Case de Implementação
SAP GRC 10 Risk Management e Process Control
Agenda
1.
Sobre a Cemig
2.
Objetivos da Cemig com o Projeto
3.
Visão Geral da Metodologia de Gestão de Riscos Cemig
4.
Visão Geral da solução SAP GRC Risk Management e Process Control
5.
Escopo do Projeto GRC na Cemig
6.
Cronograma macro
7.
Resultados e Benefícios
8.
Principais Funcionalidades da Solução
9.
Lições aprendidas
10. Road Map Trilhado e Próximos Passos
11. Questões mais comuns
12. Conclusões
1. Sobre a Cemig
1. Sobre a Cemig – Negócios do Setor Elétrico
Comercialização
Mercado Livre
Geração
Transmissão
Comercialização
Mercado Cativo
Distribuição
1. Sobre a Cemig – O Grupo Cemig
O Grupo Cemig é responsável pelo atendimento de cerca de 33 milhões de pessoas em 805
municípios em Minas Gerais e Rio de Janeiro (incluindo a Light) e pela gestão da maior rede de
distribuição de energia elétrica da América do Sul, com mais de 460 mil quilômetros de extensão.
Além disso, a Empresa atua fora do País com a LT Charrúa – Nueva Temuco, no Chile, que entrou em
operação em 2010.
Renova
TAESA
Transchile
Charrúa
Clientes MT/BT
Cemig D
Light
GASMIG
Transmissoras
Light
Poder Público
Outros Negócios
(ESCO)
Efficientia
(ESCO)
EBL
(ESCO)
Axxiom
(TI)
CR Zongshen
(Veículos)
Light
Soluções
Cemig
Serviços
Cemig
Telecom
Ativas
(Data Center)
Instituto Light
(Des. Social e Urbano)
Centro GET
(Gestão Estratégica de
Tecnologia)
Produtos
(Usinas Eólicas)
Insumos
TBE
Distribuição
Produtos
PCHs
Insumos
Light
Energia
Transmissão
Produtos
Lightger
Cemig GT
Clientes AT/MT
Insumos
Cemig
Trading
Geração
Insumos
Empresa Serv.
Com. Energia
Lightcom
Produtos
Insumos
Comercialização
Produtos
Atuação em 23 estados do Brasil e no Chile: 107 empresas e 15 consórcios no segmento de energia
e outros negócios relacionados.
Clientes
AT/MT/BT
Consumidores
Empresas
Energia
1. Sobre a Cemig – Grupo Cemig: Maior Empresa Integrada
do Setor Elétrico Brasileiro
Nº1
Grupo de
Distribuidoras*
Nº3
Grupo de
Transmissão
+
RR
Nº1
Empresa
Integrada do
Setor Elétrico
Nº3
Grupo de
Geração
+
AP
Geração
AM
Geração em construção
MA
PA
CE
PI
AC
TO
RO
BA
MT
DF
GO
Presente em
RN
PB
PE
AL
SE
Estados
SP
Distribuição
Compra de Energia
Geração Eólica
RJ
Distribuição de Gás
PR
e no Chile
SC
Chile
Transmissão em construção
Consumidores Livres
MG
ES
MS
Transmissão
Telecomunicação
RS
* Em número de consumidores e extensão de linhas de distribuição
1. Sobre a Cemig – Cemig GT e D: Posicionamento atual
Participação atual no mercado brasileiro*
Distribuição
Geração
Transmissão
Distribuição de Gás Natural
OBS:
 Mercado Brasileiro de Distribuição – (12% do total de energia distribuída no mercado livre e no mercado cativo)
 Mercado Brasileiro de Geração – (7% do total da capacidade instalada)
 Mercado Brasileiro de Transmissão – (13% da capacidade de transmissão do país)
 Mercado Brasileiro de Gás Natural – (6% do total de Gás Natural distribuído no país)
 *Não considera os efeitos da Lei n° 12.783/2013
1. Sobre a Cemig: Solidez nos números
Cemig Geração, Transmissão e Distribuição:
Número de usinas
Capacidade instalada
Localidades em Minas Gerais
65
6.925 MW
5.415
Linhas de distribuição
453.935 km
Linhas de transmissão
7.506 km
Fonte: www.cemig.com.br
2. Objetivos da Cemig com o Projeto
2. Objetivos da CEMIG com o projeto
O papel do SAP GRC Risk Management e
Process Control na evolução
Implantação da
Metodologia de
Gestão Riscos
B
Mapeamento e Registro
dos Riscos com apoio da
ferramenta SGIR
Estabelecer uma plataforma robusta
para o crescimento e aprimoramento
da Gestão de Riscos na CEMIG
2
Potencializar a participação das áreas de
negócio na disseminação da Cultura de
gestão de riscos
3
Repositório centralizado de Riscos,
Avaliação, Planos de Ações, Controles
e Documentação
4
Automatização do processo de
Avaliação, atualização de Plano de
Resposta e Signoff dos Riscos
TO BE
A
1
AS IS
Início
Gestão de Riscos na CEMIG antes do projeto
3. Visão geral da metodologia de Gestão de Riscos Cemig
3. Visão Macro da Metodologia de Gestão Riscos Cemig
ABORDAGEM “TOP-DOWN”
ACIONISTAS
Presidência
CFO
SP
GR
GR
SP
GR
CRO
SP
GR
COO
SP
GR
Presidência
SP
GR
CIO
SP
GR
SP
GR
PROCESSOS
NÍVEIS
ESTRATÉGICOS
RISCO
Diretorias
SP
GR
Superintendências
GR
Gerências
3. Visão Macro da Metodologia de Gestão Riscos Cemig
Fluxo do Trabalho do ciclo de Revisão
Devolver
para
Devolver
para
Elaboração
Revisão
Concluir
Concluir
Elaboração
Revisão
Aprovar
Interlocutor:
Especialista
designado
pela
Gerência/Superintendência para elaboração ou
revisão do Risco;
Revisor: Gerente da área responsável pela gestão
do Risco;
Reelaboração
Aprovador: Superintendente
aprovação do Risco.
responsável
pela
4. Visão Geral – A Solução SAP GRC RM e PC
4. Visão Macro da Solução SAP GRC
Solução SAP GRC (Governance, Risk and Compliance)
Access Control
Mapeamento da Matriz
de Segregação de
funções
Solicitação de acessos
com a devida avaliação
dos riscos
Process Control
Repositório central para
as matrizes de controles
e para a documentação
da avaliação dos
controles
Gestão de usuários
avançados
Workflow automatizado
para controle do SelfAssessment, do Teste de
Efetivade dos Controles e
Signoff
Avaliação de riscos nas
manutenções de perfis
Dashboards e relatórios
para monitoramento
Risk Management
Mapeamento dos riscos
estratégicos
Matrizes de Heat Map
(classificação e exposição
ao risco)
Gestão dos planos de
ação
Integração com o Process
Control para tratamento
dos riscos através de
controles já
implementados
4. Cenário de Integração entre o SAP GRC RM e PC
PC

Definição de estrutura
organizacional

Teste de controles

Auto avaliação de
controles

Certificação anual

Multiplas conformidades
Integração
 Associação de um controle
existente no PC a um risco no RM
 Proposta de um novo controle
como resposta a um risco
identificado
 Resultado de auto avaliação de
controle no PC para atualização do
risco no RM
 Resultado do teste de controle
no PC para atualização da eficácia
do risco em RM
RM
 Identificação do risco
 Avaliação do risco
 Plano de Resposta
 Associação de Controles
 Elaboração de Cenários
4. Associação do SAP GRC RM e PC na metodologia Cemig
Nova Metodologia
Causa
Fato ou Condição
Evento
Incerteza:
Risco ou
Oportunidade
Efeito
• Partes interessadas
• Objetivos estratégicos
• Contexto interno e externo
• Política de Gestão de Riscos e
Oportunidades
Impacto Possível:
Prejuízo ou
Benefício
• Monitoramento
• Riscos /
Oportunidades
• Controles / Medidas
• Incidentes
• Comunicação e consulta
• Tratamento de riscos:
• Mitigação
• Eliminação
• Prevenção
• Redução
• Risco Inerente/residual
Mapeamento
Monitoramento
e Avaliação sob
critérios
Tratamento/
Modificação
Gestão de
Riscos:
RM e PC
Identificação
e Análise
Ações de
mitigação
• Fonte
• Evento
• Avaliação
• Causa
• Probabilidade
• Impacto
• Adjacentes
• Influentes
• Integração de níveis
• Plano de Resposta
• Medidas Compartilhadas
• Controles associados
• Estrutura da Gestão
• Titular (responsável)
• Processo de Gestão
• Atitude perante o risco /
oportunidade
4. Associação do SAP GRC RM e PC na metodologia Cemig
TOP
Estratégico
Categoria de
Risco
Político e
Regulatório
Riscos
Estratégicos
UP
Riscos de
Processo
RE-02
Renovações de
concessões
RE-03
Revisão Tarifária
RP-201 - INCERTEZAS
REGULATÓRIAS SOBRE A
COMERCIALIZAÇÃO DE
ENERGIA DA GERADORA
Processo (+ Relevantes)
Categoria de
Risco
DOWN
Riscos
Estratégicos
Riscos de
Processo
Político e
Regulatório
RE-02
Renovações de
concessões
CMRC, Diretoria e
Conselho
GRC
Diretorias e
Superintendências
RE-03
Revisão Tarifária
RP-201 - INCERTEZAS
REGULATÓRIAS SOBRE A
COMERCIALIZAÇÃO DE
ENERGIA DA GERADORA
BOTTOM
Processo
Categoria de
Risco
Riscos
Estratégicos
Riscos de
Processo
Político e
Regulatório
RE-02
Renovações de
concessões
RP-201 - INCERTEZAS
REGULATÓRIAS SOBRE A
COMERCIALIZAÇÃO DE
ENERGIA DA GERADORA
RE-03
Revisão Tarifária
Gerências
5. Escopo do Projeto GRC
5. Escopo do Projeto GRC na Cemig – Números do Projeto
Estrutura Organizacional
Quantidade
Diretorias
11
Superintendências
47
Gerências
149
Estrutura de Riscos
Quantidade
Riscos Estratégicos
25
Riscos de Processos
160
Controles mitigatórios
425
Planos de Resposta em andamento
101
Pessoas envolvidas
Equipe de Riscos
Quantidade
7
Especialistas dos Processos
200
Responsáveis por Plano de Resposta e controles
200
5. Escopo do Projeto GRC na Cemig – Atividades do Projeto
 Gerenciamento
 Plano Estratégico do Projeto
 Cronograma detalhado
 Apresentação Kick Off
 Apresentação Status Projeto

Instalação: SAP Process Control e Risk Management

Implementação: Solução SAP Process Control e Risk Management
 Documentação Business Blueprint
 Documentação Configuração
 Suporte Pós Go Live

Treinamento
 Treinamento para a equipe de Gestão de Riscos e equipe de TI
 Treinamento para o usuário final
5. Escopo do Projeto GRC na Cemig – Fases do Projeto
6.0
TESTES
GLOBAIS
(PARTE 2)
2.0
INSTALAÇÃO DA
SOLUÇÃO
4.0
CONFIGURAÇÃO
5.0
TESTES
UNITÁRIOS E
INTEGRADOS
(PARTE 1)
8.0
GO LIVE E
OPER.
ASSISTIDA
7.0
PREPARAÇÃO
CUTOVER
1.0.
MOBILIZAÇÃO
3.1
ANÁLISE DA
METODOLOGIA ATUAL
3.2
ANÁLISE
DETALHADA
DAS
FUNÇiONALIDADES
3.3
ANÁLISE DE GAPS
E DESENHO DE
AJUSTES
3.0 - BLUE PRINT (REVISÃO DA METODOLOGIA)
Pontos de controle do projeto
3.4
REDESENHO DA
METODO-LOGIA
9.1
ANALISE
DOS RISCOS
DE UM (1)
PROCESSO
9.2
PLANEJAMENTO DAS ATIVIDADES
PARA O CICLO E
ACOMPANHAMENTO DAS
ATIVIDADES
9.0 - CONCLUSÃO
5. Escopo do Projeto GRC na Cemig – Cenário Objetivo do Projeto
Melhoria Contínua de gestão de riscos
Definição
Escopo
Identificar,
Avaliar e
monitorar
riscos
Propor
Controles
Autoavaliação
do
controle
Teste de
efetividade
do
controle
Sign-Off
Equipe de Gerenciamento de Riscos
Titular do Risco (Gestor da Unidade Organizacional)
Titular do Processo / Atividade (Superintendência)
Especialista do processo
Resp. pelo ToE e CSA
Resp. Pto Crítico e Plan. Respt.
Diretores
6. Cronograma macro
6. Cronograma macro
7. Resultados e Benefícios
7. Benefícios e Diferenciais
O sistema permitirá executar de forma concreta um modelo mais sofisticado de
Gestão de Riscos:
 Considera causas e consequências de um risco e as atribui a distintos
níveis hierárquicos da organização;
 Isso permite que um risco que está sendo gerido em um nível mais
operacional possua uma ligação direta com um risco que está sendo
avaliado pelo nível mais estratégico;
 Além disso, a ferramenta permite o gerenciamento de workflows de
distintos agentes envolvidos na gestão de riscos, como o gestor do
processo, a equipe de gestão de riscos da Cemig, Superintendentes e
Diretores;
 Também, a geração de relatórios, Heat Maps e Dashboards que até
então demandava significativo tempo da equipe responsável, será
bastante otimizada;
7. Benefício e Diferenciais – cont.
 O modelo anterior de gestão de riscos corporativos era executado em
ciclos anuais;
 Com a implementação da ferramenta, a gestão de riscos passa a ser
"on line";
 Isso significa, por exemplo, que o surgimento de um novo risco, a
alteração em sua avaliação (impacto e probabilidade) ou a atribuição
de status dos planos de mitigação podem ser inseridos no sistema a
qualquer momento, fazendo com que todos os agentes envolvidos na
gestão de riscos tenham acesso imediato à essa informação, elevando
a transparência de todo o processo.
8. Principais Funcionalidades da Solução
8. Principais Funcionalidades da Solução
Dados Mestres (Cadastro de Riscos)
8. Principais Funcionalidades da Solução
Análise de Riscos
8. Principais Funcionalidades da Solução
Designação de plano de ação
8. Principais Funcionalidades da Solução
Integração com Controles
8. Principais Funcionalidades da Solução
Matriz Heatmap
8. Funcionalidades Principais da Solução
Dashboards
Total de exposisão do risco na organização
Visão geral dos riscos por causa
Visão geral dos riscos por categoria de impacto
Nível do risco por categoria de risco
9. Lições aprendidas
9. Lições aprendidas
 Começar pequeno, com implementação de funções básicas e
posteriormente evoluindo para funções mais sofisticadas;
 Disponibilização de ambiente tecnológico adequado, inclusive ambiente
de teste de configuração tipo Sand box;
 Avaliação estimativa de quantidades de acessos simultâneos;
 Definir escalas de impacto testando juntamente com a metodologia de
cálculo de nível de impacto e perda prevista;
 Definir claramente papéis e responsabilidades nos Workflows;
 Estruturar Manual Técnico com passo-a-passo e telas do sistema para
usuários em seus diversos níveis, alinhado ao Manual de Metodologia;
 Necessidade de forte integração entre áreas envolvidas na implantação
como a Equipe de Risco, Área de TI e Auditoria;
9. Lições aprendidas (cont.)
 Piloto utilizando case de maior complexidade para testar todas as
possibilidades de necessidade de ajustes;
 Etapas de Mapeamento, Criação dos Riscos, Análise e Plano de Resposta
realizadas pela Equipe de Risco em conjunto com as áreas de negócio
(padronização e qualidade dos dados);
 Associar uso de ferramentas ou modelos matemáticos e estatísticos para
quantificação de impactos e probabilidades;
 Processo de comunicação eficaz, visando transmitir a cultura de gestão de
riscos para as pessoas (benefícios para a empresa).
10. Road Map Trilhado e Próximos Passos
10. Road Map Trilhado e Próximos Passos
Implementação Sequencial e Gradual
Para estabelecermos a correta Gestão de Mudança nas áreas de Negócio
Onda 0
Onda 1
Implementação da
Metodologia de
Gestão de Riscos
Implementação do
SAP GRC Risk
Management e
Processo Control
2006
2013
Onda 2
Próximos passos
• Aprimorar a
quantificação da análise
de riscos
• Potencial de análise de
Montecarlo e cenários
• Atuar na maturidade
continua dos Processos e
Pessoas
11. Questões mais comuns
11. Questões mais comuns

Análise Risco Quantitativa x Qualitativa – continua a necessidade de se
trabalhar a metodologia de quantificação e estimação qualitativa;

Integração da camada de riscos (estratégicos + operação) com os
controles internos dos processos de negócio – vinculação importante
entre os riscos – possibilita análise de cenários;

Gestão de planos de ação – coerência com o risco, custos, prazos,
papéis e responsabilidades;

Key Risk Indicator (KRIs) – importante para monitoramento. Evolução
do processo;

Processo contínuo e dinâmico – a ferramenta possibilita reavaliação dos
riscos pelas áreas e maior foco no monitoramento, evitando o ciclo
anual de mapeamento de riscos.
12. Conclusões
12. Conclusões
 A implantação da ferramenta GRC SAP proporcionou um passo
importante na evolução do processo de Gerenciamento de Riscos
Corporativos da Cemig;
 A tendência é de novos ciclos de evolução à medida em que o
aprendizado do uso da ferramenta e a incorporação da cultura de
gerenciamento de riscos nas pessoas forem se consolidando;
 Um passo importante para o futuro será estender o uso da
metodologia e da ferramenta para as demais empresas do Grupo
Cemig, integrando os riscos;
A evolução é contínua
e o aprendizado deve ser
nosso maior combustível
para crescer.