O documento aborda a importância da gestão integrada de governança, riscos, incidentes e controles internos, ressaltando que a conformidade e a ética são fundamentais para decisões organizacionais. Destaca a necessidade de automatização e integração nestas práticas, de acordo com regulamentações como a lei 13.303/2016 e instruções normativas do governo federal. A ISO 31000 é apresentada como um framework essencial para gerenciar riscos e controles internos de forma eficaz.

1. Gestão
Integrada
de
Governança,
Gestão
de
Riscos,
Gestão
de
Incidentes,
Conformidade
e
Controles
Internos
Fernando
Nery
| fnery@modulo.com
Gestão
Integrada

2. Frase
de
Edwards
Deming,
adotada
por
Michael
Bloomberg
na
gestão de
sua empresa e
da
cidade de
Nova
Iorque.
“In God we trust.
Everyone else, bring data!”

3. ”A
mentalidade
de
risco
habilita
uma
organização
a
determinar
os
fatores
que
poderiam
causar
desvios
nos
seus
processos
e
no
seu
sistema
de
gestão
da
qualidade
em
relação
aos
resultados
planejados,
a
colocar
em
prática
controles
preventivos
para
minimizar
efeitos
negativos
e
a
maximizar
o
aproveitamento
das
oportunidades
que
surjam.”
ISO
9001:2015
”A
consideração
do
perfil
de
risco,
o
entendimento
dos
papéis
dos
agentes
de
governança
e
o
uso
de
critérios
éticos
são
essenciais
para
que
sejam
tomadas
decisões
mais
equilibradas,
informadas
e
refletidas.”
Código
das
melhores
práticas
de
governança
corporativa.
IBGC
– Instituto
Brasileiro
de
Governança
Corporativa
”...a
alta
administração
avalia,
direciona
e
monitora
o
sistema
de
gestão
de
riscos
e
controle
interno e
estabelece
medidas
que
asseguram
que
os
dirigentes
implementem
e
monitorem
práticas
de
gestão
de
riscos
e
controle
interno.”
Referencial
básico
de
governança
aplicável
a
órgãos
e
entidades
da
administração
pública
Tribunal
de
Contas
da
União.
”O
estatuto
da
empresa
pública,
da
sociedade
de
economia
mista
e
de
suas
subsidiárias
deverá
observar
regras
de
governança
corporativa,
de
transparência
e
de
estruturas,
práticas
de
gestão
de
riscos
e
de
controle
interno,
composição
da
administração
e,
havendo
acionistas,
mecanismos
para
sua
proteção,
todos
constantes
desta
Lei.”
Lei
13.303/2016
-­‐ Dispõe
sobre
o
estatuto
jurídico
da
empresa
pública,
da
sociedade
de
economia
mista
e
de
suas
subsidiárias,
no
âmbito
da
União,
dos
Estados,
do
Distrito
Federal
e
dos
Municípios.
”Dispõe
sobre
controles
internos,
gestão
de
riscos
e
governança
no
âmbito
do
Poder
Executivo
federal.”
Instrução
Normativa
Conjunta
no.
1/2016
MPOG
e
CGU
”As
Empresas
Estatais
Federais
devem
implementar
políticas
de
Conformidade
e
Gerenciamento
de
Riscos adequadas
ao
seu
porte
e
consistentes
com
a
natureza,
complexidade
e
risco
das
operações
por
elas
realizadas.”
Resolução
n 18/2016
Comissão
Interministerial
de
Governança
Corporativa
e
de
Administração
de
Participações
Societárias
da
União
-­‐
CGPAR

4. Um
mundo pouco automatizado e
pouquíssimo integrado

5. Gestão'Integrada
Gestão
de
Ativos
Integração
e
Automatização

6. Gestão Integrada de
Riscos e
Controles Internos
A
regulamentação
exige!
A
legislação
e
a
regulação
passaram
a
obrigar
as
organizações
a
implementar
Governança,
Gestão
de
Riscos,
Controles
Internos,
e
outras
providências
correlatas.
Integração
aumenta
a
eficácia!
A
implementação
destes
recursos
é
complexa
e
exige
o
tratamento
integrado
e
automatizado.
Alinhado
com
o
negócio!
Um
ambiente
integrado
e
automatizado,
além
de
atender
à
legislação
e
regulação,
compõe
um
excelente
instrumento
de
monitoramento
e
gestão
integrada
do
negócio.
1
2
3

7. INC
01
CGU/MPOG
CGPAR
18,
...
Lei
13.303
...

8. Gestão de
Riscos e
Controles Internos
Alinhados com
o
Negócio!
Fonte:
www.oceg.org
Operações
Monitoramento
Centralizado
e
Compartilhado
Os
assuntos
eram
tratados
de
forma
separada,
agora
são
integrados.

9. Regulamentação de
Governança,
Gestão de Riscos,
Controles Internos,
Conformidade.

10. Instrução Normativa Conjunta 01
CGU
e
MPOG
2016
– MPOG
e
CGU
publicaram
Instrução
Normativa
Conjunta,
determinando
a
adoção
de
medidas
de
Controles
Internos,
Governança
e
Gestão
de
Riscos
no
Poder
Executivo
Federal

11. Gestão de
Riscos e
Controles Internos
ISO
31000
e
COSO Frameworks
para
Gestão
de
Riscos
e
Controles
Internos
– ABNT
ISO
31000,
COSO
ERM
e
COSO
ICIF

12. Instrução Normativa Conjunta 01
CGU
e
MPOG
Orientação
e
conceitos
da
INC
01
MPOG/CGU
sobre
a
implementação
de
Controles
Internos,
Gestão
de
Riscos
e
Governança.

13. Riscos
Operacionais
Imagem
Reputação
Legais
Financeiros
Orçamentários

14. Instrução Normativa Conjunta 01
CGU
e
MPOG
Criação
de
comitê
pelos
órgãos
do
Poder
Executivo
Federal
Monitoramento
pela
CGU

15. Governança Pública Ampla
literatura
produzida
e
divulgada
pelo
TCU
sobre
Governança
Pública

16. Resolução CGPAR
11 2016
-­‐ CGPAR
determina
Governança
de
TI
para
as
Empresas
Estatais
Federais

17. Resolução CGPAR
18
2016
-­‐ CGPAR
determina
Conformidade
e
Gestão
de
Riscos
para
as
Empresas
Estatais
Federais

18. Lei
13.303
+
Estatais Federais
+
Estatais Estaduais
+
Estatais Municipais
2016
– Lei
13.303
dispõe
sobre
o
Estatuto
Jurídico
da
Empresa
Pública
Federal,
Estadual
ou
Municipal

19. Lei
13.303
2016
– Lei
13.303
determina
a
implementação
de
Gestão
de
Riscos
e
Controles
Internos

20. Lei
13.303
2016
– Lei
13.303
responsabilidade
na
alta
gestão.

21. Segurança da
Informação – DSIC/GSI

22. Judiciário
TSTSTJ
STF
PDTI
STF

23. Resolução
176/2013
CNJ

24. Resolução
211/2015
CNJ

25. Alguns Projetos que Usam estes
Recursos para Criar um
Ambiente Automatizado e
Integrado

26. Alguns
Casos
Jogos Panamericanos
Rio2007190
– Atendimento e
Despacho
Defesa Civil
e
Gestão de
Riscos e
Desastres
Monitoramento da
Cadeia de
Combustíveis
Gestão de
Demandas em
Telecomunicações
Defesa Cibernética
Copa
2014
Monitoramento de
Processos e
Gestão de
Riscos
Olimpíadas 2016

27. Secretaria Extraordinária para
Grandes Eventos - MJ
Interagências

28. Centros Integrados de Comando e Controle
CICCR – PMRJ - Operação 190

29. Centro Integrado de Comando e Controle
CICCR – PMRJ - Operação 190

31. Pequeno
Médio
Grande
Projetos de
todos os tamanhos
”pense grande,
começe pequeno
cresça rapidamente”

32. Automatização da Gestão
Integrada de Riscos e Controles
Internos

33. Incerteza
Normalidade
Gestão Integrada
Pessoas
e
Canais
de
Comunicação
Ativos,
Clientes,
Fornecedores
Gestão de
Riscos e
Incidentes
Planejamento,
Processos,
Projetos
e
Obras
Conformidade
e
Controles
Objetivos
e
Estratégias
Monitoramento de
Ocorrências,
Incidentes,
Crises
Operação
Indicadores
e
Não-­‐conformidade
Visão Situacional
Decisão e
Resposta
Monitoramento
do
Mundo
Externo
Governança
Regulador

34. ”Risco é o
Efeito da
Incerteza nos
Objetivos”
NBr ISO
31000

35. Objetivos,
unidades,
processos,
gestão
de
ativos,
pessoas,
política
de
gestão de
riscos,
métricas e
critérios de
aceitação de
riscos
Catálogo
de
riscos (perfil
de
risco),
cenários,
responsabilidades
Questionários,
entrevistas,
matriz
de
riscos
inerentes
(probabiliadde e
impacto)
Matriz
controles
internos,
matriz
de
riscos
residuais,
KRI,
plano
de
tratamento
Implantação
e
operação
de
controles internos,
integração,
ocorrências,
indicadores,
KRI
Visão
situacional
e
monitoramento,
incidentes,
ocorrências
e
Avaliações externas
Decisão,
canais
de
comunicação,
alertas,
dashboards,
Helpline
Automatização
de
Gestão
de
riscos
utilizando
a
ISO
31.000
(2009)

36. Processo
de
Avaliação
de
Riscos
ISO
31000
como Metaframework para
a
Automatização de
Gestão de
Riscos e
Controles Internos
Estabelecimento
do
Contexto
Identificação
de
Riscos
Comunicação
e
Consulta
Tratamento
de
Riscos
Monitoramento
e
Análise
Crítica
Análise
de
Riscos
Avaliação
de
Riscos

37. Reativo
Preventivo
ISO
31000
como Metaframework para
a
Automatização de
Gestão de
Riscos e
Controles Internos
Estabelecimento
do
Contexto
Identificação
de
Riscos
Comunicação
e
Consulta
Tratamento
de
Riscos
Monitoramento
e
Análise
Crítica
Avaliação
de
Riscos
Análise
de
Riscos
Processo
de
Avaliação
de
Riscos

38. ISO
31000
e
COSO
Estabelecimento
do
Contexto
Identificação
de
Riscos
Comunicação
e
Consulta
Tratamento
de
Riscos
Monitoramento
e
Análise
Crítica
Avaliação
de
Riscos
Análise
de
Riscos
Processo
de
Avaliação
de
Riscos

39. ISO
31000
na
abrangência
(consenso
internacional,
integrado
à
legislação
brasileira,
termos
oficiais
em
português)
COSO
na
profundidade
(adotado
pelas
corporações,
muito
tempo
de
mercado,
maior
detalhamento
evolução
constante)
Modelo
integrado
de
Riscos
e
Controles
Internos

40. Processo
de
Avaliação
de
Riscos
Estabelecimento
do
Contexto
Identificação
de
Riscos
Comunicação
e
Consulta
Tratamento
de
Riscos
Monitoramento
e
Análise
Crítica
Análise
de
Riscos
Avaliação
de
Riscos
ISO
31000,
INC
01,
COSO
Ambiente
de
Controle
(II.III.11.I)
Avaliação deRisco
(II.III.11.II)
Atividades
de
Controles
Internos
(II.III.11.III)
Informação
e
Comunicação
(II.III.11.IV)
Atividades
de
Monitoramento
(II.III.11.V) Cap II
– Dos
Controles
internos
da
Gestão
Cap III
– Da
Gestão de
Riscos
Atividades
de
Controles
Internos
(III.III.16.VI)
Informação
e
Comunicação
(III.III.16.VII)
Monitoramento
(III.III.16.VII)
Ambiente
Interno
(III.III.16.I)
Fixação
de
Objetivos
(III.III.16.II)
Identficação
de
Eventos
(III.III.16.III)
Avaliação de
Riscos
(III.III.16.IV)
Resposta a
Riscos
(III.III.16.V)
INC
01

41. Processo
de
Avaliação
de
Riscos
Automatização
Estabelecimento
do
Contexto
Identificação
de
Riscos
Comunicação
e
Consulta
Tratamento
de
Riscos
Monitoramento
e
Análise
Crítica
Análise
de
Riscos
Avaliação
de
Riscos
•Política Gestão de
Riscos
•Organização
•Unidades
•Pessoas
•Objetivos
•Apetite
de
Risco
•Gestão
de
Ativos
•Processos
•Projetos
•Ativos
para
controles
externos

42. Gestão de
Ativos

43. Definição de
Áreas de
Interesse

44. Edificações,
Pontos de
Interesse e
Áreas de
Interesse

45. Plantas Baixas

46. Módulo
Risk Manager

47. Visão de
Ativos Integrada ao Planejamento
”Risco
é
o
efeito
da
incerteza
nos
objetivos”
ABNT
NBr ISO
31000

48. Visão de
Ativos Integrada
ao Planejamento Estratégico
PPA
Planejamento
Estratégico
Objetivos
Metas
Iniciativas
Programas
(LOA)
Ações
(LOA)

49. Processo
de
Avaliação
de
Riscos
ISO
31000
como Metaframework para
a
Gestão de
Riscos
Estabelecimento
do
Contexto
Identificação
de
Riscos
Comunicação
e
Consulta
Tratamento
de
Riscos
Monitoramento
e
Análise
Crítica
Análise
de
Riscos
Avaliação
de
Riscos
•Levantamento
de
Riscos
•Entrevistas
às
Áreas-­‐Fim
•Catálogo
de
Riscos
•Perfil
de
Riscos
•Bases
de
Conhecimento
•Questionários
•Coletas
•Critérios

50. Gestão do
Catálogo de
Riscos

51. Processo
de
Avaliação
de
Riscos
ISO
31000
como Metaframework para
a
Gestão de
Riscos
Estabelecimento
do
Contexto
Identificação
de
Riscos
Comunicação
e
Consulta
Tratamento
de
Riscos
Monitoramento
e
Análise
Crítica
Análise
de
RiscosAnálise
de
Riscos
•Questionários
•Coletas
Remotas
•Self
Assessment
•Coletas
Presenciais
•Matriz
de
Riscos
Inerentes

52. Pesquisa e
Questionários

53. Pesquisa e
Questionários

54. Matriz e
Riscos Inerentes

55. ISO
31000
como Metaframework para
a
Gestão de
Riscos
Estabelecimento
do
Contexto
Identificação
de
Riscos
Comunicação
e
Consulta
Tratamento
de
Riscos
Monitoramento
e
Análise
Crítica
Avaliação
de
Riscos
Avaliação
de
Riscos
Processo
de
Avaliação
de
Riscos
•Visão
Integrada
de
Riscos
•Relatórios
•Matriz
de
Riscos
Residuais
•Matriz
de
Controles
Internos
•Matriz
de
Controles
Externos
•KRI
•Não-­‐conformidades

56. Gestão de
Riscos

57. Processo
de
Avaliação
de
Riscos
ISO
31000
como Metaframework para
a
Gestão de
Riscos
Estabelecimento
do
Contexto
Identificação
de
Riscos
Comunicação
e
Consulta
Tratamento
de
Riscos
Monitoramento
e
Análise
Crítica
Análise
de
Riscos
Avaliação
de
Riscos
•Integrações
•Indicadores
•Decisão
•Resposta
•Workflow
•Operação de
Controles

59. Processo
de
Avaliação
de
Riscos
ISO
31000
como Metaframework para
a
Gestão de
Riscos
Estabelecimento
do
Contexto
Identificação
de
Riscos
Comunicação
e
Consulta
Tratamento
de
Riscos
Monitoramento
e
Análise
Crítica
Análise
de
Riscos
Avaliação
de
Riscos
• Integração
• Workflow
• Alertas
• Decisão
• Resposta
• Fontes
Abertas
• Gestão
de
Ocorrências
• Gestão
de
Incidentes
• Gestão
de
Crise
• Monitoramento
Externo
• KRI
• Melhoria
Contínua
• Identificação
de
Oportunidades
• Incidentes
em
Regulados

60. Monitoramento de
Ocorrências Internas e
Externas
Rádio
Redes Sociais
Sistemas e
Bancos de
Dados
Telefonemas
SMS
APPs
Sensores
e
Alarmes
Câmeras Fontes
Abertas
email Serviços de
Informação

61. Monitoramento de
Câmeras Internas e
da
Proximidade

62. Botão de
Pânico e
Alarmes de
Incêndio,
Presença e
Outros

63. Monitoramento de
Obras

64. Monitoramento da
Disponibilidade de
Sistemas,
Energia Elétrica,
Água,
Ar Condicionado,
Telecomunicações,
…

65. Monitoramento de
Veículos e
GPS

66. Inteligência
em
Fontes
Abertas
Segurança
Cibernética

67. ”What is interesting in 2016 is the
growth of interest in Enterprise
Incident Management - organizations
looking for a single platform to
manage the range of incidents, issues,
cases, and investigations across the
organization.”
Michael
Rassmusen
Gestão
Corporativa
de
Incidentes

68. Processo
de
Avaliação
de
Riscos
ISO
31000
como Metaframework para
a
Gestão de
Riscos
Estabelecimento
do
Contexto
Identificação
de
Riscos
Comunicação
e
Consulta
Tratamento
de
Riscos
Monitoramento
e
Análise
Crítica
Análise
de
Riscos
Avaliação
de
Riscos
•Visão
Situacional
•Canal
de
Comunicação
•Prestação
de
Contas
•Decisão
•Transparência

69. Exemplo
de
Painel
de
Visão Situacional
Visão
Geográfica
Canal
de
Comunicação
Gestão de
Ativos
Monitoramento
da
Operação
Alertas e
Alarmes
imagem
de
exemplo
feita
a
partir
de
informações públicas obtidas na internet

70. Relatórios e
Estatísticas

71. Mensagens Instantâneas Integradas

72. Workflow

73. Workflow

74. Workflow

75. Workflow

76. Tablet
dos
Gestores

77. Mensagens Instantâneas e
Alertas

78. Obrigado!
Gestão
Integrada
de
Governança,
Gestão
de
Riscos,
Gestão
de
Incidentes,
Conformidade
e
Controles
Internos
Fernando
Nery
| fnery@modulo.com
Gestão
Integrada