Objetivos estratégicos e
Continuidade de Negócios como foco
do Monitoramento de Riscos e
Controles Internos
Diretoria de Controladoria
Alexandre Gemerasca Dalosto
Gerência de Gestão de Riscos e Controles Internos
Agenda
• Alinhando o monitoramento de riscos aos objetivos
estratégicos
• A análise da vulnerabilidade como fator redutor do risco
potencial
• Critérios de risco com foco em continuidade de negócios
• Monitoramento de eventos e ações de resposta ao risco
Gerência de Gestão de Riscos e Controles Internos
Posicionamento na Estrutura
CFO
DIR. SUPRIMENTOS
DIR. TESOURARIA E RI
DIR.
CONTROLADORIA
Gestão de Riscos e
Controles Internos
Gerência de Gestão de Riscos e Controles Internos
DIR. SERVIÇOS
FINANCEIROS
DIR. PATRIMÔNIO E
LOGÍSTICA
Atribuições
•
•
•
•
•
•
Identificação de riscos;
Desenho e implementação de controles;
Avaliação de eficácia de controles;
Monitoramento de ações mitigatórias de riscos;
Política de Alçadas e Delegação de Autoridade;
Gestão da continuidade de negócios.
Gerência de Gestão de Riscos e Controles Internos
Diretriz de atuação
Riscos Relevantes
Objetivos Estratégicos
Receita líquida
EBITDA
Churn ponderado
Modelo Integrado de Gestão de Riscos
Alinhar a gestão de riscos com os objetivos estratégicos da Oi
Contact Rate
Identificação e análise dos principais riscos dos processos
Divulgação
Identificação e avaliação dos principais fatores de risco e eventos que
possam afetar de modo significativo o normal funcionamento da Oi
CVM – Form Referência
SEC – Form 20F
Relatório de Sustentabilidade
Prospectos
Normas
Identificação das melhorias, controles e acompanhamento dos planos de
mitigação associados a fatores de riscos críticos.
Melhorar a qualidade da informação de suporte ao processo de tomada
de decisão.
Comunicação dos resultados do modelo de gestão de riscos e alertas
relativamente à ocorrência ou identificação de novos riscos críticos.
NBR/ISO 31000 – Gestão de Riscos
NBR/ISO 15999 – Gestão de
Continuidade de Negócios
Processos/Ativos
COSO / COBIT
GERENCIA DE GESTÃO DE RISCOS E CONTROLES INTERNOS
Riscos
Controles
Ação de Resposta ao Risco
GCN
Entendimentos necessários
•
•
•
•
•
•
Qual o papel do gestor na identificação e mitigação de riscos?
Até que nível de risco o gestor deve atuar? E depois?
Como mitigar Riscos divididos? A responsabilidade é de...
Riscos chave do processo x risco legal/regulatórios
Como avaliar os riscos? Quais avaliar? E quem avalia?
Quais são os macro riscos do negócio? Estão definidos?
Gerência de Gestão de Riscos e Controles Internos
O processo de Riscos e Controles
Gerência de Gestão de Riscos e Controles Internos
O que buscamos
Gerência de Gestão de Riscos e Controles Internos
Modelo de Gestão de Riscos
PROCESSOS
ATIVOS
(Instalações, Sistemas
E Backbones)
Identificação
de Riscos
Análise dos
de Riscos
Resposta ao Risco
Riscos Gerais e
Controle Interno
Controles Internos
Riscos de
Continuidade de
Negócio
Planos de
Continuidade de
Negócio
Incidentes
Ações
Gerência de Gestão de Riscos e Controles Internos
Modelo de Identificação de Riscos
Determinação do Nível de Risco:
Nível de Risco
Fator de
Risco
A Probabilidade do Fator de
Risco mede a frequência que
as ameaças costumam
manifestar-se na
Companhia.
Risco
O Impacto mede os
resultados do risco em
termos dos aspetos de
Imagem, Operacional,
Regulatório e Financeiro.
Controle
A Vulnerabilidade mede a eficácia dos
controles implementados para diminuir
a probabilidade dos fatores de risco e o
impacto dos riscos associados.
Determinação do Nível de Risco para Continuidade do Negócio (GCN):
GCN
Gerência de Gestão de Riscos e Controles Internos
Vulnerabilidade
Determinação do Nível de Risco:
Nível de Risco
Fator de
Risco
Risco
Controle
A vulnerabilidade espelha a existência e eficácia de mecanismos de detecção/proteção ao Risco:
Descritor
Interpretação
Critico
Não existem controles ou mecanismos de detecção/proteção.
Muito Vulnerável
Existem controles ou mecanismos de proteção não tendo cobertura total
e os existentes não são confiáveis
Vulnerável
Existem controles ou mecanismos de proteção não tendo cobertura total
e alguns deles são ineficazes
Pouco Vulnerável
Existem controles ou mecanismos de proteção eficazes mas sem
cobertura total das necessidades
Controlado
Todos os controles ou mecanismo de proteção cobrem totalmente as
necessidades e são eficazes
Gerência de Gestão de Riscos e Controles Internos
Dicionário de Riscos Corporativo
Gerência de Gestão de Riscos e Controles Internos
Análise e Resposta ao Risco
Análise de Risco Potencial (sem aplicação de controles) e Risco Residual em Processos, Ativos e
Organização.
Probabilidade X Impacto
Sem o efeito de controles
Redução do risco em função da cobertura de
controles e sua eficácia
O exemplo acima utiliza dados não reais visando apenas a apresentação de conceitos e práticas.
A resposta ao Risco é determinada pela forma dos 4Ts: Tratar, Transferir, Tolerar ou Terminar.
Gerência de Gestão de Riscos e Controles Internos
Gerenciamento de Riscos: SOX
Avaliação de controles nas etapas de Revisão, Testes da Administração e
Certificação (auditoria externa)
O exemplo acima utiliza dados não reais visando apenas a apresentação de conceitos e práticas.
Monitoramento de todos os planos de ação (Controles Internos, auditoria externa, GCN e
melhoria de processos) em base única.
Monitoramento de Risco: Avaliação de Controles
Gerência de Gestão de Riscos e Controles Internos
A redução da vulnerabilidade
Gerência de Gestão de Riscos e Controles Internos
Ciclo de execução
Gerência de Gestão de Riscos e Controles Internos
Certificação SOX – Ciclo Anual
Materialidade
Empresas
Relevantes
Processos
Relevantes
Sistemas
Críticos
Revisão dos
Controles
Carta de
Certificação
Testes de
Administração
Plano de Ação
Testes da
Certificadora
Critérios de risco com foco GCN
O que mais temos de fazer?
Gerência de Gestão de Riscos e Controles Internos
GCN – Relevância
Determinação do Nível de Risco para Continuidade do Negócio (GCN):
Descritor
Interpretação
Muito alta
Muito Critico para Continuidade de Negócio
Alta
Critico para Continuidade de Negócio
Média
Média Criticidade para Continuidade de Negócio
Baixa
Pouco Critico para Continuidade de Negócio
Muito Baixa
Sem Criticidade para Continuidade de Negócio
Análise BIA (Business Impact Analysis) realizada em tempo de mapeamento do processo.
Gerência de Gestão de Riscos e Controles Internos
GCN – Tempo de Tolerância
Determinação do Nível de Risco para Continuidade do Negócio (GCN):
Níveis de
Tolerância
Tempo em Horas
Muito Critico
0 a 4 horas
Critico
4 horas a 1 dia
Muito Grave
01 a 02 dias
Grave
02 dias a 07 dias
Médio
Maior que 7 dias
Análise BIA (Business Impact Analysis) realizada em tempo de mapeamento do processo.
Gerência de Gestão de Riscos e Controles Internos
Nível de Risco
Determinação do Nível de Risco:
Classificação
Geral
Muito alto
Alto
Fator de
Risco
Risco
Controle
Nível de Risco por processo, localidade ou unidade organizacional
Moderado
Baixo
Muito Baixo
Determinação do Nível de Risco para Continuidade do Negócio (GCN):
Classificação
GCN
Catastrófico
Severo
Moderado
Leve
Desprezível
Priorização de ações mitigatórias em processos, sistemas, recursos (pessoas ou terceiros) e
ativos (prédios e instalações).
Gerência de Gestão de Riscos e Controles Internos
Risco em GCN: Monitoramento
O exemplo acima utiliza dados não reais visando apenas a apresentação de conceitos e práticas.
Monitoramento de Riscos por Ativos (prédios, sistemas e backbones), fornecedores,
processos e unidade organizacional.
Gerência de Gestão de Riscos e Controles Internos
Estrutura GCN - Pilares
Comissão de Crise
CRISE
Crítico
Telecom
Tecnologia
Patrimônio
Pessoas
Fornecedores
Ambiental
Atenção
Incidente
COMUNICAÇÃO CORPORATIVA – JURÍDICO - RELAÇÕES INSTITUCIONAIS - ATENDIMENTO REGULATÓRIO
A crise é decretada após avaliação do evento: Perda, em nível crítico, de um ou mais pilares.
Gerência de Gestão de Riscos e Controles Internos
Gestão da Continuidade de Negócios
Gerência de Gestão de Riscos e Controles Internos
Modelo de Atuação
Gerenciamento da Continuidade do Negócio
Operação
Incidente
Estratégias e Ações
Planos de Continuidade do Negócio
Componentes
Todas as variáveis utilizadas para
a realização dos processos
(energia, telecomunicações,
infra, pessoas, etc). Podem ser
substituídas ou restauradas.
26
Processos
Atividades realizadas
para operar os
Negócios
Gestão da Continuidade de Negócios
Gerência de Gestão de Riscos e Controles Internos
Gestão da Continuidade de Negócios
Gerência de Gestão de Riscos e Controles Internos
Monitoramento de Eventos
Incidentes
Gerenciamento de ações de tratamento do incidente
Planos de Continuidade de Negócio
Continuidade
de Negócio
Riscos
Processos
Gerência de Gestão de Riscos e Controles Internos
Gerenciamento de Planos de Continuidade e Ações
de melhoria
Gerenciamento Integrado
Ativos
Gestão da Continuidade de Negócios
Gerência de Gestão de Riscos e Controles Internos
Gestão da Continuidade de Negócios
Gerência de Gestão de Riscos e Controles Internos
Gestão da Continuidade de Negócios
Gerência de Gestão de Riscos e Controles Internos
Tipos de Ações a Monitorar
Ação de Correção – Ação para eliminar uma Não Conformidade detectada (tratamento do
Problema).
Ação Corretiva – Ação destinada a eliminar a Causa de uma Não Conformidade detectada
ou de outra situação indesejável de modo a evitar a sua repetição.
Ação Preventiva – Ação destinada a eliminar a Causa de uma Não Conformidade ou de
outra situação indesejável com potencial para provocar um Incidente, de modo a evitar a
ocorrência de tal Incidente.
Ação de Regulação de Sinistro – Ação destinada a tratar a regulação do sinistro junto a
seguradora e que pode ser do tipo corretiva, preventiva e de correção.
Ação de Compras Emergenciais – Ação destinada a registrar uma solicitação de aquisição
urgente durante o tratamento de um evento, visando assegurar que as Compras realizadas
manualmente sejam devidamente endereçadas e registradas.
Gerência de Gestão de Riscos e Controles Internos
Cultura interna
Guia Rápido de Gerenciamento de Crises
Gerência de Gestão de Riscos e Controles Internos
A obrigatoriedade
Gerência de Gestão de Riscos e Controles Internos
A obrigatoriedade
Gerência de Gestão de Riscos e Controles Internos
A obrigatoriedade
Gerência de Gestão de Riscos e Controles Internos
Resultados

Identificação e proteção de produtos, serviços e instalações críticas.
Exemplo: identificação das 119 instalações críticas que suportam o negócio com dotação
de proteção por brigada profissional, salas com gás Inerte, SDAI e controles de acesso. TI
elaborando PCS (Plano de Continuidade de Sistemas) para144 sistemas e DRP (Disarter
Recovery Plan) incluído nos projetos estruturantes.

Ativação da gestão de crises
Exemplo: criação do fluxo de notificação de crises, descritos no Guia Rápido de
Gerenciamento de Crises.

Capacitação das pessoas para responder eficazmente ante uma crise.
Exemplo: Treinamento de colaboradores e gestores diretamente envolvidos, Circuito Joia,
Interativa e o próprio Guia.

Controle da cadeia de fornecedores da organização
Exemplo: Monitoramento da saúde financeira e operacional dos fornecedores críticos.

Proteção da reputação da organização.
Exemplo: Plano de Emergência de Comunicação, atuando imediatamente após a
comunicação do evento de crise para mitigar impactos negativos à imagem.

Cumprimento com obrigações legais e regulamentares.
Exemplo: SOX, ISE e demais exigências de disponibilidade de serviços.
“Se alguma coisa pode dar errado, com certeza dará”
Lei de Murphy
Contatos
Alexandre Gemerasca Dalosto
Gerente de Gestão de Riscos e Controles Internos
Diretoria de Controladoria
Oi Fixo: (21) 3131 1477
Oi Móvel: (21) 8859 4413
E-mail: [email protected]
Pessoal: [email protected]
Gerência de Gestão de Riscos e Controles Internos