Gerenciamento de Riscos

Gerenciamento de Riscos
COSO II, COBIT, ISO 31000, ISO 27005

Professor Gledson Pompeu gledson@dominandoti.com.br
W W W. D O M I N A N D OT I .CO M . B R
WWW.DOMINANDOTI.COM.BR
Acesse nosso site em

Cursos
Livros
Frum
Simulados
Blog
Materiais
Turmas em Braslia, na sua cidade, e cursos online

Edies publicadas, lanamentos e promoes
Interao direta entre estudantes e com os professores
Questes inditas, ranking de notas e correes em vdeo
Dicas e macetes de estudo, indicaes de bibliografia, etc.
Verses atualizadas de notas de aula e listas de exerccios
Curta o Dominando TI no
e receba nossas dicas sobre concursos!
COSO II - Enterprise Risk Management

Objetivos
Conceitos bsicos
Incerteza e valor
Eventos, riscos e oportunidades
Gerenciamento de riscos corporativos
Cubo COSO
Categorias de objetivos
Dimenses organizacionais
Componentes do gerenciamento de riscos
Riscos x Controles internos (COSO I)

O controle interno um processo constitudo de:
Ambiente de controle
Avaliao e gerenciamento de riscos
Atividades de controle
Informao e comunicao
Monitoramento
O objetivo principal dos controles internos auxiliar a

entidade a atingir seus objetivos
Objetivos do gerenciamento de riscos

Alinhar o apetite a risco com a estratgia
Otimizar as decises de resposta a risco
Reduzir surpresas e prejuzos operacionais
Identificar e administrar os riscos inerentes aos
empreendimentos
Fornecer respostas integradas aos diversos riscos
Aproveitar as oportunidades
Melhorar a alocao de capital
Incerteza e valor
Toda organizao
existe para gerar valor para as partes interessadas
enfrenta incertezas
As incertezas geram riscos e oportunidades

Potencial para destruir ou gerar valor
O gerenciamento de riscos corporativos

trata incertezas, riscos e oportunidades
aprimora a capacidade de gerao de valor
Evento, risco e oportunidade

Evento um incidente ou ocorrncia com fontes internas
ou externas, que afeta a realizao dos objetivos
Eventos podem causar impacto negativo, positivo ou ambos
Eventos que geram impacto negativo representam riscos

Risco: possibilidade de que um evento ocorra e afete
negativamente a realizao dos objetivos
Eventos cujo impacto positivo podem contrabalanar os

impactos negativos ou representar oportunidades
Oportunidade: possibilidade de que um evento ocorra e influencie
favoravelmente a realizao dos objetivos
Gerenciamento de riscos corporativos

Processo
conduzido por
Conselho de Administrao
Diretoria executiva
Demais funcionrios
aplicado no estabelecimento de estratgias para

Identificar eventos em potencial
capazes de afetar a organizao
Administrar os riscos
mant-los compatveis com o apetite a risco
Possibilitar garantia razovel

de cumprimento dos objetivos da entidade
Categorias de objetivos
Estratgicos
Referem-se s metas no nvel mais elevado
Alinham-se e fornecem apoio misso
Operaes
Tm como meta a utilizao eficaz e eficiente dos recursos
Comunicao
Relacionados confiabilidade dos relatrios
Conformidade
Cumprimento das leis e dos regulamentos pertinentes
COSO II - Enterprise Risk Management
10
Ambiente interno
Abrange a cultura da organizao, que influencia a
gesto organizacional e o gerenciamento de riscos, e
serve de base para os outros componentes
Filosofia de gesto de riscos

Apetite a risco
Superviso do conselho de administrao
Integridade e valores ticos
Compromisso com a competncia pessoal
Atribuio de aladas e responsabilidades
Organizao e desenvolvimento de pessoal
11
Fixao de objetivos
Os objetivos so fixados no mbito estratgico,
estabelecendo uma base para objetivos operacionais,
de comunicao e conformidade
Precondio identificao de eventos, avaliao de riscos
e s respostas aos riscos
12
Identificao de eventos
Identificao de fatores externos e internos que
impulsionam eventos que afetam a implementao da
estratgia e o cumprimento dos objetivos
Fatores externos:
Econmicos, ambientais, polticos, sociais e tecnolgicos
Fatores internos:
Infraestrutura, pessoas, processos e tecnologia
Diferenciao de riscos e oportunidades
13
Avaliao de riscos
Estimativa de probabilidade e impacto
Aplicada primeiramente aos riscos inerentes
Risco inerente
Risco que uma organizao ter de enfrentar na falta de
medidas que a administrao possa adotar para alterar a
probabilidade ou o impacto dos eventos
Aps o desenvolvimento das respostas aos riscos, so

considerados os riscos residuais
Risco residual
Aquele que permanece aps a resposta da administrao
14
Resposta a riscos
Avaliao do efeito sobre a probabilidade de ocorrncia
e o impacto do risco, assim como custos e benefcios
Seleo de resposta que mantenha os riscos residuais
dentro das tolerncias a risco desejadas
Evitar - As atividades que geram os riscos so descontinuadas
Reduzir - Adoo de medidas para reduzir a probabilidade ou
o impacto dos riscos, ou ambos
Compartilhar - Reduo da probabilidade ou do impacto pela
transferncia ou pelo compartilhamento de uma poro do
risco
Aceitar - Nenhuma medida adotada para afetar a
probabilidade ou o grau de impacto dos riscos
15
Polticas e procedimentos que contribuem para
assegurar que as respostas aos riscos sejam
executadas
Ocorrem em toda a organizao, em todos os nveis e
em todas as funes
Revises da alta direo

Administrao funcional direta ou de atividade
Processamento da informao
Controles fsicos
Indicadores de desempenho
Segregao de funes
16
Informao e comunicao
Qualidade das informaes
O contedo apropriado est no nvel de detalhe adequado?
As informaes so oportunas esto disponveis quando
necessrio?
As informaes so atuais, exatas e de fcil acesso?
As comunicaes devem transmitir
A importncia e pertinncia do gerenciamento de riscos

corporativos
Os objetivos da organizao
O apetite a riscos e a respectiva tolerncia
Uma linguagem comum de riscos
As funes e as responsabilidades do pessoal pelos componentes
do gerenciamento de riscos corporativos
17
Monitoramento
Monitoramento contnuo
como parte das atividades de administrao
Avaliaes independentes
cujo alcance e frequncia depende da avaliao dos
riscos e da eficcia dos procedimentos contnuos de
monitoramento
Relato de deficincias
no gerenciamento de riscos corporativos
Questes graves relatadas ao Conselho de administrao e
diretoria executiva
18
COBIT Avaliar e gerenciar riscos de TI

Necessidade de negcio
Analisar e comunicar os riscos de TI e seus possveis impactos nos
processos e objetivos de negcio
Objetivo
Desenvolver uma estrutura de gerenciamento de risco integrada s
estruturas corporativa e operacional de gerenciamento de risco,
avaliao, mitigao e comunicao de risco residual
Indicadores
% de objetivos crticos de TI cobertos pela avaliao de risco
% de riscos crticos de TI com planos de ao desenvolvidos
% dos planos de ao aprovados para implementao
19
COBIT Avaliar e gerenciar riscos de TI

Objetivos de controle detalhados
Alinhamento da gesto de riscos de TI e de Negcios
Estabelecimento do Contexto de Risco
Identificao de Eventos
Avaliao de Riscos
Resposta a Riscos
Manuteno e Monitoramento do Plano de Ao de
Risco
20
COBIT x COSO II
Alinhamento da gesto de riscos de TI e Negcio
Estabelecimento do
Contexto de Risco
Ambiente de controle
Fixao de objetivos
Avaliao de Riscos
Avaliao de Riscos
Resposta a Riscos
Resposta a Riscos
Planejar e priorizar atividades

de controle (atividade-chave)
Manuteno e Monitoramento do
Plano de Ao de Risco
Informao e Comunicao
Monitoramento
21
ISO 31000 Gerenciamento de riscos

Definies
Princpios para gerenciamento de riscos
Estrutura de gerenciamento de riscos
Processo de gerenciamento de riscos
22
ISO 31000 - Definies

Risco o efeito da incerteza sobre os objetivos
Desvio positivo ou negativo em relao ao esperado
Objetivos estratgicos, de projeto, processo ou produto
Eventos x consequncias x probabilidades
Gesto de riscos
Atividades coordenadas para dirigir e controlar uma
organizao no que se refere aos riscos
Apetite pelo risco

Quantidade e tipo de riscos que uma organizao est
disposta a buscar, manter ou assumir
23
ISO 31000 - Princpios

A gesto de riscos ...
cria e protege valor
parte integrante dos processos organizacionais
parte da tomada de decises
aborda explicitamente a incerteza
sistemtica, estruturada e oportuna
baseia-se nas melhores informaes disponveis
24
ISO 31000 - Princpios

A gesto de riscos ...
feita sob medida
considera fatores humanos e culturais
transparente e inclusiva
dinmica, iterativa e capaz de reagir a mudanas
facilita a melhoria contnua da organizao
25
ISO 31000 - Estrutura
26
ISO 31000 Processo de gesto de riscos

Estabelecimento do contexto
Processo de avaliao de riscos

Identificao de riscos
Comunicao e
Consulta
Monitoramento e
Anlise Crtica
Anlise de riscos
Avaliao de riscos
Tratamento de riscos
27
ISO 31000 Processo de Avaliao

Processo de avaliao = Risk assessment
Processo global de identificao, anlise e avaliao de
riscos
Envolve a identificao das fontes de risco, eventos, causas e
consequncias potenciais
Anlise de riscos
Compreenso da natureza e nvel do risco
Nvel de risco = f (consequncia, probabilidade)
Avaliao de riscos
Comparao dos resultados da anlise de riscos com os critrios de
risco para determinar se o risco aceitvel ou tolervel
28
ISO 27005 Processo de gesto de riscos

Definio do contexto
Processo de avaliao de riscos

Comunicao e
Consulta
Monitoramento e
Anlise Crtica
Anlise de riscos
Avaliao de riscos
Avaliao satisfatria?
(ponto de deciso 1)
Tratamento do risco
Tratamento satisfatrio?
(ponto de deciso 2)
Aceitao do risco
29
ISO 27005 Tratamento de Riscos de SI

Definio do Contexto / Avaliao de Riscos
Avaliao satisfatria?
(ponto de deciso 1)
Tratamento de riscos
Modificao
do risco
Reteno
do risco
Ao de evitar
o risco
Compartilhamento
do risco
Riscos Residuais
Tratamento satisfatrio?
(ponto de deciso 2)
30
Conceito de Risco - Comparativo

Evento incerto com impacto...
Referncia
Negativo
PMBoK
Positivo
RISCO
COBIT
RISCO
---
COSO / COSO II
RISCO
OPORTUNIDADE
ISO 31000
ISO 27005
RISCO
RISCO DE SI
--31

Gerenciamento de Riscos

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Gerenciamento de Riscos

Enviado por

Direitos autorais:

Formatos disponíveis

Gerenciamento de Riscos

COSO II, COBIT, ISO 31000, ISO 27005

Acesse nosso site em

Turmas em Braslia, na sua cidade, e cursos online

Professor Gledson Pompeu gledson@dominandoti.com.br

COSO II - Enterprise Risk Management

Professor Gledson Pompeu gledson@dominandoti.com.br

Riscos x Controles internos (COSO I)

O objetivo principal dos controles internos auxiliar a

Professor Gledson Pompeu gledson@dominandoti.com.br

Objetivos do gerenciamento de riscos

Professor Gledson Pompeu gledson@dominandoti.com.br

As incertezas geram riscos e oportunidades

O gerenciamento de riscos corporativos

Professor Gledson Pompeu gledson@dominandoti.com.br

Evento, risco e oportunidade

Eventos que geram impacto negativo representam riscos

Eventos cujo impacto positivo podem contrabalanar os

Professor Gledson Pompeu gledson@dominandoti.com.br