Processo de Gerenciamento de Riscos e suas Ferramentas

Transcrição

1 Processo de Gerenciamento de Riscos e suas Ferramentas Apresentação: Jeferson Alves dos Santos Auditor Chefe da UNIFAL-MG Presidente da Associação FONAIMEC Brasília, DF

2 2

3 Modelo de Três Linhas de Defesa Fonte: IIA Brasil 3

4 Conceitos importantes Governança no setor público: compreende essencialmente os mecanismos de liderança, estratégia e controle postos em prática para avaliar, direcionar e monitorar a atuação da gestão, com vistas à condução de políticas públicas e à prestação de serviços de interesse da sociedade. Accountability (Responsabilização): conjunto de procedimentos adotados pela organização e pelos indivíduos que a integram para evidenciar as responsabilidades inerentes por decisões tomadas e ações implementadas, incluindo a salvaguarda de recursos públicos, a imparcialidade e o desempenho. 4

5 Conceitos importantes Atividades de controle interno: são as políticas, normas, procedimentos, rotinas, mecanismos e instrumentos de controle estabelecidos para enfrentar os riscos e alcançar os objetivos organizacionais. Controles internos da gestão: conjunto de regras, procedimentos, diretrizes, protocolos, rotinas de sistemas informatizados, conferências e trâmites de documentos e informações, entre outros, efetivados de forma integrada pela direção e pelo corpo de servidores das organizações, destinados a enfrentar os riscos e a fornecer segurança razoável para a consecução da missão e do propósito organizacionais. 5

6 Conceitos importantes Política de gestão de integridade, riscos e controles internos da gestão: declaração das intenções e diretrizes gerais relacionadas à integridade, riscos e controles. Gestão de riscos: processo para identificar, avaliar, administrar e controlar potenciais eventos ou situações, para fornecer razoável certeza no alcance dos objetivos da organização. Processo de gestão de riscos: aplicação sistemática de políticas, procedimentos e práticas de gestão para as atividades de identificação, avaliação, tratamento e monitoramento de riscos, bem como de comunicação com partes interessadas em assuntos relacionados a risco. 6

7 Conceitos importantes Gestão da Integridade: conjunto de medidas adotadas para assegurar os mais altos padrões éticos e de confiabilidade na condução do negócio. Fraude: quaisquer atos ilegais caracterizados por desonestidade, dissimulação ou quebra de confiança. Estes atos não implicam o uso de ameaça de violência ou de força física. Nível de risco: magnitude de um risco, expressa em termos da combinação de suas consequências e probabilidades de ocorrência. Apetite a risco: nível de risco que a organização está disposta a aceitar para atingir seus objetivos. Tolerância a risco: nível de resiliência da organização para suportar o seu apetite a risco. 7

8 Conceitos importantes Identificação de riscos: processo de busca, reconhecimento e descrição de riscos, que envolve a identificação de suas fontes, causas e consequências potenciais. A identificação de riscos pode envolver dados históricos, análises teóricas, opiniões de pessoas informadas e de especialistas, e as necessidades das partes interessadas. Mensuração de risco: significa estimar a importância de um risco e calcular a probabilidade de sua ocorrência. Fonte de Risco: Fonte de Risco é um elemento que, individualmente ou combinado, tem o potencial intrínseco para dar origem ao risco. Uma fonte de risco pode ser tangível ou intangível. Tratamento ao risco: processo para estipular uma resposta ao risco. 8

9 Conceitos importantes Risco inerente: risco a que uma organização está exposta sem considerar quaisquer ações gerenciais que possam reduzir a probabilidade dos riscos ou seu impacto; é o risco existente antes da adoção de ações de resposta ao risco. Risco residual: risco a que uma organização está exposta após a implementação de ações gerenciais para o tratamento do risco; é o risco remanescente após a adoção de ações de resposta ao risco. Riscos de imagem/reputação: eventos que podem comprometer a confiança da sociedade (ou de parceiros, de clientes ou de fornecedores) em relação à capacidade da entidade em cumprir sua missão institucional. 9

10 Conceitos importantes Riscos legais: eventos derivados de alterações ou de não observância legislativas ou normativas que podem comprometer as atividades da entidade, e até a sua continuidade. Riscos financeiros/orçamentários: eventos que podem comprometer a capacidade organizacional de contar com os recursos orçamentários e financeiros necessários à realização de suas atividades, ou eventos que possam comprometer a própria execução orçamentária, como atrasos no cronograma de licitações. Riscos operacionais: eventos que podem comprometer as atividades da organização, normalmente associados a falhas, deficiências ou inadequações de processos internos, pessoas, infraestrutura e sistemas. 10

11 Evolução Histórica: Controle & Risco 11

12 Evolução Histórica: Controle interno e gestão de riscos COSO ICIF e ERM: 1992, 2004, 2013, 2017 Orange Book: 2001, 2004 ISO 31000: 2009,

13 Evolução Histórica: Controle interno e gestão de riscos Evolução História: Instrução Normativa conjunta n 1, de 10 de maio 2016 Dispõe sobre controles internos, gestão de riscos e governança no âmbito do poder executivo federal 13

14 Decreto 9.203/2017 Política de Governança Decreto n 9.203, de 22/11/2017 Dispõe sobre a política de governança da administração pública federal direta, autárquica e fundacional 14

15 Evolução Histórica: Controle interno e gestão de riscos Evolução histórica: instrução normativa conjunta nº 1, de 10 de maio de 2016 Dispõe sobre controles internos, gestão de riscos e governança no âmbito do Poder Executivo federal 15

16 IN CONJUNTA nº 01/ ESTRUTURA 16

17 IN CONJUNTA nº 01/ ESTRUTURA Capítulo III DA GESTÃO DE RISCOS Art. 13. Os órgãos e entidades do Poder Executivo federal deverão implementar, manter, monitorar e revisar o processo de gestão de riscos, compatível com sua missão e seus objetivos estratégicos, observadas as diretrizes estabelecidas nesta Instrução Normativa. 17

18 Objetivos 18

19 Objetivo Meta ou propósito que se deseja alcançar de forma a se obter êxito no cumprimento da missão e no alcance da visão de futuro da organização

20 Objetivos 20

21 IN CONJUNTA nº 01/2016 Dos Princípios da Gestão de Riscos Art. 14. A gestão de riscos do órgão ou entidade observará os seguintes princípios: I gestão de riscos de forma sistemática, estruturada e oportuna, subordinada ao interesse público; II estabelecimento de níveis de exposição a riscos adequados; III estabelecimento de procedimentos de controle interno proporcionais ao risco, observada a relação custo-benefício, e destinados a agregar valor à organização; IV utilização do mapeamento de riscos para apoio à tomada de decisão e à elaboração do planejamento estratégico; e V utilização da gestão de riscos para apoio à melhoria contínua dos processos organizacionais. 21

22 IN CONJUNTA nº 01/2016 Art. 15. São objetivos da gestão de riscos: I assegurar que os responsáveis pela tomada de decisão, em todos os níveis do órgão ou entidade, tenham acesso tempestivo a informações suficientes quanto aos riscos aos quais está exposta a organização, inclusive para determinar questões relativas à delegação, se for o caso; II aumentar a probabilidade de alcance dos objetivos da organização, reduzindo os riscos a níveis aceitáveis; e III agregar valor à organização por meio da melhoria dos processos de tomada de decisão e do tratamento adequado dos riscos e dos impactos negativos decorrentes de sua materialização. 22

23 IN CONJUNTA nº 01/2016 Seção IV - Política de Gestão de Riscos Art. 17. A política de gestão de riscos, a ser instituída pelos órgãos e entidades do Poder Executivo federal em até doze meses a contar da publicação desta Instrução Normativa, deve especificar ao menos: I princípios e objetivos organizacionais; II diretrizes sobre: a)como a gestão de riscos será integrada ao planejamento estratégico, aos processos e às políticas da organização; b)como e com qual periodicidade serão identificados, avaliados, tratados e monitorados os riscos; c)como será medido o desempenho da gestão de riscos; d)como serão integradas as instâncias do órgão ou entidade responsáveis pela gestão de riscos; e)a utilização de metodologia e ferramentas para o apoio à gestão de riscos; e f)o desenvolvimento contínuo dos agentes públicos em gestão de riscos; e III competências e responsabilidades para a efetivação da gestão de riscos no âmbito do órgão ou entidade. 23

24 Governança, riscos e controles Acórdão TCU nº 2038 Plenário - Ata 34 de 05/09/2018 DOU 9.1. determinar, com fundamento no inciso I do artigo 43 da Lei 8.443/1992, à Universidade Federal do Paraná (UFPR) que: (...) no prazo de 60 (sessenta) dias, com fundamento no art. 17 da Instrução Normativa MPOG/CGU 1/2016, apresente plano de ação com vistas à implementação de política de gestão de riscos, incluindo, entre outras providências, a criação do Comitê de Governança, Riscos e Controles; 24

25 Decreto 9.203/ 2017 Política de Governança Decreto nº 9.203/ 2017, de 22/11/2017 Dispõe sobre a política de governança da administração pública federal direta, autárquica e funcional 25

26 Política de Governança da Administração Pública 26

27 Política de Governança da Administração Pública DECRETO Nº 9.203/2017 Art. 17. A alta administração das organizações da administração pública federal direta, autárquica e fundacional deverá estabelecer, manter, monitorar e aprimorar sistema de gestão de riscos e controles internos com vistas à identificação, à avaliação, ao tratamento, ao monitoramento e à análise crítica de riscos que possam impactar a implementação da estratégia e a consecução dos objetivos da organização no cumprimento da sua missão institucional, observados os seguintes princípios: I - implementação e aplicação de forma sistemática, estruturada, oportuna e documentada, subordinada ao interesse público; II - integração da gestão de riscos ao processo de planejamento estratégico e aos seus desdobramentos, às atividades, aos processos de trabalho e aos projetos em todos os níveis da organização, relevantes para a execução da estratégia e o alcance dos objetivos institucionais; III - estabelecimento de controles internos proporcionais aos riscos, de maneira a considerar suas causas, fontes, consequências e impactos, observada a relação custo-benefício; e IV - utilização dos resultados da gestão de riscos para apoio à melhoria contínua do desempenho e dos processos de gerenciamento de risco, controle e governança. 27

28 COSO ICIF E ERM 28

29 29

30 COSO ERM

31 COSO ERM-2017 GOVERNANÇA E CULTURA 1. Exercer a supervisão dos riscos pela alta direção 2. Estabelecer estruturas operacionais 3. Definir a cultura desejada 4. Demonstrar compromisso com valores centrais 5. Atrair, desenvolver e reter capacidades individuais 31

32 COSO ERM-2017 ESTRATÉGIA E DEFINIÇÃO DE OBJETIVOS 6. Analisar o contexto do negócio 7. Definir o Apetite ao Risco 8. Avaliar Estratégias Alternativas 9. Formular objetivos do negócio 32

33 COSO ERM-2017 DESEMPENHO 10. Identificar o risco 11. Avaliar a severidade do risco 12. Priorizar Riscos 13. Implementar resposta ao risco 14. Desenvolver a visão de portfólio 33

34 COSO ERM-2017 REVISÃO 15. Avaliar mudanças substanciais 16. Revisar risco e desempenho 17. Perseguir a melhoria no GRC 34

35 COSO ERM-2017 INFORMAÇÃO, COMUNICAÇÃO E REPORTE 18. Alavancar informação e tecnologia 19. Comunicar informações sobre risco 20. Relatar sobre risco, cultura e desempenho 35

36 COSO ERM-2017 INFORMAÇÃO, COMUNICAÇÃO E REPORTE 18. Alavancar informação e tecnologia 19. Comunicar informações sobre risco 20. Relatar sobre risco, cultura e desempenho 36

37 Ferramentas para identificação de riscos 37

38 Governança, Riscos e Controles Internos Ferramentas ACÓRDÃO Nº 8020/2018 TCU 2ª Câmara Recomendar à Universidade Federal Rural do Semi-Árido (Ufersa), com base no art. 18 da Lei 8.443/1992, c/c o art. 208, 2º e 250, inciso III do RI/TCU, e com base na Portaria Segecex 13/2011, com as alterações da Resolução TCU 265/2014, que, avalie a conveniência e a oportunidade, de: realizar capacitações, para sua liderança, envolvendo o tema governança; ( ) na construção de sua gestão de riscos, passe a utilizar e divulgar a ferramenta de planejamento estratégico denominada matriz swot; 38

39 Aplicação do Tema no Poder Executivo Federal 39

40 FERRAMENTA BOW TIE 40

41 Identificação do Risco Causa x Consequência CAUSA - situações ou motivos que podem promover a ocorrência do risco: CONSEQUÊNCIA - resultados do risco que afetam os objetivos 41

42 Identificação do Risco Causa x Consequência 42

43 Identificação do Risco Causa x Consequência Fonte CGU CAUSA FONTE/FATOR + FRAGILIDADES 43

44 Identificação do Risco Causa x Consequência 44

45 COSO ERM-2017 DESEMPENHO 10. Identificar o risco 11. Avaliar a severidade do risco 12. Priorizar Riscos 13. Implementar resposta ao risco 14. Desenvolver a visão de portfólio 45

46 Avaliação dos Riscos 46

47 Avaliação dos Riscos Critérios 47

48 Relação PROBABILIDADE x IMPACTO 48

49 AVALIAÇÃO DOS RISCOS VULNERABILIDADE, VELOCIDADE e PERSISTÊNCIA 49

50 AVALIAÇÃO DOS RISCOS VULNERABILIDADE, VELOCIDADE e PERSISTÊNCIA Fonte O GLOBO 50

51 COSO ERM-2017 DESEMPENHO 10. Identificar o risco 11. Avaliar a severidade do risco 12. Priorizar Riscos 13. Implementar resposta ao risco 14. Desenvolver a visão de portfólio 51

52 Priorização dos Riscos 52

53 COSO ERM-2017 DESEMPENHO 10. Identificar o risco 11. Avaliar a severidade do risco 12. Priorizar Riscos 13. Implementar resposta ao risco 14. Desenvolver a visão de portfólio 53

54 Resposta ao Risco 54

55 Resposta ao Risco Opções de tratamento 55

56 Muito obrigado pela atenção! Jeferson Alves dos Santos Auditor Chefe da UNIFAL-MG Presidente da Associação FONAIMEC (35) / (35) Jeferson.santos@unifal-edu.br Material Utilizado: Legislações COSO ERM IIA-Brasil CGU Karen Cristina Sá Teles Américo Cordeiro Vieira Neto Ebserh HU-UFGD Carla Cristina Roldan Lopes 56