GESTÃO DE RISCOS - … · Um equipe de trabalhadores do Piper Alpha Oil, ... delegação, se for o caso; II – aumentar a probabilidade de alcance dos objetivos da organização,

GESTÃO DE RISCOS

Objetivo desta instrução

Apresentar os principais conceitos relacionados ao processo de Gerenciamento de Riscos organizacionais

Sumário

➔ Conceito de Risco e de Gerenciamento de Riscos

➔ Normas sobre Risco: COSO, ISO 31.000/2009 e INSTRUÇÃO NORMATIVA CONJUNTA CGU/MPOG nº 01, de 10 MAI 16

➔ Princípios do Gerenciamento de Riscos

➔ Objetivos do Gerenciamento de Riscos

➔ Processo de Gerenciamento de Riscos

Gerenciamento de Risco

Por que as organizações existem?


As organizações existem para atender as necessidades e desejos das partes interessadas.


Como as organizações se preparam para atender as necessidades das partes interessadas?

Planejamento OBJETIVOS

Estratégias


Art 2º …

VII – gerenciamento de riscos: processo para identificar, avaliar, administrar e controlar potenciais eventos ou situações, para fornecer razoável certeza quanto ao alcance dos objetivos da organização;

Fonte: INSTRUÇÃO NORMATIVA CONJUNTA Nº 01, 10 MAIO 2016

Conceito de Risco

A possibilidade de que um evento (iminente ou futuro) ocorra e afete negativamente a realização dos objetivos.

Fonte: COSO II ERM 2004

Efeito da incerteza nos objetivos. Um efeito é um desvio em relação ao esperado: positivo (oportunidade) ou negativo.

Fonte: ABNT NBR ISO 31000:2009

Conceito de Risco

Art 2º …

XIII - Possibilidade de ocorrência de um evento que venha a ter impacto no cumprimento dos objetivos.


Terminologia relacionada aos riscos

EVENTO:

Um evento é um incidente ou ocorrência, proveniente de fontes internas ou externas, que afetam a implementação da estratégia ou a realização de objetivos.

Fonte: INTOSAI GOV 9130/2007, p. 12, item 2.3.2

Porque Gerenciar Riscos?

ÔNIBUS ESPACIAL CHALLINGER - 1986 (U$ 5,5 bilhões)

Fracasso mais emblemático do programa espacial americano. Anéis de vedação no tanque externo de combustível sólido da nave se rompeu .

Não havia nenhum paraquedas para desacelerar a descida e nenhum sistema de ejeção. A Nasa havia ignorado esses procedimentos de segurança durante o desenvolvimento e fabricação da Challenger. As causas da tragédia foram falha na inspeção dos equipamentos, aliada à pressão para que o lançamento acontecesse dentro do cronograma previsto pela agência espacial.

DESASTRE NUCLEAR DE CHERNOBYL - 1986 (U$ 200 bilhões)

Maior desastre nuclear da história.

Afetou 1,7 milhões de pessoas.

Duas causas são apontadas: falha dos operadores da usina e defeito no projeto do reator.


ÔNIBUS ESPACIAL COLUMBIA - 2003 (U$ 13 bilhões)

Em fevereiro de 2003, o ônibus espacial Columbia explodiu sobre o Texas, matando todos os tripulantes a bordo. Um buraco em sua asa foi a causa do acidente. Acredita-se que o buraco foi feito durante o lançamento do ônibus 16 dias antes.

PLATAFORMA DE PETRÓLEO PIPER ALPHA - 1988 (U$ 3,4 bilhões)

Um equipe de trabalhadores do Piper Alpha Oil, o maior produtor de óleo do mundo, realizou o trabalho de manutenção de rotina no fatídico 6 de julho de 1988, e um deles esqueceu de substituir uma das 100 válvulas de segurança. Mais tarde naquela noite, a plataforma de 300 pés explodiu em chamas.Devido à negligência técnica pela equipe, o desastre na plataforma Piper Alpha ao largo da costa de Aberdeen teve 167 trabalhadores mortos, com custo de US$ 3.4 bilhões.


“A gestão de riscos é disciplina mais ou menos recente, que busca identificar, avaliar e priorizar as situações que podem, eventualmente, impactar os objetivos de determinada entidade. A importância do tema pode ser tristemente ilustrada com o colapso, em 1995, do Banco Barings da Inglaterra, entidade bicentenária que sucumbiu às ações ilícitas de apenas um funcionário, que gerou prejuízos de US$ 1,3 bilhão, por deficiências em sua auditoria interna e em seus procedimentos de gerenciamento de risco.”

Fonte: Acórdão TCU nº 242/2015 - Plenário.


FALHAS NA GESTÃO DE RISCOS


Jurisprudência do TCU (Controle Externo)

Recomendação à SAMF/RR no sentido de que se adote, no gerenciamento de seus riscos e na definição de seus controles, os fundamentos dos modelos de gestão COSO I e COSO II ERM, definidos no documento "Controles Internos - Modelo Integrado", publicado pelo Comitê das Organizações Patrocinadoras (COSO), bem como os mecanismos e práticas de governança descritos no "Referencial Básico de Governança Aplicável a Órgãos e Entidades da Administração Pública".

Fonte: item 1.7.3 do Acórdão nº 208/2015-TCU -1ª Câmara.

Recomendação ao Ministério da Saúde no sentido de que realize ações visando ao aprimoramento dos controles internos da gestão, com a devida avaliação de riscos, para a adoção de procedimentos, de forma a minimizar os problemas enfrentados pelo Ministério nas análises das prestações de contas dos convênios, cujo objeto era a aquisição de Unidades Móveis de Saúde, utilizando como referência modelos consagrados, a exemplo do COSO II ERM, com vistas a mitigar o impacto negativo de eventos potencialmente danosos à sua gestão, podendo-se, ainda, utilizar, a título exemplificativo, o documento "Riscos e Controles nas Aquisições".

Fonte: item 9.3.2 do Acórdão nº 2.754/2014-TCU-Plenário. Ver o RCA (do TCU) no sítio web <http://goo.gl/znyXep>, com 117 riscos identificados e 150 controles associados.

Normas sobre Risco

COSO II ERM 2004 ISO 31.000:2009

INSTRUÇÃO NORMATIVA CONJUNTA Nº 01, 10 MAI 16

Normas sobre Risco: COSO I

● Em 1985, foi criada, nos Estados Unidos, em uma iniciativa independente, a National Commission on Fraudulent Financial Reporting (Comissão Nacional sobre Fraudes em Relatórios Financeiros);

● Estudar as causas da ocorrência de fraudes em relatórios financeiros/contábeis e fazer recomendações para a redução de sua incidência.

● A Comissão emitiu seu relatório enfatizando ambiente de controle, códigos de conduta e comitês de auditoria competentes e compromissados.

● Criou-se o Committe Of Sponsoring Organizations of the Treadway Commission - COSO (Comitê das Organizações Patrocinadoras).

● O COSO publicou critérios práticos, amplamente aceitos, para o estabelecimento de controles internos e para avaliação de sua efetividade. O modelo apresentado em julho de 1992, denominado Internal Control – Integrated Framework, atualmente conhecido como COSO I mudou o conceito tradicional de "controles internos" e chamou a atenção para o fato de que eles tinham de fornecer proteção contra riscos.

Fonte: CRITÉRIOS GERAIS DE CONTROLES INTERNOS NA APF, TCU, 2009

Normas sobre Risco: COSO I

Normas sobre Risco: COSO II

● A intensificação da preocupação com riscos, fruto de uma série de escândalos e quebras de negócios de grande repercussão, fez com que o COSO encomendasse o desenvolvimento de uma estratégia de fácil utilização pelas organizações para avaliar e melhorar o próprio gerenciamento de riscos. O resultado foi a publicação, em 2004, do modelo Enterprise Risk Management – Integrated Framework (Gerenciamento de Riscos Corporativos – Estrutura Integrada), também conhecida como COSO ERM ou COSO II.

● Essa obra amplia o alcance dos controles internos, oferecendo um enfoque mais vigoroso e extensivo ao tema, agregando técnicas de gerenciamento integrado de riscos, sem abandonar, mas incorporando o COSO I. A nova postura é de prever e prevenir os riscos inerentes ao conjunto de processos da organização que possam impedir ou dificultar o alcance de seus objetivos.

Fonte: CRITÉRIOS GERAIS DE CONTROLES INTERNOS NA APF, TCU, 2009

COSO II ERM (2004)

COSO no Setor Público

“No que diz respeito a entidades ligadas ao setor público, vale ressaltar que o BID, o Banco Mundial e a INTOSAI também reconheceram a adotaram o modelo COSO. O órgão que auxilia o parlamento norte-americano no exercício do controle externo, U.S. Governenment Accoutability Office (GAO), também revisou seus documentos para incorporar o modelo COSO. O Tribunal de Contas da União, como membro da Intosai, também reconhece e utiliza o modelo como base para as suas avaliações de controle interno no setor público”.

Fonte: Critérios Gerais de Controle Interno na Administração Pública, 2009

Norma sobre risco: ISO 31000/2009

NORMAS ISO

Norma sobre risco: ISO 31000/2009

“A ISO 31000: Principles and guidelines for risk management, publicada em outubro de 2009, é a nova série de orientações da International Organization for Standardization (ISO) surgiu da necessidade de harmonizar padrões, regulamentações e frameworks publicados anteriormente e que de alguma forma estão relacionados com a gestão de riscos.A origem da norma, que pode ser aplicada por empresas ou indivíduos e fornece diretrizes para implementação de gestão de riscos em organizações de qualquer tipo, tamanho ou área de atuação, vem da necessidade das corporações de lidar com as incertezas que podem afetar os seus objetivos. Estes objetivos podem estar relacionados com várias atividades da organização, desde as iniciativas estratégicas como as atividades operacionais, processos ou projetos. Assim, a norma pode ser aplicada aos vários tipos de riscos ligados aos diferentes setores da organização, tais como financeiro e de projetos, bem como à área da saúde, entre outros, incluindo a visão moderna de que risco também é oportunidade”.

Fonte: http://www.administradores.com.br/noticias/negocios/iso-31000-a-nova-era-da-gestao-de-riscos-comeca-em-outubro/21165/)

ISO 31.000/2009


MOTIVAÇÃO:

● Dificuldade dos gestores em aplicar estruturas como o COSO;

● Os gestores não se sentem responsáveis pela implantação de controles internos;

● Orientação do TCU ao MPOG para desenvolver normas sobre Gestão de Riscos e Controles Internos aplicadas a APF;

● Tem como base o “ The Orange Book Management of Risk- Principles and Concepts” (UK) e o COSO ERM 2004;

● Responsabilizar os gestores pela implantação da Gestão de Riscos e pelos Controles Internos da Gestão em suas organizações.


ESTRUTURA DA INSTRUÇÃO NORMATIVA

CAPÍTULO I - DISPOSIÇÕES GERAIS● Conceitos

CAPÍTULO II - CONTROLES INTERNOS DA GESTÃO● Princípios● Objetivos dos Controles Internos da Gestão● Estrutura dos Controles Internos da Gestão● Responsabilidades

CAPÍTULO III - GESTÃO DE RISCOS● Princípios da Gestão de Riscos● Objetivos da Gestão de Riscos● Estrutura do Modelo de Gestão de Riscos● Política de Gestão de Riscos● Responsabilidades

CAPÍTULO IV - GOVERNANÇA● Princípios

CAPÍTULO V - COMITÊ DE GOVERNANÇA, RISCOS E CONTROLES

CAPÍTULO VI - DISPOSIÇÕES FINAIS

COSO I (1992)5 ELEMENTOS DO

CONTROLE INTERNO

COSO II ERM (2004)8 COMPONENTES DO GERENCIAMENTO DE

RISCOS

COSO ICIF (2013) ABNT NBR ISO 31000:2009

IN Cj CGU/MPOG,

de 10 MAI 16

Ambiente de controle Ambiente interno Ambiente de controle Estabelecimento do contexto

Ambiente interno

Fixação de objetivos Fixação de objetivos

Identificação de eventos Identificação de eventos

Avaliação e gerenciamento dos

riscos

Avaliação de riscos Avaliação de riscos Processo de avaliação de riscos

Avaliação de riscos

Resposta a risco Resposta a riscos

Atividade de controle Atividades de controle(1ª e 2ª linhas de

defesa)

Atividades de controle

Tratamento de riscos Atividades de controle

Informação e comunicação

Informações e comunicações


Comunicação e consulta

Informações e comunicações

Monitoramento Monitoramento Atividades de monitoramento

Monitoramento e análise crítica

Monitoramento

Estruturas de Gestão de Riscos

Princípios da Gestão de Riscos

Art 14.

I – gestão de riscos de forma sistemática, estruturada e oportuna, subordinada ao interesse público;

II – estabelecimento de níveis de exposição a riscos adequados;

III – estabelecimento de procedimentos de controle interno proporcionais ao risco, observada a relação custo-benefício, e destinados a agregar valor à organização;

IV – utilização do mapeamento de riscos para apoio à tomada de decisão e à elaboração do planejamento estratégico; e

V – utilização da gestão de riscos para apoio à melhoria contínua dos processos organizacionais.


Objetivos da Gestão de Riscos

Art 15.

I – assegurar que os responsáveis pela tomada de decisãoem todos os níveis do órgão ou entidade, tenhamacesso tempestivo a informações suficientes quanto aos riscos aos quais está exposta a organização, inclusive para determinar questões relativas à delegação, se for o caso;

II – aumentar a probabilidade de alcance dos objetivos da organização, reduzindo os riscos a níveis aceitáveis; e

III – agregar valor à organização por meio da melhoria dos processos de tomada de decisão e do tratamento adequado dos riscos e dos impactos negativos decorrentes de sua materialização.


✓

✓ Ambiente de controle

✓ Fixação de objetivos

✓ Identificação de eventos

✓ Avaliação de risco

✓ Resposta a risco

✓ Atividades de controles internos

✓ Informação e Comunicação

✓ Monitoramento

Fonte: INSTRUÇÃO NORMATIVA CONJUNTA Nº 01, 10 MAI 16

Processo de Gerenciamento de Riscos

Ambiente Interno

Art 16.

I – ambiente interno: inclui, entre outros elementos, integridade, valores éticos e competência das pessoas, maneira pela qual a gestão delega autoridade e responsabilidades, estrutura de governança organizacional e políticas e práticas de recursos humanos. O ambiente interno é a base para todos os outros componentes da estrutura de gestão de riscos, provendo disciplina e prontidão para a gestão de riscos;



Ambiente Interno

O ambiente interno compreende o tom de uma organização e fornece a base pela qual os riscos são identificados e abordados pelo seu pessoal, inclusive a filosofia de gerenciamento de riscos, o apetite a risco, a integridade e os valores éticos, além do ambiente em que estes estão.

Fonte: SUMÁRIO EXECUTIVO COSO ERM 2004

Criar condições para a implantação da gestão de riscos.

Ambiente Interno

Política de Gestão de Riscos

Art. 17. A política de gestão de riscos, a ser instituída pelos órgãos e entidades do Poder Executivo federal em até doze meses a contar da publicação desta Instrução Normativa, deve especificar ao menos:

I – princípios e objetivos organizacionais;

II – diretrizes sobre:a) como a gestão de riscos será integrada ao planejamento estratégico, aos processos e às políticas da organização;b) como e com qual periodicidade serão identificados, avaliados, tratados e monitorados os riscos;c) como será medido o desempenho da gestão de riscos;d) como serão integradas as instâncias do órgão ou entidade responsáveis pela gestão de riscos;e) a utilização de metodologia e ferramentas para o apoio à gestão de riscos; ef) o desenvolvimento contínuo dos agentes públicos em gestão de riscos; e

III – competências e responsabilidades para a efetivação da gestão de riscos no âmbito do órgão ou entidade.


Consciência sobre a importância do GRC

“A gestão de riscos é elemento fundamental para a construção da governança

corporativa. A implantação e o aprimoramento da gestão de riscos na

organização constitui um processo de aprendizagem organizacional que

começa com o desenvolvimento de uma consciência sobre a importância de

gerenciar riscos e avança com a implantação de práticas e estruturas

necessárias à gestão de riscos. O ápice desse processo se dá quando a

organização conta com uma abordagem consistente para gerenciar riscos e

com uma cultura organizacional aderente aos princípios e práticas da gestão

de riscos”.

Fonte: item 71 do Acórdão TCU nº 242/2015 - Plenário


Art 16 ...

II– fixação de objetivos: todos os níveis da organização (departamentos, divisões, processos e atividades) devem ter objetivos fixados e comunicados. A explicitação de objetivos, alinhados à missão e à visão da organização, é necessária para permitir a identificação de eventos que potencialmente impeçam sua consecução;

Fonte: INSTRUÇÃO NORMATIVA CONJUNTA Nº 01, 10 MAIO 2016.

Fixação de objetivos


Fixação de objetivos - Os objetivos devem existir antes que a administração possa identificar os eventos em potencial que poderão afetar a sua realização…


Exemplos:

Objetivo Estratégico 2 - Desenvolver as competências necessárias ao processo de transformação do Controle Interno.

Processo: Contratação de curso de capacitação

Objetivos do processo:

- Contratar serviços para atender a necessidade de capacitação- Estar em conformidade com as normas legais que tratam de contratação- Atender os preços médios praticados no mercado- Atender os requisitos técnicos estabelecidos



Art 16 ...

III – identificação de eventos: devem ser identificados e relacionados os riscos inerentes à própria atividade da organização, em seus diversos níveis;


Identificação dos riscos


Art 2º ...

XIV – risco inerente: risco a que uma organização está exposta sem considerar quaisquer ações gerenciais que possam reduzir a probabilidade de sua ocorrência ou seu impacto; e

XV – risco residual: risco a que uma organização está exposta após a implementação de ações gerenciais para o tratamento do risco.

Exemplos:

Objetivo Estratégico 2 - Desenvolver as competências necessárias ao processo de transformação do Controle Interno.

Risco inerente: Não desenvolvimento das competências necessárias aos auditores

Processo: Contratação de curso de capacitação

Objetivo do processo: Atender os preços médios praticados no mercado

Risco inerente: Contratar com preços acima da média de mercado

IDENTIFICAÇÃO DOS RISCOS


Categorias de Risco

RISCOS GLOBAIS

RISCOS (Fontes externas)

ECONÔMICOS

Eventos relacionados a oscilações de preços e novos concorrentes.

MEIO AMBIENTE

Refere-se aos seguintes eventos: incêndios, inundações ou terremotos, que provocam danos a fábricas ou edificações, restrição quanto ao uso de matérias-primas e perda de capital humano.

TECNOLOGIA

São novas formas de comércio eletrônico que levam ao aumento da demanda com base em tecnologia.

POLÍTICOS

Eleição de agentes do governo com novas agendas políticas e novas leis e regulamentos, resultando, por exemplo, naabertura ou na restrição ao acesso a mercados estrangeiros, ou elevação ou redução na carga tributária.

SOCIAIS

São alterações nas condições demográficas, nos costumes sociais, nas estruturas da família, nas prioridades de trabalho/vida, que, por sua vez, podem provocar mudanças na demanda de produtos e serviços.

RISCOS (Fontes internas)

ESTRATÉGICOS

São aqueles que afetam ou são originados por decisões estratégicas, fundamentais para o crescimento e desempenho do negócio.

PESSOAL

Causados por falta de pessoal qualificado e de profissionais preparados para exercer suas funções. Existe a possibilidade desse erros serem intencionais, isto, é fruto de uma conduta duvidosa. Os principais riscos de pessoal são:

● Não intencionais, resultado de omissão ou negligência;

● De qualificação, isto é, o profissional não tem condição de desempenhar corretamente suas tarefas por falta de capacidade ou habilidade; e

● Fraude, quando a conduta não atende intencionalmente as normas da empresa, se caracterizando por desvios de materiais ou valores, divulgação de inverdades etc.

PROCESSO

Decorrência da deficiência dos processos internos já utilizados pela organização, como indicadores de desempenho inadequados, controles ineficientes, modelagem falha e até descumprimento da legislação vigente.

SISTEMAS

Oriundos de sistemas de informática inadequados ou mal estruturados ou de defeitos que possam ocorrer. Alguns exemplos:

● Intermitência das redes● Queda de servidores● Danos físicos em componentes de

armazenagem de dados● Obsolescência dos sistemas● Manutenção inadequada● Queda de energia por causas internas● Lentidão nos sistemas● Falhas de segurança

http://www.venki.com.br/blog/tipos-de-indicadores-de-desempenho/

http://www.venki.com.br/blog/tipos-de-indicadores-de-desempenho/

http://www.venki.com.br/blog/modelagem-de-processos-bpm/

http://www.venki.com.br/blog/modelagem-de-processos-bpm/


➔ Condições que dão origem à possibilidade de um evento acontecer.

➔ Causas também são chamadas fatores de riscos e podem ter origem no ambiente externo ou interno à organização sob

análise.

CAUSAS DOS RISCOS

CAUSAS = FATORES DE RISCO = VULNERABILIDADES

CAUSAS DOS RISCOS

EXEMPLOS DE CAUSAS:S:

Fonte:● Pessoas

Vulnerabilidades: ● Em número insuficiente● Sem capacitação● Perfil inadequado● Desmotivadas● Ardilosas ...

CAUSAS DOS RISCOS


Fonte:● Processos

Vulnerabilidades:

● Mal concebidos (fluxo, desenho, centralização, custosos...)● Sem manuais ou instruções formalizadas (procedimentos e rotinas)● Ausência de segregação de funções ...



Fonte:● Estrutura organizacional

Vulnerabilidades:

● Falta de clareza quanto à funções e responsabilidades● Deficiências nos fluxos de informação e comunicação● Centralização de responsabilidades● Delegações exorbitantes ...

CAUSAS DOS RISCOS



Fonte:● Tecnologia

Vulnerabilidades:

● Técnica de produção ultrapassada / produto obsoleto● Inexistência de investimentos em pesquisa e desenvolvimento● Tecnologia sem proteção de patentes● Processo produtivo (tecnologia) sem proteção contra espionagem

CAUSAS DOS RISCOS


Identificação do risco e sua causa :

a) Processo: Contratação de curso de capacitação

b) Objetivo do processo:

- Atender os preços médios praticados no mercado

c) Risco inerente: Contratar com preços acima da média de mercado

d) Fator de risco (causa): Falta de realização de pesquisa de preço da contratação

Avaliação de riscos

Art 16 ...

IV – avaliação de riscos: os eventos devem ser avaliados sob a perspectiva de probabilidade e impacto de sua ocorrência. A avaliação de riscos deve ser feita por meio de análises qualitativas, quantitativas ou da combinação de ambas. Os riscos devem ser avaliados quanto à sua condição de inerentes e residuais;

Fonte: INSTRUÇÃO NORMATIVA Nº 01, 10 MAIO 2016

A probabilidade representa a possibilidade de que um determinado evento ocorrerá, enquanto o impacto representa o seu efeito.


Avaliação qualitativa da probabilidade

Descritor Descrição Nível

Muito BaixaEvento extraordinário para os padrões conhecidos da gestão e operação do

processo. Embora possa assumir dimensão estratégica para a manutenção do processo, não há histórico disponível de sua ocorrência...

1

Baixa Evento casual, inesperado. Muito embora raro, há histórico conhecido de sua de ocorrência por parte dos principais gestores e operadores do processo... 2

MédiaEvento esperado, que se reproduz com frequência reduzida, porém constante.

Seu histórico de ocorrência é de conhecimento da maioria dos gestores e operadores do processo...

3

AltaEvento usual, corriqueiro. Devido à sua ocorrência habitual ou conhecida em uma

dezena ou mais de casos, aproximadamente, seu histórico é amplamente conhecido por parte de gestores e operadores do processo...

4

Muito AltaEvento se reproduz muitas vezes, se repete seguidamente, de maneira assídua, numerosa e, não raro, de modo acelerado. Interfere de modo claro no ritmo das

atividades, sendo evidente para os que conhecem o processo...5

Avaliação qualitativa do impacto

Descritor Descrição Nível

Muito Baixo

Degradação de operações, atividades, projetos, programas ou processos da organização, porém causando impactos mínimos nos objetivos (de tempo,

prazo, custo, quantidade, qualidade, acesso, escopo, imagem, etc.) relacionados ao atendimento de metas, padrões ou à capacidade de entrega de

produtos/serviços às partes interessadas (clientes internos/externos, beneficiários).

1

BaixoDegradação de operações, atividades, projetos, programas ou processos da

organização, causando impactos pequenos nos objetivos. 2

MédioInterrupção de operações ou atividades da organização, de projetos, programas

ou processos, causando impactos significativos nos objetivos, porém recuperáveis.

3

AltoInterrupção de operações, atividades, projetos, programas ou processos da organização, causando impactos de reversão muito difícil nos objetivos.

4

Muito AltoInterrupção abrupta de operações, atividades, projetos, programas ou

processos da organização, impactando fortemente outros processos, causando impactos de dificílima reversão nos objetivos.

5

Matriz de Riscos

PROCESSO: CONTRATAÇÃO DE CURSO DE CAPACITAÇÃO

OBJETIVO DO PROCESSO

RISCO INERENTE FATORES DE RISCO

PROB(P)

IMP(I)

AVALIAÇÃO(P x I)

RANKING

Atender os preços médios praticados no mercado

1 - Contratar com preços acima da média de mercado

Falta de realização de pesquisa de preços

Alta = 4 Baixo = 2

8 (Alto) 2

XXXXXXXXXX 2 - XXXXXXXXXX CAUSAS Alta = 4 Alto = 4 16 (Extremo)

1

Diagrama de Verificação do Risco

Legenda Nível de RiscoExtremoAltoMédioBaixo

Impacto

1Muito Baixa

2Baixa

3Média

4Alta

5Muito Alta

Probabilidade

5Muito Alto 5 10 15 20 25

4Alto 4 8 12 16 20

3Médio 3 6 9 12 15

2Baixo 2 4 6 8 10

1Muito Baixo

1 2 3 4 5


Art 2º ...

II - Apetite a risco - nível de risco que uma organização está disposta a aceitar.



Art 16 …

V – resposta a riscos: o órgão/entidade deve identificar qual estratégia seguir (evitar, transferir, aceitar ou tratar) em relação aos riscos mapeados e avaliados. A escolha da estratégia dependerá do nível de exposição a riscos previamente estabelecido pela organização em confronto com a avaliação que se fez do risco;


Resposta a riscos


RESPOSTA AO RISCO:

EVITAR

● Tomar uma ação para evitar totalmente o risco, descontinuando as atividades que geram o risco.

● No setor público, é quase impossível optar por essa resposta em alguns casos, dado que é da sua natureza assumir riscos que os próprios cidadãos não podem assumir individualmente.

TRANSFERIR/COMPARTILHAR

● Compartilhar ou transferir uma parte do risco a terceiros. Exemplos: seguros; contratos com cláusulas específicas ou com garantias; terceirização de atividades ...

● Importante: nem todos os riscos são totalmente transferíveis, em particular o de reputação e imagem, mesmo que a entrega dos serviços seja contratada com um terceiro.

Resposta a riscos


RESPOSTA AO RISCO:

ACEITAR

O risco é aceito ou tolerado sem que nenhuma ação específica seja tomada, porque:● O nível do risco é considerado baixo;● A capacidade da organização para fazer alguma coisa pode ser limitada;● Alguns riscos são tão caros para tratar que, mesmo não sendo toleráveis,

vale mais a pena retê-los e ter um plano “B”, caso se materializem num problema (contingência).

TRATAR/MITIGAR/REDUZIR

● Os gestores públicos adotam providências para reduzir a probabilidade e/ou o impacto dos riscos identificados.

Resposta a riscos


COMO REDUZIR OS RISCOS?

Art 16 ...

VI – atividades de controles internos: são as políticas e os procedimentos estabelecidos e executados para mitigar os riscos que a organização tenha optado por tratar. Também denominadas de procedimentos de controle, devem estar distribuídas por toda a organização, em todos os níveis e em todas as funções. Incluem uma gama de controles internos da gestão preventivos e detectivos, bem como a preparação prévia de planos de contingência e resposta à materialização dos riscos;


Atividades de Controles Internos


MATRIZ DE RISCOS

PROCESSO: CONTRATAÇÃO DE CURSO DE CAPACITAÇÃO

RISCO INERENTE

FATORES DE RISCO

PROBABILIDADE(P)

IMPACTO(I)

AVALIAÇÃO(P x I)

CONTROLE INTERNO

1 - Contratar com preços acima da média de mercado

Falta de realização de pesquisa de preços

Alta = 4 Impacto = 2

8Procedimento pré definido (POP) para

elaboração da requisição

2 - XXXXXXXX CAUSAS Alta = 4 Impacto = 4

16Verificação da

requisição antes da emissão da

NE

Matriz de Riscos

Processo de Gerenciamento de Riscos Processo de Gerenciamento de Riscos

Art 11 ...

III – atividades de controles internos: são atividades materiais e formais, como políticas, procedimentos, técnicas e ferramentas, implementadas pela gestão para diminuir os riscos e assegurar o alcance de objetivos organizacionais e de políticas públicas. Essas atividades podem ser preventivas (reduzem a ocorrência de eventos de risco) ou detectivas (possibilitam a identificação da ocorrência dos eventos de risco), implementadas de forma manual ou automatizada. As atividades de controles internos devem ser apropriadas, funcionar consistentemente de acordo com um plano de longo prazo, ter custo adequado, ser abrangentes, razoáveis e diretamente relacionadas aos objetivos de controle. São exemplos de atividades de controles internos:

a) procedimentos de autorização e aprovação;b) segregação de funções (autorização, execução, registro, controle);c) controles de acesso a recursos e registros;d) verificações;e) conciliações;f) avaliação de desempenho operacional;g) avaliação das operações, dos processos e das atividades; eh) supervisão;

Atividades de Controles Internos

Tipos de Controles

Controles preventivos: desenhado para prevenir resultados indesejados. Reduzem a possibilidade de sua ocorrência.

Controles detectivos: desenhado para detectar fatos indesejáveis. Detectam a ocorrência de um fato.

Controle preventivo: elaboração da requisição de compra com base em POP - Requisitante

Controle detectivo: verificação da requisição antes de registrar a conformidade - Conf Reg Gestão


Art 16 ...

VII – informação e comunicação: informações relevantes devem ser identificadas, coletadas e comunicadas, a tempo de permitir que as pessoas cumpram suas responsabilidades, não apenas com dados produzidos internamente, mas, também, com informações sobre eventos, atividades e condições externas, que possibilitem o gerenciamento de riscos e a tomada de decisão. A comunicação das informações produzidas deve atingir todos os níveis, por meio de canais claros e abertos que permitam que a informação flua emtodos os sentidos;




Art 16 ...

VIII – monitoramento: tem como objetivo avaliar a qualidade da gestão de riscos e dos controles internos da gestão, por meio de atividades gerenciais contínuas e/ou avaliações independentes, buscando assegurar que estes funcionem como previsto e que sejam modificados apropriadamente, de acordo com mudanças nas condições que alterem o nível de exposição a riscos.Parágrafo Único. Os gestores são os responsáveis pela avaliação dos riscos no âmbito das unidades, processos e atividades que lhes são afetos. A alta administração deve avaliar os riscos no âmbito da organização, desenvolvendo uma visão de riscos de forma consolidada.


Monitoramento

Monitoramento

Responsável pelo processo:

● Registrar (documentar) a ocorrência dos fatores e eventos de risco;

● Verificar se as atividades de controle estão ocorrendo em todos os processo (disciplina);

● Analisar se os controles internos aplicados estão funcionando; e

● Propor o aperfeiçoamento dos controles internos do processo

Melhoria Contínua do Processo

Recomendar à Agência Nacional de Vigilância Sanitária (ANVISA) que:

9.1.1 implemente política de gestão de riscos corporativos que: identifique os principais riscos que comprometam o alcance dos objetivos da instituição; avalie os riscos encontrados em relação à probabilidade e ao impacto; promova, considerando os custos e benefícios, plano de tratamento aos riscos; realize o monitoramento dos principais riscos; atribua responsabilidade no processo de gerenciamento de riscos; e seja comunicada internamente;9.1.2 proceda à estruturação, sistematização e implementação de um processo de gestão de riscos por meio da utilização de métodos, técnicas e ferramentas de apoio para identificação, avaliação e implementação de respostas a riscos;Fonte: Acórdão nº 673/2015 - Plenário

Recomendar à Presidência da República:

9.2 por meio da Casa Civil, que altere o estatuto social da ECT, ampliando a competência do Conselho de Administração da empresa, disposta no art. 20, inciso V, alínea b, do Anexo ao Decreto 8.016/2013, de modo a abranger a identificação, avaliação, tratamento e monitoramento de todas as categorias de riscos a que está exposta a entidade, e não somente dos riscos estratégicos; Fonte: Acórdão nº 1.220/2015 - Plenário

Jurisprudência do TCU


Ciclo PDCA:

● Ciclo de Shewhart ou ciclo de Deming;

● Introduzido no Japão após a II Guerra Mundial;

● Tem como princípio tornar mais claro e ágeis os processos;

● Tem como premissa a melhoria contínua de qualquer processo;

● ISO 31.000 aplica o ciclo PDCA no processo de gestão de Riscos;

● Composição: Planejamento (Plan), Execução (Do), Revisão (Check) e Ação (Act)

Ciclo PDCA

Ambiente Interno


Identificação de eventos

Avaliação dos riscos

Respostas aos riscos

Atividades de controles internos


Monitoramento

Melhoria contínua da estrutura

Plano de Gerenciamento de Risco

O gerenciamento de risco é uma atividade contínua, e deve fazer parte da cultura e atitude da organização. Uma boa prática pede que seja formalizado em um plano em que ele seja continuamente revisado.

Para implantação de um processo de gestão de riscos é necessário à sensibilização da organização quanto sua importância. Deve fazer parte das atividades diárias dos gestores.

Plano de Gerenciamento de Riscos (composição):

Seção I - Introdução

● Responsabilidades● Cronograma● Objetivos a serem alcançados● Apetite ao risco

Seção II - Avaliação dos Riscos

● Identificação e avaliação dos riscos

Seção III - Definição de controle do risco

● Resposta ao risco● Controles internos da gestão● Monitoramento

Seção IV - Plano de Contingência

Plano de Gerenciamento de Riscos

PLANO DE AÇÃO

Ação a realizar? Quem? Como? Onde? Por quê? Custos Prazos

Reunião inicial

Cmt, EM e todos Ch Seção

Trabalho em grupo

Sala de reunião do Cmt

Definir responsabilidades xxxxxx Janeiro A

Fixar objetivos OM e dos processos

Cmt, EM e todos Ch Seção

Brainstorming (Base SWOT, visão e missão)

Sala de reunião do Cmt

Riscos identificados com base nos objetivos

xxxxxx Janeiro A


Todos os responsáveis por processo

Reunião - Brainstorming

Seções dos responsáveis por processo

Identificar os riscos dos processos

xxxxxx Janeiro A

Responsabilidade pela Gestão de Riscos

Art. 19. O dirigente máximo da organização é o principal responsável pelo estabelecimento da estratégia da organização e da estrutura de gerenciamento de riscos, incluindo o estabelecimento, a manutenção, o monitoramento e o aperfeiçoamento dos controles internos da gestão.

Art. 20. Cada risco mapeado e avaliado deve estar associado a um agente responsável formalmente identificado.§ 1o O agente responsável pelo gerenciamento de determinado risco deve ser o gestor com alçada suficiente para orientar e acompanhar as ações de mapeamento, avaliação e mitigação do risco.§ 2o São responsabilidades do gestor de risco:I – assegurar que o risco seja gerenciado de acordo com a política de gestão de riscos da organização;II – monitorar o risco ao longo do tempo, de modo a garantir que as respostas adotadas resultem na manutenção do risco em níveis adequados, de acordo com a política de gestão de riscos; eIII – garantir que as informações adequadas sobre o risco estejam disponíveis em todos os níveis da organização.

Gestão de Riscos

PERGUNTAS ?


REFERÊNCIAS

● INSTRUÇÃO NORMATIVA CONJUNTA Nº 01 - CGU/MPOG, 10 MAIO 16

● NORMA ISO 31.000/2009

● CRITÉRIOS GERAIS DE CONTROLES INTERNOS NA APF, TCU, 2009.

● SUMÁRIO EXECUTIVO COSO ERM 2004

● JURISPRUDÊNCIA DO TRIBUNAL DE CONTAS DA UNIÃO

● MATERIAL DIDÁTICO DO CURSO DE ESPECIALISTAS EM CONTROLES INTERNOS, 2015 - ICI BRASIL

GESTÃO DE RISCOS

Documents

GESTÃO DE RISCOS - … · Um equipe de trabalhadores do Piper Alpha Oil, ... delegação, se for o caso; II – aumentar a probabilidade de alcance dos objetivos da organização,