ANÁLISE E GERENCIAMENTO
DE RISCOS CORPORATIVOS
rumo à ética e à integridade públicas
João Pessoa-PB, 28/11/2014
Paulo Grazziotin, AFC
[email protected]
Ementário de Gestão Pública
https://groups.google.com/forum/#!forum/prgg
https://pt-br.facebook.com/ementariogestaopublica
https://twitter.com/ementario
(inscreva-se e divulgue este serviço cidadão de fortalecimento
de controles, mitigação de riscos e inspiração de compliance)
2
1. INTRODUÇÃO
“Não receie tomar posse daquilo que é seu”
(William Shakespeare; 1564-1616; Macbeth).
A Pátria (1918), óleo sobre tela de Pedro Bruno. Dimensões: 278 x 190 cm. Museu da República-RJ.
NÍVEIS DA ORGANIZAÇÃO
COMPONENTES DO GERENCIAMENTO
DE RISCOS CORPORATIVOS
4 CATEGORIAS DE OBJETIVOS ORGANIZACIONAIS
COSO ICIF 2013 (Controles Internos) referenciado pela ISO 31000 (Gestão de Riscos)
OBJETIVOS ORGANIZACIONAIS
5 COMPONENTES INTEGRADOS
DO CONTROLE INTERNO
INTEGRIDADE/CONFORMIDADE
7
2. GERENCIAMENTO
DE RISCOS NA UG
Apresentação deste módulo com base no Método Brasiliano de Análise de Riscos e na ferramenta Risk Vision.
A Pátria (1918), óleo sobre tela de Pedro Bruno. Dimensões: 278 x 190 cm. Museu da República-RJ.
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
GERENCIAMENTO DE RISCOS


“A gestão de riscos é elemento fundamental para a construção da
governança corporativa. A implantação e o aprimoramento da gestão de
riscos na organização constitui um processo de aprendizagem
organizacional que começa com o desenvolvimento de uma consciência
sobre a importância de gerenciar riscos e avança com a implantação de
práticas e estruturas necessárias à gestão de riscos. O ápice desse
processo se dá quanto da organização conta com uma abordagem
consistente para gerenciar riscos e com uma cultura organizacional
aderente aos princípios e práticas
da gestão de riscos”
(SEAUD/SEGECEX/TCU).
Gerenciamento de riscos é o conjunto de técnicas que visa reduzir os
efeitos das perdas. Enfoca o tratamento dos riscos que possam causar
danos pessoais, materiais, ao meio ambiente e à imagem da empresa. É
ainda a oportunidade de fazer com que a empresa mantenha e conquiste
novos negócios e gerencie suas perdas de forma equilibrada e racional. O
Gerenciamento de riscos é um processo interativo composto de etapas bem
definidas que, realizadas em sequência, suportam melhor as tomadas de
decisões, contribuindo com a redução dos riscos e seus impactos.
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
GERENCIAMENTO DE RISCOS E
CONTROLE INTERNO


“O Gerenciamento de riscos corporativos é um processo conduzido em
uma organização pelo conselho de administração, diretoria e demais
empregados, aplicado no estabelecimento de estratégias, formuladas
para identificar em toda a organização eventos em potencial (portfólio de
riscos), capazes de afetá-la, e administrar os riscos de modo a mantê-los
compatível com o apetite a risco da organização e possibilitar garantia
razoável do cumprimento dos seus objetivos (estratégicos, operações,
comunicação e conformidade)” (BRASILIANO, Antonio Celso Ribeiro.
Gestão e análise de riscos corporativos: Método Brasiliano avançado. São
Paulo: Sicurezza Editora, 2012, 2ª ed, p. 13).
“Controle interno é um processo conduzido pela estrutura de governança,
administração e outros profissionais da entidade, e desenvolvido para
proporcionar segurança razoável com respeito à realização dos objetivos
relacionados a operações, divulgação e conformidade” (COSO ICIF 2013,
Controle Interno - Estrutura Integrada, Sumário Executivo, IIA Brasil,
maio/2013).
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
RM NA ADMINISTRAÇÃO PÚBLICA
“No Brasil, ainda não há um referencial que oriente a estruturação da gestão
de riscos na administração pública federal. O mais próximo disso é o
GESPÚBLICA, que consiste em conjunto de orientações e parâmetros para
avaliação da gestão, embora esse modelo de gestão não tenha enfoque
específico para gerenciamento de riscos” (TC-011.745/2012-6, Acórdão nº
2.467/2013-TCU-Plenário).
 Com base no modelo de gestão de riscos adotado pelo governo do Reino
Unido, o TCU iniciou aplicação de ferramenta avaliativa na esfera da
administração federal indireta, uma vez que nesse setor a gestão de riscos é
assunto de conhecimento geral, e é adotada em muitas empresas estatais e
autarquias como parte do seu modelo gerencial (TC-011.745/2012-6, Acórdão
nº 2.467/2013-TCU-Plenário).
 Determinação à SEAUD para que acompanhe as ações do MPOG voltadas à
disseminação de metodologia de gestão de riscos nos órgãos do Poder
Executivo, com a finalidade de desenvolver instrumentos de avaliação da
maturidade de gestão de riscos (item 9.1.2, TC-011.745/2012-6, Acórdão nº
2.467/2013-TCU-Plenário).
 Veja as boas experiências dos Ministérios da Previdência Social e da Fazenda:
http://www.pmimf.fazenda.gov.br/frentes-de-atuacao-do-pmimf/riscos/noticias

Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
RM NA ADMINISTRAÇÃO INDIRETA

i.
ii.
iii.
iv.
v.
Após contatos com entidades da Administração Pública federal indireta, verificou-se
que tem-se optado, nos dias atuais, pela(s) seguinte(s) metodologia(s):
ABNT NBR ISO 31000:2009 - conjunto de recomendações, idealizado por 35 países,
para o aprimoramento da integridade de empresas. Objetiva uma linguagem
comum, a padronização das melhores práticas, traz abordagens para
implementação e propõe a convergência de todas as ISO`s. A ISO 31010 é
utilizada na implantação da gestão de riscos, pois descreve as ferramentas e
técnicas para aplicação dos preceitos recomendados pela ABNT NBR ISO 31000;
COSO II ERM (2004) – além de vinculado ao IIA, é reconhecido mundialmente por
fornecer orientações sobre os aspectos críticos da gestão organizacional, ética
empresarial, controles internos, gestão de riscos, fraudes e informações financeiras;
ISO GUIDE 73 – Guia ISO de padronização do vocabulário para uniformização das
terminologias utilizadas no Gerenciamento de Riscos;
Guia de Orientação para Gerenciamento Corporativo – IBGC (Instituto Brasileiro de
Governança Corporativa); e/ou
Método Brasiliano de Gestão de Riscos - método que apresenta o processo de
gestão de riscos com base na ABNT NBR ISO 31000:2009, bem como desenvolve
ferramentas e técnicas de suporte para a gestão de riscos. Desenvolvida pela
empresa Brasiliano e Associados com base na ferramenta Risk Vision.
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
1ª fase: BIA - IMPACTO NO NEGÓCIO
(identificação/classificação de de processos críticos)







BIA (Business Impact Analysis) - é o coração da gestão de continuidade de
negócios (PDCA).
Identificar (workshop com gestores, brainstorming) os processos críticos de
trabalho da unidade organizacional (ou programa de governo) sujeitos a
vulnerabilidades, por macroprocesso.
Avaliar a relevância do impacto no negócio (subcritérios: imagem,
financeiro, legislação e operacional), conferindo uma média ponderada ao
impacto.
Nível de impacto no negócio de cada processo crítico de trabalho
(massivo, severo, moderado, leve).
Abrandar ou agravar a média ponderada com o nível de tolerância (tempo)
à inação saneadora.
Conferir status de criticidade (crítico, moderado, leve) a cada processo de
trabalho vulnerável.
Elaborar a Matriz de Processos Críticos e definir o que é alto, médio e baixo
para impactos de imagem, financeiro, legislação e operacional.
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
1ª fase: BIA - IMPACTO NO NEGÓCIO
(identificação/classificação de de processos críticos)

•
•
•
•
Subcritérios, segundo a Norma de Gestão de Riscos da FERMA (Federation
of European Management Associations):
Imagem (estratégico) – relacionados aos objetivos estratégicos de longo
prazo (reputação, alterações jurídicas e regulamentares, riscos de
soberania e políticos, disponibilidade de capital, alteração do meio
ambiente físico, novos entrantes, estagnação, etc.);
Financeiro – liquidez, disponibilidade de crédito, contingenciamentos, taxa
de câmbio, movimento de taxas de juros e câmbio, endividamento, etc.;
Legislação (conformidade legal, compliance) – a relacionados com temas
como saúde e segurança, meio ambiente, práticas comerciais, proteção do
consumidor, proteção de dados, assuntos regulamentares, legislação
laboral, tributário, contratual;
Operacional – cotidiano operativo com o qual a organização é
confrontada quando se esforça para atingir os seus objetivos estratégicos
(risco operacional).
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
1ª fase: BIA - IMPACTO NO NEGÓCIO
(identificação/classificação de de processos críticos)
 Estimulações cruciais que poderão ser pelo(s) facilitador(res), durante o
workshop (não passar de 2 horas):
 questionar os processos para identificar quais são os cenários factíveis
de interrupção dos mesmos, e quando acontecem? (considerar o pior
cenário);
 quais os impactos que decorrerão destes cenários?;
 o que pode dar errado?;
 como e onde podemos falhar?;
 o que deve dar certo?;
 onde somos vulneráveis?;
 quais ativos devemos proteger?;
 onde podemos ser roubados ou furtados?; e
 etc.
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
subcritérios
5 (influencia muito); 4 (influencia); 3 (influencia medianamente); 2 (influencia pouco); 1 (influencia quase nada)
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
2ª fase: LISTAGEM, DEFINIÇÃO E
CLASSIFICAÇÃO DOS RISCOS
 Conhecendo os objetivos estratégicos e organizacionais, em
workshop (brainstorming), tendo por base os processos
críticos de trabalho já levantados na 1ª fase, identificar os
riscos (perigos) para a unidade organizacional (ou programa
de governo).
 Tanto os riscos conhecidos como os até então desconhecidos
(aqueles que nunca ocorreram, mas podem ocorrer).
 Montar quadro com riscos, definição e classificação
(conformidade/legal, operacional, financeiro ou estratégico).
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
3ª fase: FATORES DE RISCO




Dados os objetivos estratégicos e organizacionais e com o uso do
Diagrama de Ishikawa (causa e efeito/espinha-de-peixe) com 6 macro
fatores de riscos (facilitadores/fontes de riscos: TI, RH, MEIOS
ORGANIZACIONAIS,
INFRAESTRUTURA
PATRIMONIAL,
AMBIENTE
EXTERNO e AMBIENTE INTERNO), os quais podem potencializar a
concretização riscos listados na 2ª fase, identificar fatores (fontes de
risco) que possam concretizar o risco para cada macro fator.
Os macro fatores de riscos podem variar de acordo com o negócio ou o
processo estudado.
Na busca dos fatores de risco, o(s) facilitador(es) pode(m) utilizar-se da
análise SWOT, inclusive.
Poder-se-ia citar, no workshop, as espécies de riscos operacionais
abordadas pelo TCU no item 3.3 do relatório proferido nos autos do TC018.401/2004-2, publicado no D.O.U. de 22/11/2005, Seção 1, ps. 144145, quais sejam: a) risco humano (erro não-intencional; qualificação;
fraude); b) risco de processo (modelagem; transação; conformidade;
controle; técnico); c) risco tecnológico (equipamentos; sistemas;
confiabilidade da informação).
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
3ª fase: FATORES DE RISCO






Tecnologia da Informação (MTA-Meios Técnicos Ativos) –
levantamento da não existência de sistemas eletrônicos/informatizados.
RH-Segurança (RH) – levantamento do nível de qualificação,
quantidade, posicionamento tático da equipe.
Meios Organizacionais (MO) – levantamento se a organização dispõe
de normas de rotina e de emergência, políticas de tratamento de riscos e
gerenciamento de riscos corporativos.
Infraestrutura (MTP-Meios Técnicos Passivos) – levantamento de
recursos físicos.
Ambiente Externo (AE) – levantamento de cenários prospectivos,
identificando fatores externos sem governabilidade, mas que influenciam
na concretização de perigos (criminalidade, mercados paralelos, estrutura
do Judiciário, corrupção, movimento sindical, etc.).
Ambiente Interno (AI) – levantamento do nível de relacionamento
colaboradores-alta administração, remuneração, clima organizacional,
cultura organizacional, política de RH, correição, ética, metas, etc.
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
macro fatores de risco
(macro causas)
TI–TECNOLOGIA DA INFORMAÇÃO
fatores de risco
(fatores facilitadores)
CAUSAS
CAUSAS
EFEITO
INFRAESTRUTURA
“Entender de tudo é impossível, mas ser flexível na busca de entender o que lhe cerca, é
possível. Entretanto, o impossível é a brasa do possível” (Tibor Simcsik).
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
Vantagens do Diagrama de Ishikawa
(causa e efeito/espinha-de-peixe)





É educativo, pois exige um esforço coletivo de profissionais para
hierarquizar as causas (“fatores de risco”) identificadas e agrupá-las em
grandes grupos (“macro fatores de risco”) que abordam o mesmo tema
(risco).
Direciona o foco da atenção para o problema (risco), levando à
conscientização dos profissionais de que sua solução não se restringe a
atitudes simplistas (substituir pessoas, adquirir equipamentos...), mas exige
uma abordagem integrada para combater as diversas causas possíveis.
Conduz à efetiva pesquisa das causas, evitando-se o desperdício de
esforços da equipe de profissionais com o estudo de aspectos não
relacionados ao problema (risco).
Nivela a compreensão dos envolvidos, no workshop, com o problema
(risco).
Permite uso genérico, sendo aplicável a problemas das mais diversas
naturezas.
Fonte: adaptação de LINS, B. F. E. Ferramentas básicas de qualidade. Revista Ciência da Informação.
Brasília, v.22, nº. 2, p.153-161, maio/ago. 1993.
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
Limitações do Diagrama de Ishikawa
(causa e efeito/espinha-de-peixe)
 Uma significativa limitação da ferramenta “reside no fato de que o
resultado encontrado não é exato. Como o diagrama é construído a
partir de opiniões e percepções de um grupo de pessoas, é possível
que, ao se mudar os integrantes do grupo, as conclusões obtidas no
estudo de um mesmo problema não sejam as mesmas”.
 “Para mitigar essa limitação, é preciso que o grupo estude o assunto
com base em diversas fontes de informações antes da reunião de
construção do diagrama e ouça os diferentes atores envolvidos.
Além disso, validar o instrumento com gestores e especialistas é
importante para acrescentar causas que não foram citadas e retirar
aquelas que não interferem ou são pouco significativas para produzir
o problema estudado”.
Fonte: Técnica de Análise de Problemas para Auditorias (SEAUD/SEGECEX/TCU, 2013, ps. 15 e 16).
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
4ª fase: ANÁLISE DE RISCOS
 Critério universal de probabilidade e impacto.
 Construir a Matriz de Probabilidade, baseada em média aritmética
entre os 6 macro fatores de riscos, acrescidos da exposição ao
risco. Daí se obtém um número para a classificação da
probabilidade do risco (baixa, média, alta, muito alta e elevada),
para cada risco identificado na 2ª fase.
 Construir a Matriz de Impacto, baseada em média ponderada
subcritérios imagem, financeiro, legislação e operacional (=BIA).
Daí se obtém um número indicativo do nível de impacto (muito
leve, leve, moderado, severo e massivo), para cada risco
identificado na 2ª fase.
MTA+RH+MO+MTP+AE+AI
FR (Fato de Risco) = --------------------------------------6
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
4ª fase: ANÁLISE DE RISCOS

O máximo GP (Grau de Probabilidade) que poderia ser obtido seria 25. “Para
transformar esta classificação subjetiva em uma classificação objetiva, basta
multiplicar o fato 4. Por que fator 4? Porque estamos fazendo uma equivalência
entre o número máximo obtido na multiplicação direta entre os dois fatores (fator
de riscos x fator de exposição) que é 25 e a porcentagem da probabilidade
máxima que é 100%” (BRASILIANO, Antonio Celso Ribeiro. Op. cit. p. 91). Desta
forma, teríamos a tabela a seguir:
Escala
Nível de Probabilidade
1-5
Baixa
4% a 20%
5,01 - 10
Média
20,01% a 40%
10,1 - 15
Alta
40,01% a 60%
15,01 - 20
Muito Alta
60,01% a 80%
20,01 - 25
Elevada
80,01% a 100%
Sempre haverá um risco residual de 4%.
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
E (exposição) – frequência com que os perigos costumam manifestar-se
5 (uma ou + vezes por mês); 4 ( uma ou + vezes por ano); 3 (uma ou
+ vezes a cada 5 anos); 2 (uma ou + vezes a cada 10 anos); 1 (remotamente possível)
GP = (FR x E)
macro fatores de risco
(GP x 4)
5 (influencia muito); 4 (influencia); 3 (influencia medianamente); 2 (influencia pouco); 1 (influencia quase nada)
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
4ª fase: ANÁLISE DE RISCOS

Utilizando-se de 4 fatores de impacto: a) IMAGEM (peso 1); b) FINACEIRO (peso 1); c)
LEGISLAÇÃO (peso 2); e d) OPERACIONAL (peso 2).
PONTUAÇÃO
ESCALA
IMAGEM
FINANCEIRO
LEGISLAÇÃO
OPERACIONAL
5
De caráter
internacional
Massivo
Perturbações muito
graves
Perturbações
muito graves
4
De caráter
nacional
Severo
Graves
Graves
3
Regional
Moderado
Limitadas
Limitadas
2
Local
Leve
Leves
Leves
1
De caráter
individual
Insignificante
Muito leves
Muito leves
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
fatores de impacto
Paulo Grazziotin
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
4ª fase: ANÁLISE DE RISCOS
 Classificação do nível de impacto:
GRAU DE IMPACTO
NÍVEL DE IMPACTO
4,51 – 5,00
Massivo
3,51 – 4,50
Severo
2,51 – 3,50
Moderado
1,51 – 2,50
Leve
1,00 – 1,50
Muito leve
Paulo Grazziotin
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
5ª fase: AVALIAÇÃO DE RISCOS
 Para melhor visualização, e preparando-se para implementar uma
forma de tratamento de cada risco, constrói-se uma Matriz de Riscos,
“permitindo o acompanhamento da dinâmica dos riscos”
(BRASILIANO, Antonio Celso Ribeiro. Gestão e análise de riscos
corporativos: Método Brasiliano avançado. São Paulo: Sicurezza
Editora, 2012, 2ª ed, p. 95).
 A partir do grau de probabilidade (GP) e do impacto (I), calcula-se o
nível de riscos que é a multiplicação da média do Grau de
Probabilidade de todos os riscos vezes a média do Impacto dos
referidos riscos.
 Quanto maior o nível do risco, maior sua criticidade para o processo.
 O nível de risco serve para determinar seu apetite ao risco, conforme
terminologia COSO. A organização pode decidir não tolerar nível de
risco em seus processos acima de determinado nível, os quais seriam
intoleráveis, merecendo ação e tratamento imediatos por parte dos
gestores.
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
5ª fase: AVALIAÇÃO DE RISCOS
 O nível do risco pode ser calculado de tempos em tempos, com o
objetivo de monitoramento e acompanhamento da evolução do risco
no processo, no unidade organizacional ou na organização.
 Para calcular o nível do risco, é necessário utilizar as variáveis já
identificadas anteriormente: Grau de Probabilidade (GP) e Impacto (I).
 O nível de risco é a multiplicação da média do Grau de Probabilidade
de todos os riscos vezes a média do Impacto de todos os riscos.
Média do Nível de Risco = Média do GP x Média do I
 Quanto maior o nível de risco, maior sua criticidade para o processo.
 O nível de risco serve para determinar seu apetite ao risco. A
organização pública pode decidir-se por não tolerar nível de risco em
seus processos acima do nível 3.
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
6ª fase: PLANO DE AÇÃO
 “Depois de identificados, avaliados e mensurados, deve-se definir qual
o tratamento que será dado aos riscos (...) As opções podem incluir os
seguintes aspectos: a) a ação de evitar o risco ao se decidir não
iniciar, ou descontinuar a atividade que dá origem ao risco; b) a
tomada ou o aumento do risco na tentativa de tirar proveito de uma
oportunidade; c) a remoção da fonte de risco; d) a alteração da
probabilidade; e) a alteração das consequências; f) o
compartilhamento do risco com outra parte ou partes; e g) a retenção
do risco por uma decisão consciente e bem embasada”
(BRASILIANO, Antonio Celso Ribeiro. Gestão e análise de riscos
corporativos: Método Brasiliano avançado. São Paulo: Sicurezza
Editora, 2012, 2ª ed, ps. 111 e 112).
 Poder-se-ia, então, aceitar (reter, reduzir, transferir ou explorar) ou
rejeitar (evitar) os riscos.
 Para cada risco e respectiva(s) fonte(s) (fator de risco), técnica 5w2H
(O quê?; Quem?; Quando?; Onde?; Porque?; Como?; Custo?).
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
7ª fase: PRIORIZAÇÃO DAS AÇÕES
 “A Ferramenta de Apoio à Decisão – Priorização das Ações tem por
objetivo fazer com que o gestor e/ou analista possa de forma mais
prática e objetiva enxergar, através de critérios pré estabelecidos e
plotados em uma Matriz, as ações que são prioritárias em termos
de benefícios. Os dois macro critérios são: i. Esforço de
Implementação (custo, tempo, autonomia/decisão); ii. Benefício
Estimado (eficácia operacional, probabilidade de dar certo, impacto
no contexto)” (BRASILIANO, Antonio Celso Ribeiro. Gestão e
análise de riscos corporativos: Método Brasiliano avançado.
São Paulo: Sicurezza Editora, 2012, 2ª ed, p. 120).
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
8ª fase: ANÁLISE DE RISCO RESIDUAL
 Após a implementação do Plano de Ação. Volta-se à 4ª fase
(análise dos riscos), com verificação do critério universal
(probabilidade e impacto).
 Risco inerente é o risco do negócio, do processo ou da atividade,
independente dos controles adotados. Risco residual é o risco que
remanesce após a mitigação por controles internos administrativos.
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
Auditoria Interna no gerenciamento de riscos
 O papel da Unidade de Auditoria Interna no processo de gerenciamento de
riscos de uma organização pode mudar ao longo do tempo e pode ser
encontrado, em algum ponto do curso, abrangendo o seguinte espectro:
• nenhum papel;
• Auditoria do processo de gestão de riscos como parte do plano de
auditoria interna (PAINT) (é o ideal);
• suporte ativo e contínuo envolvimento nos processos de gestão de riscos,
tais como participação em comitês de fiscalização, no monitoramento de
atividades e relatórios de situação, na elaboração de planos de segurança,
na definição de formulários de gerenciamento de riscos, etc. (incubadora;
pode ser útil para iniciar o gerenciamento de riscos na organização); e
• Administração e coordenação de processos de gestão de riscos (não é a
tendência brasileira).
PA/IIA nº 2100-3
Obs.: “Art. 6º A atividade de gerenciamento do risco operacional deve ser executada
por unidade específica nas instituições mencionadas no art. 1º. Parágrafo único. A
unidade a que se refere o caput deve ser segregada da unidade executora da
atividade de auditoria interna, de que trata o art. 2º da Resolução 2.554, de 24 de
setembro de 1998, com a redação dada pela Resolução 3.056, de 19 de dezembro
de 2002” (Resolução/CMN nº 3.380, de 29.06.2006, DOU de 03.07.2006, S. 1, p.
15).
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
Rumo ao gerenciamento de riscos corporativos
VISÃO HABILIDADES
SOBRE
HUMANAS
A RM (CAPACITAÇÃO)
INCENTIVOS
DA CÚPULA
RECURSOS
MATERIAIS
($)
PLANO DE AÇÃO P/
ADOTAR A RM
MUDANÇA
:-(
HABILIDADES
INCENTIVOS
RECURSOS
PLANO DE AÇÃO
CONFUSÃO
VISÃO
:-(
INCENTIVOS
RECURSOS
PLANO DE AÇÃO
ANSIEDADE
VISÃO
HABILIDADES
:-(
RECURSOS
PLANO DE AÇÃO
MUDANÇA LENTA
VISÃO
HABILIDADES
INCENTIVOS
:-(
PLANO DE AÇÃO
FRUSTRAÇÃO
VISÃO
HABILIDADES
INCENTIVOS
RECURSOS
:-(
INDECISÃO
“É claro que as instituições não se transformam e se purificam da noite para o dia.
As velhas práticas – até por serem velhas – não são erradicadas apenas pela
vontade de mudar ou pela decisão de fazê-lo. Isto não se faz por um ato. Trata-se,
antes, de um processo” (Jorge Hage, Ministro-Chefe da CGU).
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
“É perdoável ser derrotado, mas nunca ser surpreendido”
(Frederico II, o “Grande” Rei da Prússia, 1712-1786).
“É impossível que o improvável nunca aconteça”
(Emil Gumbel, estatístico alemão, 1891-1966).
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin46
3. COMPLIANCE
A Pátria (1918), óleo sobre tela de Pedro Bruno. Dimensões: 278 x 190 cm. Museu da República-RJ.
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
Ética e integridade
 O compliance começa a ganhar importância na Administração
Pública Federal (exclusive instituições financeiras) a partir de
2011, com o documento “Avaliação da OCDE sobre o sistema
de integridade da administração pública federal brasileira:
gerenciando riscos por uma administração pública íntegra”.
http://www.cgu.gov.br/assuntos/etica-e-integridade/setor-publico
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
Confiança nas organizações públicas
(trust in public organizations)
 “All public organizations face operational risks: both from internal factors
(e.g. attributed to excessive discretion in decision-making processes,
complex and decentralized service delivery arrangements, etc.) as well as
external factors (e.g. new legislation and standards, changing citizens
expectations, etc.). Operational risk management means having in place a
systematic process and adequate capability (e.g. knowledge, resources,
etc.) to identify, (re-)evaluate and mitigate operational risks in a costeffective manner – elimination of operational risk is generally not a practical
goal. Managing operational risk supports effective public service delivery,
improved managerial accountability, and trust in public organizations. It also
supports better resource allocation and compliance outcomes. If not
appropriately managed, these risks can affect the effectiveness and
efficiency of public service delivery and public trust in government” (OECD
Integrity Review of Brazil: Managing Risks for a Cleaner Public Service,
OECD Public Governance Reviews, 2011, p. 21).
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
Gerenciamento de riscos corporativos
(cf. COSO II ERM 2004)
 O gerenciamento de riscos corporativos é um processo conduzido em uma
organização pelo conselho de administração, diretoria e demais empregados,
aplicado no estabelecimento de estratégias, formuladas para identificar em toda a
organização eventos em potencial, capazes de afetá-la, e administrar os riscos de
modo a mantê-los compatível com o apetite a risco da organização e possibilitar
garantia razoável do cumprimento dos seus objetivos.
 Há
riscos
associados
à
continuidade
dos
negócios
(sobrevivência
organizacional/sustentabilidade).
 Há riscos associados aos objetivos estratégicos.
 Risco de compliance é o risco de sanções legais ou regulamentares, perdas
financeiras ou mesmo perdas reputacionais decorrentes da falta de cumprimento de
disposições legais, regulamentares, códigos de conduta, etc.
 “Estar em compliance” é estar em conformidade com leis e regulamentos internos e
externos.
 “Ser e estar compliance” é, acima de tudo, uma obrigação individual de cada
colaborador dentro da instituição. Veja que compliance vai além das barreiras legais
e regulamentares, incorporando princípios de integridade e conduta ética.
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
Conformidade (COSO II ERM 2004)
 A estrutura de gerenciamento de riscos corporativos é orientada a
fim de alcançar os objetivos de uma organização e são classificados
em quatro categorias: a) Estratégicos – metas gerais, alinhadas com
o que suportem à sua missão; b) Operações – utilização eficaz e
eficiente dos recursos; c) Comunicação – confiabilidade de relatórios;
d) Conformidade – cumprimento (compliance) de leis e regulamentos
aplicáveis (em alguns casos dependem de fatores externos e tendem
a ser semelhantes em todas as organizações e, em outros casos, em
todo um setor/ramo econômico).
 A expressão “conformidade” é empregada com os objetivos e
relacionada com o cumprimento de leis e regulamentos aplicáveis.
 “O gerenciamento de riscos corporativos contribui para (...) garantir
que a organização está em conformidade com leis e regulamentos, o
que evita danos à sua reputação e as consequências associadas”.
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
Objetivos de conformidade
(COSO II ERM 2004)
 “As organizações devem conduzir as suas atividades, bem como,
adotar, frequentemente, medidas específicas, de acordo com as leis e
os regulamentos pertinentes. Esses requisitos podem relacionar-se a
mercados, preço, impostos, meio ambiente, bem-estar social de
empregados e comércio internacional. As leis e os regulamentos
aplicáveis estabelecem padrões mínimos de comportamento, que a
organização integra em seus objetivos de conformidade. Por
exemplo, as leis de saúde ocupacional e segurança podem levar uma
organização a definir o seu objetivo como ‘Embalar e rotular todos os
produtos químicos de acordo com as normas’. Nesse caso, as
políticas e os procedimentos referem-se a programas de
comunicação, inspeções locais e treinamento. O histórico de
conformidade de uma organização poderá afetar de modo
significativo, positivo ou negativo, a sua reputação na comunidade e
no mercado”.
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
Conformidade (COSO II ERM 2004)
 “O gerenciamento de riscos corporativos eficaz oferece garantia
razoável de que os objetivos de comunicação estão sendo
alcançados. Da mesma forma, deverá haver garantia razoável de que
os objetivos de conformidade estão sendo alcançados. De um modo
geral, o alcance dos objetivos de (...) conformidade está sob o
controle da organização. Em outras palavras, uma vez determinados
os objetivos, a organização terá total controle sobre a sua capacidade
de fazer o que for necessário para atingi-los”.
 “A função jurídica disponibiliza informações aos gerentes de linha de
negócio relacionados a novas leis e regulamentos que afetam as
políticas operacionais, e/ou junto com os executivos de compliance
fornecem informações críticas se as transações ou os protocolos
planejados estão em conformidade com requisitos legais e éticos”.
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
Conformidade (COSO ICIF 2013)
 “Controle interno é um processo conduzido pela estrutura de
governança, administração e outros profissionais da entidade, e
desenvolvido para proporcionar segurança razoável com
respeito à realização dos objetivos relacionados a operações,
divulgação e conformidade”.
 Os objetivos de conformidade se relacionam ao cumprimento
de leis e regulamentações às quais a entidade está sujeita.
 Leia o Sumário Executivo do COSO ICIF 2013 no sítio web
abaixo:
http://migre.me/lsHPT
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
Conformidade e aderência
 Controle sobre as transações: é imprescindível estabelecer o
acompanhamento dos fatos contábeis, financeiros e operacionais,
objetivando que sejam efetuados mediante atos legítimos,
relacionados com a finalidade da unidade ou entidade e autorizados
por quem de direito” (MSCI da CGU, IN/SFC nº 1/2001).
 “Aderência a diretrizes e normas legais: o controle interno
administrativo deve assegurar observância às diretrizes, planos,
normas, leis, regulamentos e procedimentos administrativos, e que
os atos e fatos de gestão sejam efetuados mediante atos legítimos,
relacionados com a finalidade da unidade ou entidade” (MSCI da
CGU, IN/SFC nº 1/2001).
 “Art. 7º A Conformidade dos Registros de Gestão tem como
finalidade: I – verificar se os registros dos atos e fatos de execução
orçamentária, financeira e patrimonial efetuados pela Unidade
Gestora Executora foram realizados em observância às normas
vigentes” (IN/STN-MF nº 6, de 31/10/2007).
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
COMPLIANCE
ATIVIDADE
AUDITORIA INTERNA
Vital aos processos de governança corporativa da organização.
SEMELHANTE
Vital aos processos de governança corporativa da
organização.
Desempenha suas funções de forma independente.
SEMELHANTE
Desempenha suas funções de forma independente.
Utiliza os relatórios da Auditoria Interna, quando cabíveis e
disponibilizados.
SEMELHANTE
Utiliza os relatórios do Compliance, quando cabíveis.
Complementa as funções desempenhadas pela auditoria interna,
mantendo sua independência, sem sobreposição das atribuições
desenvolvidas por ambas.
SEMELHANTE
Complementa as funções desempenhadas pelo Compliance,
mantendo sua independência, sem sobreposição das
atribuições desenvolvidas por ambas.
Reporta o resultado de suas atividades à alta administração, ao
conselho de administração e/ou comitê de auditoria.
SEMELHANTE
Reporta o resultado de suas atividades à alta administração,
ao conselho de administração e/ou comitê de auditoria.
Subsidia o gerenciamento dos processos, monitorando a
conformidade com as diretrizes estabelecidas pela organização.
DIFERENTE
Avalia a aderência e integridade dos processos e de controles
internos da organização, aferindo se estes estão adequados às
diretrizes estabelecidas pela organização e normas emitidas
pelos reguladores.
Aponta a falha, podendo recomendar a solução, auxiliando no
seu monitoramento.
DIFERENTE
Aponta a falha, podendo ou não recomendar solução. Não se
envolve na elaboração e implementação da solução, porém
avalia se a falha apontada foi corrigida e o risco relacionado,
mitigado.
Executa trabalhos de forma rotineira e permanente, com vistas a
assegurar a existência de um sistema de controle interno efetivo,
consoante as diretrizes estabelecidas pela alta administração.
DIFERENTE
Executa trabalhos de forma regular, com base em
cronograma previamente elaborado, por mecanismo de
avaliação dos principais riscos e ameaças aos objetivos da
organização, com a finalidade de aferir o cumprimento das
diretrizes estabelecidas e instituídas pelo conselho de
administração e/ou pela alta administração, bem como leis e
regulamentos.
Fonte: Cartilha Função de Compliance, FEBRABAN.
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
Pedra angular: planejamento institucional
 Recomendação ao TRT/13ª R/PB para que implemente técnicas
conhecidas no mercado visando à elaboração do planejamento
institucional do órgão, a exemplo daquela denominada "Balanced
Score Card" e do gerenciamento por diretrizes, atentando para a
necessidade de que tais instrumentos não se restrinjam à duração
dos mandatos dos presidentes do TRT (item 9.2.1, TC-026.311/20072, Acórdão nº 663/2009-Plenário, DOU de 09.04.2009, S. 1, p. 125).
 Recomendação à Câmara de Políticas de Gestão, Desempenho e
Competitividade (CGDC), do Conselho de Governo, no sentido de
que, em atenção ao Decreto-lei nº 200/1967, art. 6º, inc. I, e art. 7º,
normatize a obrigatoriedade de que todos os entes sob sua jurisdição
estabeleçam processo de planejamento estratégico institucional,
observando as boas práticas sobre o tema (item 9.1.1, TC011.772/2010-7, Acórdão nº 1.233/2012-TCU-Plenário, DOU de
30.05.2012, S. 1, p. 162).
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
Programa/gestão de compliance
elementos para estar em conformidade
 Padrões de conduta, governança e integridade e políticas & procedimentos
devidamente formalizados e comunicados (Manual de Governança e Integridade).
 Institucionalização
da
função compliance
(preferencialmente em
área
autônoma/segregada, vinculada à Diretoria Executiva) ou, alternativamente,
designação de um Conselho/Comitê de Compliance (por delegação de competência).
 Educação, capacitação e treinamento para fornecer conhecimento efetivo necessário
ao cumprimento da missão organizacional, dentro dos balizadores da legalidade.
 Ouvidoria e canal de comunicação (anônima, inclusive) sobre falhas em processos de
trabalho (prática dialógica e transparente para com os stakeholders).
 Comunicação efetiva (por meio de relatorias ad-hoc) e preventiva (senso crítico em
face de riscos operacionais: humanos, de processo e tecnológicos).
 Monitoramento permanente de não conformidades (em face de padrões normativos
e operacionais) e ajuda participativa na redução dos problemas relatados (risco de
compliance).
 Ações administrativo-disciplinares e corretivas em face de disfunções havidas.
 Estado de prontidão, adaptação/internalização em face de mudanças normativas e
melhorias operacionais (incremento tecnológico em TI, p.e.), nas dimensões de
economicidade, eficiência e eficácia; etc.
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
Convenção da ONU (corrupção)
 A UNCAC (Decreto nº 5.687, de 31.01.2006) prevê a promoção da ética
pública, por meio da atuação de comissão de ética com funções orientativa
e consultiva, disseminação de princípios, valores e normas éticas e
elaboração de código de ética e de conduta, bem como a realização de
cursos e treinamentos sobre ética pública, no momento de ingresso do
servidor.
 Art. 8: “1. Com o objetivo de combater a corrupção, cada Estado
participante, em conformidade com os princípios fundamentais de seu
ordenamento jurídico, promoverá, entre outras coisas, a integridade, a
honestidade e a responsabilidade entre seus funcionários públicos. 2. Em
particular, cada Estado participante procurará aplicar, em seus próprios
ordenamentos institucionais e jurídicos, códigos ou normas de conduta para
o correto, honroso e devido cumprimento das funções públicas. 5. Cada
Estado participante procurará, quando proceder e em conformidade com os
princípios fundamentais de sua legislação interna, estabelecer medidas e
sistemas para exigir aos funcionários públicos que tenham declarações às
autoridades competentes em relação, entre outras coisas, com suas
atividades externas e com empregos, inversões, ativos e presentes ou
benefícios importantes que possam dar lugar a um conflito de interesses
relativo a suas atribuições como funcionários públicos”.
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
Espectro normativo sobre ética e integridade
 Fraude e corrupção (Decreto nº 5.687, de 31/01/2006, promulgou a Convenção
da ONU contra a Corrupção - UNCAC; Decreto nº 4.410, de 07/10/2002,
promulgou a Convenção Interamericana contra a Corrupção; Decreto nº 3.678,
de 30/11/2000, promulgou a Convenção sobre o Combate da Corrupção de
Funcionários Públicos Estrangeiros em Transações Comerciais Internacionais).
 Lei nº 12.527, de 18/11/2011 - transparência e acesso à informação.
 Lei nº 12.813, de 16/05/2013 - conflito de interesses; cujo inc. I do art. 3º
define “conflito de interesses: a situação gerada pelo confronto entre interesses
públicos e privados, que possa comprometer o interesse coletivo ou influenciar,
de maneira imprópria, o desempenho da função pública”).
 Lei nº 12.846, de 01/08/2013 - lei anticorrupção ou “lei da empresa limpa”
(dispõe sobre a responsabilização administrativa e civil de pessoas jurídicas pela
prática de atos contra a administração pública, nacional ou estrangeira); foi
concebida pela CGU, amplia o rol de condutas puníveis, e introduz a
responsabilização objetiva da pessoa jurídica, cometidas em seu interesse ou
benefício, contra a administração pública. Dessa forma, as empresas precisam
cada vez mais adotar medidas internas de compliance e uma cultura
organizacional baseada na ética.
http://www.cgu.gov.br/assuntos/etica-e-integridade
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
Cultura organizacional baseada na ética
 Practice Advisory/IIA nº 2130-1: Role of the Internal Audit Activity
and Internal Auditor in the Ethical Culture of an organization (IPPF,
IIA).
 Cultura organizacional é a alma corporativa (valores, crenças e
condutas), a qual distingue os profissionais que integram uma
organização de outra.
 “A cultura é diretamente proporcional à estabilidade do grupo, ao
tempo em que ele tem de convivência e à intensidade da
aprendizagem gerada” (Edgard Schein).
 “Organizações esclarecidas sabem que a cultura corporativa, as
contribuições sociais e comunitárias são os próximos setores de
vantagem competitiva” (BARRETT, Richard. Libertando a alma da
empresa: como transformar a organização numa entidade viva. São
Paulo: Cultrix, 2000, p. 120).
 “A cultura come a estratégia no café da manhã” (Peter Drucker,
consultor de gestão norte-americano, 1909-2005).
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
Cultura organizacional baseada na ética
 As organizações não se transformam, as pessoas sim; a
cultura organizacional se sustenta sobre os valores
subjacentes a ela, demonstrados por meio de
comportamentos observados.
 As organizações mais bem sucedidas são guiadas por uma
visão e orientadas por valores e buscam o alinhamento
entre os valores pessoais e organizacionais para serem
sustentáveis.
 Paulatinamente, está havendo uma mudança global nos
valores das sociedades, cada vez mais conscientes da
importância do papel corporativo nas questões ambientais
e sociais, questões essas cada vez mais discutidas em
nossos dias.
“Ambiente interno” COSO ICIF 2013 e
o iceberg da cultura organizacional
Aspectos visíveis:
 Comportamentos
 Relacionamentos
 Histórias
 Cerimônias
 Símbolos
Aspectos invisíveis:
 Valores
 Premissas (modelos mentais)
 Atitudes
 Crenças
 Sentimentos
Atenção!
“Por
mais
influência
que
a
cultura
organizacional tenha na conformação das
práticas gerenciais e no comportamento do
funcionário,
a
cultura
nacional
é
predominante” (ROBBINS, Stephen P.
Administração: mudanças e perspectivas.
São Paulo, Brasil: Editora Saraiva, 2000. 524p,
p. 293).
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
Ambiente interno à luz de Dona Flor e seus
Dois Maridos - Jorge Amado (1912-2001)
65
1° marido  Vadinho, o típico malandro e excelente amante,
morre em pleno Domingo de Carnaval de 1943, vestido de
baiana (enquanto dançava). O seu funeral foi muito concorrido.
Vadinho era rebelde, impulsivo, espontâneo e dado ao caos (no
seu caso, o jogo).
2° marido  Teodoro Madureira, farmacêutico, é diferente do
falecido em tudo. Fiel (não compreende mesmo quando uma
cliente da farmácia levanta o vestido bem alto para tentá-lo),
regular (sexo às quartas e sábados, bis aos sábados e
facultativo às quartas) e inteligente, Teodoro propicia a paz de
volta à vida de Dona Flor. Teodoro toca fagote numa orquestra
de amadores. Teodoro é metódico e controlado (seu lema é
“um lugar para cada coisa e cada coisa em seu lugar“).
Final feliz  A obra acaba com Flor andando feliz com
Teodoro e o espírito de Vadinho (nu, como sempre) ao seu
lado, pelas ruas de Salvador (o “ideal” brasileiro do equilíbrio
entre os dois).
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
7 níveis de consciência pessoal e organizacional
Fonte: Richard Barrett.
“Os problemas não podem ser solucionados no mesmo nível de consciência
que os criou” (Albert Einstein, físico alemão, 1879-1955).
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin67
4. ANÁLISE DE
RISCOS PELA AUDIN
A Pátria (1918), óleo sobre tela de Pedro Bruno. Dimensões: 278 x 190 cm. Museu da República-RJ.
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
Gerenciamento de riscos ≠ análise de risco
 O desenvolvimento de avaliações e relatórios sobre
o gerenciamento de riscos de uma organização é
normalmente alta prioridade da Auditoria Interna. A
avaliação dos processos de gerenciamento de riscos
é normalmente diferente das exigências de análise
de risco que os auditores utilizam para planos de
auditoria. Entretanto, as informações provindas de
um processo compreensivo de gestão de riscos,
incluindo a identificação das preocupações da
administração e do Conselho de Administração,
podem assistir o auditor interno no planejamento de
atividades de auditoria (PA/IIA nº 2100-3 e PA/IIA
nº 2100-4).
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
Variáveis básicas para o planejamento
dos trabalhos de auditoria
 Materialidade  montante de $ envolvido.
 Relevância estratégica  importância relativa ou
papel desempenhado por uma determinada questão,
situação ou unidade organizacional, existente em um
dado contexto.
 Criticidade  representa o quadro de situações
críticas efetivas ou potenciais a ser controlado,
identificadas
em
uma
determinada
unidade
organizacional ou programa de governo. Trata-se da
composição
dos
elementos
referenciais
de
vulnerabilidade, das fraquezas, dos pontos de controle
com riscos operacionais latentes, etc.
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
Fatores de risco para priorização
 Cronogramas de trabalho de auditoria devem ser baseados,
entre outros fatores, em uma avaliação da prioridade de risco e
a exposição a risco. É necessário priorizar para tomar decisões
sobre aplicação de respectivos recursos, com base na
importância do risco e exposição ao mesmo. Existe uma
variedade de modelos de risco para assistir ao Auditor-Chefe
(CAE) na priorização de potenciais áreas sujeitas à auditoria. A
maioria dos modelos de riscos utiliza fatores de risco para
estabelecer a prioridade dos trabalhos de auditoria, tais como:
materialidade em valor; liquidez de ativos; competência
gerencial;
qualidade
dos
controles
internos
administrativos; grau de mudança ou estabilidade;
tempo decorrido desde o último trabalho de auditoria;
complexidade; relações com empregados e governo, etc.
(PA/IIA nº 2010-2, IPPF-Red Book).
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
71
Paulo Grazziotin
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin72
5. PROVOCAÇÃO
A Pátria (1918), óleo sobre tela de Pedro Bruno. Dimensões: 278 x 190 cm. Museu da República-RJ.
Análise e gerenciamento de riscos corporativos
(61) 8215-2665
[email protected]
Paulo Grazziotin
Será que o Doutor Gestão já defendia e
inspirava o “ser e estar em compliance”?
 “O governo está consciente de que
administra fundos públicos e deve prestar
contas de cada centavo. Ele não tem outra
escolha exceto ser burocrático (...) Um
governo que não seja um ‘governo de
formulários’ degenera rapidamente numa
sociedade de pilhagem generalizada” (Peter
Drucker, 1909-2005, apud BEATTY, Jack.
O mundo segundo Peter Drucker. São
Paulo: Ed. Futura, 1998, p. 162).
“Sob um bom governo, deveríamos nos envergonhar da pobreza;
sob um mau governo da riqueza“ (Confúcio, 551 a.C.-479 a.C.).
Obrigado!