MBA GESTÃO DE FINANÇAS E CONTROLADORIA

Controles Internos e Riscos Operacionais

MSc. Marcos Assi

 Currículo
Prof. MSc. Marcos Assi, CCO,CRISC, ISFS

Mestre em Ciências Contábeis e Atuariais pela PUC-SP, Bacharel em Ciências Contábeis pela FMU, com Pós-Graduação em Auditoria
Interna e Pericia pela FECAP, Certified Compliance Officer – CCO pelo GAFM - USA, Certified in Risk and Information Systems Control –
CRISC pelo ISACA, Information Security Foundation – ISFS pela Exin e Lead Implementer and Internal Auditor ISO 37001 e ISO 37301 pela
QMS Brasil.
Exerceu a função de Auditor, Contador e Controller, posições estas, assumidas em bancos nacionais e internacionais com 37 anos de
experiência exercidos no Banco Toyota do Brasil, Banco BBA Creditanstalt (Atual ITAU-BBA), Banco ABC Brasil, entre outros.
Professor do MBA da TREVISAN – Escola de Negócios, da PUC-PR, da Fundação Dom Cabral – FDC, do Centro Paula Sousa – FATEC, da
FECAP, do IBMEC, da Católica Business School – CBS - PE, da Saint Paul Escola de Negócios, da SUSTENTARE Escola de Negócios de
Joinville - SC, da FIA (Labfin), da UNIMAR – Universidade de Marilia – SP, da FADISMA – Faculdade de Direito de Santa Maria – RS, da
REGES – Rede Gonzaga de Ensino Superior de Dracena, Faculdade La Salle em Lucas do Rio Verde – MT.
Conselheiro Fiscal da CDP Latin América
Curador Acadêmico e Professor da Pos-graduação em GRC pela Sustentare Escola de Negócios - SC
Instrutor de Gestão de Riscos, Compliance e finanças do portal MeuSucesso.com
Instrutor de Controles Internos e Compliance do IBGC.
Instrutor de Governança, Riscos, Controles Internos e Compliance do CRC-SP
Instrutor de Controles Internos e Compliance da Fecontesc – SC
Instrutor do ICA (International Compliance Association), para Compliance de PLD/FT.
Academic Advocate do ISACA, associado do IIA Brasil – Instituto dos Auditores Internos do Brasil.
Membro do IBGC e da Comissão de Gerenciamento de Riscos Corporativos.
Honorary Global Advisory Council do Global Academy of Finance and Management – GAFM.
Livros do Professor

Lançamento em dia 20/06

Shopping Paulista
Livraria da Vila
 Por que falar de controles
internos, compliance e
gestão de riscos?

Gestão de Controles Internos e Mapeamento de Processos 5

Para responder a pergunta, vamos para mais algumas perguntas:

Como andam os processos na sua unidade de negócio?

Como andam os controles internos e os indicadores de perfomance?
Como andam o gerenciamento de riscos no seu processo?

Gestão de Controles Internos e Mapeamento de Processos 6

 Se a resposta for:
Estamos atendendo as demandas conforme nossa possibilidade!

Mas será o suficiente?

Você sente que está faltando algo?

Gestão de Controles Internos e Mapeamento de Processos 7

“Estabelecer processos, fazer o mapeamento e ter normas
são as principais questões para uma gestão de riscos
bem-sucedida.”

por Marcos Assi

Gestão de Controles Internos e Mapeamento de Processos 8

 5

Introdução – Casos Reais

© Todos os direitos reservados – proibida a reprodução

 6

Introdução – Casos Reais

https://www.infomoney.com.br/negocios

© Todos os direitos reservados – proibida a reprodução

 7

Introdução – Casos Reais

© Todos os direitos reservados – proibida a reprodução

https://www.suno.com.br/noticias/americanas-amer3-investigacao-indicios-fraudes/
 8

Introdução – Casos Reais

© Todos os direitos reservados – proibida a reprodução

 9

Introdução – Casos Reais

© Todos os direitos reservados – proibida a reprodução

 10

Introdução – Casos Reais

14

© Todos os direitos reservados – proibida a reprodução

 13

Casos Reais

Fonte: https://informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/

© Todos os direitos reservados – proibida a reprodução

 11

ESG / Compliance

© Todos os
Fonte: Blanchet direitos reservados
Advogados – proibida
– Seminário IBGCaAbril
reprodução
2022
 12

Mudanças no Ambiente de Negócios

Fonte: Blanchet Advogados

© Todos os –direitos
Seminário IBGC –Abril
reservados 2022a reprodução
proibida
 34

Elo entre Estratégia e Risco

A Identidade da Organização e os principais tópicos relativo ao ambiente de negócios, é a base

para se determinar as estratégias. O processo de validação das estratégias envolve trabalhar a
cadeia de valor da organização, os processos e os fatores de risco atrelados a cada estratégia.

© Todos os direitos reservados – proibida a reprodução

© Todos os direitos reservados – proibida a reprodução
Avaliação da Apetite a Riscos

Limite Limite de
estratégico tolerância

Exposição Exposição Exposição

Controlada Tolerável Intolerável

Apetite à risco

Exposição ao risco

© Todos os direitos reservados – proibida a reprodução

 Revisão da apetite a riscos
Objetivo e estratégia Apetite a risco - KRI Processos Operacionais - KPI Controles internos - kci

Ajustes da Apetite Revisão e reavaliação da Apetite

© Todos os direitos reservados – proibida a reprodução

20% tendem a se corromper
Gerenciamento de risco de fraude

60% são honestos, mas suscetíveis a desvios, caso a situação permita

Gerenciamento da ética
Código de conduta
Controles internos
Denúncias anônimas
“O exemplo vem de cima”, chefia, autoridades

20% são honestos

Dispensam medidas preventivas

Maior impacto de um programa de integridade

“ O que não se conhece...

O que não se controla...

O que não se mensura...

...não se pode controlar.

...não se pode mensurar.

O que não se gerencia...

...não se pode gerenciar.

...não se pode aprimorar.

“
Fonte: Morris A. Cohen

Panasonic Professor of Manufacturing and Logistics; Professor of Operations and Information Management Co-Director,
Fishman-Davidson Center for Service and Operations Management, PhD - Northwestern University, 1974; MSc,
Northwestern University, 1971; BASc, University of Toronto, 1970

Gestão de Controles Internos e Mapeamento de Processos 24

25

Entradas Processo Saidas

26

Tipos de Processos de Negócio

Primários: Os processos primários são todos que estão diretamente ligados à produção
do produto ou serviço que a organização tem por objetivo disponibilizar para seus
clientes. Esta conceituação vale para todos os processos primários em todas as
organizações.

Secundários: Os processos secundários, também chamados de processos de suporte,

são todos os que, como o próprio nome diz, suportam os demais processos, dando-lhes
apoio para existir.

Latentes: são processos que só são executados quando há necessidade de produzir o

bem ou serviço que eles tem por função produzir. Passada a necesidade, voltam a
“dormir” até que outra situação da mesma natureza traga-os de volta a operação.
Exemplo: Recall da indústria automobilística.
Em 1985, foi criada, nos Estados Unidos, a “National Commission on Fraudulent Financial
Reporting” (Comissão Nacional sobre Fraudes em Relatórios Financeiros), uma iniciativa
independente, para estudar as causas da ocorrência de fraudes em relatórios financeiros e
contábeis.

Esta comissão era composta por representantes das principais associações de classe de
profissionais ligados à área financeira. Seu primeiro objeto de estudo foram os controles internos.

Em 1992 publicaram o trabalho “Internal Control – Integrated Framework” (Controles Internos – Um

Modelo Integrado). Esta publicação tornou-se referência mundial para o estudo e aplicação dos
controles internos, e é a base que fundamenta o presente texto.

Posteriormente a Comissão transformou-se em Comitê, que passou a ser conhecido como COSO
– “The Committee of Sponsoring Organizations” (Comitê das Organizações Patrocinadoras).

O COSO é uma entidade sem fins lucrativos, dedicada à melhoria dos relatórios financeiros
através da ética, efetividade dos controles internos e governança corporativa.
Princípio 12 do COSO 2013 - Atividades de controle:

a organização estabelece atividades de controle por meio de

políticas que estabelecem o que é esperado e os procedimentos
que colocam em pratica essas políticas.
Um dos grandes desafios na implantação dos
sistemas de controles internos e de compliance nas
organizações é transmitir a todos os envolvidos o
porquê da necessidade de implantação dos
controles, sejam eles internos, contábeis ou
operacionais, pois muitos ainda afirmam que são
processos burocráticos que atrapalham os negócios
das empresas.
Por Marcos Assi
Como uma forma de auxiliar nos processos de identificação dos riscos, responda as perguntas abaixo,
para cada objeto identificado, anotando as respostas que representarem um possível ameaça:
✓ O que pode dar errado? O que deve dar certo?
✓ Como e onde podemos falhar? Onde somos vulneráveis?
✓ Quais ativos devemos proteger?
✓ Como podemos ser roubados ou furtados?
✓ Como poderiam interromper nossas operações?
✓ Como sabemos se nossos objetivos foram alcançados?
✓ E como sabemos se nossos objetivos não foram alcançados?
✓ Quais informações são as mais importantes?
✓ Onde gastamos mais dinheiro?
✓ Como faturamos e cobramos nossas vendas?
✓ Quais decisões requerem mais análise?
✓ Quais atividades são mais complexas?
✓ Quais atividades são mais regulamentadas?
✓ Quais são nossas maiores exposições ao risco legal?
34

Contextualizando a situação

✓ Inexistência de uma estrutura de políticas, normas e procedimentos.

✓ A gestão do controle internos permitindo uma identificação para uso comum.
✓ Inexistência de gestor da informação e do gestor do processo de riscos.
✓ Registros de ações realizadas inexistentes ou com pouco tempo de guarda.
✓ Desalinhamento das práticas de Riscos Corporativos com o negócio.
✓ Usuário: pouco treinamento, conscientização e responsabilização.
✓ Planos de continuidade que são apenas belos documentos.
Diagrama de Assi

Gestão de Controles Internos e Mapeamento de Processos 35

 As 3 linhas do
IIA – International Internal Audit
Melhor Governança
gestão de riscos e controles internos
.
Coordenação Responsabilidade
Maior coordenação entre as linhas de gestão clareza nos papéis

Supervisão Eficiência
Relatórios compreensivos e redução de controles duplicados,
abrangentes maior cobertura da exposição a
riscos

© Todos os direitos reservados – proibida a reprodução

 Órgão de Governança/Conselho/Comitê de Auditoria

Alta administração

Órgãos reguladores
Auditoria Externa

Mercado
1ª Linha de Defesa 2ª Linha de Defesa 3ª Linha de Defesa

Controle Financeiro
Segurança Informação
Controles Medidas de Auditoria Interna
Gerenciamento Riscos
da Controle
Gerencia Interno Conformidade
Monitoramento
Qualidade

Adaptado do IIA Global

Gestão de Controles Internos e Mapeamento de Processos 37

 As três linhas do IIA
CORPO ADMINISTRATIVO
Prestação de contas aos stakeholders pela supervisão organizacional

PRESTADORES EXTERNOS DE AVALIAÇÃO

Papéis do corpo administrativo: integridade, liderança e transparência

AUDITORIA
GESTÃO INTERNA
Ações (incluindo gerenciar riscos) para
Avaliação
atingir os objetivos organizacionais
independente
Papéis da 2ª linha Papéis da 3ª linha
Papéis da 1ª linha
Expertise, apoio, Avaliação e assessoria
Provisão de monitoramento e independentes e
produtos/serviços questionamento objetivas sobre
aos clientes; sobre questões questões relativas ao
gerenciar riscos relacionadas a atingimento dos
riscos objetivos

Delegar, orientar, Alinhamento, comunicação,

Prestação de
recursos, supervisão coordenação, colaboração
contas, reporte
Principio Descrição
Principio 1 Governança
Princípio 2 Papeis do corpo diretivo
Princípio 3 Gestão e papéis da segunda e da terceira linha
Princípio 4 Papéis da terceira linha
Princípio 5 Independência da terceira linha
Princípio 6 Criando e protegendo valor

✓ Aproximação das três linhas no mesmo objetivo;

✓ Minimização das sobreposições e lacunas entre as linhas;
✓ Mais cooperação e menos conflito;
✓ Maior Independência da Auditoria Interna, sem assumir a 2ª linha;
✓ Perda de Independência da Auditoria Interna caso assuma alguma
função da 2ª. Linha, terá necessidade de uma opinião externa.
 A importância das três linhas
As práticas de gestão de riscos e o sistema de Controles devem viabilizar as informações necessárias
para a supervisão, monitoramento e tomada de decisão

Gestão de Controles
riscos internos
Sócios

Conselho
Conselho de Administração Fiscal

Auditoria
Independente Secretaria de
Governança
Audi
Auditoria
Interna Comitê de
Compliance Inte
Comitês
Auditoria
Conselho
Assembleia
de Conselho
Diretor Geral de Diretoria
Presidente administraç fiscal
acionistas
ão
Diretores
Auditoria Segura
Deliberaç
Controle inform
Administradores
Deliberação Externa
Execução
ão

Expressa a Decidir no melhor Fiscaliza a

Fonte: IBGC Realiza a
vontade dos interesse da sociedade execução da
vontade social
sócios como um todo vontade social

© Todos os direitos reservados – proibida a reprodução

Desafios da 1ª linha

O que é necessário fazer para que a primeira linha desempenhe

adequadamente a sua função?

▪ Mapeamento de processos
▪ Gestão de apontamentos dos órgãos reguladores e
auditorias na gestão de riscos
▪ Monitoramento de planos de ação
▪ Treinamentos
▪ Monitoramento dos prazos das obrigações legais
▪ Monitoramento dos prazos para revisão das políticas e
manuais
▪ Aprovação das políticas

© Todos os direitos reservados – proibida a reprodução

 Desafios da 2ª linha
O que é necessário fazer para que a segunda linha desempenhe adequadamente a sua função?

• Estruturar a composição da 2ª linha de acordo RISCO FALHA DE CONTROLE

Ausência de
com o porte e segmento da companhia e inventário e
estabelecer a governança das três linhas monitoramento
dos usuários com
▪ Padronizar as taxonomias, metodologias perfil de
administradores
dos processos
▪ Integrar e alinhar os planos de trabalho
▪ Estabelecer responsabilização pela supervisão e
monitoramento pelas diferentes naturezas de EVENTOS E PERDAS
riscos da companhia tanto na 2ª como na 1ª
Multas por Multas por
linha descumprimento da descumprimento da
legislação especifica Lei Geral de Proteção
▪ Comunicar os relatórios de riscos para a tomada do setor de Dados (LGPD)
de decisão

© Todos os direitos reservados – proibida a reprodução

 Desafios da 2ª linha
Informar as exposições do risco para inserir no processo de tomada de decisão

Pré-requisitos

• Definição do apetite e da tolerância a riscos

• Identificação e avaliação dos riscos pela 1ª linha

• Identificação e avaliação dos controles pela 1ª linha

• Inserção de pautas de riscos nas reuniões de Diretoria e

Conselho

© Todos os direitos reservados – proibida a reprodução

 Desafios da 3ª linha
O que é necessário fazer para que a terceira linha desempenhe adequadamente a sua função?

▪ Conhecer o negócio

▪ Alinhar o plano de trabalho com aqueles da 2ª linha

▪ Ter independência e objetividade

▪ Atuar como um facilitador dos órgãos de asseguração e

aproveitar os relatórios dos prestadores externos de
avaliação e considera-lo na elaboração do plano de
auditoria.

© Todos os direitos reservados – proibida a reprodução

 Planejamento Resultado

O QUE GARANTE QUE ATINGIREMOS OS OBJETIVOS ESTABELECIDOS?

COMO “ADMINISTRAMOS” TAL ALCANCE DE RESULTADOS?

COMO GOVERNAMOS OS RESULTADOS?

A GOVERNANÇA é o conjunto de macroprocessos relacionados à tomada de decisão, definição de

estratégias e controle tendentes a maximizar a chance do alcance eficiente de objetivos
organizacionais, alinhados com determinada missão e estratégia organizacionais.

Objetivos Metas Prestação de contas Avaliação de riscos Fluxo de informações Monitoramento Alçadas decisórias

Compliance Expectativa de controle Conformidade normativa Integridade Politica de contratação (...)

 PLANOS
RISCOS ESTRATÉGICOS

PRODUTO

PROCESSOS PESSOAS/SISTEMAS
RISCOS OPERACIONAIS RISCOS DE INTEGRDADE/CONFORMIDADE
 PLANOS
RISCOS DE INFORMAÇÃO RISCOS ESTRATÉGICOS
CONTROLE

PRODUTO

PROCESSOS PESSOAS/SISTEMAS
RISCOS DE INTEGRDADE/CONFORMIDADE
RISCOS OPERACIONAIS RISCOS DE CONFORMIDADE
Gestão de Controles Internos e Mapeamento de Processos 51
Como fazer a análise da cadeia de valor
Uma cadeia de valor é um conjunto de atividades realizadas por
uma organização com o objetivo de criar valor para seus clientes.

Vale a pena salientar que o modelo foi desenvolvido por Michael

Porter (por isso também é conhecido como Cadeia de Valor de
Porter) e basicamente descreve um processo que as empresas
podem seguir para examinar suas atividades e analisar a conexão
entre elas (chamados de elos).
Bom, podemos dizer que de acordo com a cadeia de valor, você
consegue identificar a maneira sobre como as atividades são
realizadas, desta forma determinando os custos que afetam seus
resultados, e entender quais podem gerar lucros ou prejuízos,
depende muito da forma como é implementado nosso produto ou
serviço.

Por isso, esse é o principal motivo pelo qual a ferramenta pode

ajudar a empresa a entender quais são suas fontes de valor, sem
isso podemos perder o foco.
Afinal, quando falamos em custos, logo vem a nossa mente a ideia que
são todos e quaisquer gastos relativos à aquisição ou produção de
mercadorias ou serviços, mas é possível fazer a gestão de custos sem
controles? Como saber se meu produto está rentável ou não?
Nesta lista de custos temos matéria-prima, mão-de-obra e gastos
gerais de produção, bem como depreciação de máquinas e
equipamentos, energia elétrica, manutenção, materiais de
conservação e limpeza para fábrica e da empresa, viagens de
pessoas ligadas a fabricação, viagem de prestadores de serviços,
terceiros envolvidos, entre outros custos.
Vale a pena aqui salientar que sem uma correta metodologia de apuração e classificação dos
custos e despesas sua empresa não terá como projetar e analisar os tão falados indicadores
performance ou desempenho e aqui evidenciamos algumas delas:
Margem de Contribuição - A margem de contribuição representa o valor que sobra da receita
total gerada pelas vendas de serviços, menos os custos e as despesas variáveis. Esse valor é
destinado ao pagamento das contas fixas do negócio, bem como constitui o lucro.
EBITDA - é um dos indicadores financeiros usados para medir os resultados de uma
empresa. Ele contempla a quantidade de recursos que a empresa gera apenas em suas
atividades principais, sem contar a rentabilidade de investimentos ou descontos de impostos.
Lucratividade - é um indicador de eficiência operacional obtido sob a forma de valor
percentual, que indica o ganho que a empresa consegue gerar sobre o trabalho que
desenvolve. É também um dos principais indicadores econômicos da empresa, ligado
diretamente com a competitividade do negócio.
A Cadeia de Valor busca apresentar como os custos da empresa são
apurados e demonstrados com relação aos produtos e serviços
oferecidos, é importante que você tenha na ponta do lápis quais
custos são esses, desculpe o termo, mas é isso mesmo, você deve ter o
controle operacional, financeiro e contábil por produto ou serviço.
Ao invés de focar em departamentos ou tipos de custos contábeis, a Cadeia de
Valor de Porter se concentra em sistemas, além de como as entradas são
transformadas em saídas que, por sua vez, são compradas pelos consumidores.
Partindo desse princípio, Michael Porter descreveu uma cadeia de atividades
comuns a todas as empresas e as dividiu em atividades primárias e de apoio, como
demonstrado abaixo:
Para facilitar o entendimento são cinco as atividades primárias:
Logística interna ou de entrada: o processo de relacionamento com fornecedores
é de suma importância para a criação de valor;
Operações: máquinas, equipamentos, embalagens, montagem, manutenção de
equipamentos, testes e demais atividades de criação de valor que transformam os
insumos e matérias-primas em produto final;
Logística externa ou de saída: são as atividades associadas com a forma de
entrega do produto/serviço ao cliente;
Marketing e vendas: os processos utilizados para divulgar e convencer os clientes
a comprarem os seus produtos/serviços;
Serviços: todas atividades que mantêm e aumentam o valor dos produtos/serviços
após a compra.
Já as atividades de apoio dão suporte às atividades primárias. Sua classificação
genérica é feita em quatro categorias.
Infraestrutura: os sistemas de apoio para manter as operações diárias. Inclui a
gestão geral, administrativa, legal, financeira, contábil, entre outras;
Gestão de Recursos Humanos: as atividades associadas ao recrutamento,
desenvolvimento, retenção de talentos e compensação de colaboradores e gestores.
Como as pessoas são uma fonte de valor importantíssima para qualquer negócio,
empresas podem criar grandes vantagens ao utilizarem boas práticas de RH;
Desenvolvimento tecnológico: os processos que apoiam as atividades da cadeia
de valor, como automação de processos, por exemplo;
Aquisição/compras: processos realizados com o objetivo de adquirir os recursos
necessários para manter a empresa em operação: aquisição de matérias-primas,
serviços etc. Aqui também inclui a busca por fornecedores e a negociação dos
melhores preços.
Olhando para a imagem, temos que abordar ainda a Margem. Ela nada
mais é do que a diferença entre o valor percebido pelo produto/serviço e o
custo coletivo da execução das atividades para a criação do
produto/serviço.
Portanto, a Análise da Cadeia de Valor pode ser realizada de duas
maneiras, de acordo com o tipo de vantagem competitiva que a empresa
deseja criar: vantagem competitiva de custo ou vantagem competitiva
de diferenciação. A escolha por uma opção em detrimento da outra deve
basear-se nas estratégias da empresa, suas metas e planejamento
estratégico.
Vantagem Competitiva de custo: como você deve imaginar, esta
abordagem é utilizada quando as empresas tentam competir em custos e
precisam entender as fontes da vantagem de custo (ou desvantagem) e
quais fatores geram esses custos. Cinco etapas devem ser seguidas:
✓ Identifique as atividades primárias e de apoio da empresa;
✓ Estabeleça a importância relativa de cada atividade no custo total do
produto/serviço;
✓ Identifique fatores geradores de custo para cada atividade;
✓ Identifique os elos de ligação entre atividades;
✓ Identifique oportunidades de redução de custos.
Vantagem Competitiva de diferenciação: esta abordagem é utilizada por
empresas que se esforçam para criar produtos ou serviços superiores. As
etapas seguem conforme abaixo:
✓ Identifique as atividades de criação de valor para os clientes (por
exemplo, o sucesso dos produtos da Apple não é pelos recursos de
seus produtos, pois outras empresas também possuem ofertas de alta
qualidade também, mas sim de bem-sucedidas estratégias de
marketing);
✓ Avalie as estratégias de diferenciação para melhorar o valor do cliente;
✓ Identifique a melhor diferenciação sustentável.
Lei Geral de Proteção de
Dados
 Lei Geral de Proteção de Dados Pessoais

Lei Geral de Proteção de

Dados Pessoais - LGPD

Se aplica Não se aplica

Coleta de dados Tratamento Oferta de Bens e Uso pessoal, não Dados provenientes e
pessoais de realizado no Serviços para comercial, fins destinados a outros
indivíduo Brasil indivíduos no jornalísticos, artísticos países, que apenas
localizado no Brasil ou acadêmicos, transitem pelo
Brasil segurança pública território nacional

4
 Princípios da Lei

Livre Acesso e Transparência

Finalidade e Adequação

Necessidade

Qualidade dos Dados

Segurança e Prevenção

Responsabilização

Não Discriminação

7
0
 Lei Geral de Proteção de Dados Pessoais - Conceitos relevantes

Dados pessoais
• Informação relacionada a pessoa natural identificada ou identificável

Dados Pessoais Sensíveis

• Dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma
pessoa natural.
• Dados de saúde podem até, dependendo do cenário, sujeitar o indivíduo a práticas discriminatórias.
 Lei Geral de Proteção de Dados Pessoais - Conceitos relevantes

Tratamento
• Toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção,
classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento,
armazenamento ...

Consentimento

• Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados
pessoais para uma finalidade determinada;

Uso Compartilhado de Dados

• Comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento

compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas
competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma
ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
 Lei Geral de Proteção de Dados Pessoais - Pontos de atenção

Devemos avaliar inúmeros itens previstos na lei, podemos citar alguns:

✓ Aplicabilidade da LGPD em nosso negócio e de terceiros
✓ Titularidade dos dados, como e quando avaliar
✓ Finalidade do tratamento dos dados, quem vai fazer
✓ Forma de armazenamento dos dados, como, quando e onde
✓ Compartilhamento dos dados, tenho ferramentas de monitoramento
✓ Quais dados são considerados sensíveis, geralmente estará no RH
 Lei Geral de Proteção de Dados – Atores envolvidos
TITULAR CONTROLADOR
Empresa ou pessoa física que
Pessoa física a quem se coleta dados pessoais e toma
referem os dados todas as decisões em relação a
forma e finalidade do tratamento
pessoais.
dos dados. O controlador é
responsável por como os dados
são coletados, para que estão
sendo utilizados e por quanto
tempo serão armazenados.
OPERADOR
Empresa ou pessoa física que
realiza o tratamento e
processamento de dados
pessoais sob as ordens do
controlador.
ENCARREGADO
Pessoa física indicada pelo
controlador e que atua
como canal de
comunicação entre as
partes (controlador, os
titulares e a autoridade
nacional), além de orientar
os funcionários do
controlador sobre práticas
de tratamento de dados
 Lei Geral de Proteção de Dados Pessoais - Pontos de atenção

Noções de Governança e Gestão de Segurança da Informação

✓ Papéis e responsabilidades na proteção dos dados

✓ Tecnologias usuais para a garantir a privacidade e a confidencialidade das informações
✓ Análise de vulnerabilidades e métricas de segurança da informação
✓ Engajamento da alta gestão da empresa
✓ Papel e responsabilidades do encarregado pela proteção dos dados (DPO)
✓ Gestão de crises
✓ ISO 27001
✓ Análise de riscos e medidas de prevenção e correção
✓ Noções de Resposta a Incidentes
✓ Cuidados na preservação de evidências

Comunicação de Incidentes
 Lei Geral de Proteção de Dados Pessoais - Pontos de atenção

E uma outra dica essencial é realizar a classificação de dados, seguindo a seguinte ordem:
✓ Mapeamento de dados, utilizando o 5W2H se quiser
✓ Onde estão armazenados os dados pessoais?
✓ Quais os processos tratam dados pessoais?
✓ Consentimento para o uso dos dados como fazer e com quem
✓ Acesso aos dados, quem pode, como e quando acessar
✓ Atualização, correção e exclusão, responsabilidades e obrigações
✓ Portabilidade como orientar o cliente sobre suas políticas
✓ Proteção dos dados internos e de terceiros
✓ Direito ao esquecimento, cuidado ao apagar o passado.
 Lei Geral de Proteção de Dados Pessoais - Pontos de atenção

Coleta de dados: O trabalho de elaboração de procedimentos, fluxograma e

identificação de controles internos é facilitado quando há a coleta de dados, onde as
informações devem ser fornecidas pelos próprios executores dos trabalhos,
mediante a utilização de um roteiro de entrevista, que poderá conter as seguintes
questões:
✓ Cargo e nome?
✓ Nome do processo e importância do processo?
✓ De quem recebe o trabalho?
✓ Para quem envia o trabalho?
✓ Em que consiste seu trabalho?
✓ Quantas unidades de trabalho acessam a informação diariamente?
✓ Quanto tempo gasta para realizar seu trabalho?
✓ Qual a periodicidade do backup?
✓ Já testou a recuperação de dados?
 Mapear os
processos

Avaliação dos
Gestão de Crises acessos aos
sistemas

Matriz de Analise de
Riscos Vulnerabilidade

Responsabilidades
Nome do Processo mapeado:

Mapeamento do Processos e Atividades

Usuários quem tem acesso Clientes da informação Tipos de Informações Utilizadas

CLIENTE INTERNO CLIENTE EXTERNO

Sistemas utilizados

ANÁLISE CRÍTICA
Análise sobre os pontos identificados

Observações
Metodologia de Análise e Solução de
Problemas - MASP
Diagrama de Ishikawa - é conhecido como Espinha de Peixe ou ainda como
Diagrama de Causa e Efeito. E outra ferramenta é a técnica dos 5 Porquês da
Toyota - é utilizada para a identificação da principal causa de um problema.

Metodologia de Análise e Solução de Problemas (MASP) - é um instrumento

utilizado para problemas complexos e adoção de melhorias que podem ser
consideradas mais radicais.

E geralmente pode ser utilizada na resolução dos problemas em diversos segmentos

de uma organização, tal como na área da segurança e saúde do trabalho.

Pois assim, como na segurança do trabalho a ferramenta do MASP busca

estabelecer a identificação, a análise e a solução dos problemas
82
através da
implantação de ações corretivas e preventivas.
Para isso, o MASP é constituído de 8 etapas pré-definidas, e podemos adaptar
conforme a nossa necessidade, e vamos exemplificar cada uma destas etapas com
alguns passos específicos, bora auxiliar você no entendimento:

1. Identificação do problema: Quem serão meus clientes internos e externos, quais

produtos e serviços vamos oferecer, como avaliar meus fornecedores, e meu caixa
vai ser suficiente até quando?

2. Observação: quais serão os processos a avaliar, contabilidade, tributários,

financeiro, comercial, gestão de pessoas, terceiros, quais são as pessoas envolvidas,
entre outras.

3. Análise: capital necessário, fluxo de caixa, estabelecer um orçamento anual,

propor um controle de despesas e custos com base na estratégia,83 tecnologia, entre
outros
4. Plano de ação: definir prioridades, planos a curto e médio prazo, processos
operacionais
5. Ação: não basta planejar, temos que colocar em ação e efetivar a operações, mas
antes devemos avaliar as etapas anteriores.
6. Verificação: criar indicadores de performance e controles operacionais que
demonstrem que a ações estão acontecendo e como podemos efetivar nossa
estratégia.
7. Padronização: quando maior for a padronização dos processos operacionais,
melhor será a gestão do seu negócio, pois as atividades devem ser seguidas por
todos os envolvidos, nunca podemos esquecer que as pessoas podem passar pela
sua empresa, mas os processos devem ser da empresa, e outro ponto importante,
treinar as pessoas nos processos. 84

8. Conclusão: estabelecer períodos para revisão das estratégias, das metas e

sempre que possível avaliar o rumo do negócio
85
Por último, mas não menos importante, é fazer um diagnóstico organizacional ou
situacional, afinal é essencial para a avaliação do potencial da empresa, assim
como dos seus maiores problemas.

Na verdade, trata-se de uma análise detalhada de toda a organização com o objetivo

de detectar e conhecer suas forças e fraquezas, ameaças e oportunidades.

Por isso, o mapeamento de processos sempre será uma ferramenta que auxilia na
gestão de conhecimento de uma empresa.

Repare que para a realização de um diagnóstico não é preciso que existam

problemas aparentes, o propósito em si é auxiliar no conhecimento das
características da empresa, constituindo em um excelente instrumento de gestão.
86
87
 Fatores críticos de sucesso para a
implantação de práticas de inteligência
Quando nos referimos aos fatores críticos de sucesso em uma empresa, devemos
avaliar quais são os postos-chave dos processos que, quando bem executados,
podem definir e garantir, mesmo que parcialmente no desenvolvimento e no
crescimento de uma empresa e seu negócio, com a meta de atingir seus objetivos
estratégicos.

Mas, em contrapartida, quando estes mesmos fatores são negligenciados ou

ignorados, contribuem e muito para o fracasso da empresa ou do empreendimento,
por isso mencionamos que garantimos parcialmente os resultados, pois dependemos
de pessoas na execução das suas funções operacionais.
Os fatores críticos de sucesso necessitam ter conhecimento de seus processos de
negócios e para isso devem e precisam ser encontrados através de um estudo
aprofundado dos próprios objetivos da empresa, derivando de sua missão, sua
visão e seus valores, tornando-se referências obrigatórias e fundamentais
para que a empresa sobreviva, seja competitiva e tenha sucesso, seja qual for o
segmento
Você já se perguntou qual o propósito da sua empresa? Onde você
quer que sua empresa chegue? Para quem serve o seu produto ou o
seu serviço?
 Missão:
É a razão da empresa existir. A missão deve falar sobre a razão da empresa existir… deve falar sobre o propósito
do seu negócio.

– Por que a empresa existe? Qual o seu propósito?

– O que a empresa faz?
– Para quem faz?

Visão:
É o sonho grande da organização. A visão é o que a empresa deseja se tornar e deve servir de inspiração e dar
forças para que esse objetivo seja atingido. Aqui é necessário definir algo mensurável. A visão da sua empresa
precisa ser realista para ser atingível.

– No que a empresa quer se tornar?

– Onde a empresa estará daqui a algum tempo?
– O que a empresa será daqui a algum tempo?
– Em que direção é necessário apontar os esforços?
Valores:

São princípios que norteiam o dia a dia da empresa. São os

“combinandos” que geram uma identificação entre os indivíduos. São os
princípios por trás das condutas dos membros da organização que vão
leva-las a uma uniformidade de padrões de comportamento, a gerar um
resultado que faça sentido...

São os princípios e as crenças, que vão guiar os colaboradores e fazer com

a missão e a visão sejam atingidas. Os valores são são comportamentos e
atitudes ligados ao bem e devem ser inegociáveis!!!
Fatores críticos de sucesso também ajudam os gestores a definir as principais
diretrizes para a implementação do controle de processos e da governança de TI
no dia a dia da empresa e no modelo de administração das empresas. Exemplos
de alguns fatores críticos de sucesso:

✓ Reputação de solidez financeira,

✓ Qualificação da administração,
✓ Conhecimento do mercado,
✓ Imagem com os stakeholders,
✓ Equipamentos disponíveis,
✓ Relacionamento com os fornecedores,
✓ Expertise no controle de custos,
✓ Localização (ponto),
✓ Linhas de produtos e serviços,
✓ Expertise nos canais de distribuição e logística,
✓ Expertise em campanhas promocionais.
Outro critério que se deve observar na implementação do processo de
inteligência competitiva é entender que ele é feito por meio da coleta e análise de
informações, proporcionando a antecipação às necessidades e exigências do
mercado no segmento de atuação da empresa. Isso se torna possível quando a
empresa é gerenciada por profissionais com visão estratégica, que segundo nossa
experiência, facilita muito.

Aliás, a inteligência competitiva determina que é necessário saber gerenciar os

dados sobre o mercado, que neste caso estamos falando de consumidores,
concorrência e fornecedores, entre outros de maneira também estratégica.
O ciclo da inteligência competitiva acontece em quatro fases distintas, sendo elas:

1. Planejamento: é a etapa de estudo preliminar em relação a um determinado

problema. Com identificação dos procedimentos necessários que são
estabelecidos;

2. Coleta: consiste no processo de obtenção de informações que, posteriormente,

serão transformadas em dados úteis para a análise;

3. Análise: é o ponto do sucesso, pois a inteligência é gerada por meio da análise

dos dados obtidos na etapa anterior;

4. Disseminação: trata-se da última etapa do ciclo e se resume à remessa de

inteligência formalizada, demonstrada de maneira lógica e de fácil assimilação
para o usuário da informação, conhecido como gestores da empresa.
Você já ouviu falar sobre a metodologia DMAIC?

Explicando de modo simples, essa metodologia é uma das ferramentas mais

utilizadas na gestão de qualidade em pequenas, médias e grandes empresas.

Além disso, é responsável por diminuir desperdícios, amenizar falhas, solucionar

problemas, melhorar processos e dar uma visão mais ampla e detalhada de tudo
que acontece dentro da organização, garantindo um maior controle da equipe sobre
essas atividades.

Indo além, gostaria de acrescentar, que a ferramenta DMAIC proporciona o

desenvolvimento do planejamento estratégico, pois permite ser feito de forma
mais quantitativa e organizada, aumentando sua eficiência.
Mas o que exatamente significa DMAIC? Bom, a sigla DMAIC significa:

✓ Definir,
✓ Medir,
✓ Analisar,
✓ Melhorar (Improve, em inglês), e
✓ Controlar.
Já ficou mais claro que o uso dessa metodologia se desenvolve nos processos? Essa
ferramenta possui um roteiro de 5 etapas, elaborado a partir da metodologia Lean
Six Sigma, que também ajuda as empresas a utilizar a análise dos dados da gestão
em prol das tomadas de decisões.

Os principais objetivos da metodologia DMAIC são:

✓ Melhorar os processos e impulsionar a gestão de qualidade da empresa;

✓ Focar constantemente no aprimoramento das atividades e dos produtos;
✓ Levar a empresa a alcançar maior sucesso e destaque;
✓ Entregar serviços cada vez melhores para os consumidores;
✓ Utilizar ao máximo seus recursos disponíveis
Como você pode observar, esse método tem utilidades e procedimentos em comum, como o
Ciclo PDCA, o A3 e o 8D. Cada uma dessas metodologias pode ser usadas isoladamente ou
sendo complementares, dependendo do objetivo da empresa e de suas particularidades. Vamos
ver um exemplo de como podemos colocá-la em prática:

O A3 é um método estruturado usado para planejar,

acompanhar e comunicar melhorias. É uma página de
documento que resume o objetivo, o andamento e os
resultados da melhoria realizada ou em realização

Desenvolvido pela Ford Motor Company durante os anos de 1960

e 1970, o 8D (também conhecido como “8 disciplinas para
resolução de problemas”) é uma ferramenta para a solução de
problemas que visa a identificar e tratar de forma eficaz
problemas recorrentes
1ª etapa: Definir
✓ Forme o time que irá trabalhar no projeto, selecionando pessoas especializadas em diferentes
áreas para que vários pontos de vista possam ser utilizados;
✓ Selecione os problemas de forma objetiva;
✓ Foque nos projetos mais relevantes e viáveis;
✓ Pense nas melhorias que podem ser feitas.
✓ Para auxiliar essa etapa, o método de Brainstorming e a análise dos KPIs da empresa podem
ser utilizados.

2ª etapa: Medir
✓ Avaliar o desempenho do processo e analisar quantitativamente antes de aplicar ações (para
que o desempenho seja comparado antes e depois);
✓ Levantar dados e informações sobre os processos;
✓ Levantar as possíveis causas dos problemas;
✓ Para auxiliar essa etapa, alguns métodos podem ser utilizados, como o Diagrama de Ishikawa
(Espinha de Peixe).
3ª etapa: Analisar
✓ Pense nas causas raiz dos problemas que afetam a gestão;
✓ Analise as melhores formas de contra-atacar essas causas;
✓ Crie oportunidades de melhoria.
✓ Para auxiliar essa etapa, o método dos 5 Porquês pode ser utilizado.

4ª Etapa: Melhorar (Improve)

✓ Teste previamente possíveis ações, tendo em vista seus prós e contras;
✓ Execute o plano de ação de acordo com as necessidades específicas de cada processo;
✓ Implemente as mudanças.
✓ Para auxiliar essa etapa, o método 5W2H pode ser utilizado.

5ª Etapa: Controlar
✓ Monitore o desenvolvimento do plano de ação para que ele não se perca;
✓ Estabeleça critérios de controle (check-lists, estatísticas);
✓ Analise o desempenho geral dos retornos (financeiros ou não) do processo;
✓ Atualize os procedimentos para uma melhoria contínua, de acordo com as necessidades que
forem surgindo.
Estabelecimento de metas com
o método SMART
Mapeie os processos - Para isso, identifique quais agentes internos
serão responsáveis pela busca e processamento de informações.

Por exemplo, a equipe de pesquisa e desenvolvimento e a de vendas

podem ter boas sugestões e, por isso, devem participar ativamente do
processo.

Garanta que todos os dados estratégicos sejam capturados e

compartilhados com os gestores de maneira consistente,
independentemente de você ter um especialista em inteligência
competitiva.
Defina seus objetivos e metas de inteligência competitiva que mais
se adaptam à organização. Uma boa ferramenta para o
estabelecimento de metas é o método SMART, trata-se de um
acrônimo que significa:
✓ Específico,
✓ Mensurável,
✓ Alcançável,
✓ Realista, e
✓ Oportuno.

Assim, uma meta SMART incorpora todos esses parâmetros para focar
os esforços e elevar as possibilidades de se atingir um objetivo.
Crie um plano para cada meta estabelecida, pois cada meta criada
exigirá diferentes recursos e ferramentas de inteligência competitiva para
contemplar as características das metas SMART.
Portanto, não basta coletar insights, é preciso distribuí-los e torná-los
operacionalizáveis pelas equipes de trabalho.
Ah, e uma dica: não faça nada sem o auxílio de dados para
embasamento.
O plano deve conter informações suficientes para dar subsídio para os
próximos passos, como por exemplo: gráficos, relatórios, pontos de
convergência entre as estratégias da empresa e de seus
concorrentes, entre outros.
Reúna as informações e determine quais relatórios deve consultar, os
responsáveis pelas informações e os meios que serão usados durante o
processo.
Os concorrentes não divulgarão as informações que você deseja.
Seguir diretrizes éticas e legais significa consultar dados públicos, então,
saiba que os resultados de visualização podem ser mais demorados, já
que a melhor forma de avaliar tendências é por meio da comparação de
dados em séries históricas.
Indicadores de perfomance
Análise Econômico Financeira Consolidado

Indicadores Área Responsável Observação

Evolução de liquidez

Disponibilidades

Aplicações Financeiras

Títulos e Valores Mobiliários e

Instrumentos Financeiros

Operações de Crédito

Composição da Carteira de Crédito:

Composição da carteira por níveis

de risco
 Análise Econômico Financeira Consolidado

Indicadores Área Responsável Observação

Analise de Prejuízo em operações

Composição da Carteira de
Depósitos

Composição do Endividamento

Capital Social

Quantidade de
investidores/associados

Tarifas e serviços

Liquidez Corrente
Análise Econômico Financeira Consolidado
Indicadores Área Responsável Observação

Imobilização Ativo Imobilizado/PL

Despesa adm. x ativo total

Retorno sobre o PL Ajustado Lucro Liquido / Patr. Liq. Ajustado

Eficiência Operacional é a porcentagem

de tempo utilizado para trabalho em
Eficiência Operacional
relação ao tempo em que o recurso
ficou disponível.

Provisão do risco de crédito

Concentração dos maiores

devedores
Inadimplência atraso de 15 a 90
dias
Análise Econômico Financeira Consolidado

Indicadores Área Responsável Observação

Inadimplência over 90

(Ganho Obtido – Investimento

ROI (Retorno sobre Investimentos)
Inicial) / Investimento Inicial

ROE (Retorno Sobre o Patrimônio) Lucro Líquido / Patrimônio Líquido

Lucro Operacional / Ativo Total

ROA (Retorno Sobre o Ativo Total)
Médio

Retorno de Cobrança

CPLA (Crescimento do Patrimônio

Liquido Ajustado)
Despesa de folha sobre
Faturamento
Análise Econômico Financeira Consolidado

Indicadores Área Responsável Observação

Custo total da folha de pagamento e

Benefícios
Custo da folha total em relação as
despesas totais
Custo de pessoal sobre o lucro
líquido
Custo sobre a receita bruta

Benefícios sobre a folha total

Treinamento/seleção sobre a folha

total

Margem líquida
ISO 31000:2018 e COSO 2013 e
COSO ERM 2017
COSO 2004 COSO 2006 COSO 2013
 COSO ERM – Enterprise Risk Management Framework - 2017

Os cinco componentes atualizados são suportados por um conjunto de

princípios. Esses princípios abrangem tudo, desde governança até
monitoramento. Eles são gerenciáveis em tamanho e descrevem práticas que
podem ser aplicadas de maneiras diferentes para diferentes organizações,
independentemente do tamanho, tipo ou setor.

Aderir a esses princípios pode fornecer à administração e ao conselho uma

expectativa razoável de que a organização entenda e se esforça para gerenciar os
riscos associados à sua estratégia e objetivos de negócios.

O gerenciamento de risco da empresa é tanto sobre a compreensão das

implicações da estratégia quanto sobre a possibilidade de uma estratégia não
alinhar como se trata de gerenciar riscos para estabelecer objetivos.

Essas considerações no contexto da missão, visão, valores fundamentais e como

motor de direção e desempenho geral de uma entidade.
 COSO ERM – Enterprise Risk Management Framework - 2017

Por que atualizar o COSO ERM Framework?

Vários motivos: a complexidade de fazer negócios está mudando, e novos riscos

continuam a surgir a um ritmo mais rápido do que já foi visto no passado. A mudança do
comportamento do cliente exerce uma influência considerável em um cenário econômico
global imprevisível.

A evolução da tecnologia e um maior apelo à transparência estão esticando os processos

de planejamento estratégico e as capacidades operacionais. Dirigir-se a esses desafios
exige que as organizações adotem uma nova abordagem para gerenciar riscos: um que
ajuda a criar, preservar e realizar valor agora e no futuro.

Um rascunho do Framework foi tornado público durante um período de comentários,

obtendo interesse e apoio global, global e intersetorial, por parte de empresas privadas e
públicas. Esse feedback ajudou a moldar o Framework atualizado - agora intitulado
Enterprise Risk Management - Integrando com Estratégia e Desempenho.
COSO ERM
Enterprise Risk Management - Integrando com Estratégia e Desempenho.

COSO ERM – Enterprise Risk Management

Framework - 2017

Desempenho Aprimorados

Estratégia, negócios, objetivos e

resultados
Missão, Visão e Valores Fundamentais
 COSO ERM
Enterprise Risk Management Framework - 2017

Possibilidade de não alinhamento da estratégia

Estratégia,
negócios,
Risco da estratégia e performance Implicações da estratégia escolhida
objetivos e
resultados

© Todos os direitos reservados – proibida a reprodução

COSO ERM – Enterprise Risk Management Framework - 2017

Governança e Cultura

Estratégia e definição objetiva

Desempenho

Verificação e revisão

Informação, comunicação e relatórios

 COSO ERM – Enterprise Risk Management Framework - 2017
1. Governança e Cultura: a governança define o tom da organização, reforçando a
importância e estabelecimento de responsabilidades de supervisão para o
gerenciamento de riscos corporativos. A cultura pertence a valores éticos,
comportamentos desejados e compreensão de risco na entidade.
2. Estratégia e definição objetiva: gerenciamento de riscos da empresa, estratégia e
o trabalho de definição de objetivos em conjunto no processo de planejamento
estratégico. A apetite de risco é estabelecida e alinhada com a estratégia; objetivos
de negócios colocam a estratégia em prática enquanto servem como base para
identificar, avaliar e responder ao risco.
3. Desempenho: riscos que podem afetar a conquista de estratégia e negócios Os
objetivos precisam ser identificados e avaliados. Os riscos são priorizados pela
gravidade em o contexto do apetite de risco. A organização seleciona as respostas
de risco e leva uma visão de portfólio da quantidade de risco assumida. Os
resultados desse processo são relatado às principais partes interessadas de risco.
 COSO ERM – Enterprise Risk Management Framework - 2017

4. Verificação e revisão: Ao analisar o desempenho da entidade, uma

organização pode considerar quão bem os componentes de gerenciamento de
risco da empresa estão funcionando ao longo do tempo e à luz de mudanças
substanciais, e quais revisões são necessárias.

5. Informação, comunicação e relatórios: gerenciamento de risco da empresa

requer um processo contínuo de obtenção e compartilhamento de informações
necessárias, de fontes internas e externas, que deve fluir para cima, para baixo
e por toda a organização
 COSO ERM – Enterprise Risk Management Framework - 2017

1. Controlar os Riscos com atividades do Conselho - O conselho de administração fornece supervisão da

estratégia e desempenha responsabilidades de governança para apoiar a gestão, na obtenção de estratégia e
objetivos de negócios.

2. Estabelecer Estruturas Operacionais - A organização estabelece estruturas operacionais no busca de

objetivos estratégicos e de negócios.

3. Definir Cultura Desejada - A organização define os comportamentos desejados que caracterizam a cultura
desejada da entidade.

4. Demonstrar Compromisso com os Valores Fundamentais - A organização demonstra um compromisso para

os valores fundamentais da entidade, conduta, ética, transparência e honestidade.

5. Atrair, desenvolver e manter indivíduos capazes - A organização está empenhada em construir e orientar o
capital humano alinhados com a estratégia e os objetivos de negócios.

6. Analisar o Contexto Empresarial - A organização considera os efeitos potenciais de riscos no contexto

empresarial no perfil de risco.

7. Definir o Apetite ao Risco - A organização define o apetite de risco no contexto da criação, preservação e
realização de seus valores com processos definidos.
 COSO ERM – Enterprise Risk Management Framework - 2017
8. Avaliar Estratégias Alternativas - A organização avalia estratégias alternativas e impacto potencial no perfil de
risco, conforme tamanho, porte e complexidade dos negócios.

9. Formular objetivos empresariais - A organização considera o risco ao estabelecer o objetivos de negócios em

vários níveis que alinham e apoiam a estratégia e possa ser avaliados com efetividade.

10. Identificar Risco - A organização identifica o risco que afeta o desempenho da estratégia e objetivos de
negócios e providencia tratamento para os processos identificados.

11. Avaliar a gravidade do risco - A organização avalia a gravidade do risco alinhados à apetite de riscos dos
negócio.

12. Priorizar Riscos - A organização prioriza os riscos como base de informação de perdas para selecionar
respostas aos riscos.

13. Implementar respostas de risco: a organização identifica, avalia e seleciona as possíveis respostas ao risco .

14. Desenvolver a visão de carteiras - A organização desenvolve e avalia uma visão de risco das carteira de
negócios (portfólio).

15. Avaliar mudanças substanciais - A organização identifica e avalia mudanças que podem afetar
substancialmente a estratégia e os objetivos de negócios.
 COSO ERM – Enterprise Risk Management Framework - 2017

16. Comentários de Risco e Desempenho - A organização analisa o desempenho da entidade através de seus
comitês e considera a apetite de risco.

17. Monitorar a Melhoria no Gerenciamento de Riscos Empresariais - A organização persegue melhoria do

gerenciamento de riscos corporativos a cada mudança regulatória ou operacional.

18. Aproveitar os Sistemas de Informação - A organização necessita olhar para dentro do negócio e aproveitar
as informações fornecidas da entidade e dos sistemas de tecnologia para que possam suportar a gestão de riscos
corporativos.

19. Comunicar informações sobre riscos - A organização dever utilizar canais de comunicação para suportar
gerenciamento de riscos corporativos, a boa comunicação facilita a identificação das falhas.

20. Relatórios sobre Risco, Cultura e Desempenho - A organização informa o Conselho e o corpo diretivo sobre
os riscos, e as falhas na cultura e no desempenho em vários níveis do negócio e consolidando as informações com
base em toda a entidade.
 17 Princípios do COSO 2013
Componentes Princípios
1. Compromisso com a integridade e valores éticos
Ambiente de 2. Responsabilidade de supervisão da Administração
Controles 3. Estrutura, autoridade e responsabilidade
4. Compromisso com a competência
5. Responsabilidade dos colaboradores

Avaliação de 6. Objetivos adequados e relevantes

Riscos 7. Identificação e análise dos riscos
8. Avaliação do risco de fraudes
9. Identificação e análise das mudanças significativas

10.Seleção e desenvolvimento de atividades de controles

Atividades de
11.Seleção e desenvolvimento de controles relacionados a TI
Controles
12.Implementação por meio de políticas e procedimentos

13.Utilização de informações relevantes

Informação & 14.Comunicação interna
Comunicação 15.Comunicação externa

Atividades de 16.Monitoramento contínuo e / ou isolado das atividades

Monitoramento 17.Avaliação e comunicação das deficiências identificadas

10
Governança de Riscos e os Princípios do COSO 2013
Os quatro componentes da Governança de Riscos se relacionam com os 17 Princípios do COSO
2013, o qual foi atualizado para auxiliar no gerenciamento de riscos das organizações em um
ambiente de negócios marcado por crescente complexidade e pressão de partes interessadas.

Ambiente de Controle Avaliação dos Riscos Atividades de Informação e Monitorame

Componente COMPONENTE Controle Comunicação nto
S COSO 2013
s do Risco
PRINCÍPIOS 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17

Governança e Cultura ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔
Estratégia ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔
Modelo de Negócios ✔ ✔ ✔ ✔ ✔ ✔ ✔
Modelo Operacional ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔
Dados, análise e tecnologia ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔

✔ Etapa da metodologia do COSO

 Acelerador
es
Regulamentações

Cenário econômico

Implantar e aprimorar Crises

controles internos Estratégia

Ambiente de
Necessidade de implantação ou Riscos Controles Internos
redesenho

Linhas de proteção
Mudança organizacional

Áreas de Negocio

Influenciadores Controles Internos, Riscos e

Compliance

Auditoria Interna
 Reorganização

Implantar Otimizar
Novos Controles
Controles existentes
Implantar e aprimorar
controles internos
Necessidades
Necessidade de implantação ou Análise dos controles
redesenho
Eficiente Sustentável Automatico

Estratégia
Foco Manual
futuro
Preventivo

Foco Detectivo
Tático
Atual
Corretivo
Efetivo Alinhado
 14

Fator de Risco x Risco – Exemplos do COSO ERM

13
4

© Todos os direitos reservados – proibida a reprodução

Dimensão de Controles e
Procedimentos Internos

Escritório de
Processo
Os manuais foram gerados
buscando o entendimento do
processo de negócio em uma
sequência lógica de uma cadeia
de valor, entre as áreas da
Cooperativa.
Os manuais foram gerados
buscando o entendimento do
processo de negócio em uma
sequência lógica de uma cadeia
de valor, entre as áreas da
Cooperativa.
Implantação de estruturas de Controles Internos
 Identificação e Avaliação de Riscos

• Concentração na Terceirização • Divulgação de Informações Externas

• Terceirização e Parcerias • Divulgação de Informações Internas
• Fornecedores • Publicidade Negativa

• Concepção de Processos
• Conformidade Interna
• Eventos Externos/ Catástrofes
• Contratual
• Fraude
• Contencioso
• Falha Humana
Risco • Conformidade Externa
• Indisponibilidade de Pessoal Especializado
• Sistema e Infraestrutura Financeiro
• Gestão de Pessoas
• Segurança da Informação

• Crédito
• Liquidez
• Mercado
 Gestão Corporativa

Gestão de Controles Gestão de

Compliance Internos Riscos

Segurança
da Auditorias
Informação

76
Por que não funcionam?

GESTÃO
EGO

EQUIPE

77
 Gestão Corporativa
Gestão de Compliance
Atender órgãos reguladores
Atender demanda interna

Gestão de Controles Internos

Aplicar e monitorar indicadores do negócio
Avaliar processos, sistemas e informações

Gestão de Segurança da Informação

Controle de Acessos e Sistemas
Gestão de Incidentes e seus processos de segurança

Gestão de Riscos
Prevenção de Perdas Operacionais
Riscos de Credito, Liquidez, Mercado, Capital ...
GESTÃO DE RISCOS DE CONFORMIDADE:
APLICANDO A ESTRUTURA DO COSO ERM
A evolução dos programas de compliance e ética

As atuais diretrizes U.S. Federal Sentencing Guidelines (USSG) identificam os sete elementos
de um programa Compliance & Ética eficaz:

1. Padrões e procedimentos
2. Governança, supervisão e autoridade
3. Devida diligência na delegação de autoridade
4. Comunicação e treinamento
5. Sistemas de monitoramento, auditoria e relatórios
6. Incentivos e fiscalização
7. Resposta a irregularidades

Separadamente, o USSG também exige que as organizações devem avaliar periodicamente

o risco de não conformidade e continuamente procuram maneiras de melhorar seus
programas de C&E.
A evolução dos programas de compliance e ética

Uma amostra de algumas das orientações de fora dos EUA revela uma imagem consistente
do que os reguladores esperam dos programas C&E. Por exemplo, o Reino Unido, O
Ministério da Justiça forneceu orientações sobre a Lei Antissuborno 2010, descrevendo
procedimentos que organizações comerciais podem colocar em prática para minimizar o risco
de suborno.

Esses procedimentos são resumidos nos seguintes seis princípios, que se alinham
intimamente com o USSG:

1. Procedimentos proporcionais
2. Compromisso de nível superior
3. Avaliação de risco
4. Devida diligência
5. Comunicação (incluindo treinamento)
6. Monitoramento e revisão
A evolução dos programas de compliance e ética

A orientação também foi emitida pela the International Organization for Standardization (ISO).

Seu padrão de sistemas de gestão antissuborno e a norma ISO 37001 inclui o seguinte
expectativas de um programa:

1. Desempenho de uma avaliação de risco de suborno

2. Liderança e compromisso com o Sistema de gestão antissuborno
3. Estabelecimento de uma função de conformidade antissuborno
4. Recursos suficientes fornecidos para o Sistema de gestão antissuborno
5. Competência dos funcionários
6. Conscientização e treinamento sobre políticas antissuborno
7. Devida diligência em conexão com negócios de terceiros associados e funcionários
8. Estabelecimento e implementação de medidas controles antissuborno
9. Auditoria interna do sistema de gestão antissuborno
10.Revisões periódicas do sistema de gestão antissuborno pelo corpo administrativo
A evolução dos programas de compliance e ética

Além do suborno, a ISO também emitiu orientações de forma mais ampla em sistemas de
gestão de conformidade na forma de ISO 37301:2021.

Mais recentemente, ISO 37301 que foi proposta em 2020 para substituir a ISO 19600.

O rascunho da nova norma descreve o seguintes cinco elementos de um sistema de gestão de

conformidade:

1. Obrigações de conformidade (identificação de novos e requisitos de conformidade

alterados)
2. Avaliação de risco de conformidade
3. Política de conformidade
4. Treinamento e comunicação
5. Avaliação de desempenho
A evolução dos programas de compliance e ética

Uma variedade de outros desenvolvimentos legais e regulamentares que não fazem

referência direta aos programas de C&E, no entanto, afetam eles.

Por exemplo, os regulamentos da União Europeia de 2019 visam em fornecer novas

proteções para a ajuda de denunciantes em apoiar um elemento importante de um
programa de C&E eficaz.

Da mesma forma, as leis de proteção de dados e privacidade geralmente diferem de um

país para outro, mas frequentemente têm direto ou efeitos indiretos nos programas de C&E.
A evolução dos programas de compliance e ética

A relação entre conformidade, controle interno e gestão de riscos corporativos do COSO define controle
interno em seu Framework de 2013 e no Enterprise Risk Management - Integrando Estratégia e
Desempenho (2017) da seguinte forma:

Um processo, efetuado pelo conselho de administração de uma entidade, gestão e outro pessoal,
projetado para fornecer garantia razoável em relação ao realização de objetivos relacionados às
operações, relatórios e conformidade.

Como esta definição indica claramente, o controle interno não é exclusivamente sobre questões contábeis e
financeiras, devem estar em conformidade com leis e regulamentos, portanto é um dos três fundamentos
objetivos do sistema de controles internos de uma organização. Os cinco componentes de controle interno
suportam todos três categorias de objetivos:

✓ Ambiente de controle
✓ Avaliação de risco
✓ Atividades de controle
✓ Informação e comunicação
✓ Atividades de monitoramento
Definição da estratégia e dos objetivos para os riscos de conformidade

Este item descreve a aplicação da estratégia e dos componentes de definição de objetivos da estrutura
COSO ERM, e os quatro princípios a seguir associados à gestão de riscos de conformidade:
1. Analisa o contexto de negócios
2. Define o apetite de risco
3. Avalia estratégias alternativas
4. Formula objetivos de negócios
O contexto é fundamental para compreender e gerenciar riscos de conformidade. A tomada de decisões
de negócios é um dos motivadores do risco de conformidade, por isso as decisões podem criar novos
riscos, alterar os riscos existentes ou eliminar os riscos.

Assim, o identificação de um universo de risco de conformidade deve considerar a estratégia em evolução

da organização. O CCO deveria ter um nível apropriado de envolvimento na definição do processo da
estratégia para permitir que a função de conformidade seja posicionada à identificar e desenvolver planos
para gerenciar riscos de conformidade que emergem de mudanças na estratégia. Da mesma forma, o
CCO deve ser informado sobre mudanças repentinas na estratégia que podem ocorrer como um
organização responde às mudanças em seu ambiente.
Definição da estratégia e dos objetivos para os riscos de conformidade

O contexto para o gerenciamento de risco de conformidade eficaz inclui a consideração de

outros fatores internos de risco de conformidade - fatores que podem criar novos riscos ou
alterar os existentes.

Alguns dos fatores internos mais importantes de risco de conformidade incluem mudanças
em pessoas, processos e tecnologia.

Outro fator de risco de conformidade é a pressão da gestão, particularmente quando essa

pressão não está associada a lembretes em relação à expectativa de conformidade e
adequada incentivos para adesão ao programa C&E.

Mais amplamente, mudanças na cultura organizacional podem surgir de muitos fatores e

pode afetar o risco de conformidade.
 Definição da estratégia e dos objetivos para os riscos de conformidade

Os motivadores externos do risco de conformidade também representam um importante

elemento de contexto na identificação e gerenciamento de riscos de conformidade. Os fatores
externos mais óbvios são aqueles que envolvem o cenário legal, regulatório e de execução.

Por exemplo, mudanças recentes nas leis de privacidade e segurança de dados criou riscos
de conformidade totalmente novos para algumas organizações.

Os motivadores externos também incluem competitivos, econômicos e outros fatores que

podem afetar direta ou indiretamente o risco de conformidade.

Fatores externos podem estar em um nível macro (por exemplo, em todo o setor de
concorrência, condições econômicas) ou em um nível micro (por exemplo, mudanças nas leis
e regulamentos locais ou regionais).
Definição da estratégia e dos objetivos para os riscos de conformidade

Para quem não está familiarizado com o termo, apetite pelo risco de conformidade muitas vezes evoca
imagens de organizações que aceitam voluntariamente violações de conformidade conhecidas. A própria
natureza do risco de conformidade significa que uma lei pode ser violada e que pode resultar em ou mais
consequências não financeiras para a organização (por exemplo, multas, suspensão ou exclusão, danos à
reputação).

O nível de aceitação do risco de conformidade na busca de metas de negócios e objetivos é um tópico

para discussão entre a gestão e o conselho (sendo claro ao apontar que esta discussão não é relacionado
à aceitação de violações conhecidas; é sobre a realidade pressuposta de que é impossível eliminar a
possibilidade de um evento de não conformidade).

Conforme definido pelo COSO, o apetite pelo risco refere-se aos tipos e quantidade de risco, em um nível
amplo, que a organização está disposta a aceitar em busca de valor.

Nem apetite e nem tolerância a risco - os níveis aceitáveis ​de variação no desempenho relacionados aos
objetivos de negócios - é normalmente definido no nível específico de risco.
 Analise de desempenho para riscos de conformidade

Esta seção descreve a aplicação do desempenho componente da estrutura COSO ERM e o

seguinte com cinco princípios associados à gestão de riscos de conformidade:

1. Identifica o risco
2. Avalia a gravidade do risco
3. Prioriza o risco
4. Implementa respostas de risco
5. Desenvolve visão de portfólio

Para que os programas C&E sejam eficazes, é esperado que reguladores e que as organizações
periodicamente devam avaliar as ameaças de descumprimento potenciais de leis, regulamentações
e políticas, bem como má conduta ética, de modo que a organização possa tomar medidas para
gerenciar esses riscos para níveis aceitáveis.
 Elementos chaves da área de Compliance
Pessoas
(Essência do Compliance)
• Interagem com outras
pessoas, com meio
ambiente, processos,
sistemas, empresas,
sociedade, mercado...
Comportamentos (Foco
de atuação: Atitudes)
• Impactam outras
pessoas, meio ambiente,
processos, sistemas,
empresas, sociedade,
mercado...
Objetivo: proteção
ao negócio
• Aprimoramento do
nível de conformidade
legal, regulatória e da
integridade corporativa
 Elementos chaves da área de Compliance

Pessoas

Segurança
Gestão de Administração
Riscos Física, Geral
Gestão Processos Gestão de Pessoas
Lógica,
Cibernética Gestão da Conduta
Controles Internos Riscos
Negócios Proteção de Dados Educadoria
operacionais, Psicologia
Metodologias de Ativos da
Estrutura, Continuidade de Sociologia
Planejamento, Informação
Monitoramento, Negócios - PCN Comportamento
Modelagem e
Gestão, Gestão de Crises Humano
Gestão
Relatórios, Gestão de projetos Neurolinguística
Controles
Contábeis
 Elementos chaves da área de Compliance

Direitos
Alinhamento à Alinhamento à Humanos,
Gestão de estratégia e Minorias, Meio
Conformidade
Ética Ambiente,
Regulação Riscos Respeito aos
Desempenho animais
Ameaças
Diversidade

Percebido
como
estratégia de Não é uma
negócio e Integridade
Commoditie
protetor da
reputação
 Elementos chaves da área de Compliance

Pessoas são
Discutir Entender as
vetores de riscos Sugerir formas de
motivações dos
e oportunidades Integridade minimizar esses
profissionais
para qualquer pessoal e (comportamentos) riscos e trata-los
organização. corporativa com para incorrerem em com
frequência e riscos de Compliance tempestividade
São a base do e forma de mitiga-los
efetiva
negócio.
 Gestão de Compliance: a Missão.

Missão Papel Função Objetivo Exigências/Habilidades

• Facilitar
• Prestar consultoria • Colaborar • Experiência
Consultor
com assertividade • Desenvolver • Competências
comprometimento técnicas e
• Formar/Treinar • Desenvolver comportamentais em
• Orientar/Redirecionar habilidades nível avançado
Educador • Perspicácia
• Aconselhar transformadoras
Apoiar o • Coragem
• Recomendar nas pessoas
negócio da • Disponibilidade
empresa • Planejar, • Proatividade
• Promover a
• Organizar • Confiabilidade
Gestor integridade
• Dirigir • Boa Comunicação
corporativa
• Controlar • Negociação
• Atingir metas • Acesso as
• Motivar pessoas pessoas
• Cumprir o
Líder • Obter resultados com a • Autonomia
Planejamento
Equipe
Estratégico
COMPLIANCE = CONFORMIDADE
BENEFÍCIOS DA IMPLANTAÇÃO DE UM SISTEMA DE COMPLIANCE

1 - Padronização e Controle de documentos;

2 - Eficiência e qualidade dos produtos e serviços;
3 - Identificação, acompanhamento e controle dos riscos (Gestão de Riscos);
4 - Identificação, acompanhamento e controle das não conformidades;
5 - Melhoria contínua dos processos internos;
6 - Maior envolvimento das lideranças e colaboradores;
7 - Reconhecimento e credibilidade por parte de clientes, investidores, fornecedores e sociedade;
8 - Confiança no ambiente de trabalho;
9 - Redução do número e do valor de eventuais passivos;
10 - Redução dos riscos do negócio.
Matriz de Riscos e Controles Internos
alinhados ao Compliance
 Gestão Integrada de Riscos
A gestão integrada de riscos tem como objetivo permitir à Organização identificar as ações necessárias
para mitigar, evitar, transferir ou aceitar riscos e, assim, aumentar a probabilidade da organização
alcançar seus objetivos.

Compliance Auditoria
Interna
Gestão do Gestão De
Conhecimento Riscos
Controles Internos
(PROCESSOS)
 NEGÓCIO
1 8 GESTÃO DE
RISCOS

CONTROLES
INTERNOS
2 7 AUDITORIA

COMPLIANCE
3 6 SEGURANÇA
INFORMAÇÃO

PROCESSOS
4 5 QUALIDADE
 MATRIZ DE RISCO
Identificação e caracterização do risco Controle / Mitigação / Contingência

Probabilidade

Nivel de Risco

Responsável
Não

Impacto
Ação de Normas e
Número

Descrição do Risco Tipo de Documentos Ação para Conformidad

Depto Processo Atividade Categoria controle e Legislação
risco Macro Risco associados contingência es atreladas
mitigação ao risco Externa

validar
Validação dos não
não realizar o risco documentação e
dados com politica e atendimento Res. 4753/20
obtenção de conheça o seu risco de societário informações do
abertura Operacional B M 2 serasa ou manual de João das regras e e Circ.
informação cliente fraude (PJ) e Fiscal cliente/cooperad
sistema procedimentos classificação 3978/20
devidamente (PF) o e pendencia de
interno de cliente
confirmação
prazo de obteção controle de não
Riso de contato por rede
da atualização e revisões e politica e atendimento Res. 4753/20
atualização lavagem da internet ou
1 Cadastro manutenção dificuldade no Operacional risco legal M M 4 atualização de manual de João das regras e e Circ.
cadastral de comunicação
recebeimento de capacidade procedimentos classificação 3978/20
dinheiro corporativa
informações financeira de cliente
segurança perfis de
vazamento e Segurança da
possibilidade de da acesso e politica e Treinamento,
consulta de Proteção não informação,
manutenção vazamento de Operacional informação M A 6 monitorament manual de Jose monitoramento
informações de dados tratamento cibernetica e
dados e controle o da procedimentos e testes
de dados LGPD
de acesso informação

2
“Não podemos definir controles internos e compliance
somente como políticas e procedimentos executados
de tempos em tempos. Trata-se de ação permanente
em todos os níveis dentro de uma empresa e, sempre
que possível, revisada e atualizada.”

Por Marcos Assi

Dicas de Filmes
 Sugestão de Filmes

Prof. MSc. Marcos Assi

 Sugestão de Filmes

Prof. MSc. Marcos Assi

 Sugestão de Filmes

Prof. MSc. Marcos Assi

 Sugestão de Filmes

Prof. MSc. Marcos Assi

 Sugestão de Filmes

Prof. MSc. Marcos Assi

 Sugestão de Filmes

Prof. MSc. Marcos Assi

 Muito Obrigado
Prof. MSc. Marcos Assi
prof.marcos@massiconsultoria.com.br
Blog do Assi: www.marcosassi.com.br
Twitter: @Prof_Assi
Facebook: Marcos Assi
Youtube: Marcos.Assi
Instagram: @marcos.assi
br.linkedin.com/in/marcosassi/