compliance auditoria interna · outubro de 2011, as ações caíram de 86 dólares para 30...
TRANSCRIPT
Rio de Janeiro, 18 de outubro de 2019
Prof. Dr. Antonio Celso Ribeiro Brasiliano, CIEIE, CPSI, CIGR, CRMA, CES, DEA, DSE, MBS
Presidente Brasiliano INTERISK
®Brasiliano INTERISK – O valor da Inteligência
Objetivos e Divisão de Atividades:
Compliance
Riscos e Controles Internos
Auditoria Interna
1. Objetivos da Palestra
2. Brasiliano INTERISK e Currículo do Facilitador
3. Contexto do Mercado nesta Quarta Revolução Industrial
4. Governança Corporativa e as Funções de Compliance, Riscos/Controles Internos e
Auditoria Interna
5. Modelo de Governança das 3 Linhas de Defesa – Efeito Cebola
6. Conclusão
®Brasiliano INTERISK – O valor da Inteligência
Sumário
Apresentar a aplicação integrada do compliance, riscos, controles internos e
auditoria interna, no Modelo de Governança Corporativa, de tal forma que
haja um cobrimento de brechas, denominado de “Efeito Cebola” – Proteção
em Camadas
®Brasiliano INTERISK – O valor da Inteligência
1. Objetivo da Palestra
®Brasiliano INTERISK – O valor da Inteligência
A Brasiliano INTERISK é uma empresa de SOFTWARE em Gestão de Riscos
Corporativos, que oferece a consultoria e treinamento integrados com a
ferramenta INTERISK.
A Brasiliano INTERISK está em um processo “dual”, progredindo para sistemas,
de forma cadenciada e disciplinada, mantendo ainda, suas divisões de consultoria
e treinamento ativas.
Possui muita vivência, nacional e internacional, em desenhar e implantar soluções
em Riscos Corporativos. A experiência em diversos segmentos de mercado teve
início em 1989.
Quem é a Brasiliano INTERISK
®Brasiliano INTERISK – O valor da Inteligência
Abrangência do nosso trabalho e nosso diferencial
Áreas
Disciplinas de Riscos
Risco Financeiro
Inteligência Empresarial
Risco de Comunicação
e imagem
Riscos de Ativos
Riscos Legais e Conformidade
Riscos Estratégico
Risco da Informação e Cibernético
Riscos de Incêndio
Riscos de Fraude,
Corrupção e Suborno
Risco Operacional
Lavagem de Dinheiro
Risco Saúde e Segurança Ocupacional
Riscos de Segurança Corporativa
Risco de Meio Ambiente
Risco de Projeto
Riscos Sociais Sustentabilidade
Riscos Alimentares
Riscos de Qualidade / Produto ou
Prestação de
Serviço
Riscos GeoPolíticos
Riscos de Segurança
Pública
®Brasiliano INTERISK – O valor da Inteligência
®Brasiliano INTERISK – O valor da Inteligência
Módulos 1. Gestão de Riscos Corporativos - GRC
2. Gestão de Não Conformidades - NC
3. Gestão de Continuidade de Negócios - GCN
4. Auditoria Baseada em Riscos – ABR
5. Gestão de Perdas – GDP
6. Demandas Regulatórias
7. Segurança Pública – SP
8. Cenários Prospectivos - CE
9. Sistema de Compliance - SC
10. Governança Corporativa - GC
®Brasiliano INTERISK – O valor da Inteligência
Alguns clientes Brasiliano INTERISK
®Brasiliano INTERISK – O valor da Inteligência
Alguns clientes Brasiliano INTERISK
Linhas de Transmissão
UTE Pecém
Lajeado Energia Porto do Pécem
®Brasiliano INTERISK – O valor da Inteligência
Alguns clientes Brasiliano INTERISK
®Brasiliano INTERISK – O valor da Inteligência
Alguns clientes Brasiliano INTERISK
®Brasiliano INTERISK – O valor da Inteligência
Clientes Software INTERISK
Lajeado Energia UTE Pecém
Porto do Pécem
Linhas de Transmissão
PROF. DR. ANTONIO CELSO RIBEIRO BRASILIANO, CIEIE, CPSI, CIGR, CRMA, CES, DEA, DSE, MBS
• Membro da Galeria dos Imortais da Academia Brasileira de Ciências Econômicas, Políticas e Sociais – ANE –
Academia Nacional de Economia, ocupando a cátedra 190.
•É Presidente da Brasiliano INTERISK e idealizador do Software - Inteligência em Riscos
Corporativos INTERISK;
• Profissional com experiência nacional e internacional, com mais de 30 anos de mercado, nas áreas de
governança, riscos, compliance, auditoria, controles internos e segurança corporativa, com vivência nos
países: Portugal, Cabo Verde, Angola, Moçambique, Uruguai, Argentina, Paraguai, Colômbia, México;
• Doutor em Science et Ingénierie de L’Information et de L’Intelligence Stratégique –
UNIVERSITÉ PARIS – EST ( Marne- La- Vallée) – Paris – França;
• Master Degree - Diplome D´Etudes Approfondies (DEA) en Information Scientifique et Technique
Veille Technologique –UNIVERSITÉ TOULON – Toulon - França;
• Especializado em: Inteligência Competitiva pela Universidade Federal do Rio de Janeiro - UFRJ; Gestión da
Seguridad Empresarial Internacional pela Universidad Pontifícia Comillas de Madrid – Espanha - DSE;
Planejamento Empresarial pela Fundação Getúlio Vargas - SP; Elaboração de Currículos pelo Centro de Estudos
de Pessoal do Exército – CEP – Exército Brasileiro;
• Bacharel em: Ciências Militares, graduado pela Academia Militar das Agulhas Negras
e em Administração de Empresas, graduado pela Universidade Mackenzie;
• Certificações: Certificação Internacional pela Corporación Euro-Americana de Seguridad – CEAS – Espanha em
Especialista em Investigação Empresarial – CIEIE, Certificación Profisional de Seguridad Internacional – CPSI e Certificación
Internacional Gestión de Riesgos – CIGR; pelo IIA Global (Institute of Internal Auditors) Risk Management Assurance
– CRMA; pela Associação Brasileira de Segurança Orgânica - ABSO; Especialista em Segurança Empresarial – CES
• Autor de 17 livros versando sobre Governança, Compliance, Gestão e Análise de Riscos, entre os mais recentes :
Inteligência em Riscos: Gestão Integrada em Riscos, com a inclusão do COSO ERM 2017 e ISO 31000: 2018 – Método
Avançado Brasiliano; Mundo VICA – Volátil, Incerto, Complexo, Ambíguo; Estamos Preparados?; Fraud Risk Assessment –
FRA – Gestão de Risco de Fraude.
• Professor Convidado: do IPT da USP do Programa de Mestrado; da Fundação Dom Cabral para Cursos de Governança e
Gestão de Riscos; Atual Coordenador Técnico e Professor do MBA - Gestão de Riscos Corporativos em convênio com a
Brasiliano INTERISK e Faculdade de Engenharia de São Paulo – FESP e a Faculdade Brasileira de Tributação - EAD;
Idealizador, Coordenador e Professor do Curso Avançado em Segurança Empresarial – Master Business Security – MBS,
curso este que foi pioneiro no segmento de riscos corporativos, e hoje se encontra na 56ª Turma.
• Membro da Comissão de Estudo Especial de Gestão de Riscos da ABNT/CEE-63 – ISO 31000/31010/31004 – Gestão de
Riscos e ISO 22301/22313 Gestão de Continuidade de Negócio – Segurança da Sociedade.
®Brasiliano INTERISK – O valor da Inteligência
3. Contexto Atual - Mercado e Mundo Corporativo
Era Digital, Pós - Digital e Conectividade neste século XXI
Disruptiva, Veloz,
Ágil
A Revolução Industrial 4.0 integra as tecnologias físicas
e lógicas, como Inteligência Artificial, Robótica,
Computação Cognitiva, Analytics e Internet das Coisas
(IoT). HÁ INTERCONECTIVIDADE EM TUDO!
As outras revoluções industriais vieram com
inovações tecnológicas, com o objetivo de
trazer maior produtividade e eficiência aos
processos.
As empresas necessitam quebrar dogmas da administração,
assumir riscos, serem ousadas para serem competitivas
Uma transformação com uma velocidade cada vez maior....
O Facebook, demorou 07 anos;
O WeChat , apenas 01 ano;
Pókemon Go, aplicativo de jogo, em realidade aumentada, 19 dias
Os celulares quando foram lançados demoraram 12 anos para atingir 50 milhões de
pessoas
A GESTÃO NÃO PODEM RELATAR O QUE ACONTECEU, MAS O QUE PODERÁ VIR A ACONTECER, FUTURO!
ANTECIPAÇÃO
1. Aceitar
2. Não pensar demais 3. Mover-se
Ambiente Pós Digital ou Conectivo exige dos executivos que a velocidade
seja mais importante que a eficácia....
V U C A
Volatidade
Incerteza
Complexidade
Ambiguidade
Visão Velocidade
Agilidade Abundância
Entendimento Não ortodoxia – Não Dogmatizar
Colaboração Entender a conectividade
Co-Criação Interdependência
Ambiente extremamente turbulento
Pensamento Fora da Caixa – INOVAÇÃO CONSTANTE
Outubro de 2011, as ações caíram de 86 dólares para 30 centavos!
Caso Enron, Worldcom, Arthur Andersen
Caso Enron em números: • Em 10 anos a Enron passou de US$ 10 bi em ativos para US$ 65 bi, em 24
dias decretou falência. • Antes do escândalo, a Enron era a 7ª maior empresa dos EUA, avaliada em
US$ 70 bi. • US$ 2 bi em fundos de pensão desapareceram. • 20 mil empregados perderam o emprego.
Fevereiro de 1995 Nick Leeson
Janeiro de 2008 Jerôme Kerviel
Fraudes Bancárias
Novembro de 1995
Novembro de 2010
Novembro de 2004 Edemar Cid Ferreira
Fraudes Bancos Brasileiros
Uma Comissão de inquérito dos Estados Unidos atribui o desastre a:
FALHAS DE GESTÃO, QUE INCAPACITAVA OS INDIVÍDUOS ENVOLVIDOS NA IDENTIFICAÇÃO, AVALIAÇÃO, COMUNICAÇÃO E TRATAMENTO DOS RISCOS DE FORMA ADEQUADA!
Quando Tony Hayward tornou-se CEO da BP em 2007, ele jurou fazer segurança sua prioridade máxima. Dentre as novas
regras que ele instituiu, a necessidade de que todos os funcionários usassem tampas em xícaras de café durante a
caminhada e abstivessem de escrever mensagens de texto enquanto dirigiam.
A Importância de uma Adequada Gestão de Riscos
BP - British Petroleum, em 2010
O Escândalo dos Derramamentos de Petróleo BP
Abril 2010: A explosão da plataforma do Deepwater Horizon provocou o maior desastre ambiental do 21º século. A produtora de gás e petróleo, BP, possui as piores práticas ambientais, segurança e saúde, os quais provocaram prejuízos e custos que excederam, de longe, $25 bilhões de dólares, e destruíram o valor das ações em mais de $ 100 bilhões de dólares.
Consequência direta: - Queda do valor das ações + 50% - Credibilidade da diretoria e Petrobrás - Paralização de obras - Ações na justiça
Fraude - Petrobrás
O Escândalo da Corrupção da Petrobrás
Março 2014: Os executivos e a principal gestão da Companhia de Gás & Petróleo estatal do Brasil foram acusados de propina a oficiais, assim como desvio de dinheiro para uso próprio. Nas investigações criminais, mais de 80 gestores e políticos foram acusados de lavagem de dinheiros e suborno de mais de $8 bilhões de dólares.
6. Conflito de Interesse
Fraude - Petrobrás
6. Conflito de Interesse
O Clube das Empreiteiras nas Obras de Infra estruturas do Brasil
“ ATÉ 2018, QUEREMOS LEVAR O GRUPO AO TOPO DA INDÚSTRIA GLOBAL” Martin Winterkorn - Presidente em 2011na montadora no Tennessee - USA
Ações caíram 34% Multas podem chegar até 18 bilhões de dólares
Fraude - VW - 2015
O Escândalo das Emissões da Volkswagen
Setembro 2015: A Agência de Proteção Ambiental dos EUA flagrou a VW trapaceando nos testes de emissões de diesel, para passar, em falso, pelos níveis máximos permitidos. Os Modelos à diesel possuíam um software instalado para exibir, fraudulentamente, que os carros eram mais ambientalmente amigáveis do que realmente eram. Mais de 11 milhões de carros tiveram de ser reajustados, as multas regulatórias se acumularam em mais de $15 milhões de dólares e as ações criminosas custaram mais bilhares. Os gestores de alto perfil, e o CEO, foram demitidos.
O Escândalo das Contas Falas da Wells Fargo
Setembro 2016: Ao longo do período de 2011 a 2016, os funcionários do Retail Banking criaram 1,5 milhões de contas de depósito falsas e emitiram 0,5 milhões de cartões de créditos falsos, sem o conhecimento ou permissão dos clientes relatados. Os funcionários recorreram à fraude para cumprir as cotas de crescimento desafiadoras. O banco pagou $185 milhões em multas e despediu 5.300 funcionários. alto perfil, e o CEO, foram demitidos.
O Presidente pediu desculpas e assumiu o erro, mas não adiantou....
Fraude - Wells Frago - 2016
O executivo-chefe da Toshiba, Hisao Tanaka, renunciou ao cargo nesta terça-feira (21/07), um dia
depois de uma investigação externa afirmar que ele e outros executivos da empresa foram
responsáveis por um escândalo de contabilidade pelo qual a companhia japonesa de produtos
eletrônicos ampliou artificialmente seus lucros em mais de US$ 1,2 bilhão ao longo de sete anos.
Em um esforço para deixar para trás o que o painel independente descreveu como um problema
"sistêmico", a Toshiba anunciou uma grande reorganização da diretoria, com a saída de 16 membros do
conselho. Isso inclui Tanaka, que era executivo-chefe desde 2013, e seu antecessor, Norio Sasaki, que
vinha atuando como vice-presidente. Sasaki, por sua vez, informou hoje que renunciou ao cargo que
ocupava em um painel de consultores do primeiro-ministro do Japão, Shinzo Abe.
O presidente da Toshiba, Masashi Muromachi, vai atuar como executivo- chefe interinamente e, segundo
a empresa, mais mudanças na diretoria serão anunciadas até o fim deste mês. Em um relatório de 300
páginas que se tornou público hoje, a investigação externa contratada pela Toshiba afirmou que os três
últimos executivos-chefes da empresa tiveram papel ativo na elevação artificial do lucro operacional da
companhia desde 2008.
Segundo o relatório, os executivos pressionaram intensamente as unidades de negócios da Toshiba - que vão desde computadores
pessoais até semicondutores e reatores nucleares - a alcançarem metas de lucro irrealistas. Algumas vezes a diretoria emitia as metas
pouco antes do fim de um trimestre ou um ano, encorajando os diretores das unidades a "esquentarem" os registros. "Os procedimentos
impróprios de contabilidade foram realizados continuamente como uma política da diretoria", diz o relatório.
"Era impossível para qualquer um ir contra essa intenção em meio à cultura corporativa da Toshiba", acrescenta o
documento. O vice-primeiro-ministro do Japão, Taro Aso, expressou decepção com o episódio. "Estou totalmente
desapontado porque isso pode afetar a confiança do investidor no mercado japonês", disse.
Fraude - Toshiba - 2015
Envolvendo a Presidência e Diretoria
A Importância de uma Adequada Gestão de Riscos Rompimento das Barragens Mariana
Outubro 2015 – Risco Operacional - Consequência Estratégica
Hydro Alunorte – Barcarena – Pará
2018 – Vazamento Tóxico – hoje Sem autorização de licença para Operação
4. Governança Corporativa
Compliance Riscos e Controle Interno
4. Governança Corporativa
4. Governança Corporativa
4. Governança Corporativa – Sistema
4. Governança Corporativa – Função
A cada um dos mecanismos de governança foi associado um conjunto de
componentes que contribuem direta, ou indiretamente, para o alcance dos
objetivos . São eles:
4. Governança Corporativa
6. Governança Corporativa – Componentes dos Mecanismos
Controle
• gestão de riscos e controle interno (C1);
• auditoria interna (C2);
• accountability e transparência (C3).
4. Governança Corporativa – Visão Holística – Sistema de Governança
4. Governança – Componentes – Controle – Gestão de Riscos e Controles Internos
Termos relacionados a gestão de riscos e controle interno
• Risco é o efeito da incerteza sobre os objetivos da
organização, Abrange eventos positivos, com o potencial
de agregar valor, e negativos, com o potencial de
destruir valor.
4. Governança – Componentes – Controle – Gestão de Riscos e Controles Internos
• Controle interno é um processo integrado e dinâmico
efetuado pela direção e pelo corpo de colaboradores,
Estruturado para enfrentar riscos e fornecer razoável
segurança de que, na consecução da missão da entidade,
os seguintes objetivos gerais serão alcançados: (1) execução ordenada, ética,
econômica, eficiente e eficaz das operações; (2) cumprimento das obrigações de
accountability; (3) cumprimento das leis e dos regulamentos aplicáveis; (4)
salvaguarda dos recursos, para evitar perdas, mau uso e dano (INTOSAI, 2004).
4. Governança - Componentes – Controle – Gestão de Riscos e Controles Internos
• Evento: incidente ou ocorrência, proveniente de fontes
internas ou externas, que afeta a implementação da
Estratégia ou a realização de objetivos (INTOSAI, 2007).
4. Governança – Componentes – Controle – Auditoria Interna
Prática C2.1 - Estabelecer a função de auditoria
interna.
Prática C2.2 - Prover condições para que a auditoria interna seja
independente e proficiente.
Prática C2.3 - Assegurar que a auditoria interna adicione valor à
organização.
Termos relacionados a auditoria interna
• Estatuto de auditoria interna: documento formal que define o propósito, a
autoridade e a responsabilidade da atividade de auditoria interna. O estatuto de
auditoria interna estabelece a posição da atividade de auditoria interna dentro
da organização; autoriza o acesso aos registros, ao pessoal e às propriedades
físicas relevantes para o desempenho dos trabalhos de auditoria; e define o
escopo das atividades de auditoria interna (IIA, 2011).
• Proficiente: que detém os conhecimentos, as habilidades e outras
competências requeridas para o desempenho eficaz das responsabilidades
profissionais (IIA, 2011, item 1210).
• Zelo profissional devido: zelo e habilidades esperados de um auditor
interno razoavelmente prudente e competente (IIA, 2011, item 1220).
4. Governança – Componentes – Controle – Auditoria Interna
Termos relacionados a auditoria interna
• Estatuto de auditoria interna: documento formal que define o propósito, a
autoridade e a responsabilidade da atividade de auditoria interna. O estatuto de
auditoria interna estabelece a posição da atividade de auditoria interna dentro
da organização; autoriza o acesso aos registros, ao pessoal e às propriedades físicas relevantes
para o desempenho dos trabalhos de auditoria; e define o escopo das atividades de auditoria
interna (IIA, 2011).
• Proficiente: que detém os conhecimentos, as habilidades e outras competências requeridas
para o desempenho eficaz das responsabilidades profissionais (IIA, 2011, item 1210).
• Zelo profissional devido: zelo e habilidades esperados de um auditor interno razoavelmente
prudente e competente (IIA, 2011, item 1220).
4. Governança – Componentes – Controle – Accountability
Prática C3.1 - Dar transparência da organização às partes
interessadas, admitindo-se o sigilo, como exceção, nos
termos da lei.
Prática C3.2 - Prestar contas da implementação e dos resultados dos
sistemas de governança e de gestão, de acordo com a legislação
vigente e com o princípio de accountability.
4. Governança – Componentes – Controle – Accountability
Prática C3.3 - Avaliar a imagem da organização e a
satisfação das partes interessadas com seus serviços e
produtos.
Prática C3.4 - Garantir que sejam apurados, de ofício, indícios de
irregularidades, promovendo a responsabilização em caso de
comprovação.
4. Governança – Componentes – Controle – Accountability
Termos relacionados a accountability e transparência
• Accountability: conjunto de mecanismos e procedimentos que levam os
decisores governamentais a prestar contas dos resultados de suas ações,
garantindo-se maiores transparência e exposição das políticas públicas.
Promoção da transparência por meio de informações claras e justas (IIA,
2011). A accountability envolve, além do dever e da responsabilidade de
prestar contas, o desejo de fazê-lo de forma voluntária.
4. Governança – Componentes – Controle – Accountability
Termos relacionados a accountability e transparência
• Transparência: divulgação oportuna de todas as questões
relevantes relacionadas à organização, inclusive situação financeira,
desempenho, composição e governança da organização (SLOMSKI, 2008).
Transparência nas informações, especialmente nas de alta relevância, que
impactem os negócios e que envolvam resultados, oportunidades e riscos. A
transparência deve situar-se dentro dos limites de exposição que não sejam
conflitantes com a salvaguarda de informações (MATIAS-PEREIRA, 2010).
14 Dezembro de 2011
5. Modelo de Governança das Três Linhas de Defesa
Dezembro de 2011 - Adaptação da
Guidance on the 8th EU Company Law
Directive da ECIIA (Confederação
Europeia dos Institutos de Auditoria
Interna) / /FERMA (Federação
Europeia de Associações de
Gerenciamento de Riscos), artigo 41
Normas imposta pela legislação
europeia aplicáveis às empresas em
toda a União Europeia.
O conselho de administração é responsável pela fiscalização da gestão de riscos da empresa e pelo
framework de controle.
Todos na empresa desempenham uma função na gestão eficaz de riscos, mas a responsabilidade
primária para a gestão e o controle dos riscos é delegada ao nível de gestão adequado dentro da
empresa.
O Presidente da empresa possui responsabilidade final para o framework da gestão de riscos e do
controle interno.
5. Modelo de Governança das Três Linhas de Defesa
11 Perguntas Chaves:
1. Há tempo suficiente disponível na agenda do comitê executivo para apresentar os resultados das
revisões da gestão de riscos, do controle interno e da auditoria interna?
2. A gestão de riscos e os processos de controle estão alinhados com os objetivos da empresa e de
acordo com as políticas em vigor?
3. A independência da gestão de riscos, do controle interno e da auditoria interna está garantida, para
que o comitê executivo seja informado dos principais riscos e atividades de controle?
4. As recomendações da auditoria são estabelecidas e implementadas com informação e processos de
comunicação transparentes?
5. Modelo de Governança das Três Linhas de Defesa
11 Perguntas Chaves:
5. O comitê executivo está informado dos principais riscos da organização a cada nível?
6. O planejamento de auditoria leva os processos de controle crítico e os principais riscos em
consideração?
7. A empresa possui uma estratégia de riscos? Quem está no comando dessa estratégia? A empresa
definiu a sua tolerância*, apetite* e perfil* de riscos? Existe uma comunicação e compreensão clara
dessa estratégia e procedimentos de riscos?
8. Como os principais riscos ou falhas de controle são escalados dentro da empresa e para quem são
relatados? A empresa identifica e registra os riscos novos e emergentes?
5. Modelo de Governança das Três Linhas de Defesa
11 Perguntas Chaves:
9. Existe uma comunicação adequada com o comitê executivo e acesso direto a ele garantido ao chefe
da auditoria interna? O comitê executivo está informado dos principais riscos da organização a cada
nível?
10. A auditoria interna avalia as primeiras e segundas linhas de defesa?
11. A auditoria interna emite uma opinião anual sobre o controle interno e os sistemas de gestão de
riscos?
5. Modelo de Governança das Três Linhas de Defesa
5. Modelo de Governança das Três Linhas de Defesa
5. Modelo de Governança das Três Linhas de Defesa
®Brasiliano INTERISK – O valor da Inteligência
5. Modelo de Governança das Três Linhas de Defesa
O modelo apresenta um novo ponto de vista sobre as operações, ajudando a garantir o sucesso contínuo das iniciativas de
gerenciamento de riscos, e é aplicável a qualquer organização - não importando seu tamanho ou complexidade.
Mesmo em empresas em que não haja uma estrutura ou sistema formal de gerenciamento de riscos, o modelo de Três Linhas
de Defesa pode melhorar a clareza dos riscos e controles e ajudar a aumentar a eficácia dos sistemas de gerenciamento de
riscos.
O modelo de Três Linhas de Defesa é uma forma
simples e eficaz de melhorar a comunicação do
gerenciamento de riscos e controle por meio do
esclarecimento dos papéis e responsabilidades
essenciais.
5. Modelo de Governança das Três Linhas de Defesa
A gerência operacional é responsável por manter controles internos eficazes e por conduzir procedimentos de riscos e
controle diariamente. A gerência operacional identifica, avalia, controla e mitiga os riscos, guiando o desenvolvimento e a
implementação de políticas e procedimentos internos e garantindo que as atividades estejam de acordo com as metas e
objetivos.
Deve haver controles de gestão e de supervisão adequados em prática, para garantir a conformidade e para enfatizar
colapsos de controle, processos inadequados e eventos inesperados.
Como primeira linha de defesa, os gerentes
operacionais gerenciam os riscos e têm propriedade
sobre eles. Eles também são os responsáveis por
implementar as ações corretivas para resolver
deficiências em processos e controles.
5. Modelo de Governança das Três Linhas de Defesa
Uma função (e/ou comitê) de gerenciamento de riscos que facilite
e monitore a implementação de práticas eficazes de gerenciamento de riscos por parte da gerência operacional e
auxilie os proprietários dos riscos a definir a meta de exposição ao risco e a reportar adequadamente informações
relacionadas a riscos em toda a organização.
Segunda Linha como supervisora e facilitadora
da primeira linha de defesa.
Dupla Função!
5. Modelo de Governança das Três Linhas de Defesa
As responsabilidades dessas funções incluem:
1.Apoiar as políticas de gestão, definir papéis e responsabilidades e
estabelecer metas para implementação.
2.Fornecer estruturas de gerenciamento de riscos.
3.Identificar questões atuais e emergentes.
3.Identificar mudanças no apetite ao risco implícito da organização.
4.Auxiliar a gerência a desenvolver processos e controles para gerenciar riscos e questões.
Como funções de gestão, elas podem intervir diretamente, de
modo a modificar e desenvolver o controle interno e os
sistemas de riscos.
Portanto, não pode oferecer análises verdadeiramente
independentes aos órgãos de governança acerca do
gerenciamento de riscos e dos controles internos.
5. Modelo de Governança das Três Linhas de Defesa
5. Modelo de Governança das Três Linhas de Defesa
A auditoria interna provê avaliações sobre a eficácia da governança, do gerenciamento de riscos e dos
controles internos, incluindo a forma como a primeira e a segunda linhas de defesa alcançam os
objetivos de gerenciamento de riscos e controle
Os auditores internos fornecem ao órgão de governança e à
alta administração avaliações abrangentes baseadas no
maior nível de independência e objetividade dentro da
organização.
5. Modelo de Governança das Três Linhas de Defesa
5. Modelo de Governança das Três Linhas de Defesa
Padrão 2120 – Gerenciamento de riscos
A atividade de auditoria interna deve avaliar a eficácia e contribuir para a melhoria do processo de
gerenciamento de riscos.
Interpretação: Determinar se os processos de gerenciamento de risco são efetivos é um julgamento
resultante da avaliação do auditor interno de que:
Os objetivos organizacionais apoiam e se alinham com a missão da organização.
São identificados e avaliados riscos significativos.
São selecionadas respostas de riscos apropriadas, com alinhamento do apetite de riscos.
As informações dos riscos relevantes são capturadas e comunicadas em tempo hábil em toda a
organização, permitindo que o pessoal, a administração e o conselho executem suas
responsabilidades.
5. Modelo de Governança das Três Linhas de Defesa
IMPLEMENTAÇÃO
A implementação do Padrão 2120, o gestor de auditoria e toda a atividade de auditoria interna,
deve demonstrar sua compreensão dos processos de gerenciamento de riscos da organização
e buscar oportunidades de melhoria.
Através de conversas com a gerência sênior e o conselho, o CAE considera o apetite de risco,
tolerância ao risco e cultura de risco da organização.
A atividade de auditoria interna deve alertar o gerenciamento para novos riscos, além de riscos
que não foram adequadamente tratados, e fornecer recomendações e planos de ação
para uma resposta adequada ao risco.
5. Modelo de Governança das Três Linhas de Defesa
IMPLEMENTAÇÃO
Analisa o plano estratégico, o plano de negócios e as políticas da organização para ter discussões
com o conselho e a alta administração, o CAE obtem uma visão para avaliar se os objetivos
estratégicos da organização apoiam e alinham com sua missão, visão e apetite de risco.
Para manter-se atualizado sobre possíveis exposições e oportunidades de risco, a atividade de
auditoria interna também pode pesquisar novos desenvolvimentos e tendências relacionadas à
indústria da organização, bem como processos que podem ser usados para monitorar, avaliar e
responder a riscos e oportunidades considerados estratégicos.
5. Modelo de Governança das Três Linhas de Defesa
CONSIDERAÇÕES PARA DEMONSTRAR CONFORMIDADE
Documentos que podem demonstrar conformidade com o Padrão 2120 incluem a carta de auditoria interna, que documenta
as funções e responsabilidades da atividade de auditoria interna relacionadas ao gerenciamento de riscos e o plano de
auditoria interna.
Além disso, a conformidade pode ser evidenciada por atas de reuniões em que os elementos do padrão - como as
recomendações de gerenciamento de riscos da atividade de auditoria interna - foram discutidos entre o CAE, o conselho e a
alta administração, ou reuniões entre a atividade de auditoria interna e relevantes Comitês, forças-tarefa e gerenciamento
sênior chave.
As avaliações de risco realizadas pela atividade de auditoria interna e os planos de ação para abordar os riscos, demonstram a
melhoria dos processos de gerenciamento de risco.
5. Modelo de Governança das Três Linhas de Defesa
Pg. 9
5. Modelo de Governança das Três Linhas de Defesa
AVALIAÇÃO DO PROCESSO DE GR
O gerenciamento de riscos é um componente crítico do sistema de controle interno, de forma que
os processos deficientes de gerenciamento de riscos são um indicador de que o sistema de
controle interno da organização pode ser deficiente.
Três formas de processos de avaliação que podem ser utilizados na avaliação de um processo de
gerenciamento de riscos:
• Abordagem dos elementos do processo
• Abordagem dos princípios chave
• Abordagem do modelo de maturidade
5. Modelo de Governança das Três Linhas de Defesa
®Brasiliano INTERISK – O valor da Inteligência
AUDITORIA BASEADA EM RISCOS - ABR
5. Modelo de Governança das Três Linhas de Defesa
®Brasiliano INTERISK – O valor da Inteligência
1. Comunicação e Consulta
Início
Durante
Término
Partes Interessadas, 1ª,2ª , Alta Direção, Conselho de Administração e Comitês.
AUDITORIA BASEADA EM RISCOS - ABR
5. Modelo de Governança das Três Linhas de Defesa
®Brasiliano INTERISK – O valor da Inteligência
2. Contexto Interno e Externo
AUDITORIA BASEADA EM RISCOS - ABR
5. Modelo de Governança das Três Linhas de Defesa
®Brasiliano INTERISK – O valor da Inteligência
2. Contexto Interno e Externo
AUDITORIA BASEADA EM RISCOS - ABR
5. Modelo de Governança das Três Linhas de Defesa
®Brasiliano INTERISK – O valor da Inteligência
Processo
Avaliado
3. Identificação dos Processos Críticos - BIA
AUDITORIA BASEADA EM RISCOS - ABR
5. Modelo de Governança das Três Linhas de Defesa
®Brasiliano INTERISK – O valor da Inteligência
Análise do Gestor Análise do Auditor
3. Identificação dos Processos Críticos - BIA
AUDITORIA BASEADA EM RISCOS - ABR
5. Modelo de Governança das Três Linhas de Defesa
®Brasiliano INTERISK – O valor da Inteligência
3. Identificação dos Processos Críticos – BIA (Gestor)
Identificação dos Processos Críticos – BIA (Auditor)
AUDITORIA BASEADA EM RISCOS - ABR
5. Modelo de Governança das Três Linhas de Defesa
®Brasiliano INTERISK – O valor da Inteligência
4. Risco Inerente - Contextualização
AUDITORIA BASEADA EM RISCOS - ABR
5. Modelo de Governança das Três Linhas de Defesa
®Brasiliano INTERISK – O valor da Inteligência
Análise do Gestor
Análise do Auditor
4. Risco Inerente - Contextualização
AUDITORIA BASEADA EM RISCOS - ABR
5. Modelo de Governança das Três Linhas de Defesa
®Brasiliano INTERISK – O valor da Inteligência
4. Risco Inerente - Matriz de Risco (Gestor)
AUDITORIA BASEADA EM RISCOS - ABR
5. Modelo de Governança das Três Linhas de Defesa
®Brasiliano INTERISK – O valor da Inteligência
4. Risco Inerente - Matriz de Risco (Auditor)
AUDITORIA BASEADA EM RISCOS - ABR
5. Modelo de Governança das Três Linhas de Defesa
®Brasiliano INTERISK – O valor da Inteligência
5. Risco Residual - Controles Chaves
AUDITORIA BASEADA EM RISCOS - ABR
5. Modelo de Governança das Três Linhas de Defesa
®Brasiliano INTERISK – O valor da Inteligência
6. Testes de Controles - Avaliação dos Controles
G G A
AUDITORIA BASEADA EM RISCOS - ABR
5. Modelo de Governança das Três Linhas de Defesa
®Brasiliano INTERISK – O valor da Inteligência
Risco
Avaliado
Controle
Avaliado
6. Testes de Controles - Avaliação dos Controles
AUDITORIA BASEADA EM RISCOS - ABR
5. Modelo de Governança das Três Linhas de Defesa
®Brasiliano INTERISK – O valor da Inteligência
6. Testes de Controles - Parecer dos Controles
AUDITORIA BASEADA EM RISCOS - ABR
5. Modelo de Governança das Três Linhas de Defesa
®Brasiliano INTERISK – O valor da Inteligência
Análise do Gestor
Análise do Auditor
6. Testes de Controles - Avaliação do Risco Residual
AUDITORIA BASEADA EM RISCOS - ABR
7. Modelo de Governança das Três Linhas de Defesa
®Brasiliano INTERISK – O valor da Inteligência
6. Risco Residual - Matriz de Risco (Gestor)
Risco Residual - Matriz de Risco (Auditor)
AUDITORIA BASEADA EM RISCOS - ABR
5. Modelo de Governança das Três Linhas de Defesa
®Brasiliano INTERISK – O valor da Inteligência
7. Plano de Ação
AUDITORIA BASEADA EM RISCOS - ABR
5. Modelo de Governança das Três Linhas de Defesa
®Brasiliano INTERISK – O valor da Inteligência
7. Plano de Ação
Gestor
AUDITORIA BASEADA EM RISCOS - ABR
5. Modelo de Governança das Três Linhas de Defesa
®Brasiliano INTERISK – O valor da Inteligência
8. Monitoramento e Análise Crítica
Processo Crítico x Risco Inerente Crítico x Controles
Chaves = Risco Residual dentro do Apetite ao Risco
AUDITORIA BASEADA EM RISCOS - ABR
5. Modelo de Governança das Três Linhas de Defesa
®Brasiliano INTERISK – O valor da Inteligência
Resultado:
1) Valida o Processo de GRC
2) Testa a Eficácia dos Controles Chaves
3) Sugere Plano de Ação para
o Gestor, tendo em vista, a Ineficácia do Controle
4) Comunica e Relaciona com os
Comitês, Conselho e Diretoria
5) Assessora as Gerências da Primeira e Segunda Linha
Cic
lo A
nu
al
Produtos:
Processos Críticos
Especiais
Contínuas
AUDITORIA BASEADA EM RISCOS - ABR
5. Modelo de Governança das Três Linhas de Defesa
As responsabilidades do diretor-presidente incluem
certificar-se de que todos os componentes do GRCorp
estejam implementados.
O diretor-presidente geralmente cumpre com as suas
atribuições:
• Reunindo-se periodicamente com os diretores responsáveis pelas principais áreas funcionais – vendas,
marketing, produção, finanças, recursos humanos – para revisar suas responsabilidades, inclusive a forma
como administram riscos. O diretor-presidente adquire conhecimento dos riscos inerentes às operações, às
respostas a risco e às melhorias de controles necessárias, bem como à condição das iniciativas em
andamento.
• De posse dessas informações, o diretor-presidente estará em condições de monitorar as atividades e os riscos
em relação ao apetite a riscos da empresa.
5. Modelo de Governança das Três Linhas de Defesa
O comitê de auditoria tem como objetivos, entre
outros da área financeira, mas os específicos de
riscos são:
• Supervisionar a adequação dos processos relativos ao gerenciamento de riscos e ao
sistema de controles internos, em linha com as diretrizes estabelecidas pelo CA;
• Supervisionar as atividades dos auditores internos e independentes.
5. Modelo de Governança das Três Linhas de Defesa
O Conselho de Administração deve:
• Avaliar os riscos estratégicos da empresa;
• Definir seu papel e o dos comitês de assessoramento na
supervisão dos riscos;
• Avaliar se o GRCorp da empresa (incluindo pessoas e
processos) é adequado e tem recursos
• suficientes;
• Discutir com a diretoria executiva o nível de efetividade do sistema de controles internos da organização, assim como
fornecer orientações para o seu aprimoramento constante;
• Definir, junto aos executivos, os tipos, os formatos e a periodicidade da informação sobre riscos e controles internos que
necessita para acompanhamento;
• Monitorar de forma contínua os riscos que podem impactar os objetivos da organização.
5. Modelo de Governança das Três Linhas de Defesa
ABR , otimiza tempo de coleta de dados, cerca
de 60%, foca em análise, interpretação e
verificação.
EFEITO CEBOLA – MODELO DE GOVERNANÇA DAS 3 LD
6. Conclusão
Contatos
Prof. Dr. Antonio Celso Ribeiro Brasiliano - Presidente da Brasiliano INTERISK
www.brasiliano.com.br
Telefone: +55 11 5531 6171