Governança, Riscos e Compliance

Abordagem estrutural e integrada aos processos de gestão para avaliar, controlar e monitorar eventos, sejam eles riscos ou oportunidades.

Governança e cultura de riscos

Soluções de gestão e governança do processo de Gestão de Riscos e desenvolvimento de cultura de riscos:

• Diagnóstico de maturidade da governança e processos da Gestão de Riscos;
• Proposição de modelo e princípios de governança e gestão de riscos: estruturação de metodologias, atribuições da área, definição de papeis e responsabilidades;
• Desenho de Políticas, Manuais e Formulários da Gestão de Riscos;
• Estudos de caso e benchmarking de riscos;
• Workshops, treinamentos e plano de comunicação da Gestão de Riscos.

Risk Assessment

Metodologias para implementação e execução das etapas do processo de Gestão de Riscos e Oportunidades de diferentes naturezas e categorias:

• Riscos Corporativos (Estratégicos; Compliance Regulatório; Financeiros e Operacionais)
• ESG - Environmental Social and Corporate Governance
• Health, Safety, Environment & Communities (HSEC)
• Riscos de Projetos
• Aplicação de ferramentas de análise e avaliação de riscos:
  • Bowtie Risk Analysis
  • FMEA - Failure Mode and Effect Analysis
  • HAZOP - Hazard and Operability Study
  • Diagrama de Causa x Efeito, SWOT, Delphi
• Registro e relato de riscos
  • Matriz de Riscos;
  • Dicionário de Riscos;
  • Apresentações gerenciais.

Governança e Gestão de Riscos de Projetos 

A gestão de riscos aplicada a projetos utiliza requisitos técnicos observados na ABNT NBR ISO 31000:2018, no modelo ERM – COSO e nos padrões The Practice Standard for Risk Management (PMI®), acrescido das boas práticas de mercado observadas e do know-how da equipe HECT.

• Aplicação de modelos matemáticos de análise de riscos:

• • BOWTIE - forma esquemática de avaliar um risco tendo como foco as barreiras (ou controles) entre as causas e o risco e, o risco e suas consequências.
  • Planilha de avaliação de riscos – identificação de riscos, suas causas e impactos, controles (preventivos, detectivos e corretivos) e cálculos de probabilidade, impacto e nível de risco.
  • HAZOP - Estudo de Perigos e Operabilidade: análise qualitativa de rotas de processo (equipamentos e sistemas) podendo causar danos às instalações, pessoas e meio ambiente
  • FMEA / FMECA - Análise dos Modos de Falha, seus Efeitos e Criticidade: análise de falhas no sistema, subsistemas e/ou componentes para redução de risco e definição de ações.
  • Análise de Monte Carlo: identificação de impacto dos riscos para diferentes cenários (simulações de cenários (what-if)), alternativas no delineamento de cronogramas.

Peer Review de Riscos O processo de Peer Review consiste em uma análise crítica, qualitativa e quantitativa, dos resultados das avaliações dos riscos por profissionais especialistas em Gestão de Risco. Com o objetivo de aferir os resultados das avaliações de riscos, tendo como referência metodologias e boas práticas de Gestão de Riscos Corporativos, contempla:

• Verificação de conformidade documental e metodológica;
• Qualidade dos dados e informações constantes nos documentos de avaliação;
• Descrição clara do risco e cenários;
• Análise crítica dos parâmetros de avaliação do risco (Probabilidade, Impacto e outros);
• Análise crítica das estratégias de tratamento do risco.

Verificação e Auditorias de Controles Abordagem padronizada e coordenada dos processos de gestão de riscos e controles internos, com aplicação de metodologias baseada na relação da Gestão de Riscos (ERM COSO 2018) com o sistema de controles internos (COSO I – Internal Control integrated framework) e, tendo como referência o Modelo das Três Linhas do IIA - The Institute of Internal Auditors.

• Integração entre as metodologias da Gestão de Riscos e Controles Internos;
• Mapeamento de controles internos e preparação de matriz de controles;
• Desenhos de testes de controle;
• Avaliação e aplicação de testes de controle;
• Indicadores do ambiente de controle.

A Hect oferece serviços de consultoria em Gerenciamento de Crises, com adoção das melhores práticas de mercado e alinhamento com as principais normas e referências internacionais.

• Aplicação de metodologias de identificação e tratamento dos potenciais eventos de crise na corporação:
  • Mapeamento e análise dos processos e da cadeia de valor; identificação das atividades, equipamentos e processos críticos e pontos de vulnerabilidade.
  • Definição de estratégias e planos para preparação para crise;
• Análise de Impacto no Negócio - Business Impact Analysis (BIA):
  • Mapeamento dos impactos de materialização dos riscos críticos;
  • Definição dos objetivos dos tempos de parada (RTO e MTPD) das operações;
  • Definição das prioridades de recuperação.
  • Plano de Continuidade do Negócio e Plano de Recuperação de Atividades Críticas:
  • Definição de medidas de recuperação dos impactos dentro de prazos predeterminados;
  • Definição de papeis e responsabilidades e critérios de monitoramento para a de resposta à incidentes disruptivos;
  • Treinamentos e simulados com partes interessadas.

Aplicação de metodologias fundamentadas na Gestão de Riscos, com adoção das melhores práticas de mercado. Possibilita o desenvolvimento de produtos customizados para gestão de Compliance e Integridade.

• Matriz de riscos de compliance:
  • Avaliação do perfil de negócio da empresa;
  • Análise e avaliação da Matriz de Riscos;
  • Relatório de maturidade da Matriz de Riscos.
• Programas de Compliance e Integridade:
  • Código de Ética e Conduta
  • Políticas de prevenção à corrupção e fraude
  • Identificação e tratamento de conflito de interesses
  • Políticas e procedimentos da gestão de compliance
  • Oferta e recebimento de presentes e hospitalidades;
• Doações, patrocínios e investimentos sociais:
  • Gestão do canal de denúncias;
  • Comitê de Compliance;
  • Diligência de terceiros;
  • Aplicação de medidas disciplinares;
• Outsourcing - Terceirização Compliance Officer e Canal de Denúncias:
  • Gestão e monitoramento do Programa de Compliance
  • Gestão do Canal de denúncias
  • Revisão de políticas e procedimentos
  • Elaboração de indicadores
  • Reportes para a Alta Direção
  • Plano de comunicação interno e externo
  • Treinamentos
• Treinamentos e comunicação de compliance, ética e integridade:
  • Elaboração de materiais e cartilhas de treinamento
  • Definição do plano de comunicação e preparação de conteúdo para o público interno e externo
  • Preparação e condução de programas de treinamentos e aplicação de treinamentos para públicos diversos
• Automatização de controles de compliance em sistema ERP:
  • Mapeamento de processos e especificação para desenvolvimento de controles de compliance em sistemas ERP (Enterprise Resource Planning);
  • Acompanhamento de testes;
  • Homologação do desenvolvimento.

Auditorias e certificações de compliance

O time de compliance da HECT pode ajudar na verificação da maturidade dos processos de compliance e integridade, bem como auxiliar na preparação da empresa para processos de certificação.

• Verificação de aderência do Programa de Compliance aos requisitos normativos e legais;
• Diagnóstico de Maturidade do Programa de Compliance e Integridade
• Preparação para certificação ISO 37001:2016 e diretrizes da ISO 19600:2015 – Gestão de Sistemas Anticorrupção
• Preparação para obtenção do selo Empresa Pró Ética

Pesquisas detalhadas para identificação de riscos e red flags relacionados a Terceiros realizadas por equipe composta por profissionais especializados, capazes de analisar e dar sentido aos dados, conduzir pesquisas investigativas e comunicar efetivamente em relatórios específicos e sumários executivos.

Background check

• Apoio na identificação das transações de negócios que necessitam a realização do background check.
• Know Your Partner / Know Your Supplier / Know Your Costumer / Know Your Employee
• Pesquisa focada nos parceiros de negócio, fornecedores, clientes e empregados, com busca de informações para avaliação de riscos envolvendo o relacionamento entre as partes.
• Busca de dados e informações sobre terceiros, incluindo:
  • Processos judiciais;
  • Processos administrativos;
  • Cadastros do poder público;
  • Medidas sancionatórias aplicadas.
• Elaboração de matriz e avaliação do grau de risco que o terceiro representa para a empresa.
• Proposição de controles para transações de negócios que representam riscos relevantes para o negócio.

Pesquisa de mídias e imagem de terceiros

• Busca de informações em diversas plataformas, incluindo:
  • Mídias negativas;
  • Pessoas politicamente expostas;
  • Partes relacionadas;
• Avaliação do risco reputacional do terceiro
• Elaboração de relatório indicando controles mitigatórios para monitorar riscos reputacionais.

A Hect oferece serviços de verificação da conformidade operacional e legal de estruturas e processos, permitindo ao cliente uma visão clara e objetiva da aderência dos processos aos seus requisitos por meio de ferramentas simples e estruturadas. Os produtos são customizados de acordo com as especificidades de cada cliente e estrutura ou processo analisado.

Mapeamento e verificação de conformidade legal e operacional de processos

A partir da verificação da conformidade, a HECT orienta o cliente quanto às ações necessárias para os ajustes necessários aos processos e a garantia da conformidade.

• Caracterização do processo ou estrutura;
• Identificação de requisitos técnicos e operacionais (leis, normas, regulamentações, manuais, recomendações de especialistas e aderência às melhores práticas do mercado.
• Verificação da conformidade através da aplicação de testes.
• Indicadores e dashboards de conformidade - elaboração de dashboards com os resultados das avaliações e ferramentas de monitoramento da conformidade.

A partir da verificação da conformidade, a HECT orienta o cliente quanto às ações necessárias para os ajustes necessários aos processos e a garantia da conformidade

Conformidade de estruturas geotécnicas

Mapeamento de requisitos e aplicação de testes de conformidade em estruturas geotécnicas. As avaliações contemplam a legislação nas três esferas de governo, normas (órgãos ambientais, normas técnicas), portarias (ANM, ANA, etc.), regulamentações em geral, requisitos operacionais (manuais de operação, normas internas do cliente), bem como recomendações de especialistas e as melhores práticas do mercado nacional e global.

Visão integrada, abordagem personalizada baseada em riscos, condução por equipe multidisciplinar. Sua empresa possui dados pessoais de clientes, colaboradores ou fornecedores?   Se você respondeu "sim" para algum desses dados, independente do setor que atue, então você precisa se adequar à Lei nº 13.709/2018 - LGPD.  A LGPD tem o objetivo harmonizar as regras e diretrizes para o tratamento de dados pessoais com foco na privacidade do titular dos dados e maximizar a transparência entre as empresas e o cidadão.   Para isso, é essencial a implementação do Programa de Gestão da Segurança e Privacidade de Dados Pessoais, para garantir a conformidade legal e evitar prejuízos como sanções, multas, publicização de infrações e suspensão do banco de dados.  A adequação consciente e estratégica à LGPD não afeta a produtividade da empresa ou torna-se impeditivo para a realização de atividades. O atendimento a legislação permite a geração de valor para a empresa, aumento da credibilidade e competitividade.  Conheça nossas soluções!

Diagnóstico de conformidade e mapeamento de riscos

• Mapeamento do fluxo de dados pessoais na empresa;
• Identificação dos princípios legais e normativos aplicáveis ao tratamento de dados de acordo com segmento e setor;
• Elaboração de matriz de riscos de segurança da informação e privacidade de dados alinhados aos objetivos da empresa;
• Relatório de Aderência à LGPD:
  • Recomendações diante das situações de não conformidade identificadas;
  • Priorização na tratativa dos riscos de privacidade.

Elaboração do Programa de Gestão da Privacidade Supervisão e coordenação do plano de implementação do Programa de Gestão da Segurança e Privacidade de Dados Pessoais, através de

• Desenho de Políticas e Procedimentos de Gestão da Privacidade:
  • Gestão do Consentimento
  • Gestão de Contratos
  • Gestão dos Direitos do Titular
  • Notificações e plano de resposta a incidentes
  • Gestão de Cookies
• Desenho e apoio na Gestão da Governança do Programa;
• Atendimento aos princípios de Privacy by design e Privacy by default;
• Treinamentos e comunicação de gestão de privacidade
  • Preparação de conteúdos e materiais de treinamento;
  • Elaboração do plano de comunicação e do conteúdo, voltado ao público interno e externo;
  • Aplicação de treinamentos personalizados para colaboradores, fornecedores, terceiros e Alta Direção.

Treinamentos de conteúdos diversos em abordagem teórica e prática conduzidos por profissionais capacitados e com experiência prática nos temas. Gestão de Riscos Alinhado aos melhores padrões e metodologias de governança e gestão de riscos como ERM COSO | ISO 31000:2018 | ISO 9000:2015 | Modelo das Três Linhas IIA, oferecemos capacitação e treinamentos que permitem um melhor entendimento sobre mapeamento e identificação de riscos, elaboração de matriz de riscos, análise e avaliação de riscos, definição de estratégias e controles de mitigação de riscos.

• Fundamentos e metodologias da Gestão de Riscos e Controles Internos
• Aplicação de ferramentas de análise e avaliação de riscos: Bowtie, FMEA, entre outros
• Atividades práticas para se incorporar a Gestão de Riscos na rotina de gestão do negócio
• Ações de comunicação e desenvolvimento de cultura de riscos (agenda positiva e rituais de gestão de rotina)

Compliance e Integridade Alinhado às legislações e aos melhores padrões da gestão de compliance e integridade: ISO 37001 / ISO 19600 | Lei Nº 12.846 / Decreto 8.420 | FCPA | UK Bribery Act, oferecemos capacitação e treinamentos voltados para identificação e avaliação de riscos de corrupção e fraude, gestão de Programa de Compliance e Integridade, função Compliance Officer para diferentes públicos:

• Alta Direção (“tone from the top”)
• Compliance Officer: competências e conhecimentos da função
• Operação: desenvolvimento da cultura compliance e integridade nas diversas funções operacionais da organização

Contate a HECT para que possamos prestar maiores informações e auxiliar em suas operações (comercial@hect.com.br)