Você está na página 1de 113

®Brasiliano INTERISK – O valor da Inteligência

AUDITORIA BASEADA EM RISCOS – ABR

Curitiba, 28 de junho de 2018


Prof. Dr. Antonio Celso Ribeiro Brasiliano, CIGR, CRMA, CES,DEA, DSE, MBS
Presidente da Brasiliano INTERISK

®Brasiliano INTERISK – O valor da Inteligência


Sumário

1. Objetivos do Seminário
2. Facilitador
3. Auditoria Baseada em Riscos x Auditoria Tradicional
4. Contexto do Ambiente Empresarial
5. Processos e Conceitos de Boas Práticas para operacionalizar as Três
Linhas de Defesa
6. Três Linhas de Defesa, Aplicação e Conceito Estratégico: funções e
responsabilidades
7. Conclusão

®Brasiliano INTERISK – O valor da Inteligência


Objetivos do Seminário

1. Apresentar o contexto empresarial neste século XXI;

2. Apresentar o contexto do gerenciamento de riscos corporativos integrado com os


modelos de governança, compliance e auditoria – Três Linhas de Defesa: funções e
responsabilidades;

3. Apresentar o conceito e emprego da Auditoria Baseada em Riscos – ABR, visando


ganhar produtividade, eficácia nos testes dos controles chaves dos riscos críticos
para o negócio da instituição. Agrega Valor.

®Brasiliano INTERISK – O valor da Inteligência


Prof. Dr. Antonio Celso Ribeiro Brasiliano,
CIGR,CRMA,CES,DEA,DSE,MBS
Doutor em Science et Ingénierie de L’Information et de L’Intelligence Stratégique (Ciência e Engenharia da Informação e Inteligência
Estratégica) pela UNIVERSITÉ EAST PARIS - MARNE LA VALLÉE – Paris – França; Master Degree - Diplome D´Etudes Approfondies (DEA) en
Information Scientifique et Technique Veille Technologique (Inteligência Competitiva) pela UNIVERSITE TOULON – Toulon - França; Especializado
em: Inteligência Competitiva pela Universidade Federal do Rio de Janeiro - UFRJ; Gestión da Seguridad Empresarial Internacional – Universidad
Pontifícia Comillas de Madrid – Espanha; Curso de Gestión da Seguridad Empresarial - Universidad Pontifícia Comillas de Madrid – Espanha;
Planejamento Empresarial, pela Fundação Getúlio Vargas - SP; Elaboração de Currículos pelo Centro de Estudos de Pessoal do Exército - CEP,
Bacharel em Ciências Militares, graduado pela Academia Militar das Agulhas Negras; Bacharel em Administração de Empresas – Universidade
Mackenzie; Certificado em Gestão de Riscos: Certificácion Internacional de Gestión de Riesgos – CIGR pela CEAS Espanha - Certification in Risk
Management Assurance – CRMA, pelo IIA Global – Institute of Internal Auditors, Certificado como Especialista em Segurança Empresarial – CES
pela ABSO. Autor dos livros: Inteligência em Riscos: gestão Integrada em Riscos, com a inclusão do COSO ERM 2017 e ISO 31000: 2018
“Mundo VICA – Volátil, Incerto, Complexo, Ambíguo. Estamos Preparados?”; “Inteligência em Riscos: Gestão Integrada em Riscos Corporativos”;
“Gestão de Risco de Fraudes, Fraud Risk Assessment – FRA”; “Gestão de Continuidade de Negócios – GCN”; “Guia Prático para a Gestão de
Continuidade de Negócios”; “Cenários Prospectivos em Gestão de Riscos Corporativos: um estudo de caso brasileiro”; “Gestão e Análise de
Riscos Corporativos: Método Brasiliano Avançado” – Alinhado com a ISO 31000; "Análise de Risco Corporativo – Método Brasiliano"; “Manual de
Análise de Risco Para a Segurança Empresarial”; “Manual de Planejamento: Gestão de Riscos Corporativos”; “A (IN)Segurança nas Redes
Empresarias: A Inteligência Competitiva e a Fuga Involuntária das Informações”; “Planejamento da Segurança Empresarial: Metodologia e Implantação”; Coautor dos
Livros: “Dicionário de Crime, Justiça e Sociedade” - lançamento em Portugal onde colaborou com especialistas portugueses e demais países da Europa, sendo o único
brasileiro a participar com textos sobre Fraudes Corporativas; “Manual de Planejamento Tático e Técnico em Segurança Empresarial”; “Segurança de Executivos" -
Noções Antissequestro e Sequestro: Como se Defender; Idealizador da Solução em Inteligência em Riscos Corporativos INTERISK; Professor Convidado do IPT da
USP do Programa de Mestrado, para aulas de Análise de Riscos, da Fundação Dom Cabral e da Faculdade Trevisan para Cursos de Gestão de Riscos; Atual Coordenador
Técnico e Professor do MBA - Gestão de Riscos Corporativos e Cursos de Extensão nos temas de Riscos, Compliance, Gestão de Continuidade de Negócios, Auditoria
Baseada em Riscos, Controles Internos, Segurança Corporativa, todos em convênio com a Faculdade de Engenharia de São Paulo – FESP; Membro do Institute of
Internal Auditors IIA; do Instituto dos Auditores Internos do Brasil – IIA Brasil; Membro da Associação Brasileira de Profissionais de Segurança Orgânica – ABSO,
Coordenou a 1ª Pesquisa de Vitimização Empresarial 2003 – Contrato pela PENUD/ONU/SENASP; Profissional com mais de 30 anos de experiência em Gestão de Riscos;
Palestrante nacional em inúmeros eventos da área de riscos, compliance, auditoria, controles internos e segurança corporativa. Palestrante Internacional em eventos na
Argentina, Paraguai, África e Japão (convidado pela Organização Pan-Americana de Saúde-OPAS, como expert em Planos de Contingência, na Conferência Mundial de
Redução de Desastres, Yokohama). Experiência internacional em consultoria GRC em Portugal, Cabo Verde, Angola, Moçambique, Uruguai, Argentina, Paraguai,
Colômbia, México. Membro da Comissão de Estudo Especial de Gestão de Riscos da ABNT/CEE-63 – ISO 31000/31010/31004 – Gestão de Riscos e ISO 22301/22313
Gestão de Continuidade de Negócio – Segurança da Sociedade. É Presidente da BRASILIANO INTERISK.

© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016 ®Brasiliano INTERISK – O valor da Inteligência
Alguns clientes Brasiliano INTERISK

© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016 ®Brasiliano INTERISK – O valor da Inteligência
Alguns clientes Brasiliano INTERISK

© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016 ®Brasiliano INTERISK – O valor da Inteligência
Alguns clientes Brasiliano INTERISK

© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016 ®Brasiliano INTERISK – O valor da Inteligência
Alguns clientes Brasiliano INTERISK

© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016 ®Brasiliano INTERISK – O valor da Inteligência
CONCEITO, DEFINIÇÃO, ABRANGÊNCIA DA
AUDITORIA

“AUDITORIA INTERNA é uma atividade independente e


objetiva que presta serviços de avaliação (assurance) e
consultoria, e tem como objetivo adicionar valor e
melhorar as operações de uma organização. Auxilia a
organização a alcançar seus objetivos, adotando uma
abordagem sistemática e disciplinada para a avaliação e
melhoria da eficácia dos processos de gerenciamento de
riscos, de controle e governança corporativa”
Fonte: IIA / IAIB

®Brasiliano INTERISK – O valor da Inteligência


CONCEITO, DEFINIÇÃO, ABRANGÊNCIA DA
AUDITORIA

Finalidade da Auditoria Interna

A Auditoria Interna tem por finalidade desenvolver um plano de


ação que auxilie a organização a alcançar seus objetivos adotando
uma abordagem sistêmica e disciplinada para a avaliação e
melhora da eficácia dos processos de gerenciamento de
riscos com o objetivo de adicionar valor e melhorar as
operações e resultados de uma organização.

®Brasiliano INTERISK – O valor da Inteligência


AUDITORIA
AUDITORIA BASEADA
E CONTROLES EM RISCOS - ABR

IIA – The Institute of Internal Auditors – define Auditoria Baseada em Riscos –


ABR:

Como uma metodologia que associa a auditoria interna no arcabouço global da


gestão de riscos de uma organização.

A ABR possibilita que a auditoria interna garanta ao conselho de administração,


que os processos de gestão de riscos estão administrando os riscos de maneira
eficaz em relação ao apetite ao riscos.

®Brasiliano INTERISK – O valor da Inteligência


Conclusão O QUE É RISCO?

Costuma-se entender risco como possibilidade de algo não dar certo.

Mas seu conceito atual no mundo corporativo vai além: envolve a quantificação e a
qualificação da incerteza, tanto no que diz respeito às perdas quanto aos ganhos por
indivíduos ou organizações.

Sendo o risco inerente a qualquer atividade – e impossível de eliminar –, a sua

administração é um elemento-chave para a sobrevivência das instituições e empresas.

Fonte: Cadernos de Governança Corporativa – Gerenciamento de Riscos Corporativos: Evolução em Governança e


Estratégia – IBGC - 2017

© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016 ®Brasiliano INTERISK – O valor da Inteligência
Conclusão COMPONENTES DO RISCO

Para a exata delimitação do risco, devem-se identificar os três componentes: causas, as fontes, os fatores
de risco; o evento em si e as consequências, que são os efeitos financeiros, operacionais, legais,
imagem, recursos humanos...
© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016 ®Brasiliano INTERISK – O valor da Inteligência
Conclusão
O QUE SÃO CAUSAS, FONTES OU FATORES DE RISCOS?

Riscos são incidentes ou ocorrências originadas a partir de fontes internas


ou externas que podem impactar negativamente ou positivamente a instituição.

O risco é composto por fatores de riscos – causas – internas e externas.

Para compreender sua potencialidade há a necessidade de decompor o risco


em suas respectivas causas.

© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016 ®Brasiliano INTERISK – O valor da Inteligência
Fator de Risco – Causa - Fonte

ISO 31010
Técnicas de Análise
de Riscos

Risco

© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016 ®Brasiliano INTERISK – O valor da Inteligência
Fator de Risco – Causa - Fonte

®Brasiliano INTERISK – O valor da Inteligência


Identificação dos Fatores de Riscos – Diagrama de Causa e Efeito

R1 Manipulação de quantidade recebidas - Fraude

R2 Recebimento de produtos fora da

especificação de qualidade

®Brasiliano INTERISK – O valor da Inteligência


Apetite de Risco

Apetite de risco é a quantidade de risco que a empresa deseja assumir para conseguir
atingir seus objetivos.

Ou podemos dizer também que apetite de risco é a quantidade de riscos, no sentido mais
amplo, que uma organização está disposta a aceitar em sua busca para agregar valor.

O apetite de risco reflete toda a filosofia administrativa de uma organização e, por sua
vez, influencia a cultura e o estilo operacional desta.

© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016 ®Brasiliano INTERISK – O valor da Inteligência
Apetite de Risco

A fixação do apetite de risco permite determinar na empresa o binômio risco x benefício,


controlar e manter os riscos em níveis desejados.

Para tanto, para possibilitar a concretização de geração de valor nas organizações, estas
devem fazer um balanço entre riscos x oportunidades x apetite de risco, e, servir de guia
para a tomada de decisões, alocação de recursos e a definição do alinhamento de toda
empresa para a busca dos objetivos fixados.

Permite fazer um monitoramento das ações, resultados e dos níveis de riscos


associados.

© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016 ®Brasiliano INTERISK – O valor da Inteligência
Apetite de Risco
APETITE AO RISCO: VISÕES

Exposição

Fonte:
®Brasiliano INTERISK – O valor da Inteligência
APETITE AO RISCO: NÍVEIS DE ACEITAÇÃO

1 - Monitoramento
2 – Apetite de Risco
3 – Tolerância ao Risco
4 – Capacidade de Risco
®Brasiliano INTERISK – O valor da Inteligência
Eficácia da Auditoria Baseada em Riscos

A eficácia da ABR depende:

1. Avaliar a eficácia do processo de gestão de riscos:

• Estruturado?
• Possui política?
• Alinhado com o apetite definido?
• Alinhado com a estratégia e objetivos estratégicos?
• Possui metodologia?
• Possui métricas por disciplinas de riscos?
• Controla a 1ª linha?
• Consolida e integra riscos?
• Utiliza Software?
• Realiza reportes contínuos para a alta gestão?
• Riscos e controles chaves são reportados e tratados?

®Brasiliano INTERISK – O valor da Inteligência


ABRANGÊNCIA DA SEGURANÇA CORPORATIVA
Abrangência
NEGÓCIOS
FORNECEDORES ▪ Disponibilidade
▪ Encerramento repentino de contrato
▪ Imagem Segurança
▪ Novas regulamentações TI/Cibernética
▪ Falência ▪ Rede de comunicação
▪ Aplicações
▪ Vírus

PROCESSOS
GRC ▪ Fraudes
▪ Ineficiência
▪ Segurança
Segurança
Pessoal
▪ Sequestros
▪ Assaltos
▪ Epidemias (Avian Flu) Segurança Física
▪ Acidentes ▪ Incêndio
▪ Alagamento
▪ Desabamento
▪ Ataque terrorista
Segurança na Cadeia ▪ Blackout
Logística
• Armazenagem
▪ Distribuição
▪ Transporte
▪ Greves
®Brasiliano INTERISK – O valor da Inteligência
ABRANGÊNCIA GERA INÚMERAS DISCIPLINAS……..

1. Riscos estratégicos. 8. Riscos financeiros.


2. Riscos operacionais – ligados a 9. Riscos legais.
operação. 10. Riscos sociais.
3. Riscos nos processos. 11. Riscos de sustentabilidade.
4. Riscos de tecnologia da 12. Riscos de comunicação.
informação.
13. Riscos de fraudes.
5. Riscos de meio ambiente.
14. Riscos na cadeia logística.
6. Riscos de saúde e segurança do
trabalhador. 15. Riscos no projeto.
7. Riscos de segurança empresarial. 16. Outras tantas disciplinas.

As várias disciplinas de riscos, devem ser, gerenciadas, de forma integrada.


O que significa isto?

®Brasiliano INTERISK – O valor da Inteligência


Significa que os Gestores de Riscos, com o apoio e Suporte da Alta Gestão,
devem:

Apesar da grande diversidade e abrangência, devem utilizar um mesmo FRAMEWORK para a


Instituição toda!

O que pode e deve mudar? Ferramentas e critérios para estimar probabilidades e


impactos/consequências dos riscos

Mas TODAS AS DISCIPLINAS IRÃO PARA UMA ÚNICA MATRIZ!

Qual a razão dos riscos irem para uma única Matriz de Riscos?

A Instituição falar a mesma linguagem, saber a criticidade do risco e o apetite de risco.

®Brasiliano INTERISK – O valor da Inteligência


O QUE NÃO DEVE ACONTECER ?

A instituição possuir várias políticas – diretrizes de gestão de riscos;

A instituição possuir inúmeros Framework’s – um para cada disciplina,


alegando especificidade;

A instituição possuir várias metodologias, a forma como fazer o gerenciamento


de riscos;

A instituição possuir várias matrizes de riscos, uma matriz por disciplina de


risco. ACONTECE O QUÊ?

®Brasiliano INTERISK – O valor da Inteligência


O QUE NÃO DEVE ACONTECER?

A Alta Gestão e o Conselho de Administração da Empresa não


terão condições de supervisionar os riscos estratégicos e
críticos, farão voo cego, pois ficam sem parâmetros claros.

®Brasiliano INTERISK – O valor da Inteligência


O QUE NÃO DEVE ACONTECER?

Consequência

®Brasiliano INTERISK – O valor da Inteligência


AUDITORIA DEVE CHECAR

1. POLÍTICA DE GESTÃO DE RISCOS – APETITE AO RISCO E RESPONSABILIDADES


DOS “RISK’S OWNER”

2. PROCESSO DE GESTÃO DE RISCOS COM MÉTRICAS E METODOLOGIAS - DESCRIÇÃO


POR DISCIPLINA

Matriz Única para a Empresa, INCLUINDO A AUDITORIA,


Independente da disciplina e métrica
®Brasiliano INTERISK – O valor da Inteligência
Processo de Gerenciamento de Riscos Corporativos

COSO ERM - Revisão 2017 COSO I - Revisão 2013


ISO 31000
COSO II

PROCESSO INTEGRADO - MÉTODO BRASILIANO - COM FERRAMENTA DE TI INTERISK


®Brasiliano INTERISK – O valor da Inteligência
COSO I
Foco no Controle Interno

Relato de informação financeira e não financeira, interna e externamente. Considera aspectos de fiabilidade, tempestividade,
transparência e outras características relevantes.

Dado grande enfoque na formalização de papéis, julgamento e responsabilidades da alta administração para reforçar o seu mandato

Detalhamento de cada um destes componentes foi aprimorado para um total de 17 princípios e devem estar presentes e operantes por
toda a entidade.
®Brasiliano INTERISK – O valor da Inteligência
COSO I
Foco no Controle Interno

Um novo conceito

®Brasiliano INTERISK – O valor da Inteligência


CONTROLES INTERNOS
Tipos de Controle Interno
Tipos de Características
Controle

Desenhado para prevenir resultados indesejados Reduzem a


Preventivos possibilidade de sua ocorrência e detecção.
Exemplo: Cheques com duas assinaturas; Empenho prévio; Cadastro
de fornecedores; etc

Desenhado para detectar fatos indesejáveis. Detectam a


Detectivos manifestação/ocorrência de um fato.
Exemplo: Conciliação de contas: Bancos, Contas a Receber,
Pagar, etc.
Preventivos são os controles que atuam sobre os fatores de riscos do diagrama de causa e efeito, ou seja, são
controles que irão prevenir o risco, fazer com que a probabilidade de ocorrência do riscos diminua.

Detectivos são controles que atuam após a ocorrência do risco, ou seja, detecta que ocorreu um evento (riscos) e
faz com que seu impacto seja mitigado.

Exemplo: Processo de Expedição


• Risco: Desvio de Material
• Fator de risco: Expedição não autorizada de materiais
• Controle Preventivo: Dupla conferência – Permite liberar o material apenas com a assinatura do conferente e
do líder de expedição (Age sobre o fator de risco “Expedição não autorizada de materiais”) – Se o controle for
eficaz diminuirá a probabilidade do risco.
• Controle Detectivo: Inventário Mensal – Permite detectar divergências mensais entre a quantidade física e
quantidade em sistema, caso tenha ocorrido algum desvio (Age sobre o risco “Desvio de Material”). Se o
controle for eficaz diminuirá o impacto do risco.
®Brasiliano INTERISK – O valor da Inteligência
Revisão Estratégica COSO ERM – 2017
INTEGRADO COM ESTRATÉGIA E DESEMPENHO

objetivos estratégicos, estratégia devem estar alinhados com


a missão, visão e valores da organização

• Objetivos Estratégicos e a Estratégias Processo de Gestão de


• Desempenho Riscos e alinhados com
o Apetite de Risco

®Brasiliano INTERISK – O valor da Inteligência


COSO ERM – 2017
INTEGRADO COM ESTRATÉGIA E DESEMPENHO

05 COMPONENTES E 20 PRINCÍPIOS

®Brasiliano INTERISK – O valor da Inteligência


CONCEITO RISCO INERENTE
IMPORTANTE ÉA E RISCO RESIDUAL
VULNERABILIDADE RESIDUAL

Que é a exposição ao risco depois de tomadas as ações de tratamento

Materialidade do Risco

Vulnerabilidade residual:
exposição ao risco após tomar as medidas julgadas
adequadas - grau de preparação atuante
(exposição não tratável no absoluto ou não tratável porque o custo
marginal de tratar é maior que o benefício marginal de tratar)
Redução Máxima da Vulnerabilidade
Considerando Grau de Preparação
Atuante
Atuante

Grau de Preparação (Redutor de


Vulnerabilidade) Intermediário Vulnerabilidade Passível de Redução por Atuação

Insuficiente

®Brasiliano INTERISK – O valor da Inteligência


VISÃO DE ANTECIPAÇÃO - RISCOS

Inerente Residual

®Brasiliano INTERISK – O valor da Inteligência


Se, o gestor de riscos fizer o “feijão com arroz”, ou seja identificar a
Criticidade de cada Risco pela Probabilidade x Impacto

Fonte: 13a Relatório de Riscos Globais do Fórum Mundial 2018


© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016 ®Brasiliano INTERISK – O valor da Inteligência
O que o Fórum Mundial pede que façamos além de identificar a
Criticidade de cada risco?

Tenho que identificar a


Motricidade entre os
riscos, suas
interconectividade.

Saber o que um risco


influência em outro!

Fonte: 13a Relatório de Riscos Globais do Fórum Mundial 2018


© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016 ®Brasiliano INTERISK – O valor da Inteligência
O que o Fórum Mundial pede que façamos além de identificar a
Criticidade de cada risco?

Na Gestão de Riscos
identificamos a
Motricidade entre os
riscos utilizando o
Teorema de Bayes,
Probabilidades
Condicionantes,
facilitada pela Técnica
dos Impactos
Cruzados.

Fonte: 13a Relatório de Riscos Globais do Fórum Mundial 2018

© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016 ®Brasiliano INTERISK – O valor da Inteligência
O que isto significa na prática?

Matriz de Impactos Cruzados – Teorema de Bayes


© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016 ®Brasiliano INTERISK – O valor da Inteligência
O que isto significa na prática?

Matriz de Motricidade – Interdependência


© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016 ®Brasiliano INTERISK – O valor da Inteligência
O que isto significa na prática?

Matriz de Riscos - Criticidade = Probabilidade x Impacto


© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016 ®Brasiliano INTERISK – O valor da Inteligência
O que isto significa na prática?

Matriz de Motricidade – Interdependência

Motricidade Matriz de Impactos Cruzados


INTERCONECTIVIDADE ENTRE RISCOS

© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016 ®Brasiliano INTERISK – O valor da Inteligência
O que isto significa na prática?

Matriz de Priorização – Motricidade x Criticidade

© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016 ®Brasiliano INTERISK – O valor da Inteligência
Disciplinas de Riscos são Ilhas
Falta Visão Holística

Faltam conexões entre as


disciplinas

Qual a consequência da falta


destas conexões?

Miopia para enxergar o Risco


Sistêmico
®Brasiliano INTERISK – O valor da Inteligência
A Integração das Disciplinas de Riscos

“N” Disciplinas, com “N” ferramentas e métricas


personalizadas, mas todas debaixo do mesmo Processo e
Matriz de Risco! O Resultado é a Inteligência em Riscos,
onde há análise e interpretação das informações.
®Brasiliano INTERISK – O valor da Inteligência
Integrar todos os Riscos e Informações – Inteligência em Riscos

®Brasiliano INTERISK – O valor da Inteligência


Painel de Controle e Monitoramento

Processo Crítico x Risco Inerente Crítico x Controles Chaves = Risco Residual


dentro do Apetite ao Risco ®Brasiliano INTERISK – O valor da Inteligência
AS INSTITUIÇÕES DEVEM, OBRIGATORIAMENTE,
TRABALHAREM COM FERRAMENTA DE TI
Não tem cabimento no século XXI, instituições de porte, ainda estarem
realizando a Gestão de Riscos no Famoso anacrônico denominado “S.A.P.”

SAP = Sistema Avançado de Planilha


O que gera inúmeros riscos!

Solução com Ferramenta de TI


Com integrações automatizadas

®Brasiliano INTERISK – O valor da Inteligência


Eficácia da Auditoria Baseada em Riscos

A eficácia da ABR depende:

2. Avaliar os controles chaves dos riscos inerentes críticos


dos processos relevantes para o negócio

®Brasiliano INTERISK – O valor da Inteligência


Análise de Riscos - Inerente e Residual

Fatores de Riscos x
Risco Inerente Risco Residual
Controles

FR. 278
(Ausência de local coberto
adequado para as coletas
de amostras dos caminhões
em dias de chuva)

FR. 279 C.190 (E|P)


(Manipulação dos (Amostra de qualidade
Risco 124 resultados das amostras do produto entregue)
Risco 124
(Recebimento de de qualidade) (Recebimento de
produtos fora da produtos fora da
especificação de
qualidade)
FR. 281 C.185 (I|P) especificação de
qualidade)
(Existência de pragas no (Controle magnético)
local de armazenagem)

Média Probabilidade: Média Probabilidade:


FR. 282 C.188 (E|P)
3.92 Muito Alta (Conluio entre o (Recebimento de 2.58 Alta
Média Impacto: descarregamento e o Ticket de pesagem) Média Impacto:
4.00 Severo motorista) 4.00 Severo

Legenda:
(I) - Ineficaz
(E) - Eficaz
(P) - Preventivo
(D) - Detectivo
®Brasiliano INTERISK – O valor da Inteligência
Análise de Riscos - Inerente e Residual
Fatores de Riscos x
Risco Inerente Risco Residual
Controles

FR. 271 C.186 (I|P)


.
(Solicitação informal do cliente (Confirmação do cliente) Estudo de Caso
para entrada do produto)
FR. 272
(Ausência de formalização do
escritório para balança)
FR. 273
(Liberação de entrada dos caminhões através
da identificação pessoal do motorista)
FR. 274 C.185 (I|P)
. C.186 (I|P)
.
(Recebimento de produto sem (Controle magnético) (Confirmação do cliente)
aviso do cliente)
Risco 122 FR. 275 Risco 122
(Falta de energia no armazém não
(Registro de permitindo o funcionamento da balança) (Registro de
produtos não produtos não
recebidos)
FR. 276 recebidos)
(Ausência de nobreak e/ou
gerador para a balança)
FR. 277 C.187 (E|P). C.188 (E|P).
(Manipulação das divergências de (Validação da nota fiscal (Ticket de pesagem)
peso entrega) de entrada)
Média Probabilidade: FR. 282 C.188 (E|P). Média Probabilidade:
4.58 Elevada (Conluio entre o descarregamento (Ticket de pesagem)
4.17 Muito Alta
e o motorista)
Média Impacto: Média Impacto:
3.18 Moderado FR. 283
(Ausência de padrão para as 3.18 Moderado
informações de recusas dos produtos)
FR. 284 C.187 (E|P).
Legenda: (Manipulação do lastro do (Validação da nota fiscal
caminhão pelo motorista) de entrada)
(I) - Ineficaz
FR. 285 C.191 (I|D) . C.188 (E|P).
(E) - Eficaz (Ausência de integração sistêmica (Registro de estoque) (Ticket de pesagem)
entre a balança (entrada) e o sistema Alfa
(P) - Preventivo
FR. 286 C.188 (E|P). C.191 (I|D) .
(D) - Detectivo (Ausência de tempestividade no (Ticket de pesagem) (Registro de estoque)
registro de entrada de estoque)
®Brasiliano INTERISK – O valor da Inteligência
Avaliação de Riscos - Inerente e Residual

No exemplo utilizado
necessário implementar
controles preventivos para
inibir os fatores de riscos e
implementar controles
detectivos e mitigadores
(exemplos - plano de
emergência, plano de crise,
plano de continuidade de
negócios) visando diminuir o
impacto

®Brasiliano INTERISK – O valor da Inteligência


®Brasiliano INTERISK – O valor da Inteligência
Alguns Casos:

Onde estavam os Auditores?


Principais escândalos corporativos de 2010 a 2016

®Brasiliano INTERISK – O valor da Inteligência


FRAUDE – 2015 - VW

“ ATÉ 2018, QUEREMOS LEVAR O GRUPO AO


TOPO DA INDÚSTRIA GLOBAL”

Martin Winterkorn – Presidente em 2011na


montadora no Tennessee - USA

“ ATÉ 2018, QUEREMOS LEVAR O GRUPO


AO TOPO DA INDÚSTRIA GLOBAL”

Martin Winterkorn – Presidente em 2011na


Ações caíram 34% montadora no Tennessee - USA
Multas podem chegar até 18 bilhões de dólares ®Brasiliano INTERISK – O valor da Inteligência
Fraude – Petrobrás
Consequência direta:
- Queda do valor das ações + 50%
- Credibilidade da diretoria e Petrobrás
- Paralização de obras

- Ações na justiça

®Brasiliano INTERISK – O valor da Inteligência


Wells Frago - 2016

O Presidente pediu
Desculpas e assumiu o
erro, mas não adiantou.... ®Brasiliano INTERISK – O valor da Inteligência
A Importância de uma Adequada Gestão de Riscos Apetite de Risco Alto?
BP - British Petroleum, em 2007
Quando Tony Hayward tornou-se CEO da BP em 2007, ele jurou
fazer segurança sua prioridade máxima. Dentre as novas regras
que ele instituiu, a necessidade de que todos os funcionários
usassem tampas em xícaras de café durante a caminhada e
abstivessem de escrever mensagens de texto enquanto dirigiam.

Uma Comissão de inquérito dos Estados Unidos atribui o desastre a:

FALHAS DE GESTÃO, QUE INCAPACITAVA OS INDIVÍDUOS ENVOLVIDOS NA


IDENTIFICAÇÃO, AVALIAÇÃO, COMUNICAÇÃO E TRATAMENTO DOS RISCOS
DE FORMA ADEQUADA! ®Brasiliano INTERISK – O valor da Inteligência
FIFA - 2015

®Brasiliano INTERISK – O valor da Inteligência


YAHOO - 2016

®Brasiliano INTERISK – O valor da Inteligência


OLYMPUS - 2011

®Brasiliano INTERISK – O valor da Inteligência


®Brasiliano INTERISK – O valor da Inteligência
PONTOS DE REFLEXÃO PARA OS AUDITORES
GESTÃO DE RISCOS CORPORATIVOS

• O que pode comprometer o cumprimento das estratégias e metas?


• Onde estão as maiores oportunidades, ameaças e incertezas?
• Quais são os principais riscos?
• Como a Cooperativa responde aos riscos?
• Existem informações confiáveis para tomada de decisões?
• O que é feito para assegurar que os riscos estejam em um nível aceitável?
• A cooperativa possui consciência da importância do processo de gestão de
riscos?
• A cooperativa tem as competências necessárias para gerir riscos assumidos?
• Quem identifica e monitora ativamente os riscos da Cooperativa?
• Que padrões e metodologias são utilizados?
Fonte: IBGC – Cadernos de Governança - Gerenciamento de Riscos Corporativos – Evolução em Governança e Estratégia – 2017.

© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016 ®Brasiliano INTERISK – O valor da Inteligência
O Mundo vive hoje turbulências imprevisíveis e mudanças exponenciais para as
quais as empresas e seus líderes não estão preparados!

Disruptiva

Veloz

Ágil

A Revolução 4.0 impacta as mais


diversas áreas das empresas, está
invertendo a forma de pensar, trabalhar,
produzir....novas competências serão
necessárias!! ®Brasiliano INTERISK – O valor da Inteligência
AS EMPRESAS NECESSITAM QUEBRAR DOGMAS DA
ADMINISTRAÇÃO, ASSUMIR RISCOS, SER OUSADAS

As outras revoluções industriais vieram com inovações


tecnológicas, com o objetivo de trazer maior
produtividade e eficiência aos processos.

A Revolução Industrial 4.0 integra as


tecnologias físicas e lógicas, como Inteligência
Artificial, Robótica, Computação Cognitiva,
Analytics e Internet das Coisas (IoT).

HAVENDO INTERCONECTIVIDADE EM TUDO! ®Brasiliano INTERISK – O valor da Inteligência


CONTEXTO DO MERCADO CORPORATIVO E AS ABORDAGENS
ESTRATÉGICAS DAS EMPRESAS
VOLUME DE INFORMAÇÕES E DADOS:
• CISCO estima que em 2020 haverá 50 bilhões de
dispositivos conectados à internet.
• Dezenas de bilhões de telas.
• Três bilhões de sensores em nossos carros.

O conhecimento é dobrado a cada dois anos!

®Brasiliano INTERISK – O valor da Inteligência


TENHO QUE SABER ONDE DEVO AUDITAR, ASSESSORAR, OBSERVAR, PERGUNTAR,
INVESTIGAR, POIS A ABRANGÊNCIA É MUITO GRANDE, O VOLUME DE DADOS E
INFORMAÇÕES SÃO BRUTAIS

®Brasiliano INTERISK – O valor da Inteligência


A REVOLUÇÃO INDUSTRIAL 4.O IMPACTA DIRETAMENTE EM
4 PILARES ESTRATÉGICOS

• ESTRATÉGIA DA EMPRESA

• TECNOLOGIA

• TALENTOS E FORÇA DE TRABALHO

• IMPACTO SOCIAL

®Brasiliano INTERISK – O valor da Inteligência


A GESTÃO DE RISCOS E AUDITORIA DEVEM QUEBRAR UM PARADIGMA: NÃO PODEM
RELATAR O QUE ACONTECEU, MAS O QUE PODERÁ VIR A ACONTECER, NO FUTURO!

ANTECIPAÇÃO
®Brasiliano INTERISK – O valor da Inteligência
AMBIENTE EXTREMAMENTE TURBULENTO, GERA:

V Volatilitity
Volatilidade

U Uncertainty
Incerteza
1. Aceitar
2. Não pensar demais
C Complexity
Complexidade
3. Mover-se

A Ambiguity
Ambiguidade

VICA
®Brasiliano INTERISK – O valor da Inteligência
AMBIENTE EXTREMAMENTE TURBULENTO, GERA:

V Volatilidade Visão
Velocidade

I Incerteza Entendimento
Não ortodoxia – Não Dogmatizar

C Complexidade Colaboração
Cocriação
Entender a conectividade
Interdependência

A Ambiguidade Agilidade
Abundância

®Brasiliano INTERISK – O valor da Inteligência


6 D’s

Pensamento Linear x Exponencial

®Brasiliano INTERISK – O valor da Inteligência


A empresa necessita alinhar sua estratégia de negócio, neste ambiente
turbulento, aos Riscos....

Riscos que Impactam a Estratégia de Negócio da Empresa, fazendo com que


não cumpra com seus objetivos!

Trajetória da
Empresa Objetivos
das Diretrizes
Estratégicas

Os riscos devem ser antecipados, o Planejamento Estratégico deve possuir uma


abordagem múltipla de mercado.

A instituição tem que possuir ESTRATÉGIAS ADAPTATIVAS E VISIONÁRIAS!

®Brasiliano INTERISK – O valor da Inteligência


Trajetória COM Gestão de Riscos

Mitigação

Remediação

Objetivos
Prevenção
Estratégicos

A gestão de riscos torna a empresa mais resiliente aos efeitos das


incertezas e mais HÁBIL em alcançar seus objetivos Estratégicos.
AMBIDESTRA

®Brasiliano INTERISK – O valor da Inteligência


Conclusão PERFIL DO AUDITOR INTERNO

Característica do Nexialista, onde a habilidade principal é a conectividade.


Fonte: O marketing na Era do Nexo. Longo, Walter e Tavares, Zé Luis. Rio de Janeiro: BestSeller, 2009

© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016 ®Brasiliano INTERISK – O valor da Inteligência
LINHAS DE DEFESA

Dezembro de 2011 - Adaptação da


Guidance on the 8th EU Company
Law Directive da ECIIA
(Confederação Europeia dos
Institutos de Auditoria Interna) /
/FERMA (Federação Europeia de
Associações de Gerenciamento de
Riscos), artigo 41

Normas imposta pela legislação


europeia aplicáveis às empresas
em toda a União Europeia.

14 Dezembro de 2011

®Brasiliano INTERISK – O valor da Inteligência


LINHAS DE DEFESA

Janeiro de 2013

Funções que Funções que Funções que


gerenciam supervisionam fornecem
e são os riscos avaliações
proprietários independentes
dos riscos Facilitadores

®Brasiliano INTERISK – O valor da Inteligência


CONCEITOS ESTRATÉGICOS

O modelo de Três Linhas de


Defesa é uma forma simples e
eficaz de melhorar a
comunicação do gerenciamento
de riscos e controle por meio do
esclarecimento dos papéis e
responsabilidades essenciais.

O modelo apresenta um novo ponto de vista sobre as operações,


ajudando a garantir o sucesso contínuo das iniciativas de gerenciamento de
riscos, e é aplicável a qualquer organização - não importando seu tamanho
ou complexidade.
Mesmo em empresas em que não haja uma estrutura ou
sistema formal de gerenciamento de riscos, o modelo de Três Linhas de
Defesa pode melhorar a clareza dos riscos e controles e ajudar a aumentar a
eficácia dos sistemas de gerenciamento de
riscos.
®Brasiliano INTERISK – O valor da Inteligência
CONCEITOS ESTRATÉGICOS

Como primeira linha de defesa,


os gerentes operacionais
gerenciam os riscos e têm
propriedade sobre eles. Eles
também são os responsáveis
por implementar as ações
corretivas para resolver
deficiências em processos e
controles.
A gerência operacional é responsável por manter controles internos
eficazes e por conduzir procedimentos de riscos e controle diariamente.
A gerência operacional identifica, avalia, controla e mitiga os riscos,
guiando o desenvolvimento e a implementação de políticas e
procedimentos internos e garantindo que as atividades estejam de
acordo com as metas e objetivos. Deve haver controles de gestão e de
supervisão adequados em prática, para garantir a conformidade e para
enfatizar colapsos de controle,
processos inadequados e eventos inesperados.
®Brasiliano INTERISK – O valor da Inteligência
CONCEITOS ESTRATÉGICOS

Segunda Linha como


supervisora e facilitadora da
primeira linha de defesa.

Dupla Função!

Uma função (e/ou comitê) de gerenciamento de riscos que facilite


e monitore a implementação de práticas eficazes de gerenciamento de
riscos por parte da gerência operacional e auxilie os proprietários dos
riscos a definir a meta de exposição ao risco e a reportar adequadamente
informações relacionadas a riscos em toda a organização.

®Brasiliano INTERISK – O valor da Inteligência


CONCEITOS ESTRATÉGICOS

Como funções de gestão, elas


podem intervir diretamente, de
modo a modificar e desenvolver o
controle interno e os sistemas de
riscos.
Portanto, não pode oferecer
análises verdadeiramente
independentes aos órgãos de
governança acerca do
gerenciamento de riscos e dos
controles internos.

As responsabilidades dessas funções incluem:


1. Apoiar as políticas de gestão, definir papéis e responsabilidades e
estabelecer metas para implementação.
2. Fornecer estruturas de gerenciamento de riscos.
3. Identificar questões atuais e emergentes.
3. Identificar mudanças no apetite ao risco implícito da organização.
4. Auxiliar a gerência a desenvolver processos e controles para
gerenciar riscos e questões.
®Brasiliano INTERISK – O valor da Inteligência
TRÊS LINHAS DE DEFESA
Função da Segunda Linha
GRC Listagem
Processos / Áreas
Críticas para o
Mapa de Riscos Realiza: Negócio
das Disciplinas
Mapa de Riscos
Análises Integrado
Fatores de Riscos Interpretações Riscos Críticos dos
Críticos / Processos Críticos
ENTRADA

Relevantes das
Estudos de

SAÍDA
Disciplinas Fatores de Riscos
Controles Chaves
Impactos Cruzados Críticos e
Controles Chaves
Suportam os que suportam os
Fatores de Riscos Estudos de
Fatores Riscos
Críticos Interconectividade Críticos
Controle dos
Planos de Ações Consolidação Planos de Ações:
das Informações Eficácia e
Implantação
Supervisiona e
Capacita a
Aplicação da
Metodologia

Produtos da Inteligência em Riscos Produtos da


Primeira Linha: Corporativos - IRC Segunda Linha
VISÃO DOS RISCOS POR VISÃO HOLÍSTICA
ÁREA ESTRATÉGICA
GERÊNCIA/DIRETORIA EMPRESA COMO UM®Brasiliano
TODOINTERISK – O valor da Inteligência
CONCEITOS ESTRATÉGICOS

Os auditores internos fornecem


ao órgão de governança e à
alta administração avaliações
abrangentes baseadas no
maior nível de
independência e
objetividade dentro da
organização.

A auditoria interna provê avaliações sobre a eficácia da governança,


do gerenciamento de riscos e dos controles internos, incluindo a
forma como a primeira e a segunda linhas de defesa alcançam os
objetivos de gerenciamento de riscos e controle

®Brasiliano INTERISK – O valor da Inteligência


TRÊS LINHAS DE DEFESA

Auditoria Baseada em Riscos - ABR,


otimiza tempo de coleta de dados,
cerca de 60%, foca em análise,
interpretação e verificação.

®Brasiliano INTERISK – O valor da Inteligência


TRÊS LINHAS DE DEFESA

®Brasiliano INTERISK – O valor da Inteligência


TRÊS LINHAS DE DEFESA

Padrão 2120 – Gerenciamento de riscos

A atividade de auditoria interna deve avaliar a eficácia e contribuir para a melhoria


do processo de gerenciamento de riscos.
Interpretação: Determinar se os processos de gerenciamento de risco são efetivos é
um julgamento resultante da avaliação do auditor interno de que:
• Os objetivos organizacionais apoiam e se alinham com a missão da organização.
• São identificados e avaliados riscos significativos.
• São selecionadas respostas de riscos apropriadas, com alinhamento do
apetite de riscos.
• As informações dos riscos relevantes são capturadas e comunicadas em
tempo hábil em toda a organização, permitindo que o pessoal, a administração
e o conselho executem suas responsabilidades.
®Brasiliano INTERISK – O valor da Inteligência
AUDITORIA BASEADA EM RISCOS - ABR

© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016 ®Brasiliano INTERISK – O valor da Inteligência
AUDITORIA BASEADA EM RISCOS - ABR

1. Comunicação e Consulta

 Início
Partes Interessadas, 1ª,2ª , Alta Direção,
 Durante Conselho de Administração e Comitês.

 Término

®Brasiliano INTERISK – O valor da Inteligência


AUDITORIA BASEADA EM RISCOS - ABR

2. Contexto Interno e Externo

®Brasiliano INTERISK – O valor da Inteligência


AUDITORIA BASEADA EM RISCOS - ABR

2. Contexto Interno e Externo

®Brasiliano INTERISK – O valor da Inteligência


AUDITORIA BASEADA EM RISCOS - ABR

3. Identificação dos Processos Críticos - BIA

Processo
Avaliado

®Brasiliano INTERISK – O valor da Inteligência


AUDITORIA BASEADA EM RISCOS - ABR

3. Identificação dos Processos Críticos - BIA

Análise do Gestor Análise do Auditor

®Brasiliano INTERISK – O valor da Inteligência


AUDITORIA BASEADA EM RISCOS - ABR

3. Identificação dos Processos Críticos – BIA (Gestor)

 Identificação dos Processos Críticos – BIA (Auditor)


®Brasiliano INTERISK – O valor da Inteligência
AUDITORIA BASEADA EM RISCOS - ABR

4. Risco Inerente - Contextualização

®Brasiliano INTERISK – O valor da Inteligência


AUDITORIA BASEADA EM RISCOS - ABR

4. Risco Inerente - Contextualização

Análise do Gestor

Análise do Auditor
®Brasiliano INTERISK – O valor da Inteligência
AUDITORIA BASEADA EM RISCOS - ABR

4. Risco Inerente - Matriz de Risco (Gestor)

®Brasiliano INTERISK – O valor da Inteligência


AUDITORIA BASEADA EM RISCOS - ABR

4. Risco Inerente - Matriz de Risco (Auditor)

®Brasiliano INTERISK – O valor da Inteligência


AUDITORIA BASEADA EM RISCOS - ABR

5. Risco Residual - Controles Chaves

®Brasiliano INTERISK – O valor da Inteligência


AUDITORIA BASEADA EM RISCOS - ABR

6. Testes de Controles - Avaliação dos Controles

G G A

®Brasiliano INTERISK – O valor da Inteligência


AUDITORIA BASEADA EM RISCOS - ABR

6. Testes de Controles - Avaliação dos Controles

Risco
Avaliado

Controle
Avaliado

®Brasiliano INTERISK – O valor da Inteligência


AUDITORIA BASEADA EM RISCOS - ABR

6. Testes de Controles - Parecer dos Controles

®Brasiliano INTERISK – O valor da Inteligência


AUDITORIA BASEADA EM RISCOS - ABR

6. Testes de Controles - Avaliação do Risco Residual

Análise do Gestor

Análise do Auditor

®Brasiliano INTERISK – O valor da Inteligência


AUDITORIA BASEADA EM RISCOS - ABR

6. Risco Residual - Matriz de Risco (Gestor)

 Risco Residual - Matriz de Risco (Auditor)

®Brasiliano INTERISK – O valor da Inteligência


AUDITORIA BASEADA EM RISCOS - ABR

7. Plano de Ação

®Brasiliano INTERISK – O valor da Inteligência


AUDITORIA BASEADA EM RISCOS - ABR

7. Plano de Ação

Gestor

®Brasiliano INTERISK – O valor da Inteligência


AUDITORIA BASEADA EM RISCOS - ABR

8. Monitoramento e Análise Crítica

Processo Crítico x Risco


Inerente Crítico x Controles
Chaves = Risco Residual
dentro do Apetite ao Risco

© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016 ®Brasiliano INTERISK – O valor da Inteligência
CONCLUSÃO

Resultado:

1)Valida o Processo de GRC

Produtos: 2) Testa a Eficácia dos Controles Chaves

Ciclo Anual
Processos
Críticos 3) Sugere Linhas Gerais do Plano de Ação

Especiais para o Gestor, tendo em vista, a


Ineficácia do Controle
Contínuas

4) Comunica e Relaciona com os Comitês,


Conselho e Diretoria

5) Assessora as Gerências da Primeira e


Segunda Linha

®Brasiliano INTERISK – O valor da Inteligência


Prof. Dr. Antonio Celso Ribeiro Brasiliano, CRMA,CES,DEA,DSE,MBS
Presidente Brasiliano INTERISK

email: abrasiliano@brasiliano.com.br
Telefone: 11 983507758
11 55316171

© Copyright Brasiliano & Associados Gestão de Riscos Corporativos 2016 ®Brasiliano INTERISK – O valor da Inteligência
®Brasiliano INTERISK – O valor da Inteligência
®Brasiliano INTERISK – O valor da Inteligência

Interesses relacionados