auditoria interna no brasil - instituto brasileiro de ... · dependência de fornecedores,...

© 2014 Deloitte Touche Tohmatsu. Todos os direitos reservados.

Risk Governance

Governança em Gestão de

Riscos

2014


Tendências e Perspectivas

O que as últimas pesquisas nos trazem?

0

100

200

300

400

500

600

700

800

900

IBRx 50

IBRx

Ibovespa

IGC

Transparência em MovimentoO Impacto Positivo da Governança

Empresas com boas práticas de governança, representadas pelo índice IGC, são mais atraentes a investidores e garantem um maior retorno aos acionistas.

118%IGC

x

IBOVESPA


Transparência em MovimentoOs Desafios da Governança na Prática

Base: 76 empresas participantes na pesquisa. © 2014 Deloitte Touche Tohmatsu. Todos os direitos reservados.

Transparência em MovimentoGovernança em Números



Riscos gerenciadosPrincipais categorias de riscos

Aderência às regras

Tributário e fiscal

Trabalhista

Ética, fraude e canal de denúncia

Fluxo de caixa

Reputação e imagem

Segurança da informação

Concorrência e mercado

Alçadas de aprovação

Gestão de contratos

10 principais riscos gerenciados Expectativas para 2014

Outros riscos citadosInvestimentos e projetos, Ambiental, Fatores externos, Crédito, Capacidade operacional, Contábil,

Regulamentação setorial, Câmbio, Taxa de juros, Anti-corrupção, Proteção da base de clientes,

Dependência de fornecedores, Retenção de talentos, Metas e remuneração variável, Mídias sociais,

Inovação, Relacionamento com acionistas e Fusão e aquisição.

Aderência às regras

Trabalhista

Segurança da informação

Fluxo de caixa

Reputação e imagem

Investimento e Projetos

Tributário e fiscal

Ética, fraude e canal de denúncia

Concorrência e mercado

Gestão de Contratos

Destruidores de ValorUm Estudo de Gestão de Riscos

Ao longo da década analisada (dez/2001 – dez/2012), 38% das 1 mil maiores empresas de capital aberto sofreram perdas que destruíram valor.

Embora grande parte no setores Financeiro, Seguros, Construção e Manufaturas, a destruição de valor ocorreu em diversas indústrias.

A distribuição de eventos de perda nas 1 mil maiores empresas de capital aberto ao longo da década atual

Destruição de Valor

Perda de valor de mercado em 20% ou mais no mês,

relativa ao MSCI All Country World

Index*

* Índice de ações listadas nos principais mercados desenvolvidos do mundo, mantidos pela MSCI Inc., anteriormente conhecido como Morgan Stanley Capital International.


Destruidores de ValorUm Estudo de Gestão de Riscos

Quase 90% das empresas foi atingida por diversos riscos que se materializaram paralelamente. Frequentemente, um risco de baixa vulnerabilidade se materializou em conjunto comoutros riscos não previstos.

Mo

tivo

s p

ela

de

stru

ição

de

val

or

nas

10

0 e

mp

resa

s q

ue

tiv

era

m m

aio

r q

ue

da


Gestão Integrada de

Riscos

Nossa Visão

O que é a Gestão Integrada de Riscos Corporativos (ERM)?

A Gestão Integrada de Riscos Corporativos (ERM) é um processo continuo e conduzido pela Administração para melhor identificar, entender e responder aos riscos chaves, que possam impactar a Companhia em atingir seus objetivos de negócio.

Gestão Integrada de RiscosFortalecimento de Governança


Etapas e Princípios da Inteligência em Riscos

Gestão Integrada de RiscosMetodologia da Inteligência em Riscos

Definição e Entendimento dos Riscos

Utilização de Padrões e Metodologias

Papéis e Responsabilidades

Envolvimento da Alta Administração

Programa de ERM “Top Down”

Infraestrutura para Gestão de Riscos

Avaliação Periódica da Gestão de Riscos

Responsabilidade das Áreas de Negócio

Apoio das Áreas de Suporte

9 P

rin

cíp

ios

para

a c

on

str

uçã

o d

e

um

pro

cesso

de In

telig

ên

cia

em

Ris

co

Metodologia da

Inteligência em

Riscos


Risk Disclosure (Risk Map)Governance, Strategy & Planning

Governance, Strategy &

Planning

1. Reputation / Stakeholder

Relations (17 times) (C&IP, FSI,

E&R, TMT)

2. Mergers / Acquisitions/ Divestures

(17 times) (C&IP, FSI, E&R, TMT)

3. Capital Planning (16 times) (C&IP,

FSI, E&R)

4. Operational Planning (13 times)

(C&IP, FSI, E&R, TMT)

5. Business Concentration (11 times)

(C&IP, E&R, TMT)

6. Customers (7 times) (C&IP, E&R,

TMT)

7. Pricing (7 times) (C&IP, FSI, E&R)

8. Growth (5 times) (C&IP, E&R,

TMT)

9. Business Model (5 times) (C&IP,

E&R)

10. Board Structure and Leadership (4

times) (C&IP, E&R)

11. Climate Change (3 times) (C&IP,

E&R)

12. Business Continuity Management

(BCM) (3 times) (C&IP, E&R)

13. Extended Enterprise (3 times)

(C&IP, E&R)

14. Alliances (2 times) (C&IP, E&R)

15. Compensation / Performance

Incentives / Alignment (1 time)

(C&IP)

16. Corporate Responsibility and

Sustainability (CR&S) (E&R)

17. Ethics Reporting (1 time) (C&IP)

Privacy and

Security Laws

Risk Intelligence

Corporate

GovernanceEthics

Corporate Responsibility

&Sustainability

(CR&S)

External

FactorsPlanning Strategy

Corporate

AssetsFinance

Human

Resources

Information

TechnologyLegal

Product

Development

Sales,

Marketing and

Communication

Compliance Reporting

Addressing

AllegationsBiodiversity

Business

Continuity

Management

(BCM)

AlliancesFacilities and

EquipmentAccounting

Corporate

CultureArchitecture Bankruptcy

Discontinuance

and Divestures

Branding and

Reputation

Communication and Training

Compliance with Accounting Standards

Board Structure

and LeadershipCommunication

Climate

Change

Capital

Planning

Business

Concentration

Intangible

Assets

Audit

Quality

Health and

Welfare

Benefits

Asset

ManagementCompetition

Innovation,

Research, and

Development

CommunicationCompliance

Culture

Financial

Disclosure

Corrective

Actions and

Discipline

Community

Investment

Knowledge Managemen

t Business Model

Personal

Safety

Capital

Managemen

t

Human Resources

Policies and Procedures

Contract

ManagementLaunch

Customer Relations/

Customer Support

Compliance Information Managemen

t

Financial

Information

Availability

Ethical Culture/

Tone at the top

Energy Management and

Alternative Sourcing

Operational

Planning Customers

Physical

SecurityCredit

Implications of

Significant

Events

Change Managemen

t

Corporate

InvestigationsLiability Distribution

Compliance

Organization

Financial

Statement

Fraud

Reputation /

Stakeholder

Relations

Ethics

Reporting

Fair Trade

Certification

Growth

Process

Management

Financial Asset

Investment

Organization

Structure

Contracting and

Outsourcing

Environmental,

Health & Safety

(EH&S)

Product Design/ Quality

E-Commerce/

Internet

Strategy

Compliance

Reporting

Management

Reporting

Risk

Oversight Investigation

Natural Resource

Utilization and Accounting

Markets

TaxationInsurance and

Hedging

Payroll

Information

Security

Finance &

AccountingProduction

Investor

Relation

s

Controls and

Monitoring

Regulatory

Reporting

Transparency

and Financial

Integrity

Monitoring and

AuditingPhilanthropy

Mergers/

Acquisitions/

Divestures

Utilization Liquidity

Performance/ Talent Management and

Compensation

OperationsGovernment

InvestigationsSubstitution

Marketing

Programs

Policies and

Procedures

Reporting

Quality

Policies and

Procedures

Project

Financing

Outsourcing

Pension

s

Retirement

Programs

Physical and

Environmental

Intellectual

Property (IP)

Technology

Obsolescence

Market

Research

Risk

Assessment

Statutory

Reporting

Program

Assessment and

Evaluation

Resource

Scarcity

Policy

Planning/ Budgeting/ Forecasting

Talent Pipeline/

Recruitment

Privacy and Data

Protection

Labor and

Employment

Issues

TestingMarketing

StrategySupervision

Sustainability

Reporting

Structure and

Oversight

Sustainability

Strategy

Pricing

Taxation

Training and

Development

Problem

Management

Legal and Regulatory Compliance

Timing

Public

Relation

s

Tax Reporting

TrainingSustainable

Water Quality

Technol

ogy

Project Managemen

t

Litigation and Dispute Resolution

Sales

Strategy

Waste Reduction and Closed Loop Production

Records Managemen

t

Records and Information

Management

Technology

Licensing

Operations/Infrastructure Compliance ReportingStrategy and PlanningGovernance

Supply Chain

Planning

Sourcing

Production

Delivery

ReturnsExtended

Enterprise

Performance

Management

Scenario

Planning

Innovation

Labor Relations

Legal Entity Planning

All

data

taken f

rom

public

sourc

es

Business Continuity

Management

Vision,

Mission

and

Values

Board Effectiveness/

KnowledgeManagement

Compensation / Performance

Incentives/

Alignment

Corporate Responsibility and

Sustainability

(CR&S)

Competition

Credit Rating

Customer

Demands

Economic

Conditions/

Industry Trends

External Fraud

Geo-political

Hazards/

Catastrophic

Loss

Laws

and

Regulations

Markets

Third Party/

Joint

Venture

Requiremen

ts

6

12

1

53

4

2

7

8

9

10 11

12

13

14

15

16

17

C&IP - Consumer and Industrial Products Industry

FSI - Financial Services Industry

E&R - Energy and Resources Industry

TMT - Technology, Media and Telecommunications Industry

Risks disclosed by one or more but less than eight

FPI Filers

Risks disclosed by eight or more but less than

twenty-one FPI Filers

Risks disclosed by twenty-one or more but less

than fifty-one FPI Filers

Risks disclosed by fifty-one or more FPI Filers

Gestão Integrada de RiscosNíveis de decisão para o Apetite ao Risco

De

talh

e d

o F

lux

o d

a

Info

rmação

Nível de

DecisãoCritério da Escala

Definição do percentual do

impacto:

• EBITDA

• Receita

• Margem

• Crescimento dos ativos

• Lucro

• Liquidez

Definição de tolerância aos riscos ou

do nível de variação aceitável:

• Produtos e Serviços

• Negócios / Segmento de Clientes

• Performance do Negócio

• Incidentes Regulatórios

Definição individual dos

riscos com base em:

• Perfil do cliente/

consumidor

• Transação

• Atividade

• Evento

Detalhado

Sumarizado

Decisões das

Áreas de Negócio

Alta

Administração

Comitê de Riscos

Decisões

Individuais dos

Riscos

Exemplo

Exemplo


Reporte dos Riscos

Monitoramento contínuo

Painéis de controle analíticos e

consolidadosMonitoramento / Relatórios

Definição de estrutura padrão para

Gestão de Riscos:

Processos, Dicionário de Riscos ,

áreas gestoras, normas e contas

contábeis.

Gestão Integrada de Riscos da

Companhia englobando Gestão de

Riscos, Controles Internos,

Compliance e Auditoria InternaAuditoria Avaliação de Riscos

Testes de Controle

Compliance Self Assessment

Resposta aos riscos e

acompanhamento dos planos de

açãoGestão de planos de ação

Monitoramento de riscos e

incidentes materializadosGestão de riscos e perdas e

incidentes

Repositório de informações (Dados Mestres)

AtivosProdutosFornecedoresPessoas

RegulamentaçõesProcessosRiscosControles

Hierarquia de negócios

Locais

Gestão Integrada de RiscosEstruturação do Processo de ERM


GRC – Governança, Riscos e ComplianceLinguagem única de riscos nas áreas de negócios

Riscos

Compliance

Cyber

Controles Internos

Processos

Governança

Estrutura Integrada da ferramenta GRC


Gestão Integrada de RiscosEstruturação do Processo de ERM

Governança Corporativa

Processos de Negócio

Atividades de Suporte

4º Linha de Defesa: Auditoria externa

AvaliarRiscos

Auditar a Companhia

Identificarfalhas de controle

Certificar a Companhia

3º Linha de Defesa: Auditoria interna

AvaliarRiscos

AuditarProcessos

Identificarfalhas de controle

Certificar o ambiente de

CI

2º Linha de Defesa: Riscos, Controles Internos e Compliance

Identificar as Regulamentações

Estabelecer Políticas

Definir linguagem

comum de riscos

Mensurar os Riscos

1º Linha de Defesa: Processos de negócio e suporte

Identificar Riscos e Controles

Responder aos Riscos

Monitorar os Riscos

Reportar os Riscos

Avaliação de Riscos

Avaliação de

Controles

Self Assessment

Avaliação Monitoramento

Plano

Preparação

Análise dos Riscos

Ações

Relatórios

Estruturação da Governança em Riscos

Monitoramento Contínuo / Audit AnalyticsRacionalização dos processos de Avaliação e monitoramento dos riscos e controles

Gestão de Planos de AçãoDelegação e monitoramento de ações

(Conselhos e Comitês)

Processo

Risco

Controle

Documentação

Biblioteca

Organização

Gestão de Riscos

Gestão e Monitoramento IntegradoImplementação da Estrutura e do Processo de Gerenciamento

Exemplos de painéis para monitorar os riscos

Modelo GRCImplementação da Estrutura e do Processo de Gerenciamento

Exemplos de painéis para monitorar os riscosPainel de Indicadores Indicador de Riscos

Indicador de RiscosPainel de Indicadores


Inteligência em Riscos

Maturidade

Dese

nh

o e

efe

tivid

ade

op

era

cio

nal

Extensão da documentação, conscientização e monitoramento

Gerenciado

Otimizado

“Inteligência em

Riscos”

EstabilizadoNão

SistematizadoInicial

Estabilizado

“Top Down”

• Políticas,

procedimentos e

responsabilidades de

riscos definidas.

• Avaliação rotineira e

qualitativa de riscos.

• Abordagem “top-

down” e reativa.

• Disseminação de

conhecimento entre as

funções de risco.

• Equipe dedicada.

Gerenciado

“Systemic RM”

• Atividades de

gerenciamento de riscos

coordenadas entre as

áreas/ funções.

• Definição de apetite ao

risco.

• Utilização de métricas

para avaliação.

• Abordagem “bottom-up”

e pró-ativa.

• Monitoramento, registro e

reporte de riscos na

Companhia.

• Implementação

tecnológica.

Não Sistematizado

“Specialist Silos”

• Atividades

independentes de

gerenciamento de

riscos.

• Abordagem limitada

no relacionamento

entre riscos.

• Alinhamento limitado

entre riscos e

estratégia.

• Segregação das

funções de

monitoramento e

reporte.

Otimizado

“Risk Intelligent”

• Inerente ao planejamento

estratégico, alocação de

capital, desenvolvimento

de produtos etc.

• Indicadores de risco

confiáveis.

• Modelos/ cenários de risco.

• Gerenciamento de riscos é

responsabilidade de todos.

• “Benchmarking” na

indústria.

Inicial

“Tribal & Heroic”

• “Ad-hoc”/ caótico.

• Dependente de

colaboradores

heróicos,

capacitados e

com sabedoria

verbal.

3 a 6 Anos

• Lei 12.846 - Anti-Corrupção

• Novo Framework COSO 2013

• Cyber Security

• Modelos de Governança/Compliance

• Gestão de Crises

• Quantificação/apetite a riscos

• Ferramentas GRC

Aspectos Críticos


Publicações - Informações Adicionais

www.deloitte.com.br

[email protected]

http://www.deloitte.com.br

http://www.deloitte.com/dtt/cda/doc/content/ca_fsi_AssessingtheValueof ERM_Oct2004.pdf

http://www.deloitte.com/dtt/cda/doc/content/ca_fsi_AssessingtheValueof ERM_Oct2004.pdf

auditoria interna no brasil - instituto brasileiro de ... · dependência de fornecedores,...

Documents