O NOVO PARADIGMA PARA A GESTAO DE RISCO FIXADO PELA INSTRUÇÃO NORMATIVA CONJUNTA N. 01/16-MP/CGU. Francisco Eduardo de Holanda Bessa

O NOVO PARADIGMA PARA A GESTAO DE RISCO FIXADO PELA INSTRUÇÃO NORMATIVA CONJUNTA N. 01/16-MP/CGU Francisco Eduardo de Holanda Bessa

ISO 31000

Gestão de riscos - ISO 31000:2009 Princípios Estrutura Processos Determinados pelo contexto interno cultura recursos da organização e pelo contexto externo 3

Conceito de risco Sentido amplo é a possibilidade de acontecer algo que irá ter um impacto sobre os objetivos. Ele é medido em termos de conseqüências e probabilidade. AS/NZS 4360: 2004 Norma australiana / neo-zelandesa de Gestão de Riscos, substituída pela ISO 31000 4 4

Conceito de risco efeito da incerteza nos objetivos Nota 1: Um efeito é um desvio do esperado positivo e/ou negativo. Nota 2: Objetivos podem ter diferentes aspectos (tais como objetivos financeiros, saúde e segurança e ambientais) e podem ser aplicados em diferentes níveis (tais como estratégico, em toda organização, projeto, produto e processo). [grifo nosso]

Descrição de risco RISCO FONTE DE RISCO EVENTO CONSEQUÊNCIA RISCO = função da probabilidade e gravidade da Consequência 6

Modelo genérico de determinação dos RISCOS Como pode acontecer? (explicações) O que pode acontecer? Fontes de risco EVENTO CONSEQUÊNCIAS fatores de risco Incidentes perigosos Exposições excessivas Sobrecargas de trabalho Impactos sobre a Segurança e Saúde dos Trabalhadores (Baseado na ISO 31000:2009 + Diagrama de Ishikawa) 7

Visão Geral da Estrutura ISO 31000

Visão Conceitual da Estrutura ISO 31000 Elaboração do QSP

Estrutura ISO 31000

Estrutura para a gestão de riscos conforme ISO 31000

Política de gestão de riscos conforme ISO 31000, deve conter: a justificativa da organização para gerenciar riscos; as ligações entre os objetivos e políticas da organização com a política de gestão de riscos; as responsabilidades para gerenciar riscos; a forma com que são tratados conflitos de interesses o comprometimento de tornar disponíveis os recursos necessários para auxiliar os responsáveis pelo gerenciamento dos riscos; a forma com que o desempenho da gestão de riscos será medido e reportado; o comprometimento de analisar criticamente e melhorar periodicamente a política e a estrutura da gestão de riscos em resposta a um evento ou mudança nas circunstâncias.

Processo de gestão de riscos conforme ISO 31000

Matrizes de Risco: priorizar ações e subsidiar a tomada de decisão 14

Tratamento / Controle de riscos - ISO 31000:2009 Tratamento de riscos: processo de modificar os riscos. Controle: medida que está modificando o risco. Nota 1: os controles incluem qualquer processo, política, dispositivo, prática ou outras ações que modificam o risco. Nota 2: Os controles nem sempre conseguem exercer o efeito de modificação pretendido ou presumido. 15

Modelo para Controle de Riscos Diagrama gravata borboleta Fontes de risco Causa 1 Consequência 1 Causa 2 EVENTO Consequência 2 Consequência 3 Causa 3 Controles de prevenção Consequência 4 Controles de mitigação e recuperação (IEC/ISO 31010:2009)

Abordagens para tratamento do riscos - ISO 31000:2009 Evitar o risco Eliminar o risco (remoção da fonte de risco) Redução do risco Alteração da probabilidade Alteração da consequência Compartilhar o risco com outra parte ou partes (incluindo contratos e financiamento do risco) Reter o risco (por uma decisão consciente e bem embasada) 17

COSO ERM

Incertezas Resultam da ausência de precisão quanto à ocorrência de eventos que podem afetar o alcance dos objetivos organizacionais. Derivam das escolhas estratégicas das organizações. Riscos e Oportunidades.

Riscos Possibilidade de que um evento ocorrerá e afetará negativamente a realização dos objetivos. Eventos de impacto negativo podem originar-se de situações aparentemente positivas.

Importância do Gerenciamento de Riscos Toda organização existe para gerar valor a seus stakeholders. Valor é criado, preservado ou destruído pelas decisões de gestão em todas as atividade. O Gerenciamento de Riscos propicia que a organização se posicione quanto a eventos futuros. O Gerenciamento de riscos inicia-se na própria definição da estratégia da organização.

COSO 2 - Gerenciamento de Riscos Corporativos Estrutura Integrada O gerenciamento de riscos corporativos é um processo conduzido em uma organização pelo conselho de administração, diretoria e demais empregados, aplicado no estabelecimento de estratégias, formuladas para identificar em toda a organização eventos em potencial, capazes de afetá-la, e administrar os riscos de modo a mantêlos compatíveis com o apetite a risco da organização e possibilitar garantia razoável do cumprimento dos seus objetivos.

Estrutura de Gerenciamento de Riscos COSO II

Tipos de Objetivos da Organização

AMBIENTE INTERNO Filosofia de Gerenciamento de Riscos Conselho de Administração Normas de Recursos Humanos Atribuição de Autoridade e de Responsabilidade Estrutura Organizacional Integridade e Valores Éticos Comprometimento da Direção Compromisso com a Competência

FIXAÇÃO DE OBJETIVOS Definidos pela alta administração, devem ser divulgados a todos os componentes da organização, antes da identificação dos eventos que possam influenciar na consecução dos objetivos. Os objetivos devem estar alinhados à missão da entidade e devem ser compatíveis com o apetite a riscos. Objetivos Estratégicos Objetivos Correlatos Apetite e Tolerância a risco

Tipos de Objetivos da Organização

FIXAÇÃO DE OBJETIVOS Os objetivos são fixados no âmbito estratégico, estabelecendo-se uma base para os objetivos operacionais, de comunicações (relatórios) e de conformidade. Toda organização enfrenta riscos oriundos de fontes externas e internas. O estabelecimento de objetivos é condição prévia para a identificação eficaz de eventos, avaliação de riscos e resposta a riscos. Os objetivos são alinhados ao apetite a riscos, que impulsiona os níveis de tolerância a riscos para a organização.

FIXAÇÃO DE OBJETIVOS Os objetivos podem ser agrupados em quatro categorias: Sujeitos a eventos externos Estratégicos: suportam a missão da organização Operacionais: eficácia e eficiência na utilização dos recursos Maior controlabilidade De comunicação: confiabilidade dos dados e informações produzidas pela organização De conformidade: com leis e regulamentos

Tolerância a riscos Alta tolerância a riscos Baixa tolerância a riscos Objetivo Apetite a risco: quantidade de risco que a organização está disposta a aceitar na busca de sua missão/visão

IDENTIFICAÇÃO DE EVENTOS EVENTO Positivos (Oportunidades) Negativos (Riscos) Eventos: situações em potencial que ainda não ocorreram que podem causar impacto na consecução dos objetivos da organização, caso venham a ocorrer.

Identificação de Eventos Externos Econômicos Tecnoló gicos Ambientais Eventos Externos Políticos Sociais

Identificação de Eventos Externos

Identificação de Eventos Internos Infraestrutura Pessoal Eventos Internos Processo Tecnologia

Identificação de Eventos Internos

AVALIAÇÃO DE RISCOS Identificar riscos de negócio relevantes para os objetivos da organização Estimar a significância dos riscos Avaliar a probabilidade de sua ocorrência Decidir sobre ações em resposta a esses riscos

AVALIAÇÃO DE RISCOS Os riscos são avaliados com base em suas características inerentes e residuais. Risco inerente é o risco que uma organização terá de enfrentar na falta de medidas que a administração possa adotar para alterar a probabilidade ou o impacto dos eventos. Risco residual é aquele que ainda permanece após a resposta da administração. A avaliação de riscos é aplicada primeiramente aos riscos inerentes.

Exemplo: Call Center Alto I M P A C T O Baixo Sob Avaliação Desparecimentos de equipamentos Risco Baixo Fraudes Perda de transações Moral dos empregados PROBABILIDADE Sob avaliação Risco Alto Alto tempo de espera Cliente não consegue ser atendido Cliente não consegue respostas Obsolescência de equipamentos Chamadas para mesmos problemas Alta

RESPOSTA A RISCOS Após a avaliação dos riscos, a Administração determina como responderá aos riscos. As respostas incluem evitar, reduzir, compartilhar ou aceitar os riscos. Identifica as oportunidades e chega a uma visão de toda organização visão de portfólio, determinando se os riscos residuais gerais são compatíveis com o apetite a riscos da organização.

RESPOSTA A RISCOS Evitar Suspensão das atividades. Reduzir Compartilhar Adoção de procedimentos de controle para minimizar a probabilidade e/ou o impacto do risco. Redução da probabilidade ou do impacto. Aceitar Não adotar medidas mitigadoras.

RESPOSTA A RISCOS

RESPOSTA A RISCOS Alto Impacto / Baixa Probabilidade Compartilhar Baixo Impacto / Baixa Probabilidade Alto Impacto / Alta Probabilidade Evitar Compartilhar Reduzir Baixo Impacto / Alta Probabilidade Aceitar Reduzir Probabilidade

ATIVIDADES DE CONTROLE Políticas e procedimentos que direcionam as ações individuais na implementação das políticas de gestão de riscos Inseridas nos processos da organização, associadas às respostas aos riscos Não são executadas simplesmente por executar ou por parecer a coisa certa ou apropriada a ser feita

INFORMAÇÃO E COMUNICAÇÃO As informações são necessárias em todos os níveis de uma organização, para identificar, avaliar e responder a riscos. Comunicação interna: papéis e responsabilidades. Comunicação externa: stakeholders (clientes, fornecedores, sociedade). Infra-estrutura de TI: suporte à conversão de dados em informações.

Requisitos de qualidade das informações O conteúdo é apropriado está no nível de detalhes adequado? As informações são oportunas estarão disponíveis quando necessário? As informações são atuais são as mais recentes? As informações são exatas os dados estão corretos? As informações são de fácil acesso são de fácil obtenção por aqueles que as necessitam?

MONITORAMENTO Mediante atividades contínuas de monitoramento, avaliações independentes ou uma combinação de ambas. O monitoramento contínuo ocorre no decurso normal das atividades de administração. As deficiências no gerenciamento de riscos corporativos são relatadas aos superiores, sendo as questões mais graves relatadas ao Conselho de administração e à diretoria executiva. Auditoria interna: avaliação independente dos desenhos e da execução eficaz e eficiente dos controles internos da gestão.

Eficácia do Gerenciamento de Riscos O processo de gerenciamento de riscos quando os agentes: é eficaz Entendem até que ponto objetivos estratégicos estão sendo alcançados (efetividade) Entendem até que ponto objetivos operacionais estão sendo alcançados (eficácia e eficiência) Têm segurança razoável quanto à confiabilidade dos relatórios e das informações Têm segurança razoável de que leis e regulamentos estão sendo observados

Instrução Normativa Conjunta MP/CGU Nº 01, 10/05/2016

Contextualização O Ministério do Planejamento, Desenvolvimento e Gestão (MP) e o Ministério da Transparência, Fiscalização e Controle (MTFC) determinam, aos órgãos e entidades do Poder Executivo Federal, a adoção de uma série de medidas para a sistematização de práticas relacionadas a gestão de riscos, controles internos e governança. As novas orientações foram publicadas na Instrução Normativa Conjunta MP/CGU, de 10 de maio de 2016, publicada no Diário Oficial da União, em 11 de maio de 2016.

IN Conjunta MP/CGU Nº 01, DE 10/05/2016 Conceitos Controles Internos da Gestão Gestão de Riscos Governança Comitê de Governança, Riscos e Controles Disposições Finais

Conceitos A IN Conjunta MP/CGU 01/2016 apresenta conceitos para: accountability apetite a risco auditoria interna componentes dos controles internos da gestão controles internos da gestão fraude gerenciamento de riscos governança Governança no setor público incerteza mensuração de risco política de gestão de riscos risco risco inerente risco residual Sistema de Controle Interno do Poder Executivo Federal

Controles Internos Os órgãos e entidades do Poder Executivo Federal deverão: Implementar, manter, monitorar e revisar os controles internos da gestão 1ª Linha (ou camada) de defesa das organizações públicas Ter por base a identificação, a avaliação e o gerenciamento de riscos Considerar os riscos que se pretende mitigar tendo em vista os objetivos das organizações públicas Os controles serão operados por todos os agentes públicos responsáveis por macroprocessos finalísticos e de apoio Ter controles adequados para mitigar a probabilidade de ocorrência dos riscos, ou o seu impacto nos objetivos organizacionais

Controles Internos Os controles internos da gestão devem: Ser efetivos e consistentes de acordo com a natureza, complexidade, estrutura e missão do órgão ou da entidade pública Considerar os seguintes componentes: ambiente de controle, avaliação de riscos, atividade de controle, informação e comunicação, e monitoramento Basear-se no gerenciamento de riscos Os componentes aplicam-se a todos os níveis, unidades e dependências do órgão ou da entidade pública Integrar as atividades, planos, ações, políticas, sistemas, recursos e esforços de todos que trabalhem na organização Ser implementados como uma série de ações que permeiam as atividades da organização

Controles Internos Os dirigentes máximos devem assegurar que os procedimentos de implementação de controles internos façam parte das práticas de gerenciamento de riscos Os controles internos aqui tratados não se confundem com as atividades do Sistema de Controle Interno relacionadas no art. 74 da CF de 1988, nem com as atribuições da auditoria interna, cuja finalidade específica é a medição e avaliação da eficácia e eficiênciados controlesinternos da gestão podem estabelecer instâncias de 2ª Linha (ou camada) de defesa para supervisão e monitoramento dos controles internos Os controles internos devem ser implementados em consonância com: princípios, objetivos, estrutura e responsabilidades previstos na IN Conjunta MP/CGU 01/2016

Controles Internos Responsabilidades A responsabilidade por estabelecer, manter, monitorar e aperfeiçoar os controles internos da gestão é da alta administração da organização, sem prejuízo das responsabilidades dos gestores dos processos organizacionais e de programas de governos nos seus respectivos âmbitos de atuação Cabe aos demais funcionários e servidores a responsabilidade pela operacionalização dos controles internos da gestão e pela identificação e comunicação de deficiências às instâncias superiores

Gestão de Riscos Instituir, em até doze meses a contar da publicação da IN Conjunta MP/CGU Nº 01/2016, de 10/05/2016, Política de Gestão de Riscos, especificando ao menos: princípios e objetivos organizacionais diretrizes competências e responsabilidades Os órgãos e entidades do Poder Executivo federal deverão: implementar, manter, monitorar e revisar o processo de gestão de riscos, compatível com sua missão e objetivos estratégicos, observando: Princípios da Gestão de Riscos Objetivos da Gestão de Riscos Estrutura do Modelo de Gestão de Riscos Responsabilidades

Gestão de Riscos Os órgãos e entidades deverão considerar, entre outras possíveis, as seguintes tipologias de riscos: eventos que podem comprometer a capacidade do órgão ou entidade de contar com os recursos orçamentários e financeiros necessários à realização de suas atividades, ou eventos que possam comprometer a própria execução orçamentária, como atrasos no cronograma de licitações eventos derivados de alterações legislativas ou normativas que podem comprometer as atividades do órgão ou entidade eventos que podem comprometer a confiança da sociedade (ou de parceiros, de clientes ou de fornecedores) em relação à capacidade do órgão ou da entidade em cumprir sua missão institucional eventos que podem comprometer as atividades do órgão ou entidade, normalmente associados a falhas, deficiência ou inadequação de processos internos, pessoas, infraestrutura e sistemas Riscos financeiros/ orçamentários Riscos legais Riscos de imagem/ reputação do órgão Riscos operacionais

Governança Liderança Integridade São princípios da boa governança, devendo ser seguidos pelos órgãos e entidades do Poder Executivo Federal Responsabilidade Compromisso Transparência Accountability

Governança - Princípios Liderança deve ser desenvolvida em todos os níveis da administração as competências e responsabilidades devem estar identificadas para todos os gestores de recursos públicos Responsabilidade diz respeito ao zelo que se espera dos agentes de governança na definição de estratégias e na execução de ações para a aplicação de recursos públicos, com vistas ao melhor atendimento dos interesses da sociedade Transparência disponibilizar acesso a todas as informações relativas à organização pública, um dos requisitos de controle do Estado pela sociedade civil as informações devem ser completas, precisas e claras para a adequada tomada de decisão das partes interessadas Integridade tem como base a honestidade e objetividade, elevando os padrões de decência e probidade na gestão dos recursos públicos e das atividades da organização, com reflexo tanto nos processos de tomada de decisão, quanto na qualidade de seus relatórios financeiros e de desempenho Compromisso dever de todo agente público de se vincular, assumir, agir ou decidir pautado em valores éticos que norteiam a relação com os envolvidos na prestação de serviços à sociedade, prática indispensável à implementação da governança Accountability obrigação dos agentes ou organizações que gerenciam recursos públicos de assumir responsabilidades por suas decisões e pela prestação de contas de sua atuação de forma voluntária, assumindo integralmente a consequência de seus atos e omissões 77

Comitê de Governança, Riscos e Controles Instituir nos órgãos e entidades do Poder Executivo Federal, em até: (maio/2017) Apoiado pelo Assessor Especial de Controle Interno Instituir Comitê de Governança, Riscos e Controles Internos Composto pelo dirigente máximo e pelos dirigentes das unidades a ele diretamente subordinadas

Comitê de Governança, Riscos e Controles - Competências I. promover práticas e princípios de conduta e padrões de comportamentos II. institucionalizar estruturas adequadas de governança, gestão de riscos e controles internos III. promover o desenvolvimento contínuo dos agentes públicos e incentivar a adoção de boas práticas de governança, de gestão de riscos e de controles internos IV. garantir a aderência às regulamentações, leis, códigos, normas e padrões, com vistas à condução das políticas e à prestação de serviços de interesse público V. promover a integração dos agentes responsáveis pela governança, pela gestão de riscos e pelos controles internos VI. promover a adoção de práticas que institucionalizem a responsabilidade dos agentes públicos na prestação de contas, na transparência e na efetividade das informações VII. aprovar política, diretrizes, metodologias e mecanismos para comunicação e institucionalização da gestão de riscos e dos controles internos VIII. supervisionar o mapeamento e avaliação dos riscos-chave que podem comprometer a prestação de serviços de interesse público IX. liderar e supervisionar a institucionalização da gestão de riscos e dos controles internos, oferecendo suporte necessário para sua efetiva implementação no órgão ou entidade X. estabelecer limites de exposição a riscos globais do órgão, bem com os limites de alçada ao nível de unidade, política pública, ou atividade XI. aprovar e supervisionar método de priorização de temas e macroprocessos para gerenciamento de riscos e implementação dos controles internos da gestão XII. emitir recomendação para o aprimoramento da governança, da gestão de riscos e dos controles internos XIII. monitorar as recomendações e orientações deliberadas pelo Comitê

Disposições Finais. A Política de Gestão de Riscos A CGU poderá avaliar:. Se os procedimentos de riscos estão de acordo com a Política de Gestão de Riscos. Os controles internos da gestão implementados pelos órgãos e entidades para mitigar os riscos, bem como outras respostas aos riscos avaliados