1
Falhas na regulação de serviços ou atividades Danos ambientais Danos econômicos Na execução de projetos Demora Custos excedidos Nos serviços prestados Falta de capacidade para atender a demanda Qualidade insuficiente Fonte: (NAO, 2000) 2
Mudanças no cenário orçamentário-fiscal contingenciamentos Desvios de recursos públicos Corrupção Riscos, quando não gerenciados adequadamente, ameaçam o atingimento dos objetivos, o cumprimento dos prazos, o controle dos custos e da qualidade de um programa, projeto ou entrega de serviços aos cidadãos (Guia de Orientação para o Gerenciamento de Riscos). 3
UF de exercício UF 2003 a 2012 2013 2014 2015 2016 2017 2018 Total de Penas Expulsivas Qtde. de Servidores Ativos na UF* Expulsos por mil servidores ativos** AM 174 8 30 17 26 14 8 277 10.154 10,14 MT 138 16 8 8 24 16 4 214 9.392 8,09 SP 397 50 75 78 67 49 36 752 46.095 7,70 MA 115 11 5 12 26 16 12 197 10.728 7,64 MS 72 24 4 15 13 9 7 144 10.230 7,04 TO 36 8 6 8 4 7 2 71 4.992 7,01 PA 156 21 30 21 30 23 4 285 19.080 6,76 RR 51 12 5 18 10 2 2 100 7.653 6,40 RJ 676 95 113 97 115 116 34 1.246 94.179 6,05 PR 181 27 26 33 11 25 10 313 23.624 5,59 RO 115 10 10 7 14 9 2 167 10.240 5,08 AL 49 8 6 9 2 9 4 87 7.983 4,76 GO 80 11 9 18 14 9 4 145 13.761 4,72 PE 157 11 32 16 15 17 8 256 22.802 4,34 SC 107 14 13 10 11 25 8 188 18.709 4,33 ES 82 9 10 7 13 7 1 129 10.974 4,28 DF 492 94 60 59 58 37 6 806 73.508 4,27 BA 158 22 16 17 19 6 10 248 23.675 3,80 CE 145 11 19 13 14 10 3 215 18.565 3,77 SE 39 6 1 2 8 6-62 6.680 3,44 AP 105 2 14 7 3 5 3 139 10.158 3,35 AC 21 3-4 2 2 1 33 3.860 3,11 RN 67 13 3 5 1 12 2 103 13.725 2,62 PI 27 2 1-10 9 1 50 8.864 2,59 MG 188 23 29 25 23 41 3 332 55.609 2,59 PB 71 12 3 11 4 7 3 111 16.292 2,46 RS 142 8 19 23 12 18 5 227 35.763 2,38 TOTAL 4.041 531 547 540 549 506 183 6.897 587.295 4,86 4
5
É um processo conduzido em uma organização pelo conselho de administração, diretoria e demais empregados, aplicado no estabelecimento de estratégias, formuladas para identificar em toda a organização eventos em potencial, capazes de afetá-la, e administrar os riscos de modo a mantê-los compatíveis com o apetite a risco da organização e possibilitar garantia razoável do cumprimento de seus objetivos (COSO II ERM).
A implantação e o aprimoramento da gestão de riscos na organização constitui um processo de aprendizagem organizacional que começa com o desenvolvimento de uma consciência sobre a importância de gerenciar riscos e avança com a implantação de práticas e estruturas necessárias à gestão de riscos. O ápice desse processo se dá quando a organização conta com uma abordagem consistente para gerenciar riscos e com uma cultura organizacional aderente aos princípios e práticas da gestão de riscos (SEAUD/SEGECEX/TCU). Gerenciamento de riscos corporativos (GRC) é o conjunto de técnicas que visa reduzir os efeitos das perdas. Enfoca o tratamento dos riscos que possam causar danos pessoais, materiais, ao meio ambiente e à imagem da empresa. É ainda a oportunidade de fazer com que a empresa mantenha e conquiste novos negócios e gerencie suas perdas de forma equilibrada e racional. O Gerenciamento de riscos corporativos é um processo iterativo (que se repete) composto de etapas bem definidas que, realizadas em sequência, suportam melhor as tomadas de decisões, contribuindo com a redução dos riscos e seus impactos. 7
Aumentar a probabilidade de atingir os objetivos. Encorajar uma gestão proativa (em vez de reativa em face dos problemas, apagando incêndios ). Estar atento para a necessidade de identificar e tratar os riscos por toda a organização. Melhorar a identificação de oportunidades e ameaças. Fornecer base sólida e segura para tomada de decisão e planejamento ( planejar a viagem ). Tornar mais eficaz a alocação e o uso de recursos. 8
Melhorar a gestão de incidentes. Melhorar a eficiência operacional e reduzir perdas e custos. Melhorar a confiança das partes interessadas (stakeholders). Melhorar a conformidade com requisitos legais e normativos. Melhorar os controles internos da gestão. 9
10
identificação de riscos Processo de busca, reconhecimento e descrição de riscos análise de riscos Processo de compreender a natureza do risco e determinar o nível de risco. avaliação de riscos Processo de comparar os resultados da análise de riscos com os critérios de risco para determinar se o risco e/ou sua magnitude é aceitável ou tolerável. 11
Avaliação prévia dos contextos externo e interno. Estabelecimento da política de gestão de riscos. Responsabilização Proprietários dos riscos (vão gerenciar). Responsáveis pela implementação da estrutura. Responsáveis pela avaliação (Auditoria Interna, p.e.) e supervisão (Conselho de Administração, p.e.). Integração da gestão de riscos nos processos internos organizacionais Desenvolvimento de políticas Planejamento estratégico e de negócios (Mapa Estratégico Corporativo) Gestão de mudanças 12
13
14
Um processo é um grupo de atividades realizadas numa sequência determinada, a partir do qual se produz um bem ou um serviço. Conjunto de atividades onde há uma entrada, uma transformação, e uma saída. 15
Tudo que é realizado nas organizações está compreendido em um processo de trabalho. Por intermédio desses processos é que se passa a conhecer, em profundidade, o funcionamento da organização, o programa de governo, o projeto, etc. 16
Como está sendo realizado (processo real). Como deve ser realizado (processo segundo as normas). Forma recomendada (processo ideal, pois às vezes as normas estão desatualizadas). 17
O exame detalhado de processos de trabalho pode tomar bastante tempo do analista e, portanto, ser caro! Custo x benefício Inventário de riscos depende da identificação dos processos; não necessariamente do mapeamento de todos eles. Só alguns devem ser mapeados. 18
A escolha dos processos a serem mapeados depende de fatores tais como: materialidade; relevância para a realização dos objetivos da área sob análise; Indícios de que o funcionamento daquele processo não anda bem (observações anteriores; reclamações de usuários; fatos reportados em entrevistas; buracos negros; etc.) Tempo disponível para a realização do trabalho A equipe pode escolher um ou mais processos. 19
Discussão e análise sobre os riscos de cada atividade em que um processo foi decomposto; Por especialista ou grupo de atores que detenham conhecimento sobre o processo analisado (média gerência, preferencialmente); Identificação dos riscos inerentes. 20
21
Evento de risco Fonte Vulnerabilidade Tratamento por controles internos da gestão 22
23
Quantidade e tipo de riscos que uma organização pública está preparada a buscar, manter ou assumir. Apetite a risco - nível de risco que uma organização está disposta a aceitar (inc. II do art. 2º da IN Conjunta/MPOG e CGU nº 1, de 10/05/2016). 24
25
O risco inerente pode ser conceituado como aquele intrínseco à atividade que está sendo realizada. Se o risco inerente estiver em um nível não aceitável para a organização, controles internos devem ser implementados pelos gestores para mitigar esses riscos (Referencial Básico de Governança, TCU, 2ª ed, 2014, p. 57). Risco inerente - risco a que uma organização está exposta sem considerar quaisquer ações gerenciais que possam reduzir a probabilidade de sua ocorrência ou seu impacto (inc. XIV do art. 2º da Instrução Normativa Conjunta/MPOG e CGU nº 1, de 10/05/2016). Risco residual - risco a que uma organização está exposta após a implementação de ações gerenciais para o tratamento do risco (inc. XV do art. 2º da Instrução Normativa Conjunta/MPOG e CGU nº 1, de 10/05/2016). 26
De que estamos falando? Aumentar as chances de sucesso de um projeto? Melhorar a gestão de um departamento? Defender a imagem da instituição? Reduzir custos? Aprimorar a qualidade de atendimento ao público? Antes de partir para a identificação de riscos, deve-se ter em mente o objetivo que se deseja alcançar! 27
A identificação de riscos requer: a identificação de eventos indesejados; suas causas; suas consequências, em termos de impactos no objetivo. Há olhares diferenciados entre os analistas e os profissionais entrevistados. 28
Processo para modificar o risco P I T Probabilidade Impactos Tratamento controles internos da gestão 29
Os órgãos e entidades do Poder Executivo federal deverão implementar, manter, monitorar e revisar os controles internos da gestão, tendo por base a identificação, a avaliação e o gerenciamento de riscos que possam impactar a consecução dos objetivos estabelecidos pelo Poder Público (art. 3º da IN Conjunta/MPOG e CGU nº 1, de 10/05/2016). Os controles internos da gestão se constituem na primeira linha (ou camada) de defesa das organizações públicas para propiciar o alcance de seus objetivos (art. 3º da IN Conjunta/MPOG e CGU nº 1, de 10/05/2016). A definição e a operacionalização dos controles internos devem levar em conta os riscos que se pretende mitigar, tendo em vista os objetivos das organizações públicas (art. 3º da IN Conjunta/MPOG e CGU nº 1, de 10/05/2016). Assim, tendo em vista os objetivos estabelecidos (...) e os riscos decorrentes de eventos internos ou externos que possam obstaculizar o alcance desses objetivos, devem ser posicionados os controles internos mais adequados para mitigar a probabilidade de ocorrência dos riscos, ou o seu impacto sobre os objetivos organizacionais (art. 3º da IN Conjunta/MPOG e CGU nº 1, de 10/05/2016). 30
Processo de modificar o risco (ABNT NBR ISO 31000:2009) Consiste em determinar uma resposta que seja a mais adequada para modificar a probabilidade ou a consequência (impacto) de um risco. Pode envolver: Remoção da fonte de risco Alteração da probabilidade Alteração das consequências Compartilhamento do risco com outra parte Evitar o risco pela decisão de não iniciar ou descontinuar a atividade 31
Alto Impacto / Baixa Probabilidade TRANSFERIR MITIGAR Baixo Impacto / Baixa Probabilidade Alto Impacto / Alta Probabilidade EVITAR TRANSFERIR MITIGAR Baixo Impacto/ Alta Probabilidade Saída Plano de Tratamento de Riscos ACEITAR MITIGAR Probabilidade 32
Consiste em selecionar uma ou mais opções e ações para implementação com vistas a modificar os níveis de risco, mantendo-os em patamares predeterminados, referenciados pelo apetite a risco da organização. Avalie custos e benefícios de cada resposta (art. 14 do DL 200/1967) Avalie o efeito de cada resposta sobre a probabilidade e o impacto Considere riscos cujo tratamento não é economicamente justificável Avalie os riscos secundários introduzidos pelo tratamento Identifique e designe um responsável pela(s) resposta(s) proprietário do risco. Evitar Transferir Tratamento Mitigar Aceitar 33
Tomar uma ação para evitar totalmente o risco, descontinuando as atividades que geram o risco. A única forma de eliminar os riscos seria eliminar a atividade a qual está associado (Duque, 2005). No setor público, é quase impossível optar por essa resposta em alguns casos, dado que é da sua natureza assumir riscos que os próprios cidadãos não podem assumir individualmente. 34
Compartilhar ou transferir uma parte do risco a terceiros. Exemplos: seguros; contratos com cláusulas específicas ou com garantias (SLA); terceirização de atividades... Importante: nem todos os riscos são totalmente transferíveis, em particular o de reputação e imagem, mesmo que a entrega dos serviços seja contratada com um terceiro. O relacionamento com o terceiro para o qual o risco foi transferido deve ser bem gerenciado/acompanhado, para assegurar a efetiva transferência do risco. 35
O risco é aceito ou tolerado sem que nenhuma ação específica seja tomada, porque: o nível do risco é considerado baixo; a capacidade da organização para fazer alguma coisa pode ser limitada; o custo pode ser desproporcional ao benefício (art. 14 do Decreto-lei nº 200/1967); nenhuma resposta é considerada eficaz para reduzir a probabilidade ou o impacto do risco, a um custo aceitável. alguns riscos são tão caros para tratar que, mesmo não sendo toleráveis, vale mais a pena retê-los e ter um plano B, caso se materializem num problema (contingência). nada é feito além de aceitar e monitorar. 36
Os gestores públicos adotam providências para reduzir a probabilidade e/ou o impacto dos riscos identificados (não se confundindo com a função da Auditoria Interna, cf. inc. III do art. 2º da IN Conjunta/MPOG e CGU nº 1, de 10/05/2016, a qual compete avaliar e melhorar a eficácia do GRC). Essas ações são chamadas de controles internos da gestão (primeira linha, ou camada, de defesa das organizações públicas), conhecidas entre nós simplesmente como controles internos, que consistem em políticas e procedimentos adotados pela gestão para manter os riscos dentro dos níveis aceitáveis. A maioria dos riscos tratados recebe este tipo de resposta. Atividades de controles internos de gestão - São as políticas e os procedimentos estabelecidos e executados para mitigar os riscos que a organização tenha optado por tratar. Também denominadas de procedimentos de controle, devem estar distribuídas por toda a organização, em todos os níveis e em todas as funções. Incluem uma gama de controles internos da gestão preventivos e detectivos, bem como a preparação prévia de planos de contingência e resposta à materialização dos riscos (inc. VI do art. 16 da IN Conjunta/MPOG e CGU nº 1, de 10/05/2016). 37