Café da manhã ciclo de gestão de serviços públicos
Elo Group Criando Valor Com A GestãO De Riscos (Sucesu)
1. Evoluindo da Gestão Tradicional de Riscos para GRC Ricardo Dickstein (21) 2561-5619 [email_address]
2. Agenda Por que se fala tanto em gestão de riscos ? O Portfolio de Produtos da GRC Disseminação de Linguagem Uniformizada de Análise (Taxonomia e Apetite) Monitoração de Indicadores de Riscos e Performance Parametrização e Coleta Inteligente de Informações Consolidação e Monitoração de Ocorrências Estratégia de Gestão de Riscos e Compliance Modelagem e Avaliação de Riscos e Controles Amadurecimento das iniciativas e cultura de GRC Considerações Finais
3. Por que se fala tanto em Gestão de Riscos e GRC?
4. O velho sistema de gestão das organizações Compliance Week, December, 2006
5. O novo ambiente de gestão Nos últimos meses, quantas vezes você se surpreendeu com alguma notícia que não esperava? Pressão regulatória crescente Consolidação do mercado de capitais Pandemias Demandas constantes por Inovação Complexificação dos Produtos e Serviços Aumento significativo da concorrência Pressão por redução de custos e aumento de eficiência Intensificação do uso de Tecnologia da Informação Fusões e aquisições Responsabilidade sócio-Ambiental Intensificação de práticas de Outsourcing Globalização Dos segmentos Aquecimento global Acidentes naturais Conflitos étnicos Preocupação com a reputação A ascensão de fraudes eletrônicas Maior atenção a questões trabalhistas Terrorismo Ascensão do crédito
6. 2008 – Os sistemas de gestão não evoluíram na mesma velocidade que a complexidade do ambiente de gestão Queda drástica da visibilidade Para tomada de decisão O Velho Sistema de Gestão O Novo Ambiente Empresarial 1998 1958 2008 Risk Intuition Risk Awareness
7.
8. O que fazer? ERP CPM ??? SOA BAM CEP ECM BPM GRC CCM BI EDA
9. Por que se fala tanto em gestão de riscos ? A capacidade de reagir e se adaptar rapidamente a mudanças e incertezas do ambiente é uma diferencial competitivo fundamental para este século XXI. Os sistemas de gestão não evoluíram na mesma velocidade que a complexidade do ambiente de gestão
11. O Portfolio tradicional de produtos da gestão de riscos Disseminação de Linguagem Uniformizada de Análise (Taxonomia e Apetite) Realização de Testes de Controle / Compliance Modelagem e Avaliação de Riscos e Controles Monitoração de Indicadores de Riscos e Performance Atualização de Base de Perdas e Quase Perdas
12. O Novo Portfolio de produtos da GRC: GRC Intelligence ® Coleta inteligente de informações não estruturadas Monitoração de Indicadores de Riscos e Performance Disseminação de Linguagem Uniformizada de Análise (Taxonomia e Apetite) Consolidação do Repositório de Inteligência de GRC Atualização de Base de Perdas e Quase Perdas Modelagem e Avaliação de Riscos e Controles Consolidação e Monitoração de Planos de Ação Realização de Testes de Controle / Compliance Definição da Estratégia de GRC 1 Amadurecimento das iniciativas e cultura de GRC Geração de dashboard e reports customizados em tempo real
13. Foco desta apresentação Atualização de Base de Perdas e Quase Perdas Consolidação e Monitoração de Planos de Ação Realização de Testes de Controle / Compliance 5 9 10 Geração de dashboard e reports customizados em tempo real 11 Coleta inteligente de informações não estruturadas Monitoração de Indicadores de Riscos e Performance Disseminação de Linguagem Uniformizada de Análise (Taxonomia e Apetite) Consolidação do Repositório de Inteligência de GRC Modelagem e Avaliação de Riscos e Controles Definição da Estratégia de GRC 1 Amadurecimento das iniciativas e cultura de GRC
14. GRC01 - Disseminação de Linguagem Uniformizada de Análise (Taxonomia e Apetite) Coleta inteligente de informações não estruturadas Monitoração de Indicadores de Riscos e Performance Consolidação do Repositório de Inteligência de GRC Atualização de Base de Perdas e Quase Perdas Modelagem e Avaliação de Riscos e Controles Consolidação e Monitoração de Planos de Ação Realização de Testes de Controle / Compliance Definição da Estratégia de GRC 4 3 5 2 6 7 9 10 Amadurecimento das iniciativas e cultura de GRC 8 Geração de dashboard e reports customizados em tempo real 11 Disseminação de Linguagem Uniformizada de Análise (Taxonomia e Apetite) 1
15. Exemplos de Taxonomia: Saúde e Biologia Reino Filo Classe Ordem Família Gênero Espécie Otorrinolaringologista Endocrinologista Oncologista Cardiologista Dermatologista Vírus Bactéria Fungo Protozoário Epidemiologista Hematologista Infectologista Pneumologista Hepatologista
16.
17. Identificando as diversas iniciativas de uma organização... Compliance Base de lições aprendidas Base de Perdas Externas Linhas de Negócio Análise de Cenários ISO 9001 Políticas e Procedimentos Relatórios Internos Comitês de Tecnologia Arquitetura de Processos Questionários Indicadores de Desempenho Testes de Auditoria Gestão da Mudança Treinamento e Coaching Relatórios Externos Plano de Continuidade Com Negócio Ouvidoria Canal de Denúncias Sindicância Rotinas de Tratamento de Ocorrências Código da conduta ética Segurança Física E Patrimonial Segurança da Informação Pesquisa de Satisfação do Cliente Pesquisa de Satisfação dos Funcionários Gestão de TI Helpdesk Conselhos de Administração e Fiscal Saúde e Segurança Relação com Investidor Gestão Escritório de Projetos Gestão (Escritório) de Contratos Terceiros Acompanhamento Do Orçamento Desenvolvimento de Produto Gestão da Imagem PNQ Portfólio de Clientes Auditoria Externa Governança Corporativa Gestão de Multas Six Sigma Relacionamento Com Investidor
18. E aplicando uma taxonomia única. Compliance Base de lições aprendidas Base de Perdas Externas Linhas de Negócio Análise de Cenários ISO 9001 Políticas e Procedimentos Relatórios Internos Comitês de Tecnologia Arquitetura de Processos Questionários Indicadores de Desempenho Testes de Auditoria Gestão da Mudança Treinamento e Coaching Relatórios Externos Plano de Continuidade Com Negócio Ouvidoria Canal de Denúncias Sindicância Rotinas de Tratamento de Ocorrências Código da conduta ética Segurança Física E Patrimonial Segurança da Informação Pesquisa de Satisfação do Cliente Pesquisa de Satisfação dos Funcionários Gestão de TI Helpdesk Conselhos de Administração e Fiscal Saúde e Segurança Relação com Investidor Gestão Escritório de Projetos Gestão (Escritório) de Contratos Terceiros Acompanhamento Do Orçamento Desenvolvimento de Produto Gestão da Imagem PNQ Portfólio de Clientes Auditoria Externa Governança Corporativa Gestão de Multas Six Sigma Relacionamento Com Investidor
19. GRC01 - Case: Matriz de Apetite Categoria Impacto Baixo Médio Alto imagem no mercado Impacto em imagem em escala municipal Impacto em imagem em escala estadual Impacto em imagem em escala nacional clima organizacional Menos de 5 funcionários Entre 5 e 50 funcionários Mais de 50 funcionários conformidade legal Até R$ 10 Entre R$ 10 e R$ 50 mil Acima de R$ 50 mil relacionamento com o cliente Impacto pontual sem repercussões Impacto com repercussões Perda de cliente diferencial competitivo Até 3% do mercado Entre 3% e 7% do mercado Acima de 7% do mercado eficiência operacional Redução de até 1% dos custos anuais Redução entre 1% e 5% dos custos anuais Redução acima de 5% dos custos anuais
20. GRC02 - Coleta inteligente de informações não estruturadas Monitoração de Indicadores de Riscos e Performance Disseminação de Linguagem Uniformizada de Análise (Taxonomia e Apetite) Consolidação do Repositório de Inteligência de GRC Atualização de Base de Perdas e Quase Perdas Modelagem e Avaliação de Riscos e Controles Consolidação e Monitoração de Planos de Ação Realização de Testes de Controle / Compliance Definição da Estratégia de GRC 1 4 3 5 6 7 9 10 Amadurecimento das iniciativas e cultura de GRC 8 Geração de dashboard e reports customizados em tempo real 11 Coleta inteligente de informações não estruturadas 2
21. PESSOAS REUNIÕES Entrevistas, avaliações de desempenho, checklists, pesquisas, formulários, atas DOCUMENTOS PLANILHAS BANCO DE DADOS Coleta automática de informações através de EPIs, ETLs, web Services, SISTEMAS FONTE EXTERNA Sites, clientes, concorrentes benchmarks, reportagens Relatório de auditorias e consultorias, planilha de indicadores/multas, controle de ouvidoria e helpdesk
22. Fontes de informação Usuais Relatórios/Auditorias Ouvidoria Questões Judiciais Indicadores
23.
24. Fontes de informação adicionais Atas de Reunião de executivos, grupos e comitês Sugestões externas Backlog de Falhas de sistemas Notícias/Clippings e Sites Externos Planejamento estratégico e acompanhamento financeiro Pesquisa de satisfação e avaliação de desempenho de funcionários Prospecção de novas tecnologias e métodos Planilhas locais
25. GRC02 - Case: Mapa de Fontes de Informação FONTES DE INFORMAÇÃO Nome Área Responsável O que coletar Status Relatório de entrevista de desligamento RH Desligamento de cargos estratégicos Ativo Planilha de gestão de pessoal RH Saídas ou demoras para preenchimento de vagas acima do padrão Em ativação Pesquisa de satisfação interna RH Reduções de níveis de satisfação Ativo Controle automático de sistema Operacional Paradas inesperadas Ativo Ata reunião comitê de logística Operacional Fatos inusitados que possam ter influência no resultado Inativo Relatório de auditoria externa Operacional Alertas sobre questões referentes aos resultados Ativo Pesquisa de satisfação externa Comercial Variações expressivas no nível de satisfação de clientes importantes Em ativação Planilha de pipeline de vendas Comercial Fatos inesperados em oportunidades importantes Ativo Relatório de atendimento ao cliente Comercial Problemas ou atritos relatados Ativo Reunião de comitê financeiro Financeiro Questões relevantes às preocupações registradas Ativo Relatório de investimentos corporativos Financeiro Notícias que alteram o contexto do mercado significativamente Inativo Diagnóstico de mercado de consultoria Financeiro Alertas sobre questões que influenciem no mercado significativamente Ativo
26. GRC03 - Monitoração de Indicadores de Riscos e Performance Coleta inteligente de informações não estruturadas Disseminação de Linguagem Uniformizada de Análise (Taxonomia e Apetite) Consolidação do Repositório de Inteligência de GRC Atualização de Base de Perdas e Quase Perdas Modelagem e Avaliação de Riscos e Controles Consolidação e Monitoração de Planos de Ação Realização de Testes de Controle / Compliance Definição da Estratégia de GRC 1 4 5 2 6 7 9 10 Amadurecimento das iniciativas e cultura de GRC 8 Geração de dashboard e reports customizados em tempo real 11 Monitoração de Indicadores de Riscos e Performance 3
27. GRC03 - Case: A Visão de Indicadores INDICADORES Indicador Objetivos Relacionados Metas Trigger Alerta Médio Trigger Alerta Alto Última Medição Oportunidades em Pipeline Sustentabilidade R$150M R$120M R$110M R$170M Vendas Aumento de Market Share R$30M R$25M R$22M R$28M Faturamento Receita R$27M R$26M R$25M R$23M Margem Lucratividade 30% 29% 28% 32% Custos variáveis Lucratividade R$7M R$7,5M R$7,8M R$8,2M Turnover Retenção de talentos 1,0% 2,0% 2,8% 3,1% Satisfação interna Retenção de talentos 90% 85% 80% 82% Satisfação externa Fidelização de cliente 95% 93% 90% 88% Tempo de entrega Fidelização de cliente 3 dias 3,2 dias 3,5 dias 3 dias Índice de conformidade Qualidade 98% 97% 96% 96%
28. GRC04 - Consolidação do Repositório de Inteligência de GRC Coleta inteligente de informações não estruturadas Monitoração de Indicadores de Riscos e Performance Disseminação de Linguagem Uniformizada de Análise (Taxonomia e Apetite) Atualização de Base de Perdas e Quase Perdas Modelagem e Avaliação de Riscos e Controles Consolidação e Monitoração de Planos de Ação Realização de Testes de Controle / Compliance Definição da Estratégia de GRC 1 3 5 2 6 7 9 10 Amadurecimento das iniciativas e cultura de GRC 8 Geração de dashboard e reports customizados em tempo real 11 Consolidação do Repositório de Inteligência de GRC 4
29. Problemas com Receita Federal Pedido de demissão de diretor Queda de vendas Indisponibilidade de caminhões Insatisfação de clientes
30.
31. Problemas com Receita Federal Pedido de demissão de diretor Queda de vendas Indisponibilidade de caminhões Insatisfação de clientes Demora no preenchimento de vaga técnica para projeto Parada de máquina inesperada Quebra de SLA gerando desconto de pagamento Anúncio do governo sobre reformulações tributárias
32. GRC04 - Case: Consolidação e Monitoração de Ocorrências
33. GRC06 - Definição da Estratégia de GRC Coleta inteligente de informações não estruturadas Monitoração de Indicadores de Riscos e Performance Disseminação de Linguagem Uniformizada de Análise (Taxonomia e Apetite) Consolidação do Repositório de Inteligência de GRC Atualização de Base de Perdas e Quase Perdas Modelagem e Avaliação de Riscos e Controles Consolidação e Monitoração de Planos de Ação Realização de Testes de Controle / Compliance 1 4 3 5 2 7 9 10 Amadurecimento das iniciativas e cultura de GRC 8 Geração de dashboard e reports customizados em tempo real 11 Definição da Estratégia de GRC 6
36. GRC07 - Modelagem e Avaliação de Riscos e Controles Coleta inteligente de informações não estruturadas Monitoração de Indicadores de Riscos e Performance Disseminação de Linguagem Uniformizada de Análise (Taxonomia e Apetite) Consolidação do Repositório de Inteligência de GRC Atualização de Base de Perdas e Quase Perdas Consolidação e Monitoração de Planos de Ação Realização de Testes de Controle / Compliance Definição da Estratégia de GRC 1 4 3 5 2 6 9 10 Amadurecimento das iniciativas e cultura de GRC 8 Geração de dashboard e reports customizados em tempo real 11 Modelagem e Avaliação de Riscos e Controles 7
39. GRC08 - Amadurecimento das iniciativas e cultura de GRC Coleta inteligente de informações não estruturadas Monitoração de Indicadores de Riscos e Performance Disseminação de Linguagem Uniformizada de Análise (Taxonomia e Apetite) Consolidação do Repositório de Inteligência de GRC Atualização de Base de Perdas e Quase Perdas Modelagem e Avaliação de Riscos e Controles Consolidação e Monitoração de Planos de Ação Realização de Testes de Controle / Compliance Definição da Estratégia de GRC 1 4 3 5 2 6 7 9 10 Geração de dashboard e reports customizados em tempo real 11 Amadurecimento das iniciativas e cultura de GRC 8
40. Migrando de uma GRC artesanal de iniciativas... ? ? ? ? ? ? ? ? ? Políticas e Procedimentos Indicadores de Desempenho Pesquisa de Satisfação do Cliente Helpdesk Treinamento e Coaching Ouvidoria Segurança da Informação Compliance Desenvolvimento de Produto
41. ...Passando por uma GRC fragmentada... Compliance Base de lições aprendidas Base de Perdas Externas Linhas de Negócio Análise de Cenários ISO 9001 Políticas e Procedimentos Relatórios Internos Comitês de Tecnologia Arquitetura de Processos Questionários Indicadores de Desempenho Testes de Auditoria Gestão da Mudança Treinamento e Coaching Relatórios Externos Plano de Continuidade Com Negócio Ouvidoria Canal de Denúncias Sindicância Rotinas de Tratamento de Ocorrências Código da conduta ética Segurança Física E Patrimonial Segurança da Informação Pesquisa de Satisfação do Cliente Pesquisa de Satisfação dos Funcionários Gestão de TI Helpdesk Conselhos de Administração e Fiscal Saúde e Segurança Relação com Investidor Gestão Escritório de Projetos Gestão (Escritório) de Contratos Terceiros Acompanhamento Do Orçamento Desenvolvimento de Produto Gestão da Imagem PNQ Portfólio de Clientes Auditoria Externa Governança Corporativa Gestão de Multas Six Sigma Relacionamento Com Investidor
42. ...Adicionando taxonomia para uma GRC Integrada... Compliance Base de lições aprendidas Base de Perdas Externas Linhas de Negócio Análise de Cenários ISO 9001 Políticas e Procedimentos Relatórios Internos Comitês de Tecnologia Arquitetura de Processos Questionários Indicadores de Desempenho Testes de Auditoria Gestão da Mudança Treinamento e Coaching Relatórios Externos Plano de Continuidade Com Negócio Ouvidoria Canal de Denúncias Sindicância Rotinas de Tratamento de Ocorrências Código da conduta ética Segurança Física E Patrimonial Segurança da Informação Pesquisa de Satisfação do Cliente Pesquisa de Satisfação dos Funcionários Gestão de TI Helpdesk Conselhos de Administração e Fiscal Saúde e Segurança Relação com Investidor Gestão Escritório de Projetos Gestão (Escritório) de Contratos Terceiros Acompanhamento Do Orçamento Desenvolvimento de Produto Gestão da Imagem PNQ Portfólio de Clientes Auditoria Externa Governança Corporativa Gestão de Multas Six Sigma Relacionamento Com Investidor
43. ...Até uma GRC Convergente! Compliance Base de lições aprendidas Base de Perdas Externas Linhas de Negócio Análise de Cenários ISO 9001 Políticas e procedimentos Relatórios Internos Comitês de Tecnologia Arquitetura de Processos Questionários Indicadores de Desempenho Testes de Auditoria Gestão da Mudança Treinamento e Coaching Relatórios Externos Plano de Continuidade Com Negócio Ouvidoria Canal de Denúncias Sindicância Rotinas de Tratamento de Ocorrências Código da conduta ética Segurança Física E Patrimonial Segurança da Informação Pesquisa de Satisfação do Cliente Pesquisa de Satisfação dos Funcionários Gestão de TI Helpdesk Conselhos de Administração e Fiscal Saúde e Segurança Relação com Investidor Gestão Escritório de Projetos Gestão (Escritório) de Contratos Terceiros Acompanhamento Do Orçamento Desenvolvimento de Produto Gestão da Imagem PNQ Portfólio de Clientes Auditoria Externa Governança Corporativa Gestão de Multas Six Sigma Relacionamento Com Investidor
44.
45. GRC08 - Case: Amadurecimento das iniciativas e cultura de GRC Iniciativa Periodicidade Matutidade Tecnológica Índice geral de convergência a GRC Convergência de linguagem à Taxonomia GRC Convergência de forma de priorização ao Apetite GRC Convergência de planejamento e resultados de iniciativas com GRC Consolidação Plano de Treinamento Díario Apresentação 0,166666667 Linguagem divergente à taxonomia GRC Forma de priorização não estruturada Planejamento e avaliação de resultados divergentes da inteligência de GRC Manual Six Sigma Mensal Formulário 0,291666667 Não há estruturação de linguagem Forma de priorização divergente do apetite de GRC Planejamento convergentes à inteligência de GRC Não há consolidação ISO 9001 Quinzenal Relatório 0,5 Linguagem convergente à taxonomia GRC Utilização de apetite de GRC Planejamento e avaliação de resultados divergentes da inteligência de GRC Manual Compliance Díario Conhecimento Tácito 0,5 Linguagem divergente à taxonomia GRC Forma de priorização não estruturada Planejamento e avaliação de resultados convergentes à inteligência de GRC Semi-automático Gestão da Mudança Semestral Outros 0,458333333 Não há estruturação de linguagem Forma de priorização divergente do apetite de GRC Avaliação de resultados convergentes à inteligência de GRC Automático Ouvidoria Decenal Site 0,375 Linguagem divergente à taxonomia GRC Forma de priorização divergente do apetite de GRC Planejamento e avaliação de resultados divergentes da inteligência de GRC Semi-automático Helpdesk Quinzenal Planilha 0,333333333 Não há estruturação de linguagem Forma de priorização não estruturada Planejamento e avaliação de resultados convergentes à inteligência de GRC Manual Total 0,375
46. O Novo Portfolio de produtos da GRC: GRC Intelligence ® Coleta inteligente de informações não estruturadas Monitoração de Indicadores de Riscos e Performance Disseminação de Linguagem Uniformizada de Análise (Taxonomia e Apetite) Consolidação do Repositório de Inteligência de GRC Atualização de Base de Perdas e Quase Perdas Modelagem e Avaliação de Riscos e Controles Consolidação e Monitoração de Planos de Ação Realização de Testes de Controle / Compliance Definição da Estratégia de GRC 1 Amadurecimento das iniciativas e cultura de GRC Geração de dashboard e reports customizados em tempo real