MINISTÉRIO DA DEFESA EXÉRCITO BRASILEIRO … que faz, do desenvolvimento e da implementação de estratégias às suas atividades do dia-a-dia. Sua filosofia de gestão de riscos

MINISTÉRIO DA DEFESA

EXÉRCITO BRASILEIRO

COMANDO DO EXÉRCITO

APOSTILA DE GESTÃO DE RISCOS1ª VERSÃO

1

CHEFE DO CENTRO DE CONTROLE INTERNO DO EXÉRCITO

General de Divisão LUIZ ARNALDO BARRETO ARAUJO

Equipe Responsável

Coronel Adelson Robbi

Major Jorge Rodrigo Faria

Major Celso Rossato Santi

Major Fabio de Moura Sousa

Confecção e diagramação

Seção de Planejamento e Estudos

2

Sumário

1. PREMISSAS E OBJETIVOS 4

2. CONCEITOS 4

3. GESTÃO DE RISCOS 6

4. COMPONENTES DA GESTÃO DE RISCOS 7

5. AMBIENTE INTERNO 8

6. FIXAÇÃO DE OBJETIVOS 10

7. IDENTIFICAÇÃO DE EVENTOS 11

8. AVALIAÇÃO DE RISCOS 12

9. RESPOSTAS A RISCOS 20

10. ATIVIDADES DE CONTROLE 21

11. INFORMAÇÕES E COMUNICAÇÕES 24

12. MONITORAMENTO 24

13. DISPOSIÇÕES FINAIS 28

14. REFERÊNCIAS BIBLIOGRÁFICAS 29

3

APOSTILA DE GESTÃO DE RISCOS

1. PREMISSAS E OBJETIVOS

1.1. A Apostila de Gestão de Riscos tem como premissas o alinhamento às estratégias, asistematização, o comprometimento dos gestores e a integração aos processos organizacionais e àtomada de decisões.

1.2. São objetivos da Apostila de Gestão de Riscos apresentar metodologia, critérios e técnicas paraa aplicação prática da Gestão de Riscos, bem como orientar a identificação, a análise, a avaliação, otratamento, o monitoramento e a comunicação dos riscos institucionais.

1.3. Esta Apostila compõe o material didático do Curso de Controles Internos da Gestão ministradopelo Centro de Controle Interno do Exército.

2. CONCEITOS

2.1. Para fins desta Apostila, considera-se:

a) Accountability: conjunto de procedimentos adotados pelas organizações públicas e pelosindivíduos que as integram que evidenciam sua responsabilidade por decisões tomadas e açõesimplementadas, incluindo a salvaguarda de recursos públicos, a imparcialidade e o desempenho dasorganizações;

b) Governança: combinação de processos e estruturas implantadas pela alta administração, parainformar, dirigir, administrar e monitorar as atividades da organização, com o intuito de alcançar osseus objetivos;

c) Governança no setor público: compreende essencialmente os mecanismos de liderança,estratégia e controle postos em prática para avaliar, direcionar e monitorar a atuação da gestão, comvistas à condução de políticas públicas e à prestação de serviços de interesse da sociedade. Noâmbito do Exército, a governança é exercida pelo seu Comandante, assessorado pelo Alto Comandodo Exército;

d) Risco: possibilidade de ocorrência de um evento que venha a ter impacto no cumprimento dosobjetivos. O risco é medido em termos de probabilidade e de impacto;

e) Risco inerente: risco a que uma organização está exposta sem considerar quaisquer açõesgerenciais que possam reduzir a probabilidade de sua ocorrência ou seu impacto;

f) Risco residual: risco a que uma organização está exposta após a implementação de açõesgerenciais para o tratamento do risco;

g) Evento: ocorrência ou alteração em um conjunto específico de circunstâncias capaz de causarimpacto;

h) Causa ou fator de risco: condição que pode dar origem à possibilidade de um evento acontecer.Pode ter origem no ambiente interno ou externo;

i) Consequência do risco: resultado de um evento sobre os objetivos;

4

j) Probabilidade: quantificação da possibilidade de ocorrência do evento;

k) Impacto: consequência resultante da ocorrência do evento sobre os objetivos;

l) Incerteza: incapacidade de saber com antecedência a real probabilidade ou impacto de eventosfuturos;

m) Mensuração de risco: significa estimar a importância de um risco e calcular a probabilidade e oimpacto de sua ocorrência;

n) Gestão de riscos: processo para identificar, avaliar, administrar e controlar potenciais eventos ousituações, para fornecer razoável certeza quanto ao alcance dos objetivos da organização;

o) Apetite a risco: nível de risco que uma organização está disposta a aceitar;

p) Tolerância a risco: limiar de risco, a partir do qual, certos resultados das operações daorganização podem ser comprometidos. É um indicativo da sensibilidade da organização em relaçãoaos riscos;

q) Fraude: quaisquer atos ilegais caracterizados por desonestidade, dissimulação ou quebra deconfiança. Estes atos não implicam o uso de ameaça de violência ou de força física. Fraude é umtipo específico de risco; e

r) Controles internos da gestão: conjunto de regras, procedimentos, diretrizes, protocolos, rotinasde sistemas informatizados, conferências e trâmites de documentos e informações, entre outros,operacionalizados de forma integrada pelo Comandante e por seus subordinados, destinados aenfrentar os riscos e fornecer segurança razoável de que, na consecução da missão da OrganizaçãoMilitar, os seguintes objetivos gerais sejam alcançados:

Execução ordenada, ética, econômica, eficiente e eficaz das operações;

Cumprimento das obrigações de accountability;

Cumprimento das leis e regulamentos; e

Salvaguarda dos recursos para evitar perdas, mau uso e danos.

2.2. O estabelecimento de controles internos no âmbito da gestão pública visa essencialmente aaumentar a probabilidade de que os objetivos e metas estabelecidos sejam alcançados, de formaeficaz, eficiente, efetiva e econômica.

5

3. GESTÃO DE RISCOS

3.1. A Gestão de Riscos é um processo conduzido pelo Exército Brasileiro, desde o Comitê deGovernança, Riscos e Controles até o Gestor de Riscos, no estabelecimento de estratégias,formuladas para identificar em toda a Instituição eventos em potencial, capazes de afetá-la, eadministrar os riscos de modo a mantê-los compatíveis com o apetite a risco estabelecido naPolítica de Gestão de Riscos do Exército e possibilitar garantia razoável do cumprimento dos seusobjetivos.

3.2. A definição da Gestão de Riscos reflete certos conceitos fundamentais. A gestão de riscos é:

a) Um processo contínuo e que flui através do Exército;

b) Conduzida por militares e civis em todos os níveis da Instituição;

c) Aplicada à definição das estratégias;

d) Formulada para identificar eventos em potencial, cuja ocorrência poderá afetar as OrganizaçõesMilitares, e para administrar os riscos de acordo com o apetite a risco do Exército;

e) Capaz de propiciar garantia razoável quanto o alcance dos objetivos; e

f) Orientada para a realização de objetivos em uma ou mais categorias distintas, mas dependentes.

3.3. Com base na missão ou visão estabelecida pelo Exército, a Alta Administração do Exército (ouComitê de Governança, Riscos e Controles) estabelece os planos principais, seleciona as estratégiase determina o alinhamento dos objetivos nos níveis da Instituição. Essa estrutura de gestão de riscosé orientada a fim de alcançar os objetivos de uma Organização Militar, classificados em quatrocategorias:

a) Estratégicos: atingimento das metas gerais, alinhadas com o que suportem à sua missão;

b) Operacionais: utilização eficaz e eficiente dos recursos;

c) De Comunicação: confiabilidade de relatórios; e

d) De Conformidade: cumprimento de leis e regulamentos aplicáveis.

3.4. Quando se constata que a gestão de riscos é eficaz em cada uma das quatro categorias deobjetivos, isso significa que o Comandante do Exército e a Alta Administração (ou Comitê deGovernança, Riscos e Controles) terão garantia razoável de que entenderam até que ponto, osobjetivos estratégicos e operacionais estão realmente sendo alcançados, o sistema de comunicaçãoda Instituição é confiável e todas as leis e regulamentos cabíveis estão sendo observados.

3.5. A Metodologia de Gestão de Riscos que o Exército adota é a metodologia presente na obra“Gerenciamento de Riscos Corporativos – Estrutura Integrada” publicada pelo Committee ofSponsoring Organizations of The Treadway Commission (COSO).

6

4. COMPONENTES DA GESTÃO DE RISCOS

4.1. A Estrutura do Modelo de Gestão de Riscos é constituída de oito componentes inter-relacionados e integrados com o processo de gestão das Organizações Militares. Esses componentessão:

a) Ambiente interno: inclui, entre outros elementos, integridade, valores éticos e competência daspessoas, maneira pela qual a gestão delega autoridade e responsabilidades, estrutura de governançaorganizacional, políticas e práticas de recursos humanos. O ambiente interno é a base para todos osoutros componentes da estrutura de gestão de riscos, provendo disciplina e prontidão para a gestãode riscos;

b) Fixação de objetivos: todos os níveis do Exército Brasileiro (Alta Administração,Departamentos, Diretorias e Organizações Militares) devem ter objetivos fixados e comunicados. Aexplicitação de objetivos, alinhados à missão e à visão da organização, é necessária para permitir aidentificação de eventos que potencialmente impeçam sua consecução;

c) Identificação de eventos: devem ser identificados e relacionados os riscos inerentes à própriaatividade da organização, em seus diversos níveis;

d) Avaliação de riscos: os eventos devem ser avaliados sob a perspectiva de probabilidade eimpacto de sua ocorrência. A avaliação de riscos deve ser feita por meio de análises qualitativas,fazendo uso de lógica intuitiva com critérios preestabelecidos e escala de valoração para determinaro nível do risco. Os riscos devem ser avaliados quanto à sua condição de inerentes ou residuais;

e) Resposta a riscos: a Organização Militar deve identificar qual estratégia seguir (evitar, mitigar,compartilhar ou aceitar) em relação aos riscos mapeados e avaliados. A escolha da estratégiadependerá do nível de exposição a riscos previamente estabelecido pelo Exército Brasileiro emconfronto com a avaliação que se fez do risco;

f) Atividades de controles internos: são as políticas e os procedimentos estabelecidos e executadospara mitigar os riscos que a organização tenha optado por tratar. Também denominadas deprocedimentos de controle, devem estar distribuídas por toda a organização, em todos os níveis eem todas as funções. Incluem uma gama de controles internos da gestão preventivos e detectivos,bem como a preparação prévia de planos de contingência e resposta à materialização dos riscos;

g) Informação e comunicação: informações relevantes devem ser identificadas, coletadas ecomunicadas, a tempo de permitir que as pessoas cumpram suas responsabilidades, não apenas comdados produzidos internamente, mas, também, com informações sobre eventos, atividades econdições externas, que possibilitem o gerenciamento de riscos e a tomada de decisão. Acomunicação das informações produzidas deve atingir todos os níveis, por meio de canais claros eabertos que permitam que a informação flua em todos os sentidos; e

h) Monitoramento: tem como objetivo avaliar a qualidade da gestão de riscos e dos controlesinternos da gestão, por meio de atividades gerenciais contínuas e/ou avaliações independentes,buscando assegurar que estes funcionem como previsto e que sejam modificados apropriadamente,de acordo com mudanças nas condições que alterem o nível de exposição a riscos.

7

5. AMBIENTE INTERNO

5.1. O Ambiente Interno é a base para todos os outros componentes da Gestão de Riscos, o quepropicia disciplina e estrutura. Esse ambiente influencia o modo pelo qual as estratégias e osobjetivos são estabelecidos, os negócios são estruturados, e os riscos são identificados, avaliados egeridos. Este influencia o desempenho e o funcionamento das atividades de controle, dos sistemasde informação e comunicação, bem como das atividades de monitoramento.

5.2. Sendo influenciado pela história e cultura do Exército, o Ambiente Interno compreende muitoselementos, inclusive os valores éticos da Instituição, a competência e desenvolvimento pessoal, afilosofia da administração para a gestão de riscos, a atribuição de alçada e responsabilidade.

5.3. Os fatores do ambiente interno compreendem a filosofia administrativa da Instituição no quediz respeito aos riscos; o seu apetite a risco; a supervisão do Comitê de Governança, Riscos eControles; a integridade, os valores éticos e a competência dos militares e civis do Exército; e aforma pela qual a Alta Administração atribui alçadas e responsabilidades, bem como organiza edesenvolve o seu pessoal.

5.4. A filosofia de gestão de riscos do Exército é representada pelo conjunto de convicções eatitudes compartilhadas que caracterizam a forma pela qual a Instituição considera o risco em tudoaquilo que faz, do desenvolvimento e da implementação de estratégias às suas atividades do dia-a-dia. Sua filosofia de gestão de riscos reflete em seus valores, influencia a sua cultura e seu estilooperacional, bem como afeta a forma que os componentes de gestão de riscos são aplicadosinclusive como os riscos são identificados, os tipos de riscos aceitáveis e a forma pela qual sãoadministrados.

5.5. O apetite a risco refere-se ao nível de risco que o Exército dispõe-se a aceitar na busca devalor. O apetite a risco reflete na filosofia de gestão de riscos e, por sua vez, influencia a cultura e oestilo operacional.

5.6. O Comitê de Governança, Riscos e Controles do Exército representa uma parte crítica doambiente interno e é capaz de influenciar os seus elementos de forma significativa. A despeito dofato que, historicamente, uma instituição não tenha incorrido em prejuízos e nem se exponha muitoa riscos, os membros do Comitê não devem sucumbir à noção mítica de que eventos que trazemsérias consequências adversas não vão ocorrer no Exército. Eles reconhecem que, embora aInstituição possa ter uma estratégia perfeita, pessoas competentes, processos íntegros e tecnologiaconfiável, ela, como qualquer outra instituição, é vulnerável a risco e necessita de uma gestão deriscos eficaz.

5.7. A estratégia e os objetivos do Exército e o modo pelo qual são implementados baseiam-se empreferências, julgamentos de valor e estilos gerenciais. A integridade e o compromisso da AltaAdministração com valores éticos influenciam essas preferências e esses julgamentos, os quais sãotraduzidos em normas de comportamento. A boa reputação da Instituição pode ser tão valiosa queseus padrões de comportamento devem estender-se além do mero cumprimento de normas.

5.8. A competência profissional dos militares e civis do Exército reflete no conhecimento e nashabilidades necessárias à execução de tarefas designadas. A Alta Administração do Exército decidequão bem essas tarefas necessitam ser executadas, ponderando as estratégias e os objetivos daInstituição, bem como os planos para a sua implementação e realização. A Alta Administração doExército estipula os níveis de competência para determinados trabalhos e traduz esses níveis emhabilidades e conhecimentos necessários, que por sua vez, podem depender do grau de inteligência,

8

treinamento e experiência individual. Os fatores considerados no desenvolvimento dos níveis deconhecimentos e habilidades incluem a natureza e o grau de julgamento utilizado em uma funçãoespecífica.

5.9. A estrutura organizacional do Exército provê o arcabouço para planejar, executar, controlar emonitorar as suas atividades. A estrutura inclui a definição de áreas fundamentais de autoridade eresponsabilidade, bem como a definição de linhas apropriadas de comunicação.

5.10. A atribuição de alçada e responsabilidade inclui até que ponto pessoas e equipes estãoautorizadas e são incentivadas a adotar sua própria iniciativa ao abordar questões, bem como asolucionar problemas e os limites dessa autoridade. A delegação de autoridade significa passar ocontrole central de determinadas decisões aos escalões inferiores – para o pessoal que está maispróximo das atividades cotidianas.

5.11. O desafio crucial é delegar apenas até o grau necessário ao alcance dos objetivos, a fim deassegurar que o processo decisório esteja embasado em práticas sadias de identificação e avaliaçãode riscos, inclusive o dimensionamento de riscos e a comparação entre o potencial de prejuízo comos ganhos na determinação de quais riscos aceitar e de como serão administrados.

5.12. Outro desafio é assegurar que todo o pessoal entenda os objetivos da Instituição. É essencialque as pessoas entendam de que forma suas ações se inter-relacionam e contribuem para arealização dos objetivos.

9

6. FIXAÇÃO DE OBJETIVOS

6.1. A fixação de objetivos é uma precondição à identificação de eventos, à avaliação de riscos e àsrespostas aos riscos. É necessário que os objetivos existam para que a Organização Militar possaidentificar e avaliar os riscos quanto a sua realização, bem como adotar as medidas necessárias paraadministrá-los.

6.2. A definição dos processos críticos, que mais impactam no atingimento dos objetivos da OM,poderá ser feita estabelecendo uma correlação entre os processos e os objetivos da OM. O resultadoserá uma matriz que prioriza os processos mais críticos a serem analisados, conforme Tabela 1.

Tabela 1 – Priorização dos Processos Críticos

Objetivos Total darelaçãoO1 O2 O3 O4 O5

Processos

P1 5 3 5 - 5 18

P2 3 - 5 5 3 16

P3 5 1 - 3 5 14

P4 - 1 5 5 3 14

Legenda: P=processo; O=objetivo

Relação Processo x Objetivo Pontos

Forte 5

Média 3

Fraca 1

Sem relação -

Fonte: Adaptado de ENAP (2016)

6.3. Após a priorização dos processos mais críticos a serem analisados, devem-se definir osobjetivos do processo em análise. Exemplo:

a) Processo: Oficialização da demanda

b) Objetivos:

(01) Solicitar a aquisição de produtos e serviços para atender uma necessidade da requisitante comprodutos e/ou serviços;

(02) Descrever adequadamente o objeto da aquisição;(03) Levantar a quantidade necessária para atender a demanda;

(04) Informar o prazo para o recebimento de produtos e serviços com base na utilização dosmesmos;(05) Justificar a necessidade de aquisição;

(06) Realizar pesquisa de preço; e(07) Solicitar a aquisição em conformidade com leis e regulamentos.

10

7. IDENTIFICAÇÃO DE EVENTOS

7.1. A OM identifica os eventos em potencial que, se ocorrerem, afetarão a organização, porpossuírem efeitos adversos na sua capacidade de implementar adequadamente a estratégia ealcançar os objetivos. Estes eventos representam riscos que exigem avaliação e resposta da OM. AFigura 1 apresenta uma visão ampla sobre os conceitos de risco, evento, causa, consequência,probabilidade e impacto.

Figura 1 – Esquema do Risco

Fonte: CCIEx (2016)

7.2. Todo processo tem uma razão de ser que deve estar intimamente relacionado aos objetivosestratégicos. Definimos isto como objetivos do processo que precisam ser conhecidos. Com basenestes objetivos, identificamos os riscos inerentes ao processo, isto é, o que pode acontecer queimpacte no alcance dos objetivos do processo, de acordo com o exemplo da Tabela 2.

Tabela 2 – Identificação dos Riscos Inerentes

Objetivos do processo Nº Obj Riscos inerentes aos objetivos Nº Risco

Solicitar a aquisição de produtos e serviçospara atender uma necessidade da requisitante

com produtos e/ou serviçosO1

Requisição confeccionada por quem não necessita deproduto/serviço

R1

Descrever adequadamente o objeto daaquisição

O2 Não descrever adequadamente o objeto da aquisição R2

Levantar a quantidade necessária para atendera demanda

O3Não levantar a quantidade necessária para atender a

demandaR3

Informar o prazo para o recebimento deprodutos e serviços com base na utilização

dos mesmosO4

Não informar o prazo para o recebimento de produtose serviços com base na utilização dos mesmos

R4

Justificar a necessidade de aquisição O5 Ausência de justificativa da necessidade de aquisição R5

Realizar pesquisa de preço O6Ausência de pesquisa de preço ou pesquisa de preço

mal executadaR6

Solicitar a aquisição em conformidade comleis e regulamentos

O7Solicitação em desconformidade com leis e

regulamentosR7

Fonte: CCIEx (2016)

7.3. A utilização de numeradores nos objetivos, riscos, fatores de risco e controles facilitará agestão de riscos da OM.

11

8. AVALIAÇÃO DE RISCOS

8.1. Uma infinidade de causas internas e externas (fatores de risco) impulsiona os riscos que afetama implementação da estratégia e o cumprimento dos objetivos. Como parte da gestão de riscos, aOM deve reconhecer a importância de compreender essas causas e o risco que pode emanar delas.

8.2. A OM pode optar pela técnica do Diagrama de Causa e Efeito (Figura 2), chamada Diagramade Ishikawa ou de Espinha de Peixe, para poder entender quais são os fatores de risco queinfluenciam a concretização de cada risco.

Figura 2 – Diagrama de Causa e Efeito

Fonte: CCIEx (2016)

8.3. Os fatores de risco são compostos pela vulnerabilidade existente em uma determinada Fonte deRisco.

8.4. A Fonte de Risco é um elemento que, individualmente ou combinado, tem o potencialintrínseco para dar origem ao risco:

a) Pessoas – que podem não estar capacitadas, ou vir a cometer erro não-intencional ou fraude;

b) Processos – que podem apresentar problemas de modelagem, transação, conformidade, controleou técnica apropriada;

c) Sistemas de gestão;

d) Infraestruturas física e organizacional – que podem ser departamentalizadas ou descentralizadas;

e) Tecnologia de produto ou de produção – equipamentos; sistemas informatizados e confiabilidadeda informação; e

f) Eventos externos – que não são gerenciáveis.

8.5. A OM poderá criar um portfólio de fatores de riscos que facilitará na análise de causa e efeitoda relação entre os fatores de riscos e os riscos de um determinado processo. A Tabela 3 ilustra umexemplo de portfólio de fatores de risco.

12

Tabela 3 – Portfólio de Fatores de Risco

FATOR DE RISCO (CAUSA)Nº

FONTE VULNERABILIDADE

PESSOAS

PESSOAL SEM CAPACITAÇÃO FR1

PESSOAL COM PERFIL INADEQUADO PARA EXECUÇÃO DO PROCESSO FR2

PESSOAL EM NÚMERO INSUFICIENTE FR3

PESSOAL ARDILOSO FR4

PESSOAL DESMOTIVADO FR5

PROCESSOS

FLUXO DO PROCESSO MAL CONCEBIDO FR6

AUSÊNCIA DE PROCEDIMENTOS FORMALIZADOS FR7

AUSÊNCIA DE SEGREGAÇÃO DE FUNÇÕES FR8

SISTEMASINFORMATIZDOS

AUSÊNCIA DE SISTEMA PARA GESTÃO DO PROCESSO FR9

AUSÊNCIA DE INTEGRAÇÃO COM OUTROS SISTEMAS FR10

PROBLEMA NA REDE DE DADOS FR11

UTILIZAÇÃO DE PLANILHAS DE CONTROLE FR12

ERRO NA FÓRMULA DAS PLANILHAS FR13

OMISSÃO DE INFORMAÇÕES FR14

AUSÊNCIA DE MANUAIS DE OPERAÇÃO FR15

INEXISTÊNCIA DE CONTROLES DE ACESSO LÓGICO FR16

AUSÊNCIA DE BACKUPS FR17

ESTRUTURAORGANIZACIONAL

DEFICIÊNCIAS NOS FLUXOS DE INFORMAÇÃO E COMUNICAÇÃO FR18

FALTA DE CLAREZA QUANTO ÀS FUNÇÕES E RESPONSABILIDADES FR19

CENTRALIZAÇÃO DE RESPONSABILIDADES FR20

DELEGAÇÕES EXORBITANTES FR21

ESTRUTURA FÍSICA

LOCALIZAÇÃO INADEQUADA FR22

INSTALAÇÕES OU LEIAUTE INADEQUADOS FR23

INEXISTÊNCIA DE CONTROLES DE ACESSO FÍSICO FR24

TECNOLOGIA DEPRODUTO OU DE

PRODUÇÃO

TÉCNICA DE PRODUÇÃO ULTRAPASSADA/PRODUTO OBSOLETO FR25

INEXISTÊNCIA DE INVESTIMENTOS EM PESQUISA E DESENVOLVIMENTO FR26

TECNOLOGIA SEM PROTEÇÃO DE PATENTES FR27

PROCESSO PRODUTIVO (TECNOLOGIA SEM PROTEÇÃO CONTRAESPIONAGEM)

FR28

Fonte: CCIEx (2016)

13

8.6. A Figura 3 apresenta um exemplo de um Diagrama de Causa e Efeito, onde se sinaliza a Fontede Risco, a Vulnerabilidade, o Fator de Risco e o Risco.

Figura 3 – Portfólio de Fatores de Risco

Fonte: CCIEx (2016)

8.7. A OM poderá utilizar a técnica de análise de fluxo de processo, que reúne as entradas, astarefas, as responsabilidades e as saídas que se combinam para formar um processo. Devem serconsiderados os fatores de risco internos e externos (redflags), que afetam as entradas ou asatividades em um processo, ao se identificar os riscos (redflags) que podem afetar o cumprimentodos objetivos deste processo, conforme ilustrado no Anexo A.

8.8. Entende-se por riscos inerentes, a avaliação dos riscos sem considerar a execução de controlespara mitigá-los. Dentro desse conceito é necessário elaborar a avaliação de riscos inerentes(probabilidade x impacto), cujo resultado será o nível de risco (magnitude) consolidado numamatriz de riscos inerentes.

8.9. A análise de riscos visa auxiliar na definição de prioridades e opções de tratamento aos riscosidentificados. A metodologia a ser utilizada pela OM para a avaliação de riscos possui doisparâmetros claros a serem estudados, conforme ilustrado na Figura 4:

a) Saber qual a chance, a probabilidade, dos riscos virem a acontecer, frente à condição existente decada processo e área de negócio; e

b) Calcular o impacto, as consequências para o processo impactado.

Figura 4 – Avaliação de Riscos (Probabilidade e Impacto)

Fonte: CCIEx (2016)

8.10. O impacto sobre os objetivos de um processo poderá acontecer em uma ou mais dimensões,tais como: prazo, orçamentário-financeiro, qualidade, escopo, imagem ou reputação, etc.

14

Probabilidade

Avaliação de riscos

Impacto

8.11. Para determinar os níveis de risco, é preciso definir escalas para estimar a probabilidade e oimpacto, bem como estabelecer quando a combinação desses dois fatores representa um risco baixo,médio, alto, etc.

8.12. As Tabelas 4, 5 e 6 exemplificam as escalas qualitativas que auxiliam na estimativa deprobabilidades e impactos de eventos, bem como uma Matriz de Riscos Inerentes (Probabilidade xImpacto), definindo níveis de risco (magnitude) decorrentes da combinação desses dois fatores.

Tabela 4 – Avaliação qualitativa da Probabilidade

Descritor Descrição Nível

Muito alta Evento se reproduz muitas vezes, se repete seguidamente, de maneira assídua,numerosa e, não raro, de modo acelerado. Interfere de modo claro no ritmo dasatividades, sendo evidente para os que conhecem o processo.

5

Alta Evento usual, corriqueiro. Devido à sua ocorrência habitual ou conhecida em umadezena ou mais de casos, aproximadamente, seu histórico é amplamente conhecidopor parte de gestores e operadores do processo.

4

Média Evento esperado, que se reproduz com frequência reduzida, porém constante. Seuhistórico de ocorrência é de conhecimento da maioria dos gestores e operadores doprocesso.

3

Baixa Evento casual, inesperado. Muito embora raro, há histórico conhecido de sua deocorrência por parte dos principais gestores e operadores do processo.

2

Muito baixaEvento extraordinário para os padrões conhecidos da gestão e operação doprocesso. Embora possa assumir dimensão estratégica para a manutenção doprocesso, não há histórico disponível de sua ocorrência.

1

Fonte: CCIEx (2016)

Tabela 5 – Avaliação qualitativa do Impacto

Descritor Descrição Nível

Muito alta Interrupção abrupta de operações, atividades, projetos, programas ou processos daorganização, impactando fortemente outros processos, causando impactos dedificílima reversão nos objetivos.

5

Alta Interrupção de operações, atividades, projetos, programas ou processos daorganização, causando impactos de reversão muito difícil nos objetivos.

4

Média Interrupção de operações ou atividades da organização, de projetos, programas ouprocessos, causando impactos significativos nos objetivos, porém recuperáveis.

3

Baixa Degradação de operações, atividades, projetos, programas ou processos daorganização, causando impactos pequenos nos objetivos.

2

Muito baixa

Degradação de operações, atividades, projetos, programas ou processos daorganização, porém causando impactos mínimos nos objetivos (de tempo, prazo,custo, quantidade, qualidade, acesso, escopo, imagem, etc.) relacionados aoatendimento de metas, padrões ou à capacidade de entrega de produtos/serviços àspartes interessadas (clientes internos/externos, beneficiários).

1

Fonte: CCIEx (2016)

15

Tabela 6 – Matriz de Riscos Inerentes (Avaliação de probabilidade e impacto)

Objetivos do processo Nº Obj Riscos inerentes aos objetivos Nº Risco P I P x I Magnitude

Solicitar a aquisição de produtos eserviços para atender uma

necessidade da requisitante comprodutos e/ou serviços

O1Requisição confeccionada por quem

não necessita de produto/serviçoR1 5 1 5 Médio

Descrever adequadamente o objetoda aquisição

O2Não descrever adequadamente o

objeto da aquisiçãoR2 4 4 16 Extremo

Levantar a quantidade necessáriapara atender a demanda

O3Não levantar a quantidade necessária

para atender a demandaR3 5 3 15 Extremo

Informar o prazo para orecebimento de produtos e serviçoscom base na utilização dos mesmos

O4Não informar o prazo para o

recebimento de produtos e serviçoscom base na utilização dos mesmos

R4 5 3 15 Extremo

Justificar a necessidade deaquisição

O5Ausência de justificativa da

necessidade de aquisiçãoR5 4 3 12 Alto

Realizar pesquisa de preço O6Ausência de pesquisa de preço oupesquisa de preço mal executada

R6 4 5 20 Extremo

Solicitar a aquisição emconformidade com leis e

regulamentosO7

Solicitação em desconformidadecom leis e regulamentos

R7 4 3 12 Alto

Escala: Baixo: 1 e 2; Médio: de 3 a 6; Alto: de 8 a 12; Extremo: de 15 a 25.

Fonte: CCIEx (2016)

8.13. Com o objetivo de visualizar e, ao mesmo tempo, implementar uma forma de tratamento decada risco, o resultado da avaliação dos riscos será apresentado em um mapa de riscos, chamado deDiagrama de Verificação de Riscos (DVR) permitindo o acompanhamento da mitigação ouelevação dos riscos.

8.14. O Diagrama de Verificação de Riscos (Figura 5) demonstra os pontos de cruzamento daprobabilidade de ocorrência e do impacto dos riscos. Desta forma, pela divisão do diagrama emquadrantes, pode-se avaliar a criticidade dos riscos. Quanto maior for a probabilidade e o impactode um risco, maior será seu nível de criticidade.

16

Figura 5 – Diagrama de Verificação de Riscos

Fonte: CCIEx (2016)

8.15. Quanto à criticidade, os riscos possuem as seguintes características:

a) Risco no quadrante vermelho: risco inaceitável, que possui alta probabilidade de ocorrência epoderá resultar em impacto extremamente severo; caso ocorra, exige tratamento imediato,colocando-se em execução um plano de ação composto por controle preventivo, para eliminar suascausas ou reduzir sua frequência; controle detectível e plano de contingência para reduzir suaseveridade;

b) Risco no quadrante laranja: pode ser tanto um risco provável, que possui alta probabilidade deocorrência e baixo impacto na consecução dos objetivos; bem como um risco inesperado, quepossui baixa probabilidade de ocorrência e alto impacto na consecução dos objetivos. A estasameaças, deve-se possuir respostas rápidas ao serem detectadas, portanto, devem estar planejadas etestadas em um plano de contingência, emergência, continuidade de negócios, além de açõespreventivas. Diferem-se dos riscos do quadrante vermelho, por terem ações de tratamentoimplementadas com mais planejamento e tempo. São eventos que devem ser constantementemonitorados;

c) Risco no quadrante amarelo: risco que deve ser quantificado e monitorado de forma rotineira esistemática, porque suas consequências são gerenciáveis, podendo também possuir planos decontingência; e

d) Risco no quadrante verde: risco que representa pequeno problema e causa pouco prejuízo,portanto controlável.

8.16. A Figura 6 apresenta um exemplo de avaliação de riscos inerentes, representada numDiagrama de Verificação de Riscos Inerentes.

17

Figura 6 – Diagrama de Verificação de Riscos Inerentes

Fonte: CCIEx (2016)

8.17. O desafio para os Gestores de Risco é reduzir a criticidade do risco em termos deprobabilidade e impacto, colocando-o num nível aceitável.

8.18. Após a finalização da etapa de avaliação dos riscos, inicia-se o processo de avaliação do nívelde riscos dos processos, projetos, áreas ou organizações.

8.19. O Nível de Risco é um índice que deve ser calculado sempre que houver a avaliação deriscos, possibilitando mensurar o nível de criticidade dos processos, projetos, áreas ou organizaçõesanalisados, visando facilitar o monitoramento e acompanhamento da evolução dos riscos. O índice écalculado pela multiplicação da média dos graus de probabilidade com a média dos graus deimpacto dos riscos presentes nos processos, projetos, áreas ou organizações.

8.20. O Nível de Risco pode ser classificado em:

a) Extremo – processos, projetos, áreas ou unidades que tem alto grau de risco e poderão resultarem impacto extremamente severo. Exigem implantação imediata das estratégias de prevenção eproteção, ou seja, ação imediata;

b) Alto – processos, projetos, áreas ou unidades que devem receber tratamento em médio ou curtoprazo. Possuem baixo grau de risco e elevados impactos. São processos, projetos, áreas ou unidadesque devem ser constantemente monitorados;

c) Médio – processos, projetos, áreas ou unidades com alto grau de risco, mas que causamconsequências gerenciáveis à organização. Esses processos, projetos, áreas ou unidades devem sermonitorados de forma rotineira ou sistemática; e

d) Baixo – processos, projetos, áreas ou unidades que estão na zona de conforto, devendo sergerenciados.

8.21. A Tabela 7 apresenta um exemplo de avaliação de nível de risco dos processos.

18

EXTREMO

ALTO

MÉDIO

BAIXO

Tabela 7 – Avaliação de Nível de Risco dos Processos (Riscos Inerentes)

Objetivos do processoNºObj

Riscos inerentes aos objetivos Nº Risco P I P x I Magnitude

Solicitar a aquisição de produtose serviços para atender uma


O1Requisição confeccionada por

quem não necessita deproduto/serviço

R1 5 1 5 Médio

Descrever adequadamente oobjeto da aquisição


objeto da aquisiçãoR2 4 4 16 Extremo


O3Não levantar a quantidade

necessária para atender a demandaR3 5 3 15 Extremo

Informar o prazo para orecebimento de produtos e

serviços com base na utilizaçãodos mesmos

O4

Não informar o prazo para orecebimento de produtos e serviços

com base na utilização dosmesmos

R4 5 3 15 Extremo



necessidade de aquisiçãoR5 4 3 12 Alto


R6 4 5 20 Extremo


regulamentosO7


R7 4 3 12 Alto

Escala: Baixo: de 1 a 2,9; Médio: de 3 a 7,9; Alto: de 8 a 14,9; Extremo: de 15 a 25.

NÍVEL DE RISCO DOPROCESSO

MÉDIA 4,4 3,1 13,6 Alto

Fonte: CCIEx (2016)

8.22. Visando facilitar a descrição de um riscos, as OM poderão utilizar a seguinte sintaxe:

a) Devido a <CAUSA/FONTE>, poderá acontecer <DESCRIÇÃO DA INCERTEZA>, o quepoderá levar a <DESCRIÇÃO DO IMPACTO, CONSEQUÊNCIA, EFEITO> impactando no/na<DIMENSÃO DE OBJETIVO IMPACTADA>

8.23. Para fins ilustrativos, o exemplo abaixo apresenta a descrição de um risco conforme sintaxeapresentada:

a) Objetivo: apresentar propostas para licitações até as datas fixadas em editais. Contexto: dependede cotações de preços de fornecedores.

b) Causa/Fonte: não entrega de cotações de preços por parte de fornecedores.

c) Evento: não participação da empresa em licitações.

d) Consequência: interrupção de atividades

e) Dimensão do objetivo impactada: custo e despesas fixas

f) Descrição do risco: devido a não entrega de cotações de preços por parte de fornecedores, poderáacontecer a não participação da empresa em licitações, o que poderá levar a interrupção deatividades, impactando no custo e nas despesas fixas.

19

9. RESPOSTAS A RISCOS

9.1. Após a finalização do processo relativo ao componente de Avaliação de Riscos, é iniciado oprocesso do componente Respostas a Riscos.

9.2. A OM deve identificar qual estratégia seguir (evitar, transferir, aceitar ou tratar) em relação aosriscos mapeados e avaliados. A escolha da estratégia dependerá do nível de exposição a riscospreviamente estabelecido pela organização em confronto com a avaliação que se fez do risco.

9.3. A priorização deve estar embasada no Diagrama de Verificação de Riscos. O risco noquadrante vermelho deve receber prioridade no tratamento (Figura 7).

Figura 7 – Priorização do Tratamento dos Riscos Inerentes

Fonte: CCIEx (2016)

20

10. ATIVIDADES DE CONTROLE

10.1. Atividades de controles internos são estabelecidas e executados para mitigar os riscos que aOM tenha optado por tratar.

10.2. Incluem uma gama de controles internos da gestão preventivos e detectivos, bem como apreparação prévia de planos de contingência e resposta à materialização dos riscos.

10.3. São exemplos de controles internos da gestão: alçadas, autorizações, conciliações, revisões dedesempenho, segurança física, segregação de função, normas, procedimentos e sistemasinformatizados.

10.4. A fim de possibilitar ao gestor a definição dos controles a serem implementados visando aotratamento dos riscos do processo, dados sobre estes controles são adicionados à matriz de riscosinerentes, com a finalidade de alinhar os controles aos fatores de riscos (causas). Esta nova matriz échamada de Matriz de Riscos e Controles (Anexo B).

10.5. O entendimento sobre o fluxo das atividades do processo e desenho dos controles,classificados como preventivos e detectivos permite avaliar se o dimensionamento destes controlesatendem ou não o objetivo esperado.

10.6. Para auxiliar esta análise utilizam-se as seguintes questões:

a) Controle: é uma ação tomada para certificar-se de que algo se cumpra. Os controles também sãomeios usados para verificar que certa ação é eficiente ao seu propósito. Exemplo: conferência deentradas manuais de dados no sistema;

b) Tipo de controle: manual ou automático (sem intervenção humana);

c) Descritivo do controle: descrição da atividade do controle. Exemplo: conferência por pessoasdistintas de entradas manuais de dados no sistema;

d) Objetivo do controle: objetivo da existência e/ou necessidade do controle. Exemplo: garantir quetoda e qualquer informação inserida no sistema seja íntegra e completa;

e) Periodicidade: periodicidade do uso do controle: diário, quinzenal, mensal, etc; e

f) Categoria do controle: a que tipo de categoria o controle pertence, preventivo ou detectivo.

Preventivo – desenhado para prevenir resultados indesejados. Reduzem a possibilidade de sua ocorrência; e Detectivo – desenhado para detectar fatos indesejáveis. Detectam a manifestação/ocorrência de um risco.

10.7. O esquema abaixo (Figura 8) apresenta a localização dos controles preventivos e detectivosem relação à causa, evento, e consequências.

21

Figura 8 – Controles Preventivos e Detectivos

Fonte: CCIEx (2016)

10.8. A fim de garantir que os riscos possíveis, alinhados a cada objetivo do processo, foramidentificados, analisados e avaliados e que os controles necessários para mitigar os fatores de riscoforam identificados, faz-se necessário realizar uma análise na Matriz de Riscos e Controles (Tabela8).

Tabela 8 – Controles Preventivos e Detectivos

Objetivos doprocesso

NºObj

Riscos inerentesaos objetivos

NºRisco

Fator de Risco (CAUSA)

Nº FR CONTROLENºCFonte Vulnerabilidade

Solicitar aaquisição de

produtos e ser-viços para

atender umanecessidade da

requisitantecom produtose/ou serviços

O1

Requisição con-feccionada porquem não ne-cessita de pro-duto/serviço

R1

Processos

Fluxo do processo malconcebido

FR6Garantir que as ativida-des do processo fluamnuma sequência lógica

C4

Ausência de procedi-mentos formalizados

FR7

Garantir que todos osprocedimentos estejamformalizados em docu-mentos específicosC5

Ausência de segrega-ção de funções

FR8 Não há controle -

EstruturaOrganizacional

Falta de clareza quan-to às funções e res-

ponsabilidadesFR19

Garantir que funções eresponsabilidades este-

jam bem definidasC8

Delegações exorbitan-tes

FR21Garantir que não haja

delegações exorbitantesC9

Levantar aquantidade ne-cessária paraatender a de-

manda

O3 - -

- - - - -

- - - - -

- - - - -

Fonte: CCIEx (2016)

22

10.9. O resultado desta análise resultará em recomendações de melhorias na gestão de riscos, asquais poderão ser implementadas por meio de plano de ação (Tabela 9):

a) Verificar a necessidade de elaborar e implementar um controle para mitigar o FR8 do R1; e

b) Verificar a necessidade de identificar e avaliar os riscos que poderão impactar o objetivo O3.

Tabela 9 – Plano de Ação

Ação arealizar?

Quem? Como? Onde? Por quê? Custos Prazos

Implantarcontrole

Ordenador dedespesa

assessorado peloFiscal

Administrativo

Elaborar eimplementar um

controle paramitigar o FR8 do

R1

Processo deOficializaçãoda Demanda

Existência de fator de risco semtratamento que poderá levar a

concretização de risco quepoderá impactar no atingimento

de objetivo do processo

xxxx jan 17

Identificar eavaliar risco

Ch da Seçãorequisitante

Identificar e avaliaros riscos que

poderão impactar oobjetivo O3


Existência de objetivo doprocesso sem identificação de

nenhum riscoxxxx out 16

Fonte: CCIEx (2016)

23

11. INFORMAÇÕES E COMUNICAÇÕES

11.1. As informações e comunicações estabelecem o processo e a estratégia de comunicação comas partes interessadas. É uma fase que permeia todo o processo de gestão e análise de riscos. Éestratégica, pois sem a comunicação, não existe processo de gestão de riscos, tendo em vista nãosensibilizar os usuários do processo.

11.2. Necessário realizar palestras e treinamentos buscando a sensibilização e a capacitação dosgestores envolvidos no processo, pois a percepção do risco pode variar em função de diferentesconceitos e necessidades, além de questões de interesses das partes envolvidas, por estaremrelacionados ao risco ou aos assuntos em discussão.

11.3. A comunicação eficaz é importante para assegurar que os responsáveis pela implementaçãodos futuros planos de ação compreendam as bases sobre as quais as decisões são tomadas e anecessidade de determinadas ações.

11.4. A OM deve utilizar sua área de comunicação corporativa para operacionalizar o processo de comunicação dos riscos corporativos.

12. MONITORAMENTO

12.1. O monitoramento deve ser planejado como parte do processo e deve envolver a checagem ouvigilância regulares. Pode ser periódico ou acontecer em resposta a um fato específico.

12.2. De forma clara e objetiva o monitoramento envolve dois processos:

a) O primeiro é a verificação se o Plano de Ação proposto está sendo executado. Para isso devemosutilizar os indicadores: Executado, Em Execução e Não Executado. Também devem seracompanhados os resultados das ações e medidas propostas. Devem ser acompanhadas para saber seseus objetivos foram atingidos e, se não foram, quais as dificuldades encontradas e as açõescorretivas; e

b) O segundo processo de monitoramento diz respeito à evolução das condições dos riscosidentificados e analisados. Neste caso deve-se montar um processo de acompanhamento se ascondições listadas no diagrama de causa e efeito sofrem mudanças e/ou alterações do ambiente.

12.3. Este processo de monitoramento é de suma importância e deve ser acompanhado diretamente pelo gestor de riscos (Tabela 10).

24

Tabela 10 – Monitoramento do Plano de Ação

Ação arealizar?

Quem? Como? Onde? Por quê? Custos Prazos Situação

Implantarcontrole

Ordenador dedespesa

assessorado peloFiscal

Administrativo

Elaborar eimplementarum controle

para mitigar oFR8 do R1


Existência de fator de riscosem tratamento que poderá

levar a concretização derisco que poderá impactarno atingimento de objetivo

do processo

xxxx Jan 17Não

executado

Identificar eavaliarrisco

Ch da Seçãorequisitante

Identificar eavaliar osriscos quepoderão

impactar oobjetivo O3


Existência de objetivo doprocesso sem identificação

de nenhum riscoxxxx Out 16

Emexecução

Fonte: CCIEx (2016)

12.4. Durante o monitoramento, realiza-se um procedimento chamado walktrough com o objetivode possibilitar ao gestor o conhecimento do processo, no que tange à eficácia, ineficácia ouinexistência dos controles para que seja construída uma análise de riscos residuais (Tabela 11).

Tabela 11 – Monitoramento do Controle Interno da Gestão

Nºrisco

Nº FR Controle NºC

Tipo Descrição Objetivo docontrole

Periodici-dade

Categoria Resultadodo walk-through

Eficácia>90%

R1 FR6 Garantir queas atividadesdo processofluam numasequência ló-

gica

C4 Manual Checar a sequên-cia lógica das ati-vidades previstasno fluxo do pro-

cesso

Integridadedas infor-mações

Ocasio-nalmente

Preventi-vo

30% Ineficaz

FR19 Garantir quefunções e res-ponsabilida-des estejam

bem definidas

C8 Manual Checar a respon-sabilidade pela

execução da ati-vidade

Conformi-dade com

leis e regu-lamentos

Ocasio-nalmente

Preventi-vo

98% Eficaz

Fonte: CCIEx (2016)

12.5. Esse entendimento sobre o fluxo das atividades e desenho dos controles, classificados comopreventivos ou detectivos, permite avaliar se o dimensionamento destes controles atendem ou não oobjetivo esperado.

12.6. O resultado do walktrhough é a verificação da eficácia do controle, medida em porcentagemde vezes que o controle mitigou o risco. Exemplo: 30%

12.7. O parecer do walktrhough é a descrição da eficácia do controle, comparando o resultado dowalkthrough com o critério estabelecido para eficácia do controle. Exemplo: Controle comresultado de 30%, enquanto o critério de eficácia é de >90%, terá como parecer: ineficaz.

25

12.8. Após o monitoramento do controle por meio do walktrhough, faz-se necessário reavaliar osriscos, ou seja, recalcular a probabilidade e o impacto dos riscos residuais. As notas deprobabilidade e impacto devem ser revistas neste momento, de forma coerente com a avaliaçãorealizada sobre os controles (Tabela 12).

Tabela 12 – Matriz de Riscos Residuais (Avaliação de probabilidade e impacto)



Solicitar a aquisição de produtos eserviços para atender uma



não necessita de produto/serviçoR1 2 1 2 Baixo

Descrever adequadamente o objetoda aquisição


objeto da aquisiçãoR2 2 3 6 Médio


O3Não levantar a quantidade necessária

para atender a demandaR3 3 2 6 Médio

Informar o prazo para o recebimentode produtos e serviços com base na

utilização dos mesmosO4

Não informar o prazo para orecebimento de produtos e serviçoscom base na utilização dos mesmos

R4 3 2 6 Médio

Justificar a necessidade de aquisição O5Ausência de justificativa da

necessidade de aquisiçãoR5 2 3 6 Médio


R6 3 4 12 Alto


regulamentosO7

Solicitação em desconformidade comleis e regulamentos

R7 2 3 6 Médio

Escala: Baixo: 1 e 2; Médio: de 3 a 6; Alto: de 8 a 12; Extremo: de 15 a 25.

Fonte: CCIEx (2016)

12.9. Entende-se por risco residual a avaliação dos riscos após a consideração dos controles. Essesconceitos permitem que os controles sejam avaliados e que sua efetividade seja comprovada duranteos testes das auditorias.

12.10. Após a finalização da etapa de avaliação dos riscos, inicia-se o processo de avaliação donível de riscos dos processos, projetos, áreas ou organizações (Tabela 12).

26

Tabela 12 – Avaliação de Nível de Risco dos Processos (Riscos Residuais)



Solicitar a aquisição de produtose serviços para atender uma



não necessita de produto/serviçoR1 2 1 2 Baixo

Descrever adequadamente oobjeto da aquisição


objeto da aquisiçãoR2 2 3 6 Médio


O3Não levantar a quantidade

necessária para atender a demandaR3 3 2 6 Médio

Informar o prazo para orecebimento de produtos e

serviços com base na utilizaçãodos mesmos

O4Não informar o prazo para o

recebimento de produtos e serviçoscom base na utilização dos mesmos

R4 3 2 6 Médio



necessidade de aquisiçãoR5 2 3 6 Médio


R6 3 4 12 Alto


regulamentosO7


R7 2 3 6 Médio

Escala: Baixo: de 1 a 2,9; Médio: de 3 a 7,9; Alto: de 8 a 14,9; Extremo: de 15 a 25.

NÍVEL DE RISCO DOPROCESSO

MÉDIA 2,5 2,5 6,3 Médio

Fonte: CCIEx (2016)

12.11. Após a avaliação dos riscos residuais, última etapa do último componente, a OM encerra ociclo da Gestão de Riscos, consolidada numa única Matriz de Riscos e Controles e num únicoDiagrama de Verificação de Riscos Consolidados (Figura 9).

Figura 9 – Diagrama de Verificação de Riscos Residuais

27

12.12. Importante frisar que quanto maior for o monitoramento, menor será a exposição a riscos(Figura 10).

Figura 10 – Monitoramento com Walktrhough

Fonte: Adaptado de BRASILIANO (2016)

13. DISPOSIÇÕES FINAIS

13.1. O conteúdo programático do Curso de Controle Internos da Gestão será ministrado de acordocom a metodologia apresentada nesta Apostila.

13.2. Esta Apostila de Gestão de Riscos entra em vigor na data de sua publicação.

Brasília-DF, _____ de _________________de _______

Gen Div LUIZ ARNALDO BARRETO ARAUJOChefe do Centro de Controle Interno do Exército

28

REFERÊNCIAS BIBLIOGRÁFICAS

BRASIL. Ministério da Defesa. Comando do Exército. Portaria nº 813-Cmt Ex, de 28 desetembro de 2012: aprova as Normas para a Realização das Atividades de Auditoria e Fiscalizaçãopelo Controle Interno do Comando do Exército (EB10-N-13.003). Boletim do Exército. Brasília,DF, 2012.

_____. Ministério da Defesa. Comando do Exército. Portaria nº 018-Cmt Ex, de 17 dejaneiro de 2013: aprova o Manual de Auditoria (EB 10-MT-13.001) e dá outras providências.Boletim do Exército. Brasília, DF, 2013.

_____. Tribunal de Contas da União. Revista do Tribunal de Contas da União número132, janeiro/abril 2015. Metodologia de Auditoria com Foco em Processo e Risco. Brasília: TCU,2015. p. 28. Disponível em: <http://portal.tcu.gov.br/publicacoes-institucionais/periodicos-e-series/revista-do-tcu/>.

BRASILIANO, Antônio Celso Ribeiro. GESTÃO DE RISCO DE FRAUDE: Fraud RiskAssessment - FRA. Sicurezza Editora, 2015.

COSO. Committee of Sponsoring Organizations of the Treadway Commission.Gerenciamento de riscos corporativos. Tradução Audibra e PricewaterhouseCopers. São Paulo:[s.n.], 2013, 135 p.

DE CICCO, Francesco. AUDITORIA BASEADA EM RISCOS: Como implementar a ABRnas organizações: uma abordagem inovadora. Risk Tecnologia Editora Ltda, 2007.

29

ANEXO – A

Fluxograma de processo, Fatores de Risco e Riscos

30

31

32

33

Documents

MINISTÉRIO DA DEFESA EXÉRCITO BRASILEIRO … que faz, do desenvolvimento e da implementação de estratégias às suas atividades do dia-a-dia. Sua filosofia de gestão de riscos