Risk in Focus - IPAI€¦ · A Auditoria Interna está atenta às tendências e riscos que poderão afectar hoje e num futuro próximo as suas organizações? Cibersegurança e Protecção

Risk in FocusHot topics for the 2020 Internal Audit Department

Risk Consulting—14 de Novembro 2019

XXVI Conferência Anual do IPAI

ISEG – Auditório da CGD

3© 2019 KPMG Advisory – Consultores de Gestão, S.A., a firma portuguesa e membro da rede KPMG, composta por firmas independentes afiliadas da KPMG Internacional Cooperative (“KPMG Internacional”), uma entidade suíça. Todos os direitos reservados. Impresso em Portugal..

A Auditoria Interna está atenta às tendências e riscos que poderão afectar hoje e num futuro próximo as suas organizações?

Cibersegurança e Protecção de dados

Compliancee regulação crescente

Relacionamentocom terceiros

Gestão do talento e novas formas de trabalho

Governance, ética e cultura

Alteraçõesclimáticas

Digitalização, Industria 4.0 e Internet of Things (IoT)

Resiliência do negócio, reputação

e valor da marca

Desempenho e posição financeira

Instabilidademacroeconómicae geopolítica


Cibersegurança e Protecção de dados

71% dos CEOs dizem que as suas

organizações vêm a segurança da

informação como uma função estratégica

e como uma vantagem competitivaFonte: 2019 Global CEO Outlook, KPMG International

Cibersegurança.Ataques informáticos quase duplicaram desde o início da década

Fonte: Jornal I 09/01/2019

Como a AI pode ajudar? Realizar testes de intrusão nos sistemas e apresentar

soluções de melhoria, tais como a implementação de mecanismos de defesa em várias camadas e de detecção das violações de segurança

Avaliar a exposição ao risco no que respeita à proteçãode dados e identificar as acções que devem ser tomadas para mitigar riscos existentes

…

No mundo actual de conectividade constante, a cibersegurança e a protecção dos dados constituem preocupações relevantes para muitas organizações

Alguns drivers…

A crescente sofisticação dos hackers para entrar os sistemas das organizações torna este risco ainda mais imprevisível

Os impactos financeiros e reputacionais por perda de propriedade intelectual ou não cumprimento da regulamentação da protecção de dados poderão ser muito significativos


50 mM é o número estimado

de dispositivos IoT conectados em

2020, em todo o mundo, de acordo

com a Cisco e outros analistas ITFonte: Ia – Internal Audit - Publicação do IIA Agosto 2019

Alguns drivers… A qualidade do que é produzido terá que ser monitorizada

considerando a reduzida intervenção humana nos processos

As inconsistências e falhas na integração dos sistemas, máquinas e dispositivos IoT tem que ser consideradas

A necessidade de contratar e reter recursos humanos especializados, capazes de implementar e manusear os sistemas, máquinas e dispositivos IoT é fundamental

Estamos a fazer um percurso muito significativo ao nível da inovação e digitalização mas temos de acelerar

Citado por ministro Adjunto e da Economia na Conferência Investimento, inovação e digitalização, a 18/01/2019

Como a AI pode ajudar? Apoiar no desenho e implementação do modelo de

governance e do sistema de controlo interno dos processos digitalizados

Apresentar oportunidades de melhoria relativamente à automação de actividades e controlos, contribuindo assim para o avanço do processo de digitalização

…

Digitalização, Industria 4.0 e Internet of Things (IoT)

População Mundial – 7,7 mM (aprox.)

A crescente pressão sobre a eficiência e qualidade está a impulsionar as organizações a adoptar a digitalização e automação em cada vez mais processos


Alguns drivers…

Compliancee regulação crescente

O número crescente de novas ou actualizadas leis e regulamentos estão relacionados com diferentes temáticas, nomeadamente:

Corrupção e fraude

Responsabilidade peloproduto

Protecção ao consumidor

Cybersegurança e protecção de dados

!

!

!

!

Segurança do produto

Considerações ambientais e sociais

Concorrência

….

!

!

!

!Como a AI pode ajudar? Apoiar no inventário das obrigações que

afectam a organização e monitorizar a sua conformidade geral

Avaliar os mecanismos de resposta e quaisquer situações de não conformidade

Avaliar se os programas de formação sobre compliance e regulação são os adequados

…

É preciso antecipar as expectativas e pensamentos da sociedade. E

encontrar maneira de participar na discussão sobre a formulação de

políticas com o governo. Fonte: 2019 Global CEO Outlook, KPMG Portugal

Em 2008 existiram 8.704 publicações relativas a alterações regulatórias. Em 2016 foram 52.506.

Fonte: Cost of Compliance 2018, Thomson Reuters

Enquanto as leis e regulamentos estão a ser desenvolvidos e actualizados, as organizações tem que continuar a cumprir os seus objectivos de crescimento


Relacionamentocom terceiros

Alguns drivers…

Decorrente da subcontratação de serviços em regime de outsourcing, a organização estará exposta a novos riscos, nomeadamente relacionados com:

I. A maior complexidade dos contratos de outsourcing, sobretudo dada a natureza cada vez mais personalizada e sofisticada dos serviços a prestar

II. O acesso dos prestadores de serviços aos sistemas informáticos da organização, aumentando ainda mais o potencial de falhas na segurança da informação

As organizações subcontratam cada vez mais terceiros para desempenhar funções vitais do negócio, nomeadamente para aumentar a sua produtividade

Como a AI pode ajudar? Analisar a conformidade dos processos de identificação, avaliação e

selecção do prestador de serviços em regime de outsourcing

Avaliar o processo de monitorização do cumprimento dos contratos de outsourcing e relacionamento com terceiros

…

83% dos

responsáveis da área

de Compliance

referiram que, após

realizarem uma due

diligence aos terceiros,

identificaram riscos

adicionais com impacto

material no negócioFonte: Stay Ahead of Growing Third-party Risk - Gartner Inc.


Resiliência do negócio, reputação

e valor da marca Realizar uma avaliação do sistema de Gestão

de Continuidade de negócio, incluindo modelo de governance, processos e riscos

Avaliar a eficácia e o conhecimento da organização sobre os planos de resposta a crises

Avaliar o processo de monitorização da reputação através da análise de notícias, artigos de opinião e redes sociais, entre outros

…

Como a AI pode ajudar?

A reputação é um risco prioritário e está ligada a três dimensões na

minha empresa: i. Qualidade e a segurança dos produtosii. Éticaiii. Segurança da informação

A resiliência de uma organização e a sua reputação são influenciados por inúmeros factores variando de acordo com o contexto e natureza do negócio

O risco associado à continuidade do negócio e o risco de reputação estão fortemente relacionados

Alguns drivers…

Fonte: Risk in Focus 2020 – ECIIA, citado por um CAE de uma empresa de software para o sector de aviação

No entanto, uma simples percepção pública negativa sobre a organização poderá ter um impacto considerável na sua receita e valorização


Também a natureza dos riscos financeiros depende muito do sector e do modelo de negócio em análise

Desempenho e posição financeira

A gestão financeira representa cada vez mais uma função estratégica do negócio e que a sua robustez contribuirá para o sucesso de longo prazo da organização, devido à combinação de vários factores, incluindo, entre outros:

Realizar uma avaliação do modelo de gestão de riscos financeiros da organização, tendo em consideração o apetite ao risco definido

Como a AI pode ajudar?Alguns drivers…

I. Gestão de tesouraria capaz de assegurar o cumprimento das responsabilidade e mantendo o custo de financiamento da dívida para níveis mínimos

II. Gestão efectiva do Working Capital

III. A adopção de estratégias de cobertura dinâmicas para responder à volatilidade das taxas de câmbio

IV. A monitorização exigente e contínua da volatilidade do mercado de capitais e do seu retorno

V. A avaliação do impacto da adopção dos novos standards contabilísticos

Analisar os processos associados à gestão de fluxos de caixa

Realizar uma análise à gestão do relacionamento com as instituições bancárias

…


Instabilidademacroeconómicae geopolítica

Alguns drivers…

O crescimento da economia mundial deverá desacelerar para 2,9% em 2019, ficando em 3% em 2020, são as previsões da OCDE

A OCDE afirma ainda que o mundo se tornou “mais frágil e incerto”, sendo que esta incerteza recai sobretudo na guerra comercial entre os EUA e a China e nas expectativas relativamente à saída do UK da UE

Monitorizar as tendências e desenvolvimentos em termos económicos e políticos e avaliar a capacidade de resposta da organização

Avaliar se as decisões de investimento têm em consideração diferentes cenários

Avaliar os planos de contingência existentes em caso de falência de terceiros ou da cadeia de abastecimento

A política e a economia estão intrinsecamente ligados


Os riscos económicos e políticos não são considerados riscos corporativos, são forças externas que à partida estão fora do controlo da organização

Portugal cresceu cinco anos consecutivos e o desemprego caiu para metade desde 2011

No entanto o crescimento está a desacelerar, a carga fiscal em Portugal subiu para o nível recorde de 35% do PIB e a dívida pública quase que duplicou na última década em termos nominais

OCDE revê em baixa o crescimento da economia

mundial em 2019 e 2020Fonte: Jornal SOL, 19/09/2019

Fonte: Risk in Focus 2020 – ECIIA


Gestão do talento e novas formas de trabalho

Os desafios da gestão de talentos estão intrinsecamente ligados ao desenvolvimento tecnológico e à mudança de paradigma na forma de trabalhar

Para que as organizações tenham sucesso neste novo contexto global é fundamental que possuam o talento, as competências e o conhecimento necessário e adequado

O desafio é garantir que as pessoas certas sejam contratadas, retidas, motivadas e desenvolvidas para ajudar a organização a atingir seus objectivos

A fim de garantir a continuidade dos negócios, as organizações devem desenvolver planos de sucessão adequados e orientar os colaboradores de elevado potencial a se tornarem os futuros líderes da organização

Como a AI pode ajudar? Avaliar se existe um processo de gestão da experiência do

colaborador na organização e se o mesmo é adequadamente gerido

Monitorizar os planos de acção decorrentes dos resultados das avaliações do clima organizacional

Apoiar na transição para novos modelos organizacionais e métodos de trabalho e avaliar se os mesmos estão alinhados com a estratégia e o contexto em que organização opera Fonte: OCDE

…menos de 10% dos

colaboradores estão

em risco de serem

substituídos pelas

máquinas, e apenas

25% estão em

funções em que

grande parte das suas

tarefas poderão ser

automatizadas

Alguns drivers…


Governance, ética e cultura

O Corporate Governance representa o modo como a organização opera e actua

A cultura é a manifestação clara dos princípios, valores e orientações éticas sobre os quais se rege a organização

As questões éticas representam um risco para o sucesso organizações, seja do ponto de vista de incumprimento regulatório, ou por danos na sua reputação

Avaliar a estrutura de corporate governance, tendo em consideração o contexto do negócio e os riscos associados, e concluir sobre a adequação da sua dimensão, competências, experiência e independência dos seus membros, bem como a estratégia e os objectivos definidos

Realizar uma análise gap sobre os procedimentos anti-corrupção e orientações éticas face às boas práticas e regulamentação existente

Validar se os valores e princípios éticos da organização estão alinhados com a sociedade e estão reflectidos na sua cultura

Avaliar a transparência do reporte financeiro e não financeiro

O corporate governance tem um papel fundamental na disseminação de uma cultura baseada em transparência e princípios éticos robustos


“Governance é mais espírito do que

forma. Forma quer dizer controlo e

conformidade com leis, e espírito é

sobre princípios morais e ética.Fonte: Conferência sobre CG em 2018

Alguns drivers…


As alterações climáticas e os seus impactos são hoje, mais do que nunca, uma crescente preocupação das organizações

Alguns drivers… As alterações climáticas estão cada vez mais associadas a questões com

impacto financeiro

Existe cada vez maior expectativa que as organizações sejam transparentes sobre o seu desempenho no combate às alterações climáticas mas também sobre os riscos e oportunidades financeiras que enfrentam e os prováveis efeitos a curto e longo-prazo

Aumento considerável da regulação no que diz respeito às alterações climáticas

Como a AI pode ajudar? Avaliar a adequabilidade da estratégia de sustentabilidade da organização tendo em

consideração a estratégia de negócio, bem como os riscos identificados

Realizar uma análise ao cumprimento das metas definidas no contributo para a descarbonização da economia

...

Alteraçõesclimáticas

Alterações climáticas podem

custar 900 mil milhões de euros

Fonte: Diário de Noticias, 04/06/2019, a citar conclusões de um relatório da organização internacional Carbon Disclosure Project


São estes osriscos das vossas

organizações?

Qual é a priorizaçãoque atribuem a cada

um destes riscos?Nas vossas avaliações de

risco tem emconsideração as

tendênciasmacroeconómicas?

Quais destes riscos estãorelacionados entre si? Essa relação é tida em

consideração na avaliaçãode risco?

De que forma estes riscos afectam efectivamente a nossa organização?

Mas então, se conhecemos as perspectivas futuras no que respeita a risco, porque é que continuam a existir crises económicas e financeiras?


Fonte: This Time is Different. Eight Centuries of Financial Folly. Carmen M. Reinhart & Kenneth S. Rogoff*após dois trimestres consecutivos de queda do PIB

O mundo está em constante mudança, cada vez mais global e interligado

Entre 1948 e 1972 verificou-se uma crescente adopção de modelos matemáticos, nomeadamente associados à quantificação de risco

2010

Durante o período de 2006 – 2013, apenas 11 de 71 países analisados escaparam da recessão*

2020

Perc

ento

fcou

ntrie

s


Posto isto, a abordagem tradicional de avaliação de risco deverá evoluir para uma visão interconectada

Abordagem tradicional Abordagem interconectada

A probabilidade e impactodo cluster de riscos excedeas do risco isolado

Este risco analisado de forma isolada é considerado como poucorelevante, no entanto desencadeiamuitos outros riscos, todos elesmais significativos que ele próprio

Probabilidade de ocorrência

O risco individualmente mais significativo exibe baixos níveis de contágio esperado

AltoBaixo

Alto

Imp

acto

Prob

abilid

ade

Impacto

Nivel de Conectividade:

Baixa

Média

Alta


Uma avaliação dinâmica de riscos leva em consideração a maior lição da crise financeira global: o efeito contágio do risco

Inventário de riscos globais

Resultado

Ferramenta KPMG - DRA Survey

Aplicação de algorítmos e verificação de

inconsistências

Identificação e caracterização dos

riscos

Desenvolvimento de um inventário de

riscos

Desenvolver um conjunto dinâmico de riscos que combina riscos globais com riscos do país, da indústria, do setor e mais específicos da organização

Desenho do mapa de riscos multidimensional: ilustrando (1) os riscos mais interconectados, (2) os clusters de riscos mais significativos que poderão ocorrer em simultâneo e (3) riscos isolados pouco relevantes mas que combinados com outros podem representar uma ameaça significativa

Realização de workshops com o Directores de 1ª linha/ Administradores da organização para identificação e caracterização dos riscos

Análise da consistência dos resultados do Workshop

Introdução dos resultados do workshop na ferramenta KPMG –Dynamic Risk Assessment Survey – e aplicação dos algoritmos

Verificação de inconsistências e apresentação e discussão dos resultados finais com especialistas da organização

Desenho do mapa multidimensional de

riscos

1

2

3

4

Contactos:

Eva LeiteManager, Risk Consulting

Edifício FPM41Av Fontes Pereira de Melo, 41-15º1069-006 LisboaTel: +351 917 501 177E-mail: [email protected]

Obrigada!

Documents

Risk in Focus - IPAI€¦ · A Auditoria Interna está atenta às tendências e riscos que poderão afectar hoje e num futuro próximo as suas organizações? Cibersegurança e Protecção