ForRisco: gerenciamento de riscos em instituições públicas na prática. Apresentação: Rodrigo Fontenelle de A. Miranda. Brasília, DF

Transcrição

1 ForRisco: gerenciamento de riscos em instituições públicas na prática Apresentação: Rodrigo Fontenelle de A. Miranda Brasília, DF

2 Introdução 2

3 Precisamos mesmo disso? 3

4 Gestão de Riscos O que não é Coisa de órgãos de controle Modismo Exterminador de corrupção + trabalho 4

5 Gestão de Riscos Percepção incorreta Gestão de Riscos Processo Fonte: Miranda (2017) 5

6 Gestão de Riscos Percepção correta Processo Gestão de Riscos Fonte: Miranda (2017) 6

7 Motivação e Base Normativa 7

8 Gestão de Riscos É necessário? Relatório do TCDF apontava necessidade de reparos em viaduto desde 2012 Desabamento de viaduto no Eixo Sul Brasília (DF) "Outro fator que detectamos foi que não há um plano de alarme emergencial da empresa para a comunidade caso haja algum rompimento ou desastre". Rompimento de barragem na região de Barcarena (PA) 8

9 Probabilidade X Impacto 9

10 Instrução Normativa - MP/CGU Nº 01/

11 IN MP/CGU nº 01/2016 Para garantir a MISSÃO INSTITUCIONAL São definidos OBJETIVOS ESTRATÉGICOS. Para atingi-los, implementamos a GESTÃO DE RISCOS. Como resposta aos riscos avaliados, elaboramos CONTROLES INTERNOS. Para avaliar esses controles internos de forma independente, temos a AUDITORIA INTERNA. 11

12 IN MP/CGU nº 01/2016 Controles Internos Os controles internos devem: Ser efetivos e consistentes de acordo com a natureza, complexidade, estrutura e missão do órgão ou da entidade pública Os componentes aplicam-se a todos os níveis, unidades e dependências do órgão ou da entidade pública Considerar os seguintes componentes: ambiente de controle, avaliação de riscos, atividade de controle, informação e comunicação, e monitoramento Basear-se no gerenciamento de riscos Integrar as atividades, planos, ações, políticas, sistemas, recursos e esforços de todos que trabalhem na organização Ser implementados como uma série de ações que permeiam as atividades da organização 12

13 IN MP/CGU nº 01/2016 Os órgãos e entidades do Poder Executivo federal deverão: Instituir, em até 12 meses, Política de Gestão de Riscos, especificando ao menos: princípios e objetivos organizacionais diretrizes competências e responsabilidades Implementar, manter, monitorar e revisar o processo de gestão de riscos, compatível com sua missão e objetivos estratégico, observando: Princípios da Gestão de Riscos Objetivos da Gestão de Riscos Estrutura do Modelo de Gestão de Riscos Responsabilidades 13

14 IN MP/CGU nº 01/2016 Disposição finais. A Política de Gestão de Riscos A CGU poderá avaliar:. Se os procedimentos de riscos estão de acordo com a Política de Gestão de Riscos. Os controles internos da gestão implementados pelos órgãos e entidades para mitigar os riscos, bem como outras respostas aos riscos avaliados 14

15 Decreto nº 9203, 22/11/2017 Política de Governança da Administração Pública 15

16 Decreto nº 9203, 22/11/2017 Disposições Programa de Integridade CIG Comitê Interministerial de Governança Comitê Interno de Governança Princípios da Governança Diretrizes da Governança Instituir Órgãos da adm. direta Monitorar - CGU CC / MP / MF / CGU Para órgãos e entidades da adm. Direta, autárquica e fundacional Mecanismo da Governança 16

17 Decreto nº 9203, 22/11/2017 Sistema de Gestão de Riscos e Controles Internos Art. 17. A alta administração das organizações da administração pública federal direta, autárquica e fundacional deverá estabelecer, manter, monitorar e aprimorar sistema de gestão de riscos e controles internos com vistas à identificação, à avaliação, ao tratamento, ao monitoramento e à análise crítica de riscos que possam impactar a implementação da estratégia e a consecução dos objetivos da organização no cumprimento da sua missão institucional, observados os seguintes princípios: I - implementação e aplicação de forma sistemática, estruturada, oportuna e documentada, subordinada ao interesse público; II - integração da gestão de riscos ao processo de planejamento estratégico e aos seus desdobramentos, às atividades, aos processos de trabalho e aos projetos em todos os níveis da organização, relevantes para a execução da estratégia e o alcance dos objetivos institucionais; III - estabelecimento de controles internos proporcionais aos riscos, de maneira a considerar suas causas, fontes, consequências e impactos, observada a relação custo-benefício; e IV - utilização dos resultados da gestão de riscos para apoio à melhoria contínua do desempenho e dos processos de gerenciamento de risco, controle e governança. 17

18 Risco Conceitos Objetivo Efeitos Incertezas 18

19 Risco Conceitos ISO 31000: efeito da incerteza nos objetivos. COSO II: evento futuro e incerto que, caso ocorra, pode impactar negativamente o alcance dos objetivos da organização. IN 01/2016: possibilidade de ocorrência de um evento que venha a ter impacto no cumprimento dos objetivos. 19

20 Principais Metodologias e Ferramentas de Gestão de Riscos 20

21 COSO II: Gerenciamento de riscos corporativos 21

22 COSO II Processo de Gerenciamento de Riscos A obra Gerenciamento de Riscos Corporativos Estrutura Integrada (2004), amplia o alcance dos controles internos do COSO I (publicado em 1992 e atualizado em 2013), oferecendo um enfoque mais vigoroso e extensivo ao tema, com ênfase no gerenciamento de riscos corporativos. A estrutura de gerenciamento de riscos corporativos, embora não tenha por meta substituir a estrutura de controles internos das organizações, incorpora estrutura de controle interno em seu conteúdo e poderá ser utilizada, tanto para atender às necessidades de controle interno quanto para adotar um processo completo de gerenciamento de riscos. Fonte: COSO II 22

23 COSO II Gerenciamento de Riscos Corporativos Estrutura Integrada: O gerenciamento de riscos corporativos é um processo conduzido em uma organização pelo conselho de administração, diretoria e demais empregados, aplicado no estabelecimento de estratégias, formuladas para identificar em toda a organização eventos em potencial, capazes de afetá-la, e administrar os riscos de modo a mantê-los compatíveis com o apetite a risco da organização e possibilitar garantia razoável do cumprimento dos seus objetivos. 23

24 COSO II Gerenciamento de Riscos Corporativos Componentes: 1. Ambiente Interno 2. Fixação de Objetivos 3. Identificação de Eventos 4. Avaliação de Riscos 5. Resposta a Riscos 6. Atividades de Controle 7. Informações e Comunicações 8. Monitoramento Objetivos 24

25 COSO II Categorias de Objetivos Na estrutura de gerenciamento de riscos corporativos, orientada a fim de alcançar os objetivos de uma organização, foi inserida mais uma categoria, a estratégica. Dessa forma, no COSO II as 4 categorias são: Estratégicos: objetivos e metas alinhados à missão da entidade Operacionais: utilização eficaz e eficiente dos recursos Comunicação: confiabilidade dos relatórios Conformidade: cumprimento das leis e regulamentos aplicáveis Estratégicos Operacionais Categorias Conformidade Comunicação 25

26 Componentes Componentes COSO II Gerenciamento de Riscos e Controles internos ERM Objetivos Controles Internos Objetivos

27 COSO : Gerenciamento de riscos corporativos Integrado com Estratégia e Performance

28 COSO Contexto Importância de se considerar o risco tanto no processo de definição das estratégias como na melhoria da performance Sumário Executivo COSO

29 COSO Estratégia em Contexto 29

30 COSO Estratégia em Contexto Possibilidade de desalinhamento entre a estratégia e a missão, a visão e os valores fundamentais da organização; Implicação da estratégia escolhida; Os riscos na execução da estratégia 30

31 COSO Risco Integrado a Estratégia e Performance 1ª Parte conceitos atuais e em desenvolvimento e aplicações do gerenciamento do riscos corporativos 2ª Parte Organizado em 5 componentes que harmonizam diferentes pontos de vista e estruturas organizacionais, e melhoram a estratégia e tomada de decisões O ponto de partida é a aplicação das competências de gerenciamento de riscos corporativos no processo de escolha e refinamento da estratégia 31

32 COSO Gerenciamento de Riscos Corporativos 32

33 COSO Gerenciamento de Riscos Corporativos MISSÃO, VISÃO E VALORES FUNDAMENTAIS DESENVOLVIMENTO DE ESTRATÉGIA FORMULAÇÃO DE OBJETIVOS DE NEGÓCIO IMPLEMENTAÇÃO & DESEMPENHO VALOR APRIMORADO Governança e Cultura Estratégia e Definição de Objetivos Desempenho Revisão Informação, Comunicação e Reporte 1. Exerce a supervisão do risco por intermédio do conselho 2. Estabelece estruturas operacionais 3. Define a cultura desejada 4. Demonstra compromisso com os valores fundamentais 5. Atrai, desenvolve e retém pessoas capazes. 33

34 COSO Gerenciamento de Riscos Corporativos MISSÃO, VISÃO E VALORES FUNDAMENTAIS DESENVOLVIMENTO DE ESTRATÉGIA FORMULAÇÃO DE OBJETIVOS DE NEGÓCIO IMPLEMENTAÇÃO & DESEMPENHO VALOR APRIMORADO Governança e Cultura Estratégia e Definição de Objetivos Desempenho Revisão Informação, Comunicação e Reporte 1. Analisa o contexto de negócios 2. Define o apetite a risco 3. Avalia as estratégias alternativas 4. Formula objetivos de negócios 34

35 COSO Gerenciamento de Riscos Corporativos MISSÃO, VISÃO E VALORES FUNDAMENTAIS DESENVOLVIMENTO DE ESTRATÉGIA FORMULAÇÃO DE OBJETIVOS DE NEGÓCIO IMPLEMENTAÇÃO & DESEMPENHO VALOR APRIMORADO Governança e Cultura Estratégia e Definição de Objetivos Desempenho Revisão Informação, Comunicação e Reporte 1. Identifica o risco 2. Avalia a severidade do risco 3. Priorizar os riscos 4. Implementa respostas aos riscos 5. Adota uma visão de portfólio 35

36 COSO Gerenciamento de Riscos Corporativos MISSÃO, VISÃO E VALORES FUNDAMENTAIS DESENVOLVIMENTO DE ESTRATÉGIA FORMULAÇÃO DE OBJETIVOS DE NEGÓCIO IMPLEMENTAÇÃO & DESEMPENHO VALOR APRIMORADO Governança e Cultura Estratégia e Definição de Objetivos Desempenho Revisão Informação, Comunicação e Reporte 1. Avalia mudanças importantes 2. Analisa riscos e performance 3. Busca o aprimoramento no gerenciamento de riscos corporativos 36

37 COSO Gerenciamento de Riscos Corporativos MISSÃO, VISÃO E VALORES FUNDAMENTAIS DESENVOLVIMENTO DE ESTRATÉGIA FORMULAÇÃO DE OBJETIVOS DE NEGÓCIO IMPLEMENTAÇÃO & DESEMPENHO VALOR APRIMORADO Governança e Cultura Estratégia e Definição de Objetivos Desempenho Revisão Informação, Comunicação e Reporte 1. Alavanca sistemas de informação 2. Comunica informações sobre riscos 3. Divulga informações de risco, cultura e performance 37

38 ABNT NBR ISO

39 ISO 31000/2018 Princípios, estrutura e processo Princípios Estrutura Processo 39

40 ISO e 31010/2009 Princípios a) Cria e protege valor. b) É parte integrante de todos os processos organizacionais. c) É parte da tomada de decisões. d) Aborda explicitamente a incerteza. e) É sistemática, estruturada e oportuna. f) Baseia-se nas melhores informações disponíveis. g) É feita sob medida. h) Considera fatores humanos e culturais. i) É transparente e inclusiva. j) É dinâmica, iterativa e capaz de reagir a mudanças. k) Facilita a melhoria contínua da organização. 40

41 ISO 31000/2018 Princípios 41

42 ISSO e 31010/2009 Estrutura Casa 42

43 ISO /2018 Estrutura Integração Melhoria Liderança e Comprometimento Concepção Avaliação Implementação 43

44 ISO E /2009 Processo Casa 44

45 Comunicação e consulta Monitoramento e análise crítica ISO 31000/2018 Processo Processo de gestão de riscos Escopo Contexto e critério Processo de avaliação de riscos Identificação de riscos Análise de riscos Avaliação de riscos Tratamento de riscos Registro e relato 45

46 Metodologia MGIRC Ministério do Planejamento 46

47 EAP Gestão de Riscos - Ministério do Planejamento Avaliação de Maturidade em Gestão de Riscos Política de Gestão de Riscos Matriz de Responsabilidades Modelo de Relacionamento Modelo de Gestão de Riscos Plano de Implementação Plano de Comunicação Elaboração de Questionário Avaliativo Elaboração de Política de Gestão de Riscos para o MP Definição de Papéis e Responsabilidades Definição de Áreas (Gestão de Riscos) Desenvolvimento e Aprovação de Metodologia Definição das Unidades (Piloto) Definição da Estratégia de Aplicação no MP Aprovação da Política de Gestão de Riscos Ações, Papéis, responsabilidades e características Definição de Solução Tecnológica Identificação de Processos Prioritários Consolidação e Análise dos Resultados Divulgação da Política de Gestão de Riscos Interação (Gestão de Riscos) Proposição de Plano de Capacitação Realização do Piloto Apresentação dos Resultados Implantação no MP Elaboração de Plano de Ação 47

48 Modelo de GIRC do MP Alinhado ao Planejamento Estratégico do MP e apoiado pela Alta Administração IN Conjunta MP/CGU Nº 01/2016 Programa de Integridade do MP (Portaria Nº 150/2016 e alterações) Boas práticas Base Política de Gestão de Integridade, Riscos e Controles Internos da Gestão / Linhas de Defesa Instâncias de Supervisão (previstas na Política) Estratégico Tático Operacional SIRC NIRC UIRC Gestor Subcomitê de Gestão da Tecnologia da Informação e Comunicações Núcleo CGE Subcomitê de Subcomitê de Gestão da Gestão de Segurança da Aquisições e Informação e Contratações Comunicações e Custos Núcleo Núcleo Subcomitê de Gestão de Recursos Humanos Núcleo Subcomitê de Gestão Orçamentário- Financeira Núcleo 5ª Informação, Comunicação e Monitorame nto 4ª Resposta a Riscos 3ª Avaliação de Riscos e Controles 1ª Análise de Ambiente Interno/Exter no e de Fixação dos Objetivos 2ª Identificação de Eventos de Riscos Metodologia Solução Tecnológica Escopo: Planos Estratégicos, Programas, Projetos e Processos Natureza dos Riscos: Orçamentário-Financeiro e Não Orçamentário-Financeiro Sistema de Riscos do MP Mapa de Riscos 48

49 IMPACTO Metodologia de GIRC Programa de Integridade do MP (Portaria Nº 150/2016) Monitoramento Ambiente Interno Fixação dos Objetivos Boas Práticas IN Conjunta MP/CGU Nº 01/2016 Metodologia Informação e Comunicação Gerenciamento de Riscos COSO II Identificação dos Riscos Matriz de Risco Política de Gestão de Integridade, Riscos e Controles Internos da Gestão Atividade de Controle Resposta a Riscos Avaliação de Riscos Catastrófico 5 Risco Moderado Risco Alto Risco Crítico Risco Crítico Risco Crítico Grande 4 Risco Moderado Risco Alto Risco Alto Risco Crítico Risco Crítico Moderado 3 Risco Pequeno Risco Moderado Risco Alto Risco Alto Risco Crítico Pequeno 2 Risco Pequeno Risco Moderado Risco Moderado Risco Alto Risco Alto Insignificante 1 Risco Pequeno Risco Pequeno Risco Pequeno Risco Moderado Risco Moderado Escopo Natureza dos Riscos Categoria dos Riscos: PROBABILIDADE Rara Improvável Possível Provável Quase Certo Processos de Trabalhos do MP - Método de Priorização de Processos Orçamentário- Financeiro Não Orçamentário- Financeiro Estratégico Operacional Reputação Integridade Fiscal Orçamentário Conformidade 49

50 Pirâmide de Responsabilidades Linhas de Defesa 50

51 Metodologia de Gestão de Riscos do IBGC 51

52 52

53 Componente do GRCorp Reflexões (1) Estratégia de GRCorp Existem estratégias, objetivos e metas de GRCorp estabelecidos? (2) Governança de GRCorp (3) Política de GRCorp (4) Processo de GRCorp e interação desse processo com os demais ciclos de gestão (5) Linguagem de riscos e métodos de avaliação (6) Sistemas, dados e modelos de informação (7) Cultura de GRCorp, comunicação e treinamento, e monitoramento (interno e externo) e melhoria contínua Existe estrutura organizacional com papéis e responsabilidades claramente definidos nas práticas de GRCorp? As questões acima mencionadas estão regimentadas, aprovadas e divulgadas por meio de uma política de GRCorp? Existe processo de GRCorp definido e implementado com atividades de identificação de riscos, avaliação de riscos (incluindo cenários), avaliação das atividades de controle, resposta, monitoramento e comunicação? Existe norma de gestão de riscos (ou documento equivalente), de divulgação interna, que estabelece procedimentos, responsabilidades inclusive de relato, segregação de funções, fronteiras de atuação e o sistema geral de governança da gestão de riscos? Existe taxonomia de riscos (categorias) e métodos de avaliações definidos? A organização utiliza-se de técnicas de mensuração? As informações sobre a exposição de riscos da organização são compartilhadas com os diferentes níveis da organização e capturadas de forma consistente? O GRCorp está incorporado no processo decisório, na cultura da organização e no dia a dia da gestão do negócio? Os órgãos de governança e as três linhas de defesa monitoram permanentemente as práticas de GRCorp? O GRCorp é realizado de forma contínua? 53

54 Inicial Fragmentado Definido Consolidado Otimizado (1) Estratégia de GRCorp Estratégia de gestão de riscos claramente A organização Estratégia de definida, sabe por onde Estratégia de gestão de riscos implementada começar, gestão de riscos claramente e integrada aos mesmo que claramente definida e demais ciclos não tenha claro definida e implementada. de gestão. aonde quer implementada. chegar. A organização não sabe como, quem, quando, onde e por que implementar gestão de riscos. As metas de desempenho existem. As metas de desempenho existem. As metas de desempenho são definidas. As metas de desempenho são monitoradas. As metas de desempenho estão alinhadas com a estratégia e a gestão de riscos. 54

55 Existe o risco que você não pode jamais correr, e existe o risco que você não pode deixar de correr. (Peter Drucker) Obrigado! Rodrigo Fontenelle de A. Miranda, CGAP, CRMA, CCSA 55