Frameworks de gestão de riscos The Orange Book

Transcrição

1 Frameworks de gestão de riscos The Orange Book SÉRGIO SEABRA, PhD, CCEP-I 16ª REUNIÃO REDE GIRC JUN/2019

2 INTRODUÇÃO À GESTÃO DE RISCOS CONCEITOS: Efeito da incerteza nos objetivos (ISO 31000) Evento futuro e incerto que, caso ocorra, pode impactar negativamente o alcance dos objetivos da organização (COSO II) Possibilidade de ocorrência de um evento que venha ter impacto no cumprimento dos objetivos (IN 01/2016) HM S ORGANGE BOOK (2004)

3 APLICABILIDADE DE MODELOS GENÉRICOS DE GESTÃO DE RISCOS NO SETOR PÚBLICO BRASILEIRO Fonte: SEABRA, S. (2007)

4 HIERARQUIA DE RISCO Incerteza Decisões estratégicas Decisões transferindo estratégia em ação Estratégico Programa Decisões requeridas para implementação Projeto e Operacional

5 CONSIDERAÇÕES INICIAIS Estabelece Princípios de gestão de riscos; Framework para avaliar a maturidade da gestão de riscos ( Risk Management Assessment Framework ); É compatível com outras metodologias (ex. CoSo)

6 MODELO DE GESTÃO DE RISCO HM S Orange Book (2004)

7 IDENTIFICAÇÃO DO RISCO Identificação inicial e contínua; Sempre relacionado aos objetivos; Descrição dos Riscos (Regras): Evitar descrever impacto como sendo o próprio risco; Evitar descrever riscos que não impactam os objetivos; Evitar definir riscos com descrições que são simplesmente o oposto do objetivo; Deve incluir a causa e consequência; Riscos podem ser agrupados em determinadas categorias;

8 AVALIAÇÃO DO RISCO Princípios: Garantia de que há processo claramente estruturado, por meio do qual a probabilidade e o impacto de cada risco são considerados; Registro da avaliação do risco de uma forma que facilite o monitoramento e a identificação das prioridades dos riscos; Clareza em relação à diferença de risco inerente e risco residual; Envolve subjetividade; Deve ser documentado: Perfil de risco da organização

9 APETITE A RISCOS Níveis (alçada): Apetite a riscos organizacional; Apetite a riscos delegado; Apetite a riscos de projetos. Gatilhos para escalonamento do riscos

10 RESPOSTA AO RISCO TOLERAR; TRATAR; TRANSFERIR; EVITAR (TERMINANDO A ATIVIDADE)

11 MONITORAMENTO E REPORTE OBJETIVOS: Monitorar se ou não o perfil de risco está mudando; Ganhar confiança de que a gestão de riscos é efetiva, e identificar quando ações adicionais são necessárias; Principais técnicas; Autoavaliação dos riscos; Relatório de gestão; Framework de avaliação da gestão de riscos; Importância da Auditoria Interna (3ª Linha de Defesa)

12 COMUNICAÇÃO E APRENDIZAGEM Todos da organização devem ser comunicados sobre: A estratégia de risco da organização; Quais são as prioridades de riscos; Seu papel dentro da gestão de risco da organização; Há a necessidade de que lições são aprendidas e comunicadas para quem pode se beneficiar; Necessidade de garantir que cada nível gerencial ativamente procure e receba garantias sobre a gestão de risco dentro de sua jurisdição de controle; Comunicação como stakeholders externos é importante;

13 EMPREENDIMENTO ESTENDIDO Interdependência organizacional; Políticas/programas descentralizados; Parcerias Público-Privadas

14 AMBIENTE E CONTEXTO DE RISCOS Leis e regulamentos; Economia (doméstica e internacional); Expectativa dos cidadãos; Governo;

15 FRAMEWORK PARA AVALIAÇÃO DE MATURIDADE DA GESTÃO DE RISCOS CAPACIDADES RESULTADOS Pessoas Liderança para Risco Políticas e Estratégias para Risco Processos de Gestão de Riscos Eficácia da Gestão de Riscos Resultados Parcerias INOVAÇÃO E APRENDIZADO Figura 3: Modelo de avaliação da gestão de riscos do Reino Unido (UK, 2009). FONTE: TCU (2015)

16 RISCOS DA GESTÃO DE RISCOS DEFINIÇÃO DO QUE VEM A SER RISCO É SOCIALMENTE CONSTRUÍDA, E INFLUENCIADA PELA CULTURA DA ORGANIZAÇÃO; PEQUENAS ANOMALIAS DENTRO DO APETITE A RISCO, EVENTUALMENTE SE ACUMULAM RESULTANDO EM EVENTO NEGATIVO CATASTRÓFICO; SE INAPROPRIADAMENTE (APENAS FORMAL) APLICADOS, MODELOS PASSA FALSA IMPRESÃO DE CONTROLE ; EXACERBAR TENDÊNCIA DE CULTURA VOLTADA PARA BLAME-AVOIDANCE : RESPONSABILIZAÇÃO CRESCENTE, DENTRO DE UM REGIME DE GESTÃO DE RISCOS, PODE LEVAR OS GESTORES A GERENCIAR O RISCO DE RESPONSABILIZAÇÃO ; DESLOCAMENTO DA RESPONSABILIDADE PELOS RISCOS PARA OUTRAS ORGANIZAÇÕES POLITICAMENTE MAIS FRACAS OU MENOS PREPARADAS PARA LIDAR COM O RISCO; USO DE ARGUMENTAÇÃO DE GERENCIAMENTO DE RISCO PARA JUSTIFICAR INAÇÃO OU IDENSEJÁVEL INFLEXIBILIDADE; ENFRAQUECIMENTO DE VALORES IMPORTANTES, COMO TRANSPARÊNCIA E APRENDIZAGEM, QUANDO APLICADO PRIMARIAMENTE PARA EVITAR CULPAS E RESPONSABILIZAÇÃO.

17 BOAS PRÁTICAS 1 ENVOLVER TODAS AS ORGANIZAÇÕES QUE, DE CERTA FORMA, ESTÃO RELACIOANDAS COM A POLÍTICA OU PROGRAMA; 2 FOCAR NO RISCO SISTEMICO, AO INVÉS DE FOCAR SOMENTE NO RISCO PARA UMA ORGANIZAÇÃO EM PARTICULAR; 3 APLICAR ABORDAGEM INTELIGENTE NÃO INIBE JULGAMENTO E IMAGINAÇÃO; DAR ESPAÇÕ PARA DELIBERAÇÕES INTELIGENTES E REFLEXIVAS SOBRE OS PROCESSO ENVOLVIDOS; Fonte: Hood and Hothstein (2000);