction
PO4 define the IT organisation and relationships
PO5 manage the IT investment
PO6 communicate management aims and direction
COBIT PO7 manage human resources
PO8 ensure compliance with external requirements
PO9 assess risks
M1 monitor the processes PO10 manage projects
M2 assess internal control adequacy PO11 manage quality
M3 obtain independent assurance
M4 provide for independent audit
INFORMATION
•effectiveness
PLANNING &
•efficiency
•confidentiality ORGANISATION
MONITORING •integrity
•availability
•compliance
•reliability
DS1 define service levels IT RESOURCES
DS2 manage third-party services
DS3 manage performance and capacity •People
DS4 ensure continuous service •application systems
DS5 ensure systems security •technology
DS6 identify and attribute costs •facilities
ACQUISITION &
DS7 educate and train users •data
DELIVERY & IMPLEMENTATION
DS8 assist and advise IT customers
DS9 manage the configuration SUPPORT
AI1 identify solutions
DS10 manage problems and incidents
AI2 acquire and maintain application software
DS11 manage data
AI3 acquire and maintain technology architecture
DS12 manage facilities
AI4 develop and maintain IT procedures
DS13 manage operations
AI5 install and accredit systems
AI6 manage changes
Gerenciamento de Riscos Empresariais Walther Krause
30. PMBOK
Planejamento Controle
Plano de Ações corretivas
Gerenciamento
de Riscos
Riscos
identificados
Classificação Solicitações
qualitativa de alterações
dos riscos
Classificação
quantitativa
dos riscos Atualizações
Plano de do plano e
Respostas das listas
a Riscos
Gerenciamento de Riscos Empresariais Walther Krause
31. E tudo muda …
Agenda
Pode-se regulamentar as incertezas ???
Paradigmas do gerenciamento de riscos
Os modelos de referência
GRE – mundo dos negócios e dos projetos
E agora ? Por onde começar ???
Gerenciamento de Riscos Empresariais Walther Krause
32. GRE – mundo dos negócios e dos projetos
A segunda edição da pesquisa “In the dark”, realizada pela Deloitte,aponta a
gestão adequada dos riscos não-financeiros como uma preocupação crescente
segundo os executivos participantes.
Gerenciamento de Riscos Empresariais Walther Krause
33. GRE – mundo dos negócios e dos projetos
Level 1 Level 2 Activity Groups
Corporate Finance
Mergers and acquisitions, underwriting, privatisations, securitisation,
Municipal/Government Finance
Corporate Finance research, debt (government, high yield), equity, syndications, IPO,
Merchant Banking
secondary private placements
Advisory Services
Sales
Fixed income, equity, foreign exchanges, commodities, credit, funding,
Market Making
Trading & Sales own position securities, lending and repos, brokerage, debt, prime
Proprietary Positions
brokerage
Treasury
Retail Banking Retail lending and deposits, banking services, trust and estates
Private lending and deposits, banking services, trust and estates,
Retail Banking Private Banking
investment advice
Card Services Merchant/commercial/corporate cards, private labels and retail
Project finance, real estate, export finance, trade finance, factoring,
Commercial Banking Commercial Banking
leasing, lending, guarantees, bills of exchange
Payment and Settlement External Clients Payments and collections, funds transfer, clearing and settlement
Escrow, depository receipts, securities lending (customers) corporate
Custody
actions
Agency Services
Corporate Agency Issuer and paying agents
Corporate Trust
Discretionary Fund Management Pooled, segregated, retail, institutional, closed, open, private equity
Asset Management Non-Discretionary Fund
Pooled, segregated, retail, institutional, closed, open
Management
Retail Brokerage Retail Brokerage Execution and full service
Processos de Negócios Linhas de Negócio
Estrutura Organizacional
Gerenciamento de Riscos Empresariais Walther Krause
34. PMI - Portfolio Management
Visão
RISK!
Missão
Estratégia & Objetivos
RISK!
Corporativos
RISK! Planejamento
Planejamento &
& Gerenciamento RISK!
Gerenciamento
do Portfolio
das Operações
de Projetos
RISK! Gerenciamento Gerenciamento de RISK!
Técnico das Operações Programas & Projetos
(atividades recorrentes) (atividades inovadoras)
Gerenciamento de Riscos Empresariais Walther Krause
35. Riscos da Organização
Ambiente Externo Ambiente Interno Riscos
Concorrência Pessoas Projetos
Consumidor Processos Financeiros
Regulatório Operacional
Informação Tecnologia
Financeiros
Econômico Integridade Operacionais
Investimentos Mudanças Compliance
Fontes de Risco
Gerenciamento de Riscos Empresariais Walther Krause
36. Ambiente Externo
Leis & Regulamentação
Concorentes
Exigências de clientes
…...
Por quê?
de me tas
Indicadores
Mo I
O que?
de
Pode
KP
lo - Pr
Análise
de oc
melhorar?
’s
Benc mento do
Qu
Ma ess
ão
king
tu os
an
icaç
rid
tifi
Ambiente interno
hmar
ad
ca
tif
e
Ética & Cultura
eci
çã
Iden Missão & Visão
Conh
o
Práticas Industriais
Pessoas
Mo Tecnologia
o
to
ss
n
en
Co itoram
…...
e
uc
m
mu
eS
ata
nic ento
sd
Tr
açã &
ico
o Como?
rít
KPI
sC
’s
Gui - Proc
re
a de
to
Como e
Aud ssos
Fa
itor
estamos? ia
Gerenciamento de Riscos Empresariais Walther Krause
40. Processos = COSO +
ISO 31.000
Gerenciamento de Riscos Empresariais Walther Krause
41. VISÃO SISTÊMICA E DE PROCESSOS
INFLUÊNCIAS AMBIENTAIS GERAIS governo
economia
sociedade
área / área / área /
departamento departamento departamento
1 2 3
PROVEDORES
DE RECURSOS
Sistema
Receptor
/ Mercado
OUTRAS ORGANIZAÇÕES
Gerenciamento de Riscos Empresariais Walther Krause
43. Mapas Estratégicos e Riscos
Melhorar o Valor p/ Acionistas
Rever a Estraté gia de
Perspectiva Crescimento Valor Acionista Estraté gia de Produtividade
ROCE/ROI/E VA
Financeira Riscos/ Riscos/controles
Aumentar Valor p/ Melhorar a
Novos Produtos o Controles estrutura
Melhorar o uso
de ativos
Cliente de custos
Revisão de fontes Ganhos p/ Custo por Uso de Ativos
Clientes unidade
Riscos Riscos/controles
Atração de Clientes
Retenção de ClientesFatia de Mercado Riscos/
Liderança no Produto Controles
P roximidade c/ Cliente
Perspectiv Excelência Operacional
Proposta de Valor p/ Cliente
a
Atributos Produto/Serviço Relacionament Imagem
o
Clientes P reç o
Qualid
Tempo Funç ão
Serviç Relaç õe
Marca Riscos/controles
ade o s
Satisfação do Cliente
Riscos Riscos/controles
“Novos Produtos” “Aumentar o “Alcanç ar a “Seja um bom
V alor p/ o excelência vizinho”
Perspectiva Cliente” operacional
(Processos de (Processos de (Processos (Normas e
Processos Inovação) gerenciamento operacionais Processos
dos Clientes e logística) Ambientais
internos
Riscos/Controles Riscos/controles Riscos Riscos
Perspectiva Trabalhadores motivados e preparados
Aprendizado &
Competências Tecnologias Clima para
Crescimento E straté gicas E straté gicas Aç ão
Fonte: Pedro Figueiredo - Petrobras
Gerenciamento de Riscos Empresariais Walther Krause
44. E tudo muda …
Agenda
Pode-se regulamentar as incertezas ???
Paradigmas do gerenciamento de riscos
Os modelos de referência
GRE – mundo dos negócios e dos projetos
E agora ? Por onde começar ???
Gerenciamento de Riscos Empresariais Walther Krause
46. Caso BANCO DO BRASIL
Gerenciamento de Riscos Empresariais Walther Krause
47. Modelo Geral
Comitê de Auditoria ou
Comitê de Risco
CEO &
Executivos
Estrutura de Governança
Comitê de Ativos Diretor Financeiro
Comitê de Risco de Crédito Diretor de Crédito
Risco Operacional & Diretor de Risco
Comitê de Atendimento Operacional &
Regulatório de Atendimento
Regulatório
Auditor Interno
Líderes de Unidades de Negócio e Coordenadores de Risco
Gerenciamento de Riscos Empresariais Walther Krause
48. Modelo Funcional
• Missão e Valores • Objetivos
Estratégico
• Análise Compet. Estratégicos
• Pos. Estratégico Gestão estratégica
• Swot Analysis • Riscos do
de riscos Negócio Sub-Comitê
(Diretoria e Gestão
• Mapa Estratégico Alta Gerência) • Riscos das
• FCS e Riscos de Estratégica
Iniciativas
Negócio
• Iniciativas (Plano de
Ação)
• Visão consolidada riscos
• Plano Ação unificado
• Business Plan • Plano Ação revisado • Relatórios não conformidade
• Metas e indicadores • Visão consolidada
Gerencial
• Painel Executivo dos riscos por Área
• Gestão Projetos
• Árvore de Riscos • Relatórios não
(Objetivos e • Identificação, conformidade
Iniciativas) Avaliação e
Planos de ação Gestão
riscos
Gerência • Auto-avaliação Operacional Auditoria
Áreas de riscos
Operacional
• Mapa Riscos • Controle Riscos
Área • Identificação
• Itens controle Operação /Revisão Riscos
• Plano de Ação
Fontes: Enterprise risk management – Framework (COSO),
Gerenciamento de Riscos Empresariais Walther Krause
49. Plano de Trabalho
Primeiro Ano Segundo Ano
Estruturação da área de Criação de
Governança e da área de
Estruturação Processos
Governança e Processos Comitês de
Criação de
Corporativos
Corporativos Risco
Comitês de Risco
s ossec o Poãçaz na g O
r
Aprimoramento da
Aprimoramento da metodologia de Desenvolvimento do Modelo de Gestão
metodologia de Risco Desenvolvimento do Modelo de Gestão Integrada de Riscos
Integrada de Riscos
Gestão de Gestão de
i
Risco
Indicadores de
Indicadores de
desempenhoee
desempenho
qualidade
qualidade
r
Definição da
Definição da Implantação Aprimoramento
ferramenta
ferramenta Implantação Aprimoramento
sa osse P a go once T
i l
Gestão da Mudança (capacitação, motivação)
Gestão da Mudança (Programas de treinamento, conscientização, recompensas, incentivos, etc.)
Gerenciamento de Riscos Empresariais Walther Krause
50. Referências
COSO - The Committee of Sponsoring Organizations of the
Treadway Commission (http://www.coso.org/key.htm)
STANDARDS AUSTRALIA, Standards Australia AS/NZS
4360 Risk Management, Standards Australia, Sydney, 1999.
PMBOK. 3rd.Edition. PMI Standards Committee. A Guide to
the Project Management Body of Knowledge, PMI Publishing
Division, Philadelphia, USA.2004
BERNSTEIN, P.L., Desafios aos Deuses, Elsevier, 1997.
Gerenciamento de Riscos Empresariais Walther Krause