CCEE - Metodologia de Gestão de Risco InfoPLD ao vivo 28/4/2014 Definição de Gestão de Risco Gestão de risco é a abordagem sistemática de identificar, analisar e controlar os riscos que são específicos para a realização dos objetivos da organização. Constitui assim a soma de todas as atividades proativas no sentido de acomodar a possibilidade de falha nos elementos do programa de organização. Necessidade de Gestão de Risco Devido à complexidade do ambiente e ao tamanho da organização, a abordagem é holística - integrada e adotada pela organização como um todo. A manutenção da credibilidade da CCEE junto a seus clientes é necessária para o bom funcionamento do mercado (crítico para CCEE). Benefícios da Gestão de Risco Reduzir o número de choques e surpresas Minimizar o impacto de eventos adversos Aumentar a probabilidade de alcançar os objetivos de forma aceitável Reduzir a ocorrência de impactos financeiros não esperados Gerenciar adequadamente a exposição aos riscos dentro dos limites de perda aceitáveis e definidos pela empresa Otimizar a tomada de decisão dos gestores em relação aos riscos e seus impactos para a empresa Assegurar que os investimentos estão sendo realizados baseados nos riscos aceitáveis e oportunidades Zelar pela imagem da empresa (credibilidade) Metodologia Objetivo Estratégico: Mitigar os riscos da organização por meio do ciclo de Gestão de Risco Compilação das Informações Identificar Identificação dos riscos da organização. Captação por meio de: • Resultados de auditorias; • Análise de incidentes; • Chamados das Ouvidorias; • Entrevistas com gestores; • Solicitações das áreas; e • Resultado dos indicadores Operacionais. Definir/ Priorizar Definir a resposta ao risco e a prioridade no tratamento. Respostas ao risco: • Evitar; • Reduzir; • Transferir/Compartilhar; e • Aceitar. Classificar Categorização do risco de acordo com a metodologia de Gestão de Risco. Categorizado como: Compliance; Estratégico; Financeiro; Operacional; e Regulatório. Tratar Definição das ações de mitigação. Execução de ações para mitigação dos riscos. Avaliar Consolidar Análise da probabilidade, impacto e relevância do risco, bem como identificação e avaliação dos controles existentes. Tipos de controle: Tecnológico; Ambiente; Processo; e Pessoas. Nível de risco: Extremo; Alto; Médio; e Baixo. Monitorar Acompanhamento da implantação das ações de mitigação. Aferição do nível de eficiência dos controles adotados. Geração do mapa de risco. Riscos agrupados com resultados ponderados e definição das Gerências Co-Responsáveis. Reavaliar Revisão e levantamento de riscos. Atualização do mapa de risco. Papéis e responsabilidades Alta administração Definir a priorização das respostas aos riscos; Manter o foco na Gestão de Risco; Patrocinar as Gerências Co-Responsáveis no tratamento dos riscos. Gestores Gerência de Gestão de Risco Informar os riscos de sua área; Mapear e consolidar os riscos; Ajudar a classificar os riscos identificados em sua área; Apresentar os riscos classificados e propor a gerência co-responsável; Informar os controles existentes e sua percepção de eficiência; Auxiliar na identificação da Gerência Co-Responsável. Gerência Co-Responsável Auxiliar as gerências coresponsáveis na definição e cumprimento dos controles de mitigação; Conduzir as iniciativas de mitigação de riscos e aferir os níveis de eficiência dos controles com apoio da Gerência de Gestão de Risco e demais áreas que se façam necessárias; Apresentar o status e os resultados sobre as ações de mitigação realizadas. Acompanhar a implantação dos controles e medir sua eficiência; Revisar os riscos e atualizar o mapa de risco - Semestral. Obs.: A Gerência Co-Responsável não é a única responsável pela mitigação dos riscos, é a área responsável por liderar as ações de mitigação. Calculando seus riscos Uma vez identificados e mapeados os riscos da organização deve-se calcular o Risco Inerente O valor de um Risco Inerente do negócio é calculado pela seguinte fórmula: Risco Inerente (RI) = Probabilidade (P) x Impacto (I) x Relevância (Rel) Avaliando os controles mitigatórios Após a classificação dos riscos inicia-se o processo de avaliação de possíveis controles aplicados e sua respectiva eficiência A eficiência dos controles permite mitigar os riscos inerentes - desta forma, quanto mais controles eficientes existirem na organização, menor é a chance de um risco se materializar, restando apenas o chamado Risco Residual*: Risco Residual (RR) = RI x Eficiência do Controle (EC) * Risco que permanece após o controle de mitigação Mapa de Riscos Residuais 5 PROBABILIDADE 4 3 2 1 0 0 1 2 3 IMPACTO 4 5 Contato Martin Gomes Gerência Executiva de Compliance & Gestão de Risco Jefferson Souza Gerente de Segurança da Informação e Gestão de Risco Câmara de Comercialização de Energia Elétrica – CCEE e-mail: [email protected]