Gestão de Riscos Abordagem Prática€¦ · Gestão de Riscos Não Estruturada Para lidar com...
Transcript of Gestão de Riscos Abordagem Prática€¦ · Gestão de Riscos Não Estruturada Para lidar com...
Gestão de Riscos
Abordagem Prática
Igor Rocha Ferreira MSc., PMP, CRMA, CoBIT
Agenda
● Breve Histórico da Gestão de Riscos
● As Organizações, seus Segmentos e Processos
● Maturidade de Gestão de Riscos
● Transição para a Gestão Integrada
● A Integração das Linhas de Defesa
● Dados Recentes
● Exemplos
Breve Histórico
Fonte: CIRRELT 2013 - 17– Montreal Canada
2
3
4
Criação da Basileia I e a implantação
do primeiro departamento de gestão
de riscos em um banco
2
Falência da gigante Enron e posterior
resposta do Governo Americano com
a criação da Sarbanes Oxley
3
Lançamento da Basiléia III
4
Grande desenvolvimento nos
instrumentos financeiros e métodos de
avaliação quantitativa destes
instrumentos
1
1
Definições Importantes Definição de Risco1
● Costuma-se entender “risco” como possibilidade de “algo não dar certo”, mas seu conceito atual envolve a
quantificação e qualificação da incerteza , tanto no que diz respeito às “perdas” como aos “ganhos”, com
relação ao rumo dos acontecimentos planejados, seja por indivíduos, seja por organizações.
Resposta ao Risco2
● Evitar – Descontinuar aquelas atividades que geram os riscos.
● Mitigar / Reduzir – São adotadas medidas para reduzir a probabilidade / impacto dos riscos.
● Compartilhar / Transferir – Compartilhamento ou transferência do risco.
● Aceitar – Nenhuma medida é adotada para afetar a probabilidade ou o grau de impacto dos riscos.
Apetite a Risco2
● O apetite a risco é a quantidade de riscos, no sentido mais amplo, que uma organização está disposta a
aceitar em sua busca para agregar valor.
Atividades de Controle2
● As atividades de controle contribuem para assegurar que as respostas sejam executadas. Compreendem
aprovação, autorização, verificação, reconciliação e revisão do desempenho operacional, da segurança dos
bens e da segregação de responsabilidades.
Processo de Gestão de Riscos2
● Processo desenhado para identificar e responder a eventos que possam afetar os objetivos
estratégicos da organização. Contribuir para realização das metas da organização a partir
de um adequado alinhamento entre estratégia e apetite a riscos.
Fonte: 1 – Guia de Orientação para Gerenciamento de Riscos Corporativos – 2007 2 – COSO ERM Gerenciamento de Riscos Corporativos - Estrutura Integrada– 2007
Os Setores
Pessoas
Processos
Tecnologias
Primeiro Setor
Segundo Setor
Terceiro Setor
Administração Pública
Privado
Privado
Recursos Públicos para Fins Públicos
Recursos Privados para Fins Privados
Recursos Privados para Fins Públicos
Planejamento, Operação e Riscos ● As organizações estão expostas a uma ampla gama de riscos e oportunidades
que podem afetar o alcance de seus objetivos estratégicos e sua operação.
Mudanças
regulatórias
Crises políticas
e econômicas
Falhas e erros na
condução das
operações
Interrupção das
operações
Limitações
Orçamentárias
Retenção
e atração dos
talentos
Riscos (ambiente interno e externo)
Ris
co
s (
am
bie
nte
in
tern
o e
ex
tern
o)
Ris
co
s (a
mb
ien
te in
tern
o e
ex
tern
o)
Riscos (ambiente interno e externo)
Onde Riscos e Controles Convivem
Relacionamento Institucional
Gestão de Materiais e Transportes
Tecnologia da Informação
Políticas e Controles
Gestão de Pessoas
Fonte: 1 – http://www.modernizacao.mpf.mp.br/bpm/portfolio/portfolio-de-processos
Gestão Orçamentária e
Financeira
Alçadas
Conciliações
Aprovações Acesso
Gestão de Riscos Não Estruturada
● Para lidar com riscos de modo a aumentar a chance de alcançar resultados
pretendidos, as organizações procuram gerenciar seus riscos adotando desde
abordagens informais até abordagens consistentes e sistematizadas.
Auditoria
Interna
Agentes Externos – Agências Reguladoras, Agências de Rating, Fiscalizadores, Órgãos de Controle
Unidade A Unidade B Unidade C Unidade D
Gestão de
Continuidade
dos Negócios
Conformidade
e Controles
Internos
Tecnologia da
Informação
Legal e
Regulatório
Auditoria
Externa
Supervisão dos Conselhos
Comitê de Auditoria Comitê de Riscos Outros Comitês
Controladoria
Financeira
Fonte figura: EY Brasil
Gestão de Riscos
COSO ERM - Projetado para criar uma “consciência sobre riscos e
controles” por toda a empresa e tornar-se um modelo comum para a
discussão e avaliação de riscos organizacionais o Enterprise Risk
Management Framework (ERM) criado pelo COSO.
ISO 31000 - Estabelece princípios, estrutura e um processo para
gerenciar riscos de forma transparente e sistemática analisando seu
âmbito e contexto. A ISO 31000 fornece ainda os parâmetros para a
gestão de risco, com os princípios e as diretrizes para gerir riscos.
ISO 27001 – Apresenta modelo de definição, implementação,
operação, monitoramento, revisão e gestão de um Sistema de Gestão de
Segurança da Informação.
BS 25999 - Norma Britânica para Gestão da Continuidade do
Negócio, é um conjunto detalhado de regras baseadas nas melhores
práticas englobando todo o seu ciclo de vida.
Gestão de Riscos
Básico
Aversão ao Risco
Em Evolução
Identificação
Estabelecido
Monitoramento
Avançado
Gestão efetiva
Referência
Gestão Integrada
►Gestão pontual dos riscos
►Tipologia dos
riscos não definida
►Ações isoladas de
controle e
mitigação dos
riscos
►Reporte ad-hoc
►Estratégia de
gestão de risco
disseminada
►Políticas de gestão
de risco bem
definidas
►Indicadores-chave
de risco
implementados
►Cálculo da perda /
custo esperado
►Framework
regulatório
certificado
►Modelo de gestão
de risco distribuído
nas Unidades
►Políticas
integradas
►Correlação entre
riscos
►Ferramenta de
gestão de portfólio
►Métricas de retorno
ajustado ao risco
►Alinhamento com
planejamento
estratégico
►Ferramentas
integradas de
gestão de riscos
►Alinhamento entre
as diferentes
funções de riscos
►Estrutura
organizacional
definida
►Riscos
identificados e
definidos (tipologia)
►Sistemática de
auto-avaliação dos
riscos
►Visão qualitativa
►Aderência
regulatória (SOX,
COSO, BIS II)
►Modelos de gestão
de risco distribuído
nas Unidades
►Cálculo da perda /
custo inesperado
►Ferramentas de
modelagem
matemática e de
monitoramento
dinâmico das
metas
►Cálculo do capital
econômico
Tempo
Ma
turi
dad
e
Defina sua Estratégia
1 - Mapear informações relevantes Objetivos estratégicos; Requisitos Legais; Operações; Seguros; Funding; Hedging
2 - Identificar estruturas existentes Processos; Métodos; Sistemas; Pessoas, Riscos; Controles
3 - Realizar diagnóstico de maturidade Informal; Padronizado; Monitorado; Otimizado; Gestão Integrada
4 - Potencializar estruturas existentes Capacitação Interna; Customizações; Redesenho de Processos
5 – Criar novas estruturas Contratações; Aquisições; Novas Implementações
Pontos Chave a Considerar
Gestão Integrada de
Riscos
Buscar Patrocínio
Iniciar Comunicação
Mobilizar as Equipes Realizar
Diagnóstico Inicial e Avaliar a
Maturidade
Desenhar a Visão Futura
e
Implantar Plano de
Ação Projeto Piloto e Transição
para Operação
0,0
0,5
1,0
1,5
2,0
2,5
3,0
1.01 -Conselhos e
CorpoDiretivo
1.02 -Estratégiase Objetivos
1.03 -Políticas e
Procedimentos
1.04 -Estrutura
Organizacional
1.05 -Compliance
2.01 -Cultura
(integridade,valores…
2.02 -Alinhamento
eCoordena…
2.03 -Competênci
as eCapacida…
2.04 -Cargos e
Responsabilidades
2.05 -Comunicaçã
o
3.01 -Identificaçãoe Avaliaçãode Riscos
3.02 -Desenho,
Identificaçãoe…
3.03 -MelhoriaContínua(Desenho…
3.04 -Monitorame
nto eReporte
3.05 -Tecnologia
O Universo de Riscos
Taxonomia para definição do Universo de
Riscos: Evento, Fator, Controle Associado,
Risk Owner, Processo, dentre outros
Indicadores de
Riscos Chave Matriz de
Critérios de
Avaliação de
Riscos
Matriz de Riscos e Controles
Fluxos e narrativas
dos processos de
negócio
Matriz
RACI
Processos x
Sistemas x
Riscos
Processos Atuais
Governança
Universo de
Riscos
Processos,
políticas,
normas.
● Cada organização utiliza o conjunto de ferramentas adequados a sua realidade.
Abaixo, alguns detalhes importantes.
1
2 A Matriz de Critérios de Avaliação de
Riscos deve contemplar diferentes
dimensões com o objetivo de aumentar a
sua abrangência.
3 É muito importante a associação dos
riscos aos processos de negócio bem
como da identificação dos controles
que mitigam estes riscos
O Universo de Riscos
Universo de Riscos 2016 / 2017
Legal e
Regulatório
Segregação de Funções
Comunicação, Imagem e Partes
interessadas Fatores Sócio
Políticos
Planejamento e Alocação de Recursos
Inovação e Tecnologia
Governança
Funding e Hedging
Contabilidade e
Relatórios
Sócio Ambiental
Ativos
Programas e Projetos
Incidentes e Acidentes
Crédito
Liquidez, Ativos e Passivos
Compras e Contratações
Operacional
Recursos Humanos
Conduta e
Ética
Mercado Financeiro
Corrupção e
Fraude
Compliance
Estratégico
Investimento e
Participações
Potencializar estrutura existente
Desenvolver com no curto prazo
Desenvolvimento futuro
● O Universo de Riscos é um conjunto de documentos, fruto do trabalho realizado
com os “donos de processo” e áreas de negócio. Deve ser periodicamente
atualizado e pode ter diferentes estratégias de desenvolvimento e tratamento.
O Processo Integrado Realizar atividades coordenadas para identificar, avaliar, monitorar e responder aos
riscos de negócio contribuindo para alcance dos resultados esperados nas
operações retratadas no planejamento estratégico.”
RISCOS
MonitorarReportar
RISCOS
TratamentoGerenciar
Estratégia de Gestão de Riscos
Governança CompetênciasFunções de
Gerenciamento de Riscos
Processos de Gerenciamento de
RiscosTecnologias
RISCOS
EstratégiaUniverso de Riscos
Governança Métodos e PráticasPessoas
Monitorar
A Integração e os Papéis Internos
Universo de Riscos 2016 / 2017
Legale
Regulatório
Segregação de Funções
Comunicação, Imagem e Partes
interessadasFatores Sócio
Políticos
Planejamento e Alocação de Recursos
Inovaçãoe Tecnologia
Governança
Funding e Hedging
Contabilidadee
Relatórios
Sócio Ambiental
Ativos
Programas e Projetos
Incidentes e Acidentes
Crédito
Liquidez,Ativos ePassivos
Compras e Contratações
Operacional
Recursos Humanos
Conduta e
Ética
MercadoFinanceiro
Corrupção e
Fraude
Compliance
Estratégico
Investimento e
Participações
Fonte: AS TRÊS LINHAS DE DEFESA NO GERENCIAMENTO EFICAZ DE RISCOS E CONTROLES – IIA 2013
Dados Recentes da Gestão de Riscos
● Cerca de 60% das organizações concordam
que enfrentam uma variedade crescente de
riscos cada vez mais complexos.
● Apesar disso, menos de 35% das
organizações possuem uma estrutura formal
de riscos.
Fonte: CGMA® REPORT - Global State of Enterprise Risk Oversight 2nd edition – July 2015
● Cerca de 70% das organizações não
classificaria seu processo de gestão de
riscos como maduros.
● Menos de 40% das organizações estão
satisfeitos com o nível de reporte
dos riscos que representam suas
maiores exposições.
Exemplos de Resultados Empresa: Processo (Departamento):
Dono do Processo: Cargo: Telefone:
COSO III Component (12) Atributos (17)
Código da
Atividade
de
Controle
Processo Sub-Processo Objetivo de Controle (1)
Categoria do
Objetivo de
Controle (2)
Evento de Risco (3)
Imp
acto
(4)
Fre
qu
en
cia
(5)
Rati
ng
G
era
l (
6)
Atividade de Controle (7) Tipo do Controle (8) Control Owner (9)
Inte
gra
lid
ad
e
Exis
tên
cia
ou
Oco
rrên
cia
Dir
eit
os e
Ob
rig
açõ
es
Avali
ação
e A
locação
Ap
resen
tação
Conta contábil
relacionada (11)
Inte
rnal
Co
ntr
ol
Ris
k A
ssessm
en
t
Co
ntr
ol
Acti
vit
y
Info
rmati
on
& C
om
mu
nic
ati
on
Mo
nit
ori
ng
Anti-
Fraude
(Y/N) (13)
Controle de
aplicação
(Y/N) (14)
Sistema ou
Módulo / Planilha
/ Nome do
Relatório Chave
(15)
Frequencia
do Controle
(16)
Amostra
(P)r
even
tivo
(D)e
tecti
vo
(M)a
nu
al
(A)u
tom
ati
co
[C]e
ntr
ali
zad
o
(D)e
scen
trali
zad
o Controle
Chave
(Y/N) (18)
Desenho do Controle e
Operação (19)
Descrição do GAP de Desenho
ou Operação (Não Eficaz) (20)
Prioridade do
GAP (H/M/L)
(21)
Prazo para
Remediação
(22)
Tipo de
Teste(23)
Teste Tab# /
Não Testado
(sem número)
Procedimento de Teste
(24)
Avaliação da Eficácia Operacional do Controle
EFICÁCIA DA OPERAÇÃO DO CONTROLE
Assertivas (10)
Empresa: Processo (Departamento):
Dono do Processo: Cargo: Telefone:
COSO III Component (12) Atributos (17)
Código da
Atividade
de
Controle
Processo Sub-Processo Objetivo de Controle (1)
Categoria do
Objetivo de
Controle (2)
Evento de Risco (3)
Imp
acto
(4)
Fre
qu
en
cia
(5)
Rati
ng
G
era
l (
6)
Atividade de Controle (7) Tipo do Controle (8) Control Owner (9)
Inte
gra
lid
ad
e
Exis
tên
cia
ou
Oco
rrên
cia
Dir
eit
os e
Ob
rig
açõ
es
Avali
ação
e A
locação
Ap
resen
tação
Conta contábil
relacionada (11)
Inte
rnal
Co
ntr
ol
Ris
k A
ssessm
en
t
Co
ntr
ol
Acti
vit
y
Info
rmati
on
& C
om
mu
nic
ati
on
Mo
nit
ori
ng
Anti-
Fraude
(Y/N) (13)
Controle de
aplicação
(Y/N) (14)
Sistema ou
Módulo / Planilha
/ Nome do
Relatório Chave
(15)
Frequencia
do Controle
(16)
Amostra
(P)r
even
tivo
(D)e
tecti
vo
(M)a
nu
al
(A)u
tom
ati
co
[C]e
ntr
ali
zad
o
(D)e
scen
trali
zad
o Controle
Chave
(Y/N) (18)
Desenho do Controle e
Operação (19)
Descrição do GAP de Desenho
ou Operação (Não Eficaz) (20)
Prioridade do
GAP (H/M/L)
(21)
Prazo para
Remediação
(22)
Tipo de
Teste(23)
Teste Tab# /
Não Testado
(sem número)
Procedimento de Teste
(24)
Avaliação da Eficácia Operacional do Controle
EFICÁCIA DA OPERAÇÃO DO CONTROLE
Assertivas (10)
Exemplos de Resultados
Exemplos de Resultados
Novas licitações
Oferta/demanda
Risco M&A
Novos NegóciosDesalinhamento Estratégico
Defasagem Tecnológica
Operações Estruturadas
Compliance Internacional
Contratos
Sustentabilidade
Liquidez
Projetos internos
TributárioFundos Setoriais
Avais e GarantiasFatores Macroeconômicos
Moeda estrangeira
Juros
Funding
Contingências Judiciais FraudeTrabalhista
Pessoas
Infra-estrutura de TI
Força Maior
Gestão do portfólio
Hedge
Regulatório
Imagem
1.000.000
10.000.000
100.000.000
1.000.000.000
10.000.000.000
100.000.000.000
Imp
acto
Frequência Média
Mapa Perfil de Riscos Inerentes
> 10 anos De 1 a 10 anos Até 1 ano Até 1 mês
Igor Rocha Ferreira
21 98112 3687
21 2555 0838