Definir Comitê
Para se dar início a utilização do ambiente SIGAICE, é preciso decidir qual o grupo de funcionários que participarão do comitê, cada qual com sua tarefa e cargo definidos dentro do comitê. Este cadastro reúne os participantes ou funcionários responsáveis pela implantação dos procedimentos, avaliação, monitoramento e divulgação dos eventos potenciais de riscos.
Definir FCS
O comitê tem como primeira tarefa definir os Fatores Críticos de Sucesso - FCS, que são as variáveis que influenciam diretamente no desempenho da empresa, em relação às suas metas empresariais e manutenção de suas vantagens competitivas.
Elaborar Tabela de Riscos
A seguir, o gestor do comitê preencherá a tabela de riscos, identificando os riscos genéricos, baseado em literaturas, jornais e todo material que ele julgar interessante como fonte de referência de riscos para a organização. O gestor é sempre um diretor da organização ou mesmo o próprio CRO (Chief Risk Officer/Gestor de Riscos) para o cenário de gestão de riscos corporativos e financeiros, ou quando o cenário for avaliação de riscos para gerenciamento de projetos, um líder ou gerente de projetos. Esta tabela é a base de informação para apoio na futura avaliação de riscos potenciais.
Elaborar Pesquisas, Questionários, Perguntas
Posteriormente cabe ao gestor, definir as pesquisas, questionários e perguntas. Considerando o cenário para a gestão Sarbanes-Oxley, as perguntas serão criadas automaticamente pelo Sistema conforme ICQ,Internal Control Questionary. Consulte os sites www.pcaob.com e www.sarbanes-oxley.com para mais informações.
Para o cenário de Riscos em Projetos, as perguntas também são geradas automaticamente, contudo, obedecendo aos princípios fundamentais da gerência de projetos, referências PMI-Project Management Institute. Consulte o site www.pmi.org para mais informações.
Caso necessário, fica a critério do gestor ou dos participantes do comitê alterar ou definir novas questões. Para saber mais sobre gerar pesquisas automaticamente, consulte o tópico Pesquisas.
Identificar os Destinatários
Assim que as pesquisas, questionários e perguntas são definidos é preciso identificar o público alvo que irá recebê-los e respondê-los. Esta é uma decisão muito importante, pois são os resultados obtidos que darão início a uma série de ações e planejamento, depende das respostas e análises desses destinatários. Consulte o tópico Pesquisas para saber como utilizar o filtro para destinatários na elaboração da pesquisa.
Cadastrar Processos
O próximo passo é, em parceria com auditores, definir e catalogar todos os processos operacionais da organização, como por exemplo: fluxo de compras, fluxo de vendas, fluxo de crédito. etc. Os fluxos são controlados por meio do ambiente Controle de Documentos - SIGAQDO caso esteja prevista a integração entre os ambientes.
A SOX prevê que os processos devem ser catalogados e desenhados com a assessoria de auditores independentes ou de empresas de consultoria autorizadas e especializadas nos requerimentos da lei e na estrutura para controles internos COSO, The Committee of Sponsoring Organizations Of the Tradeway Commission. Para mais informações, acesse o site www.coso.org.
Ativar a Pesquisa
Finalizado o cadastramento de todos os processos e desenhados os respectivos fluxos, deve-se retornar à rotina de Pesquisa e ativá-la. Para saber mais sobre como ativar pesquisa, consulte o tópico Pesquisa.
Recebimento da Pesquisa pelos Destinatários (Para Resposta)
De acordo com a configuração do campo Disponíveis em Pesquisa, o Sistema pode por meio das ferramentas de Workflow enviar e-mails a cada um dos destinatários da pesquisa, participantes ou não do Comitê Disciplinar, solicitando o preenchimento das respostas para as perguntas da pesquisa. Consulte sobre a configuração deste campo em Pesquisa.
Respostas às Pesquisas
Os destinatários selecionados respondem às pesquisas para as quais foram requisitados no prazo determinado através do ambiente disponível. Consulte sobre prazos, ferramentas e ambientes para preenchimento das pesquisas no tópico Pesquisa.
Recebimento das Pesquisas Preenchidas (Pelo Gestor)
Ainda através do workflow, o gestor recebe e-mails informando o preenchimento das respostas efetuada para cada destinatário.
Processamento e Avaliação dos Resultados Obtidos
Processamento
Recebidos os dados, é necessário processar as respostas. O Sistema automaticamente cria eventos potenciais de riscos com base nas respostas negativas para a gestão de Riscos em Projetos ou apontamentos da 1ª pergunta, equivalente a existência de riscos, para a gestão Sarbanes-Oxley.
A seguir, o gestor avalia os riscos submetendo cada um deles aos critérios de probabilidade e impacto para SOX, ou ao critério de pontuação para Riscos em Projetos.
O ambiente oferece também os critérios de avaliação para os Métodos Estatísticos, Mosler, T.Fine(1). |
Avaliação
Na fase de avaliação, o gestor ou avaliador interage com a ferramenta: o Sistema apresenta o gráfico de riscos por meio da matriz de vulnerabilidade retornando a classificação do tipo de tratamento para o risco. Esta classificação determina a necessidade de registrar um plano de ação caso o impacto financeiro do risco represente perda financeira para a organização. Cabe ao gestor ou diretor financeiro registrar ou não o plano de ação.
Veja um exemplo de tabela de classificação (Matriz de Vulnerabilidade) e Tratamento do Risco.
Matriz de Vulnerabilidade
Tratamento do Risco
Quadrante | Classificação | Ação |
I | Investimento | Tratamento imediato |
II | Monitoramento | Ação depende da evolução do risco |
III | Contingência | Tratar com ação de emergência |
IV | Conforto | Impacto assimilável |
Registrar o Plano de Ação
O plano de ação é registrado e controlado por todas as funcionalidades do Sistema Microsiga Protheus® através do ambiente SIGAQNC – Controle de Não-conformidades, caso esteja prevista a integração entre os ambientes.
Monitoramento do Plano de Ação
O próximo passo é acompanhar os follow-ups das revisões e cumprimento das etapas do plano de ação, através da rotina de Monitoramento.
Emissão de Relatórios
O Sistema mantém registrado o histórico registrado que pode ser visualizado ou impresso, através do ICQ – Internal Control Questionary. Estão disponíveis para visualização/impressão: Emissão de Relatórios, Grade de Ameaça e Matriz de Vulnerabilidade.
Se a gestão é Sarbanes-Oxley, imprima também os Certificados de Evidência firmados pelo Diretor Financeiro (CFO) e Diretor Executivo (CEO). |
Existem inúmeros métodos de cálculo para se obter a probabilidade na avaliação de riscos, porém, na área de gestão de riscos corporativos e na gestão de segurança patrimonial, destacamos os dois mais aplicados: · Method T.Fine (Willian T. Fine) · Method Mosler (Karl Mosler) |
Veja este detalhamento graficamente no tópico Fluxo Operacional.
Visão Geral
Import HTML Content
Conteúdo das Ferramentas
Tarefas