Como fazer que sua gestão de Governança, Risco e Conformidade seja mais eficaz? Como melhorar a comunicação entre as equipes? Assista o vídeo: https://youtu.be/YYYv23lPmyU
2. 2
‣ Mais de 20 anos de experiência, Consultor, Professor e Mentor nas
áreas de GRC (Governança,
Gestão de Riscos Corporativos, Compliance) e BPM;
‣ No gerenciamento de riscos corporativos aplica os modelos: COSO,
ISO 31000;
‣ Um dos expoentes na condução de treinamentos para aderência ao
compliance SOX (Sarbones-Oxley);
‣ Com experiência no ambiente público, como TCU, STJ e no privado
Banco Bradesco, AMBEV;
‣ Entre os trabalhos realizados, está o desenvolvimento: Política de G
erenciamento de Riscos, Matriz de Riscos, DRP/PCN, compliance S
OX, ISO 27002, Planejamento
Estratégico com BSC, Governança Corporativa e de TI;
‣ Palestrante atuante, foi mediador do evento de Inovação para Tribun
ais de Contas;
‣ Criador do método lúdico para criação da Matriz de Riscos Corporati
vos;
‣ Criador do aplicativo RISKm para gerenciamento de Riscos Corporat
ivos;
‣ Vida acadêmica como professor de MBA na USP-
FIA (professor convidado),
FIAP, UFLA (Universidade Federal de Lavras-MG), FASP;
‣ Especialização em Estratégia pela FGV de São Paulo;
‣ Possui a certificação CGEIT (Certified in the Governanceof Enterpris
e Information Technology) e outras.
Facilitador
www.CompanyWeb.com.br
4. em prol da ‘Defesa’ da
organização. Profissionais
como:
Auditores, especialista em
Gestão de Riscos,
Advogados, Investigadores,
Gestores de Negócios e
outros.
Equipes
multi-
disciplinares
Gestão Eficaz da GRC | Governança, Risco e Conformidade | Três Linhas de Defesa www.CompanyWeb.com.br
4
5. Como garantir a Eficiência e Eficácia entre as equipes?
Como evitar o controle do controle?
Como evitar a duplicidade de atividades?
Como eliminar o Problema de Comunicação entre as equipes?
Gestão Eficaz da GRC | Governança, Risco e Conformidade | Três Linhas de Defesa www.CompanyWeb.com.br
5
6. 6Gestão Eficaz da GRC | Governança, Risco e Conformidade | Três Linhas de Defesa
www.CompanyWeb.com.br
6
7. 7Gestão Eficaz da GRC | Governança, Risco e Conformidade | Três Linhas de Defesa
www.CompanyWeb.com.br
7
8. 3a. Linha de Defesa
‣ Avaliação
Independente.
2a. Linha Defesa
‣ Garantia:
supervisão
1a. Linha Defesa
‣ Propriedade:
Gestores.
Independência limitada Maior independência
Gestão Eficaz da GRC | Governança, Risco e Conformidade | Três Linhas de Defesa www.CompanyWeb.com.br
8
9. 1a. Linha de Defesa
‣ É a área de negócio,
responsável por:
‣ Identificar, mensurar,
avaliar e mitigar os
riscos;
‣ Manter controles
internos eficientes;
‣ Implementar ações
corretivas para
resolver deficiências
em processos e
controles.
Linhas de Defesa
1o. Linha de Defesa
‣ Inclui funções de
gerenciamento de
risco e conformidade;
‣ Deve trabalhar em
conjunto com a área
de negócios para
garantir que a 1º
linha de defesa
tenha: Identificado,
Avaliado e reportado
corretamente os
riscos do seu
negócio.
1o. Linha de Defesa
‣ É representada pela
Auditoria Interna;
‣ Deve revisar de
modo sistemático e
eficiente as
atividades das duas
primeiras linhas de
defesa;
‣ Deve contribuir para
seu aprimoramento
do modelo de GRC
– Governança,
Risco e
Conformidade.
2a. Linha de Defesa 3a. Linha de Defesa
Modelo importante para prover garantias de que os Controles apropriados estão em uso e para o
alcance das metas organizacionais.
www.CompanyWeb.com.br
9
10. 10Fonte: Guidance on the 8th Company Law da ECIIA/FERMA, artigo 41
‣ A Alta Administração e CA – Conselho de Administração (ou similar) / Comitê de Auditoria são as
principais partes interessadas atendidas pelas ‘Linhas de Defesa’ e garantir que o modelo seja aplicado aos
processos de GRC - Governança, Gestão de Riscos e Conformidade .
12. 12Fonte: TCU - Referencial Básico de Combate à Fraude e Corrupção
Gestão Eficaz da GRC | Governança, Risco e Conformidade | Três Linhas de Defesa www.CompanyWeb.com.br
12
14. 14
Conhecemos o
negócio onde
atuamos?
(cadeia de
valor, modelo
de negócios e
outros)
Temos nossos
processos
críticos ou de
maior
fragilidade
mapeados?
Temos um guia
para priorizar
os Riscos?
Nossos
Controles
Internos são os
melhores?
Nossos
Indicadores
traduzem,
realmente, ao
cenário de
negócio?
Nosso tempo de
resposta aos
Risco é
coerente ao
negócio?
www.CompanyWeb.com.br
14
16. 16
Atuação de forma independente, mas não isolada das áreas executivas;
Apoiar os negócios na avaliação dos processos e riscos operacionais, e na
validação do desenho dos controles e dos planos de ação;
Monitoramento e reporte da qualidade dos controles das operações através de
testes e indicadores.
www.CompanyWeb.com.br
16
17. 17
Garantir a qualidade do ambiente de controles e assegurar previsibilidade dos
processos;
Responsável por coordenar as atividades de Controles Internos e Compliance
junto às áreas de negócios;
Possuir comunicação direta com qualquer administrador ou colaborador, acesso a
quaisquer informações necessárias no âmbito de suas responsabilidades.
www.CompanyWeb.com.br
17
18. Conhecimento
profundo dos
processos de
negócios
Proximidade
com a área
atendida
Independência
1. Avaliar os principais Riscos e
entender os controles.
2. Antecipar riscos inesperados?
1. Monitorar e reportar
2. Assegurar a performance dos
Controles
3. O quanto os testes e indicadores
asseguram uma certificação de
qualidade?
processosde
negócios
Proximidade
www.CompanyWeb.com.br
18
19. Atividades
• Monitoramento do
ambiente regulatório e
avaliação de impacto
nos processos em
sintonia com a área
jurídica
• Garantia da aderência
às normas externas e às
políticas e
procedimento internos
• Disseminação da
cultura de controles
internos e
compliance na
organização, por
meio de programas
de capacitação e
conscientização
• Apoio às áreas
executivas nos seus
processos de auto-
avaliação e
priorização dos
riscos
• Coordenação dos
comitês setoriais e
superior de riscos
e compliance,
fóruns para
reporte e tomada
de decisão
• Governança de
aprovação de
produtos e
processos
• Identificação, captura e
registro de eventos de
riscos
• Avaliação do ambiente,
riscos e controles
priorizados
• Coordenação do
processo de certificação
de compliance (ex.:
SOX)
CulturaGovernança
Controles
Internos
Atividades
Compliance
www.CompanyWeb.com.br
19
20. 3ª. Linha
Segregação de Atividades
1ª. Linha 2ª. Linha 3ª. Linha
1. Impor processos de Gestão
de Riscos
2. Definir o apetite de riscos
3. Tomar decisões sobre
respostas a riscos
4. Implementar respostas a
riscos
5. Responsabilidade de
prestação de contas pela
Gestão de Riscos
1. Desenvolver a estratégia de
Gestão de Riscos
2. Manter e desenvolver a
estrutura de ERM
3. Coordenar as atividades
do ERM
4. Facilitar a identificação e
avaliação de Riscos
5. Dar apoio à Administração
para responder a Riscos
6. Consolidar relatórios sobre
Riscos
1. Avaliar e opinar o processo de
Gestão de Riscos
2. Dar certeza de que os Riscos
são avaliados corretamente
3. Avaliar a apresentação de
relatórios sobre Riscos-chave
www.CompanyWeb.com.br
20
Onde estão os Riscos Em conformidade Certificado
21. Órgãos funcionais e de gestão,
responsáveis por operacionalizar a
Gestão de Riscos e os Controles
Internos
1ª
Funções de Gestão de
Riscos & Conformidade,
responsáveis por
estabelecer e monitorar
normas e políticas
2ª
Auditoria interna,
responsável por
oferecer certificação e
assessoria objetiva
sobre GRC –
Governança, Riscos &
Conformidade
3ª
Linha
Linha
Linha
3ª. Linha
www.CompanyWeb.com.br
21
22. Modelo
Europeu
○ Definição clara de
responsabilidades, limites
que se encaixam na
estrutura geral de riscos e
controles da organização.
Guidance on the 8th Company Law da ECIIA/FERMA
Fonte: http://www.eciia.eu/wp-content/uploads/2013/09/Blog-4.4-Avoid-reg-part-1.pdf
www.CompanyWeb.com.br
22
23. 4a. Linha de Defesa
3a. Linha de
Defesa
2a. Linha de
Defesa
1a. Linha de Defesa
Auditoria
Externa
Auditoria
Interna
Gestão de
Riscos &
Compliance
Gestor de
Negócio
• Identificar Riscos
• Responder aos Riscos
• Planos de Ação
• Controles Internos
• Monitorar os Riscos
• Reportar os Riscos
• Identificar as regulamentações
• Estabelecer Políticas
• Definir linguagem comum de riscos
• Mensusar os Riscos
• Avaliar Riscos
• Auditar Processos
• Identificar falhas de Controle
• Certificar o ambiente de Controle Interno
• Avaliar os Riscos
• Auditar a organização
• Identificar falhas de Controle
• Certificar a organização
www.CompanyWeb.com.br
23