MODELO BRASILEIRO DE GERENCIAMENTO DE RISCOS OPERACIONAIS DA PREVIDÊNCIA SOCIAL

Transcrição

1 MODELO BRASILEIRO DE GERENCIAMENTO DE RISCOS OPERACIONAIS DA PREVIDÊNCIA SOCIAL

2 Ministério da Previdência Social - MPS Secretaria Executiva - SE Assessoria de Gerenciamento de Riscos - AGR MODELO BRASILEIRO DE GERENCIAMENTO DE RISCOS OPERACIONAIS DA PREVIDÊNCIA SOCIAL

3 Apresentação Freqüentemente o gerenciamento de riscos é visto como reativo, ou ainda pior, não responsivo. Pura falácia. O modelo brasileiro de Gerenciamento de Riscos adotado pela Previdência Social trabalha com um método pró-ativo em relação à ameaça e oportunidade, com base na clara compreensão da poderosa natureza dos enfoques qualitativo e quantitativo de gerenciamento de riscos. A presente cartilha tem como objetivo apresentar a metodologia desenvolvida pela Assessoria de Gerenciamento de Riscos do Ministério da Previdência Social em suas ações de identificação, análise, avaliação, mensuração, tratamento e monitoramento dos riscos associados às atividades, funções ou processos da organização. Esta metodologia está embasada nas melhores práticas internacionais de Gerenciamento de Riscos e em normas internacionais, tais como a Australian Standard AZ/NZS (Risk Management Standards) e o COSO - The Comitee of Sponsoring Organizations. Este instrumento facilitará a comunicação interna através do uso de uma linguagem comum e de um método 5

4 consistente de avaliação dos riscos, promovendo o alcance dos principais objetivos do Gerenciamento de Riscos: Tornar o gerenciamento de riscos parte integrante da cultura da Previdência Social; Apoiar a gestão e a diretoria colegiada do INSS na prestação de contas; Fortalecer a base ética, a credibilidade e a imagem da organização e, Minimizar riscos e custos. Álvaro Solon de França Secretário-Executivo do MPS 6

5 1. O que é risco? Risco, segundo a Australian Standard AZ/NZS , é : "a chance de acontecer algo que causará impacto nos objetivos, e que é mensurado em termos de conseqüências e probabilidade" Os riscos podem se apresentar como problemas ou desafios que necessitam ser encarados, por exemplo, os obstáculos que nos impedem de cumprir as tarefas diárias, desenvolver e implementar projetos ou atingir os objetivos e as metas da organização ou, então, como oportunidades a serem aproveitadas. 2. O que é Gerenciamento de Riscos? Ainda segundo a Standard AZ/NZS , Gerenciamento de Riscos pode ser definido como: "a cultura, os processos e a estrutura que são direcionados ao efetivo gerenciamento de potenciais oportunidades e efeitos adversos". Isto significa que o Gerenciamento de Riscos é planejado para propiciar o acesso integrado à gestão de riscos em uma organização, objetivando melhores resultados através da identificação de oportunidades e diminuição das perdas. Significa, também, que os riscos devem ser gerenciados em toda a organização, desde os níveis estratégicos até os operacionais, passando por todas as áreas de atividades e funções. O gerenciamento de riscos auxilia os gestores e demais servidores a tomar decisões oportunas e adequadas que garantam o uso mais efetivo dos recursos dentro de um nível de risco aceitável. No âmbito do MPS, pode-se definir o gerenciamento de riscos como um método organizado que identifica, conhece e seleciona os fatores de riscos, buscando minimizá-los, controlá-los ou eliminá-los. 7

6 3. Quem é responsável pelo Gerenciamento de Riscos? A tarefa de gerenciamento de riscos não pode ser vista como uma atividade limitada à alta cúpula de uma organização, mas deve ser implementada por todas as partes envolvidas nos processos, ou seja, deve ser implementada em todos os níveis da organização. Ao mesmo tempo em que todos os gestores de uma organização têm a responsabilidade pelo gerenciamento de riscos, esta responsabilidade varia de acordo com a posição de cada um dentro da estrutura organizacional. Políticas, orientações normativas e o estabelecimento formal dos deveres de cada gestor são maneiras de garantir que haja um claro entendimento da extensão da responsabilidade atinente a cada cargo ou função. É preciso que os gestores, além de estarem cientes de seus deveres e responsabilidades, tenham a habilidade e o conhecimento necessários para desincumbirem satisfatoriamente suas obrigações como tomadores de decisões no processo de Gerenciamento de Riscos. É fundamental que as pessoas chaves sejam envolvidas em todas etapas do processo de gerenciamento de riscos, a fim de garantir que todos os riscos que permeiam a organização sejam identificados e avaliados. Assim, as avaliações serão mais completas, bem como o processo será compreendido por toda organização e o pessoal envolvido se sentirá "dono" do processo e de seus resultados. 4. Como surgiu a idéia de se criar uma área de Gerenciamento de Riscos Operacionais do MPS? Nos últimos anos, tem-se observado que organizações do mundo inteiro, principalmente no mercado financeiro, têm desenvolvido técnicas que permitem um adequado tratamento aos riscos identificados. 8

7 Esta mudança no mercado tem feito com que instituições, não só privadas, mas também públicas, mudem a forma de enxergar os riscos, seguindo uma tendência de flexibilização de gestão. Em alguns países, o uso dessas técnicas tem sido freqüentemente visualizado em organizações que têm uma postura pró-ativa diante de suas vulnerabilidades, ou seja, previnem o surgimento de riscos potenciais, monitoram e dão soluções para os riscos existentes. Na gestão pública brasileira, a Previdência Social - MPS tem agido de forma pioneira no que tange ao gerenciamento de riscos de suas atividades. Através dessa postura, o MPS tem procurado proteger seus recursos humanos, materiais e financeiros pela eliminação ou redução dos riscos identificados. A partir da análise das atividades desenvolvidas pela Assessoria de Pesquisa Estratégica - APE, área de inteligência da Previdência Social e da Auditoria Geral, surgiu a necessidade de estruturação de uma área responsável pelo gerenciamento de riscos, ou seja, uma assessoria que implementasse ações preventivas em relação às vulnerabilidades identificadas e estudasse mecanismos de controle para suas possíveis causas. O gerenciamento de riscos envolve muitos aspectos e, portanto, em muitas ocasiões deverá ser efetuado por equipe multidisciplinar. É um processo interativo que pode contribuir para o aprimoramento da organização, com desenvolvimento contínuo, onde cada ciclo ou critério de risco pode ser melhorado a fim de atingir melhores níveis de gerenciamento de riscos (AS/NZS 4360 Standards, 1999). 5. Qual a responsabilidade dos membros da Direção da Instituição? É responsabilidade dos membros da diretoria pensar em todos os riscos da organização, inclusive naqueles que foram considerados aceitáveis ou de baixa significância, pois sua natureza ou nível pode mudar com o tempo. Também possuem a responsabilidade em assegurar que sejam tomadas as medidas adequadas para o tratamento dos riscos não aceitáveis. 9

8 6. Quais os Benefícios proporcionados pelo Geren ciamento de Riscos? O gerenciamento de riscos propiciará vários benefícios para a organização, dentre os quais: gerenciamento mais efetivo de recursos, eventos, programas e atividades; visão clara dos objetivos e resultados do negócio; benefícios decorrentes da identificação sistemática das deficiências organizacionais; maior habilidade na identificação das necessidades de todos os envolvidos; maior segurança para os servidores e para o cliente-cidadão; aperfeiçoamento da comunicação, tanto interna quanto externa; aprimoramento da conformidade legal, aderência aos regulamentos ou outras exigências formais; custos menores e previsões orçamentárias mais precisas; melhora da imagem e da reputação da organização; maior participação e interesse da sociedade no negócio e na organização; maior suporte financeiro; maior compromisso e responsabilidade dos gestores (accountability) e, uma organização melhor gerenciada, capaz de sustentar os objetivos governamentais. 10

9 7. Quais os fatores críticos de sucesso do geren ciamento de riscos? A fim de garantir o sucesso do processo de gerenciamento de riscos, a organização deverá: assegurar que a política de Gerenciamento de Riscos seja estabelecida, implementada e mantida de acordo com as normas, em todos os níveis da organização; disponibilizar os recursos necessários ao Gerenciamento de Riscos; garantir a capacitação de pessoal, o desempenho do trabalho e a verificação de atividades de revisão do sistema de Gerenciamento de Riscos em intervalos especificados e, garantir a criação de indicadores de eficiência ou renta bilidade de unidades, produtos e serviços, que permitam avaliar os processos críticos da Instituição. 8. Qual o Papel da Assessoria de Gerenciamento de Riscos do MPS? A Assessoria de Gerenciamento de Riscos deverá: garantir a criação de metodologia e sistema informacional para o processo de gerenciamento de riscos, em harmonia com a realidade da Instituição. comunicar o desempenho do Gerenciamento de Riscos à gestão da organização, a fim de possibilitar a revisão e as melhorias necessárias. 9. Quais as etapas fundamentais do Processo de Gerenciamento de Riscos? O gerenciamento de riscos é um processo interativo e cíclico que contribui para o desenvolvimento contínuo da organização. O modelo de processo de gerenciamento de riscos da Australian 11

10 Standard AZ/NZS é composto por algumas etapas que devem ser seguidas para o alcance do melhor resultado. Suas etapas fundamentais são: A) Estabelecimento do Contexto Estabelecimento do contexto significa definir o que fazemos e como mensurar se estamos sendo bem sucedidos, a quem podemos causar impacto com nosso trabalho e quais as categorias ou grupos de atividades que compõem este trabalho. No âmbito do INSS e do MPS, o processo objeto do trabalho do Gerenciamento de Riscos será selecionado dentre aqueles que apresentarem maior nível de risco, sob o aspecto financeiro, estratégico, de conformidade (compliance) e de imagem. Enquanto a matriz de riscos da instituição não estiver completa, a seleção do processo será realizada a partir de critérios como análises qualitativas, questionários e entrevistas com pessoas-chave, montante de capital envolvido, imagem institucional ou subsídios de outras áreas como Ouvidoria, Auditoria Interna, Assessoria de Pesquisas Estratégicas - APE, ou de órgãos externos como Tribunal de Contas da União - TCU e Secretaria Federal de Controle - SFC. B) Identificação de Riscos Identificação de riscos é o processo que define aqueles eventos ou resultados que possam ter impacto no atingimento do sucesso de uma organização. No âmbito do gerenciamento de riscos do MPS, o levantamento de riscos será feito, num primeiro momento, através do agrupamento das vulnerabilidades levantadas junto às áreas de negócio. Este levantamento se fará de acordo com a metodologia embasada na norma australiana AS/NZS 4360:1999 e adaptada para a realidade da Organização. A etapa de identificação de riscos deve envolver, além dos integrantes da AGR, representantes das áreas de negócios, a fim de garantir que todas as vulnerabilidades sejam identificadas. A validação destas vulnerabilidades deverá ser feita pela AGR, em conjunto com os técnicos da área de negócio. 12

11 C) Análise de Riscos Análise de riscos é o processo que determina o impacto que um risco pode ter (conseqüência) e a probabilidade de sua ocorrência. No âmbito da AGR, serão realizados workshops para a validação do relatório de vulnerabilidades. Este relatório será encaminhado, previamente, a todos os participantes do workshop. Os participantes serão, além da equipe de trabalho (representantes da AGR e da gestão), os gestores da área de negócio e outros especialistas que possam contribuir para a qualificação do trabalho. D) Avaliação dos Riscos A avaliação determina a prioridade no gerenciamento dos riscos através da comparação do nível destes riscos no contexto dos objetivos da organização. A comparação é feita entre o nível estimado do risco determinado na análise e critérios pré-estabelecidos (os dois numa mesma base). E) Tratamento de Riscos Tratamento é a ação empreendida após a identificação e a avaliação de riscos considerados inaceitáveis para a organização. F) Monitoramento e Revisão Monitoramento é o processo que tem como objetivo verificar, supervisionar, observar criteriosamente ou registrar a melhoria de uma atividade, ação ou sistema a fim de identificar mudanças. Revisão é o processo de avaliação do realizado em relação ao planejado. G) Comunicação e Consulta A comunicação consiste em um meio adequado de diálogo entre os stakeholders, com ênfase em consulta, além de um meio de informação dos tomadores de decisão para os demais stakeholders. 13

12 10.Como a Assessoria de Gerenciamento de Riscos - AGR pretende monitorar os riscos? No âmbito da AGR o monitoramento acontece em três níveis: A) Monitoramento das Recomendações As recomendações de medidas para a mitigação ou eliminação dos riscos e vulnerabilidades deverão ser implementadas pelos gestores da área de negócio que, em prazo a ser definido, apresentarão um plano para sua implementação. Este plano conterá prazos, responsáveis e atividades a serem desenvolvidas para a implementação das medidas recomendadas. A gestão deverá definir um representante, responsável pelo monitoramento das ocorrências relativas à área. A AGR irá monitorar a efetividade da implementação do plano até que todas as recomendações sejam implementadas ou substituídas, se for o caso. O monitoramento será registrado e acompanhado continuamente através do Sistema de Informações de Risco - SIR, onde as recomendações poderão assumir vários níveis quanto à sua implementação (total, parcial, inexistente, substituída ou sobrestada). B) Monitoramento dos Riscos ou Vulnerabilidades Após a implementação das recomendações, a Auditoria Interna deverá analisar a efetividade dos controles implementados. Os pareceres emitidos pela auditoria serão registrados no Sistema de Informações de Riscos, podendo acarretar alterações nas prioridades dos riscos, que são continuamente monitorados. Portanto, o gerenciamento de riscos é um processo contínuo que não se esgota com a implementação das recomendações. C)Monitoramento das Atividades de Gerenciamento de Riscos Durante a execução das atividades de gerenciamento de riscos deverão ser analisados os indicadores de desempenho e sucesso destas atividades, a fim de desenvolver melhorias contínuas e avaliar a efetividade do processo. 14

13 11.Existe algum Sistema de Gerenciamento de Riscos em desenvolvimento? Está sendo desenvolvido internamente na AGR o Sistema de Informações de Riscos - SIR, cujo primeiro módulo já está em funcionamento. O SIR permite o cadastramento de vulnerabilidades por área de negócio e ordena os níveis de riscos de acordo com o impacto e probabilidade de ocorrência; através de relatórios gerenciais verificam-se as vulnerabilidades que foram detectadas por área de negócio, quais recomendações foram feitas pela AGR e que providências foram adotadas pela respectiva área de negócios monitorada. Uma primeira versão na Intranet (rede corporativa) será disponibilizada inicialmente com acesso restrito aos membros da Diretoria Colegiada do INSS, Secretário-Executivo e Ministro de Estado da Previdência Social. 15

14 Ministério da Previdência Social MPS Secretaria Executiva SE Assessoria de Gerenciamento de Riscos AGR Esplanada dos Ministérios, bloco F, sala 907 Tel.: (61) CEP: Brasília-DF