GESTÃO DE RISCOS NO SETOR PÚBLICO

Transcrição

1 GESTÃO DE RISCOS NO SETOR PÚBLICO Tiago Alencar Coordenador de Transparência, Governança e Gestão de Riscos Pró-Reitor Adjunto de Planejamento e Orçamento Universidade Federal do Cariri

2 Objetivos do treinamento Promover o fortalecimento conceitual sobre objetivo, estrutura organizacional, riscos e gestão de riscos; Apresentar a atual estrutura de gerenciamento de riscos da UFCA; Compartilhar as técnicas e ferramentas utilizadas na UFCA; Desenvolver atividades práticas para identificação de riscos, causas e consequências.

3 Objetivos

4 Objetivos Os objetivos são fixados no âmbito estratégico, estabelecendo-se uma base para os objetivos operacionais, de comunicações (relatórios) e de conformidade. Toda organização enfrenta uma variedade de riscos oriundos de fontes internas e externas, sendo o estabelecimento de objetivos, condição prévia para a identificação de eventos, avaliação de riscos e resposta a riscos (COSO, 2006).

5 Objetivo COSO ICIF 2013 O que a organização deseja atingir. Os objetivos podem ser fixados para a entidade como um todo ou ser direcionados para atividades específicas dentro da entidade.

6 Modelo de governança corporativa

7 Objetivo Hierarquia dos Objetivos Responsável 1 Objetivos Responsável 2 Objetivos 1 Objetivo 2 Responsável n Objetivo 1.1 Objetivo 1.2 Objetivo 2.1 Objetivo 2.2 7

8 Objetivo Hierarquia dos Objetivos Responsável 1 Objetivos Responsável 2 Objetivos 1 Objetivo 2 Responsável n Objetivo 1.1 Objetivo 1.2 Objetivo 2.1 Objetivo 2.2 8

9 Mapa estratégico da UFCA

10

11 Definição de objetivo ITEM DESCRIÇÃO 1. Elaborar o planejamento estratégico organizacional, contendo a visão, a missão e os objetivos organizacionais de longo prazo 2. Descrever os planos tático e operacional, contendo os desdobramentos do planejamento estratégico até as ações propriamente ditas 3. Definir padrões para medir o desempenho desejado, tais como indicadores, metas e resultados esperados

12

13 Riscos Conviver com o risco é um velho dilema da sociedade: Proteger-se contra todos os riscos é impossível, porque qualquer oportunidade invariavelmente acarreta riscos.

14 Riscos Assim, riscos são eventos inesperados, ocorridos na prática da operação das organizações e que impactam seus objetivos.

15 Define-se risco como a possibilidade de que um evento ocorra e afete adversamente a realização dos objetivos.

16 No Brasil, o Tribunal de Contas da União definiu risco como a possibilidade de algo acontecer e ter impacto nos objetivos, sendo medido em termos de consequências e probabilidades (Instrução Normativa nº 63/2010). De modo similar, a Instrução Normativa Conjunta CGU/MP nº 01/2016 conceitua risco como possibilidade de ocorrência de um evento que venha a ter impacto no cumprimento dos objetivos. O risco é medido em termos de impacto e probabilidade.

17 RISCO: POSITIVO OU NEGATIVO?

18

19 Classificação de Risco Para o COSO, nos processos de gerenciamento de riscos a administração da entidade deve levar em consideração dois tipos específicos de riscos, a saber: risco inerente e risco residual. Risco inerente é o que existe independentemente de controles para sua mitigação. Residual e o risco que permanece após a resposta da administração (COSO, 2006).

20 a) riscos operacionais: eventos que podem comprometer as atividades do órgão ou entidade, normalmente associados a falhas, deficiência ou inadequação de processos internos, pessoas, infraestrutura e sistemas; b) riscos de imagem/reputação do órgão: eventos que podem comprometer a confiança da sociedade (ou de parceiros, de clientes ou Gestão de Riscos em relação à capacidade do órgão ou da entidade em cumprir sua missão institucional;

21 c) riscos legais: eventos derivados de alterações legislativas ou normativas que podem comprometer as atividades do órgão ou entidade; d) riscos financeiros/orçamentários: eventos que podem comprometer a capacidade do órgão ou entidade de contar com os recursos orçamentários e financeiros necessários a realização de suas atividades, ou eventos que possam comprometer a própria execução orçamentária, como atrasos no cronograma de licitações.

22 Causas Consequências Evento de Risco

23 Gestão de riscos O gerenciamento de riscos corporativos é o processo conduzido em uma organização pelo Conselho de Administração, pela diretoria executiva e pelos demais funcionários, aplicado no estabelecimento de estratégias formuladas para identificar, em toda a organização, eventos em potencial, capazes de afetar a referida organização, e administrar os riscos para mantê-los compatíveis com o seu apetite a risco e possibilitar garantia razoável de cumprimento dos objetivos da entidade (COSO, 2006).

24 O objetivo da gestão de riscos nas entidades é permitir a administração lidar de modo eficaz com a incerteza e seus riscos e oportunidades associados, reforçando a capacidade de criar valor, para oferecer serviços mais eficientes, eficazes e econômicos, e para orientá-las tendo em conta valores como equidade e justiça. (INTOSAI, 2007).

25 MODELOS DE REFERÊNCIA ISO 31000/2009

26 COSO II Trata-se do modelo de gestão de riscos predominante no cenário corporativo internacional, especialmente na América do Norte. COSO é a sigla de Committee of Sponsoring Organizations da National Commission on Fraudlent Financial Reporting, também conhecida como Treadway Comission. Criada em 1985 nos Estados Unidos, constitui uma entidade do setor privado, sem fins lucrativos, voltada para o aperfeiçoamento da qualidade de relatórios financeiros por meio de éticas profissionais, implementação de controles internos e governança corporativa.

27 COSO II Incorporando e ampliando o COSO I, o modelo de gerenciamento de riscos corporativos do COSO II definiu quatro categorias de objetivos, que seriam comuns a praticamente todas as organizações, e identificou oito componentes como partes integrantes da estrutura de controles internos e do gerenciamento de riscos. Segundo o COSO II (2004), o modelo é orientado para alcançar os objetivos de uma organização, que podem ser divididos nas seguintes categorias:

28 COSO II a) Estratégicos relacionados à sobrevivência, continuidade e sustentabilidade da organização. Consistem em metas gerais, alinhadas e dando suporte à missão da organização; b) Operações diz respeito à eficácia e eficiência na utilização dos recursos; c) Comunicação confiabilidade de relatórios, isto é, da informação produzida e sua disponibilidade para a tomada de decisão e para fins de prestação de contas; d) Conformidade cumprimento de leis e regulamentos aplicáveis à organização.

29 COSO II Por sua vez, os oito componentes do gerenciamento de riscos corporativos considerados indispensáveis para sua eficácia são: 1) Ambiente interno representa o tom da organização e fornece a base pela qual os riscos são identificados e abordados. Inclui a filosofia de gerenciamento de riscos, o apetite a risco, a integridade e os valores éticos, além do ambiente que os cerca;

30 COSO II 2) Fixação de objetivos os objetivos devem ser fixados antes que a administração identifique os eventos em potencial que poderão afetar o alcance destes. Os objetivos estabelecidos devem estar alinhados com a missão da organização e precisam ser compatíveis com seu apetite a risco; 3) Identificação de eventos os eventos em potencial, oriundos de fontes internas ou externas, que podem afetar a realização dos objetivos da organização, devem ser identificados. Durante o processo de identificação os eventos poderão ser classificados em riscos, oportunidades, ou ambos;

31 COSO II 4) Avaliação de riscos os riscos identificados devem ser analisados com o fim de determinar o modo como serão administrados e, em seguida, associados aos objetivos que podem afetar. Os riscos são avaliados considerando seus efeitos inerentes ou residuais, assim como sua probabilidade e seu impacto; 5) Resposta a risco as respostas aos riscos podem ser: evitar, aceitar, reduzir/mitigar ou transferir/compartilhar. Compete à administração selecionar o conjunto de ações destinadas a alinhar os riscos à tolerância e ao apetite a risco da organização;

32 COSO II 6) Atividades de controle consistem em políticas e procedimentos estabelecidos e implementados com vistas a assegurar que as respostas aos riscos selecionadas pela administração sejam executadas com eficácia;

33 COSO II 7) Informações e comunicações a comunicação é considerada eficaz quando flui na organização em todas as direções e quando os funcionários recebem informações claras sobre suas funções e responsabilidades. A forma e tempestividade com que informações relevantes são identificadas, colhidas e comunicadas permite que os agentes cumpram com suas atribuições. Assim, para identificar, avaliar e oferecer resposta ao risco, a organização necessita de informações em todos os níveis hierárquicos.

34 COSO II 8) Monitoramento a integridade do processo de gerenciamento de riscos deve ser monitorada para que as modificações necessárias sejam realizadas e a organização possa reagir ativamente segundo as circunstâncias. O monitoramento pode ser feito por meio de atividades gerenciais contínuas, por avaliações independentes, ou por uma combinação de ambos.

35 Cubo do COSO

36 Modelo de Gerenciamento Integrado de Processos e Riscos da UFCA Mapeamento de objetivos Mapeamento de processos Mapeamento de riscos Monitoramento

37 Ambiente Interno O ambiente interno abrange os seguintes aspectos: (...) a cultura da organização, a influência sobre a consciência de risco de seu pessoal, sendo a base para todos os outros componentes do gerenciamento de riscos corporativos, possibilita disciplina e estrutura. Os fatores do ambiente interno compreendem a filosofia administrativa de uma organização no que diz respeito aos riscos; a supervisão do conselho de administração; os valores éticos e a competência do pessoal da organização; e a forma pela qual a administração atribui alçadas e responsabilidade, bem como organiza e desenvolve o seu pessoal (...) (COSO, 2007).

38 Ações Elaboração e aprovação da Política de Gestão de Riscos Divulgação da Política de Gestão de Riscos da UFCA através dos Informes (canal de comunicação institucional) e site da universidade; Elaboração e divulgação de vídeo institucional para campanha educativa; Capacitações com gestores; Formação de Grupo Técnico Permanente de Trabalho; Patrocínio da Gestão superior.

39 Vídeo institucional de riscos

40 Filosofia de Gerenciamento de Riscos A filosofia de gerenciamento de riscos da alta administração é um conjunto de convicções e atitudes que caracterizam a forma como essa organização considera o risco em tudo aquilo que faz, do desenvolvimento e da implementação de estratégias às suas atividades do dia-a-dia, e se reflete, em virtualmente tudo aquilo que a administração faz para operar a organização (COSO, 2006).

41 FILOSOFIA DE GERENCIAMENTO DE RISCOS Aprovação da Política de Gestão de Riscos e outras normas sobre o tema Supervisão do sistema de gestão de riscos na organização Promoção do engajamento da média direção Implantação de estrutura de governança de riscos (Cômite, Gerencias, etc) Alocação de recursos para implantação da gestão de riscos Discurso de apoio à gestão de riscos na organização

42 Em relação à Política de Gestão de Riscos é importante ressaltar que é o instrumento que formaliza a avaliação de risco na entidade. Segundo a ISO 31000/2009, e a declaração das intenções e diretrizes gerais de uma organização relacionadas a gestão de riscos (ABNT, 2009).

43 Para o TCU, a política de gestão de riscos deve especificar, por exemplo: ITEM DESCRIÇÃO 1. Objetivos organizacionais com relação à gestão de riscos 2. Integração da gestão de riscos a processos e políticas organizacionais 3. Responsabilidade por gerenciar riscos 4. Diretrizes sobre como riscos devem ser identificados, avaliados, tratados e monitorados 5. Consultas e comunicação com partes internas e externas sobre assuntos relacionados a risco 6. Diretrizes para a medição do desempenho da gestão de riscos 7. Compromisso de analisar criticamente e melhorar a política e a estrutura da gestão de risco em resposta a um evento ou mudança nas circunstâncias

44 Política de Gestão de Riscos da UFCA Estabelece princípios e diretrizes genéricos para a gestão de riscos da UFCA, que serão aplicados por todos os setores administrativos e acadêmicos, em todos os níveis de gestão (estratégico, tático e operacional) e ampla natureza de atividades, incluindo: I - processos, decisões e projetos estratégicos; II - operações, funções, produtos, serviços e ativos.

45 Política de Gestão de Riscos da UFCA TERMOS E DEFINIÇÕES; DOS OBJETIVOS E PRINCÍPIOS INSTITUCIONAIS DA UFCA; MANDATO E COMPROMETIMENTO; PROCESSO DE GESTÃO DE RISCOS; DIRETRIZES DA POLÍTICA DE GESTÃO DE RISCOS.

46 PROCESSO DE GESTÃO DE RISCOS I - Comunicação e consulta; II - Estabelecimento do contexto; III - Identificação de riscos; IV - Análise de riscos; V - Avaliação de riscos; VI - Tratamento de riscos; VII - Monitoramento e análise crítica.

47 DIRETRIZES DA POLÍTICA DE GESTÃO DE RISCOS Art. 8º São elementos estruturais da Gestão de Riscos da UFCA: I - a presente Resolução; II- o Comitê de Governança, Riscos e Controles (CGRC); III- a Coordenadoria de Transparência, Governança e Gestão de Riscos (CTGR); IV- a Assessoria de Controle Interno (ACI); e V- o Grupo Técnico de Trabalho Permanente de Gestão de Riscos (GTTPGR).

48 Ademais, é importante ainda que a alta administração defina claramente as responsabilidades pela gestão de riscos na entidade.

49 Uma forma de descrever quem faz o que dentro de processo de gestão de riscos é por meio da Matriz RACI, também conhecida como Matriz de Responsabilidades.

50 Matriz RACI O acrônimo "RACI" descreve (em inglês) os papéis: a) Responsável (Responsible): quem executa a atividade; b) Autoridade (Accountable): quem aprova a tarefa ou produto. Pode delegar a função, mas mantém a responsabilidade; c) Precisa ser consultado (Consulted): quem pode agregar valor ou é essencial para a implementação; d) Precisa ser informado (Informed): quem deve ser notificado de resultados ou ações tomadas, mas não precisa se envolver na decisão.

51 MATRIZ RACI Atividade/Responsável Comitê de Governança, Riscos e Controles (CGRC) Coordenadoria de Transparência, Governança e Gestão de Riscos (CTGR) Grupo Técnico de Trabalho Permanente de Gestão de Riscos (GTTPGR) Assessoria de Controle Interno (ACI) Setor Mapeado Comunicação e consulta I R/C/I C R/I A/C Estabelecimento do Contexto I R/C/I C I A/C Identificar os riscos I C/I C/I I R Analisar os riscos I C/I C/I I R Avaliar os riscos I C/I C/I I R Tratar os riscos I C/I C/I I R Elaborar plano de tratamento dos riscos I C/I C/I I R Monitorar e acompanha R/I R I R/I R

52 Padrões de Conduta e Código de Ética A eficácia do gerenciamento de riscos corporativos não deve estar acima da integridade e dos valores éticos das pessoas que criam, administram e monitoram as atividades da organização (COSO, 2004).

53 Estrutura Organizacional Estrutura organizacional de uma organização e fundamental para o alcance de seus objetivos. Por meio da estrutura, a entidade poderá planejar, executar, verificar os desvios por meio do controle e monitoramento das suas atividades. Independente do tipo de estrutura adotado, a entidade deve estar estruturada de forma a permitir um eficaz gerenciamento de riscos e desempenhar suas atividade de modo a alcançar seus objetivos.

54 Para a criação de uma cultura organizacional em que todos trabalhem efetivamente para o adequado funcionamento da gestão de risco, é fundamental que a alta administração implante uma estrutura de governança de riscos, a exemplo da criação de Comitê de Riscos; Superintendência, Diretoria, Coordenação ou Gerência de Riscos e Controles Internos; Auditoria Interna, etc.

55 Elementos estruturais São elementos estruturais da Gestão de Riscos da UFCA: I - a presente Resolução; II- o Comitê de Governança, Riscos e Controles (CGRC); III- a Coordenadoria de Transparência, Governança e Gestão de Riscos (CTGR); IV- a Assessoria de Controle Interno (ACI); e V- o Grupo Técnico de Trabalho Permanente de Gestão de Riscos (GTTPGR).

56 Padrões de Recursos Humanos Ensino e treinamento, sejam eles mediante instruções na sala de aula, no auto estudo ou treinamento na própria função devem contribuir para que o pessoal mantenha-se atualizado e trate com eficácia um ambiente em fase de transição (COSO, 2006).

57 Capacitações Capacitações com os gestores superiores, táticos e operacionais; Treinamentos com os setores mapeados.

58

59

60

61 Fixação de Objetivos Os objetivos são fixados no âmbito estratégico, estabelecendo-se uma base para os objetivos operacionais, de comunicações (relatórios) e de conformidade. Toda organização enfrenta uma variedade de riscos oriundos de fontes internas e externas, sendo o estabelecimento de objetivos, condição prévia para a identificação de eventos, avaliação de riscos e resposta a riscos (COSO, 2006).

62 Nesse sentido, toda organização deve deixar claro quais são seus objetivos mais elevados a fim de que seus colaboradores possam visualizar a contribuição dos resultados de seu trabalho para o resultado organizacional, bem como compreender de que forma ações de gestão de riscos tomadas localmente podem contribuir para a mitigação de riscos-chave em nível de entidade.

63 Mapeamento de objetivos Consulta ao setor para confirmação de objetivo; Em caso de objetivo inexistente ou confuso, elaborar e/ou definir com o setor; Surgimento de atribuições; Eliminação de atribuições; Clareza e foco; Alinhamento ao PEI.

64

65

66

67 Mapa estratégico da UFCA

68 Identificação de Eventos A administração identifica os eventos em potencial que, se ocorrerem, afetarão a organização e determina se estes representam oportunidades ou se podem ter algum efeito adverso na sua capacidade de implementar adequadamente a estratégia e alcançar os objetivos. Eventos de impacto negativo representam risco que exigem avaliação e resposta da administração (COSO, 2006).

69 Identificação de Eventos De acordo com a ISO 31000/2009, na etapa de identificação de riscos, é recomendado que a organização: (...) identifique as fontes de risco, áreas de impactos, eventos (incluindo mudanças nas circunstâncias) e suas causas e consequências potenciais. A finalidade desta etapa é gerar uma lista abrangente de riscos baseada nestes eventos que possam criar, aumentar, evitar, reduzir, acelerar ou atrasar a realização dos objetivos. A identificação abrangente é crítica, pois um risco que não é identificado nesta fase não será incluído em análises posteriores (ABNT, 2009).

70 Identificação de Eventos Como auxílio na etapa de identificação de riscos, para cada objetivo elencado, o gestor responsável pelo levantamento poderá utilizar o seguinte questionário, anotando as respostas que apresentarem uma ameaça possível:

71 ITEM DESCRIÇÃO 1. O que pode dar errado? 2. Como e onde podemos falhar? 3. Onde somos vulneráveis? 4. Quais ativos devemos proteger? 5. Como podemos ser roubados ou furtados? 6. Como sabemos se nossos objetivos foram (ou não) alcançados? 7. Onde gastamos mais dinheiro? 8. Quais atividades são mais complexas? 9. Quais são nossas maiores exposições aos riscos legais? 10. Quais decisões requerem mais análise?

72 A ISO 31000/2009 preconiza, ainda, que os riscos identificados e priorizados para tratamento devem ser atribuídos a pessoas que têm responsabilidade e autoridade para gerenciá-los. A designação dos proprietários dos riscos é fundamental para que haja um gerenciamento de riscos efetivo.

73 Cuidados no momento de identificar eventos de risco. Não descrever: a falta de controle representa a vulnerabilidade que explorada pela ameaça, pode resultar no evento; o não alcance do objetivo descreve o resultado do evento de risco, caso se concretize.

74 Negar o (Objetivo), devido à (Evento de Risco) Ex.: Deixar de [exemplo do objetivo apresentado], devido à [evento de risco que pode impactar adversamente o objetivo].

75 Identificação UFCA Listar todos os eventos de risco (mesmo que não sejam riscos) que pensar; Analisar a diferenciação com causas e consequências; Alinhar com o objetivo; Construir banco de eventos.

76 Avaliação de Riscos Após a identificação dos riscos, é necessário avaliar quais deles possuem maiores chances de impactar na consecução dos objetivos dos processos e por consequência, da entidade pública.

77 Avaliação de Riscos De acordo com o COSO ERM os riscos identificados devem ser avaliados sob as perspectivas de probabilidade de ocorrência (frequência) e impacto (efeito que o risco pode trazer para a organização): (...) a avaliação de riscos permite que uma organização considere até que ponto os eventos em potencial podem impactar a realização dos objetivos. Essa avaliação fundamenta-se em duas perspectivas probabilidade e impacto e geralmente utiliza uma combinação de métodos qualitativos e quantitativos (...) (COSO, 2007).

78 Avaliação de Riscos A administração geralmente utiliza técnicas de avaliação qualitativa, quando os riscos não se prestam à quantificação ou quando não existem dados quantitativos ou a análise é muito dispendiosa. Tipicamente, técnicas quantitativas trazem maior precisão e são mais utilizadas em atividades mais complexas e sofisticadas para complementar as técnicas qualitativas (COSO, 2006).

79 Resposta a Riscos A resposta a riscos representa qualquer ação adotada pela organização para lidar com risco, tendo por finalidade a seleção e a implementação de medidas para contrapor os riscos. Deve levar em consideração o nı vel de tolerância a riscos da organização e as prioridades no que tange a alocação de recursos. A resposta a risco é assim comentada no COSO ERM (COSO, 2006, p. 65): após avaliar os riscos importantes, a organização determina de que forma responderá a estes. As respostas incluem: evitar, reduzir, compartilhar ou aceitar os riscos.

80 Transferir: implica na compensação dos danos causados por um risco, como a contratação de um seguro, contudo a responsabilidade sobre o risco nunca é transferida. Como Tratar os Riscos Mitigar: implantação de controles que reduzam os riscos à níveis aceitáveis, em sinergia com o apetite de risco da organização. Eliminar: cessão da atividade que causa a exposição ao risco, como por exemplo, a retirada de um produto ou serviço do mercado. Aceitar: quando o risco esta dentro dos limites aceitáveis pela organização ou quando o custo de implantação de controles supera os possíveis danos.

81

82

83

84 Atividades de Controle O COSO ERM Application Techniques (COSO, 2006, p. 74) define atividades de controle como sendo: (...) as atividades de controle são representadas pelas políticas e pelos procedimentos que contribuem para assegurar que as respostas da organização aos riscos sejam executadas. As atividades de controle ocorrem por toda a organização, em todos os níveis e em todas as funções. Elas compreendem uma série de atividades diferentes, como aprovações, autorizações, verificações, reconciliações, revisões do desempenho operacional, segurança do patrimônio e segregação de funções. (destaques inseridos).

85 Controles Internos O plano da organização e todos os métodos e medidas coordenados, aplicados a uma empresa, a fim de proteger seus bens, conferir a exatidão e a fidelidade de seus dados contábeis, promover a eficiência e estimular a obediência às diretrizes administrativas estabelecidas.

86 Controles Internos No Brasil, o TCU define controles internos como conjunto de atividades, planos, métodos, indicadores e procedimentos interligados, utilizado com vista a assegurar a conformidade dos atos de gestão e a concorrer para que os objetivos e metas estabelecidos para as unidades jurisdicionadas sejam alcançados. (IN TCU nº 63/2010, Art. 1º, X).

87 Controles Internos Auxilia o alcance dos objetivos: os controles internos são conduzidos para atingir objetivos em uma ou mais categorias operacional, divulgação e conformidade (COSO 2013), podendo ser objetivos fixados para toda a organização ou ainda, para aqueles estabelecidos para atividades, processos ou operações específicas.

88 Oficina Listar causas Definir objetivo Listar consequências Definir eventos de riscos

89 Tiago Alencar Coodenadoria de Transparência, Governança e Gestão de Riscos Pró-Reitoria de Planejamento e Orçamento - UFCA Contatos: tiago.alencar@ufca.edu.br ctgr.proplan@ufca.edu.br (88)