CCEE - Metodologia de Gestão de Risco
InfoPLD ao vivo
28/4/2014
Definição de Gestão de Risco
Gestão de risco é a abordagem sistemática de identificar, analisar e controlar os
riscos que são específicos para a realização dos objetivos da organização.
Constitui assim a soma de todas as atividades proativas no sentido de acomodar a
possibilidade de falha nos elementos do programa de organização.
Necessidade de Gestão de Risco
 Devido à complexidade do ambiente e ao tamanho da organização, a
abordagem é holística - integrada e adotada pela organização como um todo.
 A manutenção da credibilidade da CCEE junto a seus clientes é necessária para
o bom funcionamento do mercado (crítico para CCEE).
Benefícios da Gestão de Risco
 Reduzir o número de choques e surpresas
 Minimizar o impacto de eventos adversos
 Aumentar a probabilidade de alcançar os objetivos de forma aceitável
 Reduzir a ocorrência de impactos financeiros não esperados
 Gerenciar adequadamente a exposição aos riscos dentro dos limites de perda aceitáveis e definidos
pela empresa
 Otimizar a tomada de decisão dos gestores em relação aos riscos e seus impactos para a empresa
 Assegurar que os investimentos estão sendo realizados baseados nos riscos aceitáveis e
oportunidades
 Zelar pela imagem da empresa (credibilidade)
Metodologia
 Objetivo Estratégico: Mitigar os riscos da organização por meio do ciclo de
Gestão de Risco
Compilação das Informações
Identificar
Identificação dos riscos
da organização.
Captação por meio de:
• Resultados de auditorias;
• Análise de incidentes;
• Chamados das Ouvidorias;
• Entrevistas com gestores;
• Solicitações das áreas; e
• Resultado dos indicadores
Operacionais.
Definir/
Priorizar
Definir a resposta ao
risco e a prioridade no
tratamento.
Respostas ao risco:
• Evitar;
• Reduzir;
• Transferir/Compartilhar; e
• Aceitar.
Classificar
Categorização do risco de
acordo com a metodologia de
Gestão de Risco.
Categorizado como:
 Compliance;
 Estratégico;
 Financeiro;
 Operacional; e
 Regulatório.
Tratar
Definição das ações de
mitigação.
Execução de ações para
mitigação dos riscos.
Avaliar
Consolidar
Análise da probabilidade,
impacto e relevância do risco, bem
como identificação e avaliação dos
controles existentes.
Tipos de controle:
 Tecnológico;
 Ambiente;
 Processo; e
 Pessoas.
Nível de risco:
 Extremo;
 Alto;
 Médio; e
 Baixo.
Monitorar
Acompanhamento da
implantação das ações de
mitigação.
Aferição do nível de
eficiência dos
controles adotados.
Geração do mapa de risco.
Riscos agrupados com resultados
ponderados e definição das
Gerências Co-Responsáveis.
Reavaliar
Revisão e levantamento de
riscos.
Atualização do mapa de risco.
Papéis e responsabilidades
Alta administração

Definir a priorização das respostas aos riscos;

Manter o foco na Gestão de Risco;

Patrocinar as Gerências Co-Responsáveis no tratamento dos riscos.
Gestores
Gerência de Gestão de Risco

Informar os riscos de sua área;

Mapear e consolidar os riscos;

Ajudar a classificar os riscos
identificados em sua área;

Apresentar os riscos classificados e
propor a gerência co-responsável;

Informar os controles existentes e
sua percepção de eficiência;


Auxiliar na identificação da
Gerência Co-Responsável.
Gerência Co-Responsável

Auxiliar as gerências coresponsáveis na definição e
cumprimento dos controles de
mitigação;
Conduzir as iniciativas de mitigação
de riscos e aferir os níveis de
eficiência dos controles com apoio da
Gerência de Gestão de Risco e demais
áreas que se façam necessárias;

Apresentar o status e os resultados
sobre as ações de mitigação
realizadas.

Acompanhar a implantação dos
controles e medir sua eficiência;


Revisar os riscos e atualizar o mapa
de risco - Semestral.
Obs.: A Gerência Co-Responsável não
é a única responsável pela mitigação
dos riscos, é a área responsável por
liderar as ações de mitigação.
Calculando seus riscos
 Uma vez identificados e mapeados os riscos da organização deve-se calcular o
Risco Inerente
 O valor de um Risco Inerente do negócio é calculado pela seguinte fórmula:
Risco Inerente (RI) = Probabilidade (P) x Impacto (I) x Relevância (Rel)
Avaliando os controles mitigatórios
 Após a classificação dos riscos inicia-se o processo de avaliação de possíveis
controles aplicados e sua respectiva eficiência
 A eficiência dos controles permite mitigar os riscos inerentes - desta forma,
quanto mais controles eficientes existirem na organização, menor é a chance de
um risco se materializar, restando apenas o chamado Risco Residual*:
Risco Residual (RR) = RI x Eficiência do Controle (EC)
* Risco que permanece após o controle de mitigação
Mapa de Riscos Residuais
5
PROBABILIDADE
4
3
2
1
0
0
1
2
3
IMPACTO
4
5
Contato
Martin Gomes
Gerência Executiva de Compliance & Gestão de Risco
Jefferson Souza
Gerente de Segurança da Informação e Gestão de Risco
Câmara de Comercialização de Energia Elétrica – CCEE
e-mail: [email protected]