Modernizando a
 Aplicação de
    Matrizes
    de Risco
Orientado a GRC
Risk and Control Self Assessment, na teoria




Pegar print screen de modelo de referência




                           ...
Risk and Control Self Assessment, na prática

 Documentação excessiva armazenada na gaveta
 Percepção generalizada de que ...
Como uma organizações encara seus
            riscos?

                                    Risco de                  Risco...
Como os riscos efetivamente se
       manifestam na organização


           Falta de                    Reputação
       ...
Agenda
1.   Aprimore seu conceito de riscos

2.   Aprimore seu conceito de controle

3.   Aprimore seu conceito de Apetite...
1 - Aprimore
Seu Conceito
  de Riscos
Situação Atual

    Definição ISO 31000 e ISO Guide 73
     • Risco: Efeito da incerteza sobre os objetivos
            NO...
A evolução do conceito de risco




                            © ELO Group. Todos direitos reservados
Aprimorando o conceito de risco


Toda organização possui milhares de problemas e incertezas. Chamar algo de risco
signifi...
Separando os problemas...
                                                                ““The fallacy is this: under the...
… dos riscos da organização
                                                         “The fallacy is this: under the assum...
2- Aprimore
Seu Conceito
 de Controle




      © ELO Group. Todos direitos reservados
O risco do cumprimento inadequado do
              orçamento

                                        140%


             ...
Tratamento do risco do cumprimento
                        inadequado do orçamento

                                      ...
Situação Atual

COSO Internal Control – “Controle interno é um processo, efetivado pelo
Board de diretores, gerência e out...
Aprimorando seu conceito de controle


 Controles devem ser entendidos como qualquer prática ou ação que ajude a tratar
 r...
3- Aprimore
Seu Conceito
 de Apetite



      © ELO Group. Todos direitos reservados
Apetite e tolerância a riscos
A organização deve definir a quantidade total de risco que deseja assumir ao
buscar os seus ...
Escala de severidade

                      IMPACTO FINANCEIRO




HM Treasury (2006)                          © ELO Group...
Escala de severidade
                                          IMPACTO NA PERFORMANCE


IMPACTO FINANCEIRO




           ...
Aprimore seu conceito de Apetite


  Categoria
                    Baixo           Médio                    Alto
   Impact...
4- Inove seu
  Sistema de
Rating de Riscos
Classificação tradicional

              Severidade




                                         $




                   ...
Aprimorando o rating de riscos




Categoria     Categoria
  Risco                         Baixo           Médio          ...
5 - Crie uma
 Estratégia de
Gestão de Riscos
Situação Atual

                                                                            Freqüência de análise
        ...
Criando uma estratégia de gestão de riscos

                                                                  Freqüência d...
6 - Agregue Riscos
Rumo a Uma Visão
      de ERM




          © ELO Group. Todos direitos reservados
Situação atual




                R2


                                                   R6

                     R4


 ...
A implantação efetiva do ERM – Enterprise Risk
                Management

           R1                           R2


  ...
Gerenciando poucos riscos com qualidade


      Cenário Atual                    Cenário Futuro




                      ...
7 - Implemente Nível
    de Alerta para
 Integrar CSAs com
KRIs, Bases de Perdas
e Testes de Controles




            © E...
Situação Atual
Base de Perdas                                                                                             ...
Implemente Nível de Alerta para Integrar CSAs
     com KRIs, bases de perdas e testes de controles

Base de Perdas        ...
Próximos SlideShares
Carregando em…5
×

Elo Group Modernizando A AplicaçãO De Matrizes De Risco Orientado A Grc

1.555 visualizações

Publicada em

Publicada em: Negócios, Tecnologia
0 comentários
1 gostou
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
1.555
No SlideShare
0
A partir de incorporações
0
Número de incorporações
639
Ações
Compartilhamentos
0
Downloads
0
Comentários
0
Gostaram
1
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Elo Group Modernizando A AplicaçãO De Matrizes De Risco Orientado A Grc

  1. 1. Modernizando a Aplicação de Matrizes de Risco Orientado a GRC
  2. 2. Risk and Control Self Assessment, na teoria Pegar print screen de modelo de referência AS/NZS 4360 © ELO Group. Todos direitos reservados
  3. 3. Risk and Control Self Assessment, na prática Documentação excessiva armazenada na gaveta Percepção generalizada de que os benefícios gerados não compensaram os esforços realizados Diversas demandas de automações paradas em TI, sem uma priorização devida Grande risco de desatualização da documentação Inexistência de um link efetivo entre a documentação e os procedimentos da organização Evidências • “Form filling exercise” • “We already have internal audit, not to mention external audit and regulatory inspections, so I don’t understand why we need another layer of review – it’s a waste of time” - Business Unit Head • “You see, not only do we have to complete an operational risk CSA, we are now required to complete a compliance CSA, information security CSA, business continuity CSA, etc. We are really overdoing this and I have no idea what value the CSA is giving us” Business Unit Head A ferramenta é inefetiva ou está sendo mal utilizada ? © ELO Group. Todos direitos reservados
  4. 4. Como uma organizações encara seus riscos? Risco de Risco de Risco de Risco de Confiabilidade Tecnologia Mercado Crédito de Equipamentos da Informação Risco de Risco de Risco Risco de Segurança Compliance Regulatório Fraude da Informação Interna Risco Risco do Risco de Risco Político Estratégico Negócio Terceiros Risco de Risco de Risco de Risco de Interrupção das Insatisfação Insatisfação Processos Atividades Dos Clientes Dos funcionário Risco de Risco de Risco de Risco de Danos ao Confiabilidade Modelos Projetos Patrimônio De Relatórios © ELO Group. Todos direitos reservados
  5. 5. Como os riscos efetivamente se manifestam na organização Falta de Reputação Compras não segregação de danificada autorizadas tarefas Falta de plano de Cortes de Falha na recuperação de orçamento implantação da desastre estratégia Baixa habilidade de Sanções gestão de projetos Legais e multas Questões de clientes Acordos de nível Baixa não são resolvidas no de serviço não segurança tempo adequado são atingidos Bugs em física softwares não identificados Precificação do produto inadequada Equipe Clientes atrasam Vazamento de insuficiente treinamento no capital produto intelectual Perda de participação no mercado © ELO Group. Todos direitos reservados
  6. 6. Agenda 1. Aprimore seu conceito de riscos 2. Aprimore seu conceito de controle 3. Aprimore seu conceito de Apetite 4. Inove seu sistema de rating de risco 5. Estratégia de Gestão de Riscos 6. Agregue Riscos Rumo a Uma Visão de ERM 7. Implemente Nível de Alerta para Integrar CSAs com KRIs, bases de perdas e testes de controles © ELO Group. Todos direitos reservados
  7. 7. 1 - Aprimore Seu Conceito de Riscos
  8. 8. Situação Atual Definição ISO 31000 e ISO Guide 73 • Risco: Efeito da incerteza sobre os objetivos NOTA 1 - Um efeito pode ser positivo, negativo ou um desvio do esperado NOTA 2 - Um objetivo pode ser financeiro, relacionado a saúde e segurança, ou definido em outros termos. NOTA 3 – Um risco é (freqüentemente) descrito por um evento (ou um conjunto de circunstâncias), uma conseqüência ou uma combinação destes e como eles afetam o alcance dos objetivos NOTA 4 – Um risco pode ser expressado como a combinação das conseqüências de um evento, ou mudanças de uma circunstância, e sua probabilidade • BACEN 3380: “A possibilidade de ocorrência de perdas resultantes de falha, deficiência ou inadequação de processos internos, pessoas e sistemas, ou de eventos externos” © ELO Group. Todos direitos reservados
  9. 9. A evolução do conceito de risco © ELO Group. Todos direitos reservados
  10. 10. Aprimorando o conceito de risco Toda organização possui milhares de problemas e incertezas. Chamar algo de risco significa delimitar quais os problemas críticos que devem ser analisados de forma estruturada e monitorados de forma sistemática; Monitorar mil riscos, significa ter mil grandes preocupações que devem ser gerenciadas de forma estruturada. A grande maioria das organizações não deveria ter este tipo de necessidade; É como se a palavra riscos fosse uma etiqueta para “marcar” quais são as grandes preocupações e incertezas que devem fazer parte da agenda dos executivos; Deve-se evitar que um problema simples seja elevado ao nível de risco e demande tempo da escassa agenda dos gestores e decisores da organização; Alternativamente, pode-se pensar numa diferenciação entre - riscos ativos e inativos - ou - riscos e riscos fantasmas - para distinguir os riscos de baixa probabilidade e severidades que devem ser sistematicamente monitorados © ELO Group. Todos direitos reservados
  11. 11. Separando os problemas... ““The fallacy is this: under the assumption Auditoria that you are in a central position, you Presidência presume that if something serious were Interna happing, you would know about it.” Managing the Unexpected Diretoria de Diretoria de Diretoria de Diretoria de negócio 1 negócio 2 negócio 3 negócio 4 Segurança da RH Informação Comunicação Área de Área de Área de Área de Ouvidoria e marketing negócio 1.1 negócio 2.1 negócio 3.1 negócio 4.1 Financeiro/ Análise de Controladoria riscos Área de Área de Área de Área de Segurança negócio 1.2 negócio 2.2 negócio 3.2 negócio 4.2 Tesouraria ambiental Área de Área de Área de Área de Gestão Controles negócio 1.3 negócio 2.3 negócio 3.3 negócio 4.3 de Risco Internos Área de Área de Área de Área de Jurídico Manutenção negócio 1.4 negócio 2.4 negócio 3.4 negócio 4.4 Gestão de Segurança Área de Área de Área de Área de contratos Física negócio 1.5 negócio 2.5 negócio 3.5 negócio 4.5 Escritório de Comitê de Área de Área de Área de Área de Projetos ética Tecnologia da negócio 1.6 negócio 2.6 negócio 3.6 negócio 4.6 Compliance Informação Comunicação Continuidade e Marketing do negócio © ELO Group. Todos direitos reservados
  12. 12. … dos riscos da organização “The fallacy is this: under the assumption that you Auditoria are in a central position, you presume that if Presidência something serious were happing, you would know Interna about it.” Managing the Unexpected Diretoria de Diretoria de Diretoria de Diretoria de negócio 1 negócio 2 negócio 3 negócio 4 Segurança da RH Informação Comunicação Área de Área de Área de Área de Ouvidoria e marketing negócio 1.1 negócio 2.1 negócio 3.1 negócio 4.1 Financeiro/ Análise de Controladoria riscos Área de Área de Área de Área de Segurança negócio 1.2 negócio 2.2 negócio 3.2 negócio 4.2 Tesouraria ambiental Área de Área de Área de Área de Gestão Controles negócio 1.3 negócio 2.3 negócio 3.3 negócio 4.3 de Risco Internos Área de Área de Área de Área de Jurídico Manutenção negócio 1.4 negócio 2.4 negócio 3.4 negócio 4.4 Gestão de Segurança Área de Área de Área de Área de contratos Física negócio 1.5 negócio 2.5 negócio 3.5 negócio 4.5 Escritório de Comitê de Área de Área de Área de Área de Projetos ética Tecnologia da negócio 1.6 negócio 2.6 negócio 3.6 negócio 4.6 Compliance Informação Comunicação Continuidade e Marketing do negócio © ELO Group. Todos direitos reservados
  13. 13. 2- Aprimore Seu Conceito de Controle © ELO Group. Todos direitos reservados
  14. 14. O risco do cumprimento inadequado do orçamento 140% 120% 100% Orçamento Previsto % de Execução Do 80% 60% 40% 2 4 6 8 10 12 Meses ao longo do ano © ELO Group. Todos direitos reservados
  15. 15. Tratamento do risco do cumprimento inadequado do orçamento 140% 120% 100% Orçamento Previsto controle % de Execução Do 80% 60% controle 40% controle 2 4 6 8 10 12 Meses ao longo do ano © ELO Group. Todos direitos reservados
  16. 16. Situação Atual COSO Internal Control – “Controle interno é um processo, efetivado pelo Board de diretores, gerência e outras pessoas de uma entidade, desenvolvido para prover segurança razoável com respeito ao atingimento de objetivos nas seguintes categorias: • Eficácia e eficiência de operações • Confiabilidade de relatórios financeiros • Compliance com leis e regulamentações” Coco Model – “Controle compreende os elementos de uma organização (incluindo os seus recursos, sistemas, processos, culturas, estrutura e tarefas) que, tomados em conjunto, apóiam pessoas no atingimento dos objetivos da organização.” © ELO Group. Todos direitos reservados
  17. 17. Aprimorando seu conceito de controle Controles devem ser entendidos como qualquer prática ou ação que ajude a tratar riscos ampliando a visão tradicional de atividades ou procedimentos realizados • (Adaptado de The Institute of Internal Auditors) Controles devem ser entendidos como o método encontrado para tornar MODELÁVEL, PASSÍVEL DE ANÁLISE E AUDITÁVEL , a forma como uma organização entende e atende aos requisitos de seus stakeholders; Modelar as práticas de uma organização a partir do objeto controle reduz significativamente o GRAU DE EXPOSIÇÃO que os executivos possuem para assumir responsabilidades e gera TRANSPARÊNCIA para uma melhor tomada de decisão Modelar as práticas de uma organização a partir do objeto controle atribui grande ACCOUNTABILITY para os funcionários sobre suas atribuições e responsabilidades e gera grande TRANSPARÊNCIA para se repensar melhorias nos processos © ELO Group. Todos direitos reservados
  18. 18. 3- Aprimore Seu Conceito de Apetite © ELO Group. Todos direitos reservados
  19. 19. Apetite e tolerância a riscos A organização deve definir a quantidade total de risco que deseja assumir ao buscar os seus objetivos. Essa quantidade total de riscos é chamada de apetite ao risco. • Atitude organizacional • Alta administração • Stakeholders O apetite ao risco deve ser articulado em tolerâncias a risco. Essas tolerâncias representam o quanto a organização está disposta a se expor em relação a um determinado risco. Uma hierarquia de tolerâncias ao risco deve alinhar-se ao apetite ao risco A definição do apetite a risco e a sua articulação em tolerâncias traz os seguintes benefícios à organização: • Permite a análise da significância de um determinado risco • Fornece uma referência quanto à necessidade ou não de tratamento de um determinado risco, otimizando a aplicação de recursos na gestão de riscos © ELO Group. Todos direitos reservados
  20. 20. Escala de severidade IMPACTO FINANCEIRO HM Treasury (2006) © ELO Group. Todos direitos reservados
  21. 21. Escala de severidade IMPACTO NA PERFORMANCE IMPACTO FINANCEIRO IMPACTO REPUTACIONAL HM Treasury (2006) HM Treasury (2006) © ELO Group. Todos direitos reservados
  22. 22. Aprimore seu conceito de Apetite Categoria Baixo Médio Alto Impacto Impacto em Impacto em Impacto em imagem no imagem em escalaimagem em escala imagem em escala mercado municipal estadual nacional clima Menos de 5 Entre 5 e 50 Mais de 50 organizacional funcionários funcionários funcionários conformidade Entre R$ 10 e R$ Acima de R$ 50 Até R$ 10 legal 50 mil mil relacionamento Impacto pontual Impacto com Perda de cliente com o cliente sem repercussões repercussões diferencial Até 3% do Entre 3% e 7% do Acima de 7% do competitivo mercado mercado mercado Redução de até Redução entre 1% Redução acima de eficiência 1% dos custos e 5% dos custos 5% dos custos operacional anuais anuais anuais © ELO Group. Todos direitos reservados
  23. 23. 4- Inove seu Sistema de Rating de Riscos
  24. 24. Classificação tradicional Severidade $ Probabilidade © ELO Group. Todos direitos reservados
  25. 25. Aprimorando o rating de riscos Categoria Categoria Risco Baixo Médio Alto Impacto Impacto Impacto em Impacto em Impacto em imagem no imagem em imagem em imagem em mercado escala municipal escala estadual escala nacional clima Menos de 5 Entre 5 e 50 Mais de 50 Risco organizacional funcionários funcionários funcionários conformidade Entre R$ 10 e R$ Acima de R$ 50 Até R$ 10 legal 50 mil mil Risco 1 relacionamento Impacto pontual Impacto com Perda de cliente com o cliente sem repercussões repercussões diferencial Até 3% do Entre 3% e 7% do Acima de 7% do competitivo mercado mercado mercado Redução de até Redução entre 1% Redução acima de eficiência 1% dos custos e 5% dos custos 5% dos custos operacional anuais anuais anuais © ELO Group. Todos direitos reservados
  26. 26. 5 - Crie uma Estratégia de Gestão de Riscos
  27. 27. Situação Atual Freqüência de análise Anual Número de riscos analisados Control 1000 Self Asessment Tradicional 5 minutos 30 minutos Tempo de análise / risco © ELO Group. Todos direitos reservados
  28. 28. Criando uma estratégia de gestão de riscos Freqüência de análise Semestral Bimestral MATRIZ HIGH LEVEL o com o cliente organizacional relacionament conformidade competitivo operacional imagem no diferencial eficiência mercado clima legal Área Processos Rating Ranking Número de riscos analisados Contas a pagar Médio Baixo Médio Baixo Baixo Baixo 14 9 Financeiro Fechamento contábil Baixo Baixo Alto Baixo Baixo Baixo 24 4 Contas a receber Médio Médio Baixo Baixo Baixo Baixo 14 10 Produção Médio Médio Baixo Alto Alto Baixo 30 3 Operacional Logística Médio Médio Baixo Médio Alto Baixo 24 5 Estratégia RH PCP Recrutamento e seleção Retenção de recursos Baixo Alto Médio Baixo Médio Alto Baixo Baixo Baixo Médio Médio Médio Médio Alto Alto Baixo Médio Alto 12 32 44 11 2 1 Cargos e salários Médio Baixo Baixo Baixo Médio Alto 20 8 de Gestão Vendas Comercial Prospecção Marketing Alto Médio Alto Médio Baixo Baixo Baixo Baixo Baixo Baixo Baixo Baixo Médio Baixo Alto Baixo Baixo Baixo 22 10 24 7 12 6 1000 de Riscos imagem no clima conformidade relacionamento diferencial eficiência mercado organizacional legal com o cliente competitivo operacional RISCOS Risco Rating Status Processos Sev. Prob. Sev. Prob. Sev. Prob. Sev. Prob. Sev. Prob. Sev. Prob. Perda de conhecimento técnico para Em 45 Gestão de RH Alta Média Média Média Baixa Média Alta Média concorrentes monitoração Aumento de custos por elevação de Produção; Gestão de 65 Em tratamento Média Média Alta Média Baixa Baixa Média Média preço de matéria-prima Recursos Control Revisão de processos visando a otimização Entrada de concorrentes 117 Em análise Produção Alta Baixa Alta Média Alta Média Alta Alta Alta Baixa Média Média 2 Inativo Comercial Baixa Baixa Média Média Baixa Baixa estrangeiros Self Assessment 100 5 minutos/risco 2 hora / risco Tempo de análise / risco © ELO Group. Todos direitos reservados
  29. 29. 6 - Agregue Riscos Rumo a Uma Visão de ERM © ELO Group. Todos direitos reservados
  30. 30. Situação atual R2 R6 R4 R5 R3 R7 R1 ... ... ... © ELO Group. Todos direitos reservados
  31. 31. A implantação efetiva do ERM – Enterprise Risk Management R1 R2 Risco 1 Risco 2 R2.1 R1.4 R2.2 R1.3 R1.2 R2.3 R1.1 ... ... ... © ELO Group. Todos direitos reservados
  32. 32. Gerenciando poucos riscos com qualidade Cenário Atual Cenário Futuro R 34 R 34.1 R 34.2 R 34.3 R 34.4 R 34.5 R 34.6 Poucos Riscos para Gerenciar Muitos Riscos para gerenciar Dados Organizados © ELO Group. Todos direitos reservados
  33. 33. 7 - Implemente Nível de Alerta para Integrar CSAs com KRIs, Bases de Perdas e Testes de Controles © ELO Group. Todos direitos reservados
  34. 34. Situação Atual Base de Perdas KRIs Testes de Controles Control Self Assessment Avaliação Risco Riscos Estrutura de Controles Internos Tipo de controle Design Performance Plano de Ação Inerente A solicitação de compra é analisada e aprovada pelo proprietário do Centro de Custo apoiado pelo sistema Detectivo Compras, de acordo com a divisão de responsabilidades da empresa Solicitação de compra de um A elaboração do orçamento da área solicitante define produto ou serviço B em linhas gerais quais bens devem ou não ser Preventivo S S desnecessário adquiridos. Em caso de solicitação de um ativo fixo para a empresa, esta é analisada e aprovada pela Área de Detectivo gestão de ativos, de acordo com a Política de Compras A solicitação de compra é analisada e aprovada pelo proprietário do Centro de Custo apoiado pelo sistema Detectivo Compras, de acordo com a divisão de responsabilidades da empresa Especificação técnica Formalização das especificações inadequada do material/serviço M A solicitação de compra é revisada pela área de R I técnicas ideais na Política de solicitado compras que busca interagir com o solicitante a fim Compras de compreender o que realmente deve ser adquirido. Detectivo Em caso de dúvidas por parte do fornecedor, esclarecimentos por parte do solicitante serão necessários. A solicitação de compra é revisada pela área de compras que busca interagir com o solicitante a fim Entendimento incorreto por de compreender o que realmente deve ser adquirido. Compras da especificação B Em caso de dúvidas por parte do fornecedor, Detectivo S R detalhada pela área Solicitante esclarecimentos por parte do solicitante serão necessários. A Política de Compras foi estabelecida para determinar o correto procedimento das cotações de Preventivo Realização de compras de produtos a serem adquiridos pela empresa. fornecedores que não ofereçam serviços/produtos pelo melhor A O pré-cadastro de fornecedores é monitorado pela S S preço dada a especificação de área de Compras, no sistema de Compras, para qualidade. garantir o conhecimento do comportamento histórico Preventivo de um determinado fornecedor para com seus compromissos no que tange o prazo e a qualidade dos produtos. © ELO Group. Todos direitos reservados
  35. 35. Implemente Nível de Alerta para Integrar CSAs com KRIs, bases de perdas e testes de controles Base de Perdas KRIs Testes de Controles Control Self Assessment Nível de Riscos Avaliação Risco Inerente Estrutura de Controles Internos Tipo de controle Design Performance Plano de Ação alerta Plano de Ação A solicitação de compra é analisada e aprovada pelo proprietário do Centro de Custo apoiado pelo sistema ! Detectivo Compras, de acordo com a divisão de responsabilidades da empresa Solicitação de compra de um A elaboração do orçamento da área solicitante define produto ou serviço B em linhas gerais quais bens devem ou não ser Preventivo S S desnecessário adquiridos. Em caso de solicitação de um ativo fixo para a empresa, esta é analisada e aprovada pela Área de Detectivo gestão de ativos, de acordo com a Política de Compras A solicitação de compra é analisada e aprovada pelo ! proprietário do Centro de Custo apoiado pelo sistema Detectivo Compras, de acordo com a divisão de responsabilidades da empresa Especificação técnica Formalização das especificações Formalização das especificações inadequada do material/serviço M A solicitação de compra é revisada pela área de R I técnicas ideais na Política de técnicas ideais na Política de solicitado compras que busca interagir com o solicitante a fim Compras Compras de compreender o que realmente deve ser adquirido. Detectivo Em caso de dúvidas por parte do fornecedor, esclarecimentos por parte do solicitante serão necessários. A solicitação de compra é revisada pela área de compras que busca interagir com o solicitante a fim Entendimento incorreto por de compreender o que realmente deve ser adquirido. Compras da especificação B Em caso de dúvidas por parte do fornecedor, Detectivo S R detalhada pela área Solicitante esclarecimentos por parte do solicitante serão necessários. ! A Política de Compras foi estabelecida para determinar o correto procedimento das cotações de Preventivo Realização de compras de produtos a serem adquiridos pela empresa. fornecedores que não ofereçam serviços/produtos pelo melhor A O pré-cadastro de fornecedores é monitorado pela S S preço dada a especificação de área de Compras, no sistema de Compras, para qualidade. garantir o conhecimento do comportamento histórico Preventivo de um determinado fornecedor para com seus compromissos no que tange o prazo e a qualidade dos produtos. © ELO Group. Todos direitos reservados

×