Contenu connexe
Similaire à Elo Group Modernizando A AplicaçãO De Matrizes De Risco Orientado A Grc
Similaire à Elo Group Modernizando A AplicaçãO De Matrizes De Risco Orientado A Grc (20)
Elo Group Modernizando A AplicaçãO De Matrizes De Risco Orientado A Grc
- 2. Risk and Control Self Assessment, na teoria
Pegar print screen de modelo de referência
AS/NZS 4360
© ELO Group. Todos direitos reservados
- 3. Risk and Control Self Assessment, na prática
Documentação excessiva armazenada na gaveta
Percepção generalizada de que os benefícios gerados não compensaram os esforços
realizados
Diversas demandas de automações paradas em TI, sem uma priorização devida
Grande risco de desatualização da documentação
Inexistência de um link efetivo entre a documentação e os procedimentos da organização
Evidências
• “Form filling exercise”
• “We already have internal audit, not to mention external audit and regulatory
inspections, so I don’t understand why we need another layer of review – it’s a waste of
time” - Business Unit Head
• “You see, not only do we have to complete an operational risk CSA, we are now
required to complete a compliance CSA, information security CSA, business continuity
CSA, etc. We are really overdoing this and I have no idea what value the CSA is giving us”
Business Unit Head
A ferramenta é inefetiva ou está sendo mal utilizada ?
© ELO Group. Todos direitos reservados
- 4. Como uma organizações encara seus
riscos?
Risco de Risco de
Risco de Risco de
Confiabilidade Tecnologia
Mercado Crédito
de Equipamentos da Informação
Risco de Risco de
Risco Risco de
Segurança Compliance
Regulatório Fraude
da Informação Interna
Risco Risco do Risco de
Risco Político
Estratégico Negócio Terceiros
Risco de Risco de Risco de
Risco de
Interrupção das Insatisfação Insatisfação
Processos
Atividades Dos Clientes Dos funcionário
Risco de Risco de
Risco de Risco de
Danos ao Confiabilidade
Modelos Projetos
Patrimônio De Relatórios
© ELO Group. Todos direitos reservados
- 5. Como os riscos efetivamente se
manifestam na organização
Falta de Reputação
Compras não
segregação de danificada
autorizadas
tarefas
Falta de plano de Cortes de
Falha na recuperação de orçamento
implantação da desastre
estratégia Baixa habilidade de
Sanções gestão de projetos
Legais e
multas
Questões de clientes Acordos de nível
Baixa não são resolvidas no de serviço não
segurança tempo adequado são atingidos
Bugs em
física
softwares não
identificados Precificação do
produto
inadequada Equipe
Clientes atrasam Vazamento de
insuficiente
treinamento no capital
produto intelectual
Perda de
participação no
mercado
© ELO Group. Todos direitos reservados
- 6. Agenda
1. Aprimore seu conceito de riscos
2. Aprimore seu conceito de controle
3. Aprimore seu conceito de Apetite
4. Inove seu sistema de rating de risco
5. Estratégia de Gestão de Riscos
6. Agregue Riscos Rumo a Uma Visão de ERM
7. Implemente Nível de Alerta para Integrar CSAs com KRIs, bases de
perdas e testes de controles
© ELO Group. Todos direitos reservados
- 8. Situação Atual
Definição ISO 31000 e ISO Guide 73
• Risco: Efeito da incerteza sobre os objetivos
NOTA 1 - Um efeito pode ser positivo, negativo ou um desvio do
esperado
NOTA 2 - Um objetivo pode ser financeiro, relacionado a saúde e
segurança, ou definido em outros termos.
NOTA 3 – Um risco é (freqüentemente) descrito por um evento (ou
um conjunto de circunstâncias), uma conseqüência ou uma
combinação destes e como eles afetam o alcance dos objetivos
NOTA 4 – Um risco pode ser expressado como a combinação das
conseqüências de um evento, ou mudanças de uma circunstância, e
sua probabilidade
• BACEN 3380:
“A possibilidade de ocorrência de perdas resultantes de falha, deficiência
ou inadequação de processos internos, pessoas e sistemas, ou de eventos
externos”
© ELO Group. Todos direitos reservados
- 9. A evolução do conceito de risco
© ELO Group. Todos direitos reservados
- 10. Aprimorando o conceito de risco
Toda organização possui milhares de problemas e incertezas. Chamar algo de risco
significa delimitar quais os problemas críticos que devem ser analisados de forma
estruturada e monitorados de forma sistemática;
Monitorar mil riscos, significa ter mil grandes preocupações que devem ser
gerenciadas de forma estruturada. A grande maioria das organizações não deveria
ter este tipo de necessidade;
É como se a palavra riscos fosse uma etiqueta para “marcar” quais são as grandes
preocupações e incertezas que devem fazer parte da agenda dos executivos;
Deve-se evitar que um problema simples seja elevado ao nível de risco e demande
tempo da escassa agenda dos gestores e decisores da organização;
Alternativamente, pode-se pensar numa diferenciação entre - riscos ativos e
inativos - ou - riscos e riscos fantasmas - para distinguir os riscos de baixa
probabilidade e severidades que devem ser sistematicamente monitorados
© ELO Group. Todos direitos reservados
- 11. Separando os problemas...
““The fallacy is this: under the assumption
Auditoria that you are in a central position, you
Presidência presume that if something serious were
Interna
happing, you would know about it.”
Managing the Unexpected
Diretoria de Diretoria de Diretoria de Diretoria de
negócio 1 negócio 2 negócio 3 negócio 4
Segurança da
RH
Informação
Comunicação Área de Área de Área de Área de
Ouvidoria
e marketing negócio 1.1 negócio 2.1 negócio 3.1 negócio 4.1
Financeiro/ Análise de
Controladoria riscos Área de Área de Área de Área de
Segurança negócio 1.2 negócio 2.2 negócio 3.2 negócio 4.2
Tesouraria
ambiental Área de Área de Área de Área de
Gestão Controles negócio 1.3 negócio 2.3 negócio 3.3 negócio 4.3
de Risco Internos
Área de Área de Área de Área de
Jurídico Manutenção negócio 1.4 negócio 2.4 negócio 3.4 negócio 4.4
Gestão de Segurança Área de Área de Área de Área de
contratos Física negócio 1.5 negócio 2.5 negócio 3.5 negócio 4.5
Escritório de Comitê de
Área de Área de Área de Área de
Projetos ética
Tecnologia da negócio 1.6 negócio 2.6 negócio 3.6 negócio 4.6
Compliance
Informação
Comunicação Continuidade
e Marketing do negócio © ELO Group. Todos direitos reservados
- 12. … dos riscos da organização
“The fallacy is this: under the assumption that you
Auditoria are in a central position, you presume that if
Presidência something serious were happing, you would know
Interna
about it.”
Managing the Unexpected
Diretoria de Diretoria de Diretoria de Diretoria de
negócio 1 negócio 2 negócio 3 negócio 4
Segurança da
RH
Informação
Comunicação Área de Área de Área de Área de
Ouvidoria
e marketing negócio 1.1 negócio 2.1 negócio 3.1 negócio 4.1
Financeiro/ Análise de
Controladoria riscos Área de Área de Área de Área de
Segurança negócio 1.2 negócio 2.2 negócio 3.2 negócio 4.2
Tesouraria
ambiental Área de Área de Área de Área de
Gestão Controles negócio 1.3 negócio 2.3 negócio 3.3 negócio 4.3
de Risco Internos
Área de Área de Área de Área de
Jurídico Manutenção negócio 1.4 negócio 2.4 negócio 3.4 negócio 4.4
Gestão de Segurança Área de Área de Área de Área de
contratos Física negócio 1.5 negócio 2.5 negócio 3.5 negócio 4.5
Escritório de Comitê de
Área de Área de Área de Área de
Projetos ética
Tecnologia da negócio 1.6 negócio 2.6 negócio 3.6 negócio 4.6
Compliance
Informação
Comunicação Continuidade
e Marketing do negócio © ELO Group. Todos direitos reservados
- 14. O risco do cumprimento inadequado do
orçamento
140%
120%
100%
Orçamento Previsto
% de Execução Do
80%
60%
40%
2 4 6 8 10 12
Meses ao longo do ano
© ELO Group. Todos direitos reservados
- 15. Tratamento do risco do cumprimento
inadequado do orçamento
140%
120%
100%
Orçamento Previsto
controle
% de Execução Do
80%
60%
controle
40%
controle
2 4 6 8 10 12
Meses ao longo do ano
© ELO Group. Todos direitos reservados
- 16. Situação Atual
COSO Internal Control – “Controle interno é um processo, efetivado pelo
Board de diretores, gerência e outras pessoas de uma entidade,
desenvolvido para prover segurança razoável com respeito ao
atingimento de objetivos nas seguintes categorias:
• Eficácia e eficiência de operações
• Confiabilidade de relatórios financeiros
• Compliance com leis e regulamentações”
Coco Model – “Controle compreende os elementos de uma organização
(incluindo os seus recursos, sistemas, processos, culturas, estrutura e
tarefas) que, tomados em conjunto, apóiam pessoas no atingimento dos
objetivos da organização.”
© ELO Group. Todos direitos reservados
- 17. Aprimorando seu conceito de controle
Controles devem ser entendidos como qualquer prática ou ação que ajude a tratar
riscos ampliando a visão tradicional de atividades ou procedimentos realizados
• (Adaptado de The Institute of Internal Auditors)
Controles devem ser entendidos como o método encontrado para tornar
MODELÁVEL, PASSÍVEL DE ANÁLISE E AUDITÁVEL , a forma como uma
organização entende e atende aos requisitos de seus stakeholders;
Modelar as práticas de uma organização a partir do objeto controle reduz
significativamente o GRAU DE EXPOSIÇÃO que os executivos possuem para
assumir responsabilidades e gera TRANSPARÊNCIA para uma melhor tomada de
decisão
Modelar as práticas de uma organização a partir do objeto controle atribui grande
ACCOUNTABILITY para os funcionários sobre suas atribuições e responsabilidades
e gera grande TRANSPARÊNCIA para se repensar melhorias nos processos
© ELO Group. Todos direitos reservados
- 19. Apetite e tolerância a riscos
A organização deve definir a quantidade total de risco que deseja assumir ao
buscar os seus objetivos. Essa quantidade total de riscos é chamada de apetite ao
risco.
• Atitude organizacional
• Alta administração
• Stakeholders
O apetite ao risco deve ser articulado em tolerâncias a risco. Essas tolerâncias
representam o quanto a organização está disposta a se expor em relação a um
determinado risco. Uma hierarquia de tolerâncias ao risco deve alinhar-se ao
apetite ao risco
A definição do apetite a risco e a sua articulação em tolerâncias traz os seguintes
benefícios à organização:
• Permite a análise da significância de um determinado risco
• Fornece uma referência quanto à necessidade ou não de tratamento de um determinado risco,
otimizando a aplicação de recursos na gestão de riscos
© ELO Group. Todos direitos reservados
- 20. Escala de severidade
IMPACTO FINANCEIRO
HM Treasury (2006) © ELO Group. Todos direitos reservados
- 21. Escala de severidade
IMPACTO NA PERFORMANCE
IMPACTO FINANCEIRO
IMPACTO REPUTACIONAL
HM Treasury (2006)
HM Treasury (2006)
© ELO Group. Todos direitos reservados
- 22. Aprimore seu conceito de Apetite
Categoria
Baixo Médio Alto
Impacto
Impacto em Impacto em Impacto em
imagem no
imagem em escalaimagem em escala imagem em escala
mercado
municipal estadual nacional
clima Menos de 5 Entre 5 e 50 Mais de 50
organizacional funcionários funcionários funcionários
conformidade Entre R$ 10 e R$ Acima de R$ 50
Até R$ 10
legal 50 mil mil
relacionamento Impacto pontual Impacto com
Perda de cliente
com o cliente sem repercussões repercussões
diferencial Até 3% do Entre 3% e 7% do Acima de 7% do
competitivo mercado mercado mercado
Redução de até Redução entre 1% Redução acima de
eficiência
1% dos custos e 5% dos custos 5% dos custos
operacional
anuais anuais anuais
© ELO Group. Todos direitos reservados
- 25. Aprimorando o rating de riscos
Categoria Categoria
Risco Baixo Médio Alto
Impacto Impacto
Impacto em Impacto em Impacto em
imagem no
imagem em imagem em imagem em
mercado
escala municipal escala estadual escala nacional
clima Menos de 5 Entre 5 e 50 Mais de 50
Risco
organizacional funcionários funcionários funcionários
conformidade Entre R$ 10 e R$ Acima de R$ 50
Até R$ 10
legal 50 mil mil
Risco 1
relacionamento Impacto pontual Impacto com
Perda de cliente
com o cliente sem repercussões repercussões
diferencial Até 3% do Entre 3% e 7% do Acima de 7% do
competitivo mercado mercado mercado
Redução de até Redução entre 1% Redução acima de
eficiência
1% dos custos e 5% dos custos 5% dos custos
operacional
anuais anuais anuais
© ELO Group. Todos direitos reservados
- 26. 5 - Crie uma
Estratégia de
Gestão de Riscos
- 27. Situação Atual
Freqüência de análise
Anual
Número de riscos analisados
Control
1000 Self Asessment
Tradicional
5 minutos 30 minutos
Tempo de análise / risco
© ELO Group. Todos direitos reservados
- 28. Criando uma estratégia de gestão de riscos
Freqüência de análise
Semestral Bimestral
MATRIZ HIGH LEVEL
o com o cliente
organizacional
relacionament
conformidade
competitivo
operacional
imagem no
diferencial
eficiência
mercado
clima
legal
Área Processos Rating Ranking
Número de riscos analisados
Contas a pagar Médio Baixo Médio Baixo Baixo Baixo 14 9
Financeiro Fechamento contábil Baixo Baixo Alto Baixo Baixo Baixo 24 4
Contas a receber Médio Médio Baixo Baixo Baixo Baixo 14 10
Produção Médio Médio Baixo Alto Alto Baixo 30 3
Operacional Logística Médio Médio Baixo Médio Alto Baixo 24 5
Estratégia RH
PCP
Recrutamento e seleção
Retenção de recursos
Baixo
Alto
Médio
Baixo
Médio
Alto
Baixo
Baixo
Baixo
Médio
Médio
Médio
Médio
Alto
Alto
Baixo
Médio
Alto
12
32
44
11
2
1
Cargos e salários Médio Baixo Baixo Baixo Médio Alto 20 8
de Gestão Vendas
Comercial Prospecção
Marketing
Alto
Médio
Alto
Médio
Baixo
Baixo
Baixo
Baixo
Baixo
Baixo
Baixo
Baixo
Médio
Baixo
Alto
Baixo
Baixo
Baixo
22
10
24
7
12
6
1000 de Riscos
imagem no clima conformidade relacionamento diferencial eficiência
mercado organizacional legal com o cliente competitivo operacional
RISCOS
Risco Rating Status Processos Sev. Prob. Sev. Prob. Sev. Prob. Sev. Prob. Sev. Prob. Sev. Prob.
Perda de conhecimento técnico para Em
45 Gestão de RH Alta Média Média Média Baixa Média Alta Média
concorrentes monitoração
Aumento de custos por elevação de Produção; Gestão de
65 Em tratamento Média Média Alta Média Baixa Baixa Média Média
preço de matéria-prima Recursos
Control Revisão de processos visando a
otimização
Entrada de concorrentes
117 Em análise Produção Alta Baixa Alta Média Alta Média Alta Alta Alta Baixa Média Média
2 Inativo Comercial Baixa Baixa Média Média Baixa Baixa
estrangeiros
Self
Assessment
100
5 minutos/risco 2 hora / risco
Tempo de análise / risco
© ELO Group. Todos direitos reservados
- 29. 6 - Agregue Riscos
Rumo a Uma Visão
de ERM
© ELO Group. Todos direitos reservados
- 30. Situação atual
R2
R6
R4
R5
R3
R7
R1 ... ... ...
© ELO Group. Todos direitos reservados
- 31. A implantação efetiva do ERM – Enterprise Risk
Management
R1 R2
Risco 1 Risco 2
R2.1
R1.4
R2.2
R1.3
R1.2
R2.3
R1.1 ... ... ...
© ELO Group. Todos direitos reservados
- 32. Gerenciando poucos riscos com qualidade
Cenário Atual Cenário Futuro
R 34
R 34.1
R 34.2
R 34.3
R 34.4
R 34.5
R 34.6
Poucos Riscos para Gerenciar
Muitos Riscos para gerenciar
Dados Organizados
© ELO Group. Todos direitos reservados
- 33. 7 - Implemente Nível
de Alerta para
Integrar CSAs com
KRIs, Bases de Perdas
e Testes de Controles
© ELO Group. Todos direitos reservados
- 34. Situação Atual
Base de Perdas KRIs
Testes de Controles
Control Self Assessment
Avaliação Risco
Riscos Estrutura de Controles Internos Tipo de controle Design Performance Plano de Ação
Inerente
A solicitação de compra é analisada e aprovada pelo
proprietário do Centro de Custo apoiado pelo sistema
Detectivo
Compras, de acordo com a divisão de
responsabilidades da empresa
Solicitação de compra de um A elaboração do orçamento da área solicitante define
produto ou serviço B em linhas gerais quais bens devem ou não ser Preventivo S S
desnecessário adquiridos.
Em caso de solicitação de um ativo fixo para a
empresa, esta é analisada e aprovada pela Área de
Detectivo
gestão de ativos, de acordo com a Política de
Compras
A solicitação de compra é analisada e aprovada pelo
proprietário do Centro de Custo apoiado pelo sistema
Detectivo
Compras, de acordo com a divisão de
responsabilidades da empresa
Especificação técnica Formalização das especificações
inadequada do material/serviço M A solicitação de compra é revisada pela área de R I técnicas ideais na Política de
solicitado compras que busca interagir com o solicitante a fim Compras
de compreender o que realmente deve ser adquirido.
Detectivo
Em caso de dúvidas por parte do fornecedor,
esclarecimentos por parte do solicitante serão
necessários.
A solicitação de compra é revisada pela área de
compras que busca interagir com o solicitante a fim
Entendimento incorreto por
de compreender o que realmente deve ser adquirido.
Compras da especificação B Em caso de dúvidas por parte do fornecedor,
Detectivo S R
detalhada pela área Solicitante
esclarecimentos por parte do solicitante serão
necessários.
A Política de Compras foi estabelecida para
determinar o correto procedimento das cotações de Preventivo
Realização de compras de produtos a serem adquiridos pela empresa.
fornecedores que não ofereçam
serviços/produtos pelo melhor A O pré-cadastro de fornecedores é monitorado pela S S
preço dada a especificação de área de Compras, no sistema de Compras, para
qualidade. garantir o conhecimento do comportamento histórico
Preventivo
de um determinado fornecedor para com seus
compromissos no que tange o prazo e a qualidade
dos produtos.
© ELO Group. Todos direitos reservados
- 35. Implemente Nível de Alerta para Integrar CSAs
com KRIs, bases de perdas e testes de controles
Base de Perdas KRIs
Testes de Controles
Control Self Assessment Nível de
Riscos
Avaliação Risco
Inerente
Estrutura de Controles Internos Tipo de controle Design Performance Plano de Ação
alerta Plano de Ação
A solicitação de compra é analisada e aprovada pelo
proprietário do Centro de Custo apoiado pelo sistema
!
Detectivo
Compras, de acordo com a divisão de
responsabilidades da empresa
Solicitação de compra de um A elaboração do orçamento da área solicitante define
produto ou serviço B em linhas gerais quais bens devem ou não ser Preventivo S S
desnecessário adquiridos.
Em caso de solicitação de um ativo fixo para a
empresa, esta é analisada e aprovada pela Área de
Detectivo
gestão de ativos, de acordo com a Política de
Compras
A solicitação de compra é analisada e aprovada pelo
!
proprietário do Centro de Custo apoiado pelo sistema
Detectivo
Compras, de acordo com a divisão de
responsabilidades da empresa
Especificação técnica Formalização das especificações Formalização das especificações
inadequada do material/serviço M A solicitação de compra é revisada pela área de R I técnicas ideais na Política de técnicas ideais na Política de
solicitado compras que busca interagir com o solicitante a fim Compras Compras
de compreender o que realmente deve ser adquirido.
Detectivo
Em caso de dúvidas por parte do fornecedor,
esclarecimentos por parte do solicitante serão
necessários.
A solicitação de compra é revisada pela área de
compras que busca interagir com o solicitante a fim
Entendimento incorreto por
de compreender o que realmente deve ser adquirido.
Compras da especificação B Em caso de dúvidas por parte do fornecedor,
Detectivo S R
detalhada pela área Solicitante
esclarecimentos por parte do solicitante serão
necessários.
!
A Política de Compras foi estabelecida para
determinar o correto procedimento das cotações de Preventivo
Realização de compras de produtos a serem adquiridos pela empresa.
fornecedores que não ofereçam
serviços/produtos pelo melhor A O pré-cadastro de fornecedores é monitorado pela S S
preço dada a especificação de área de Compras, no sistema de Compras, para
qualidade. garantir o conhecimento do comportamento histórico
Preventivo
de um determinado fornecedor para com seus
compromissos no que tange o prazo e a qualidade
dos produtos.
© ELO Group. Todos direitos reservados