Para determinar os níveis de risco, é preciso definir escalas para estimar a probabilidade e o impacto, bem como estabelecer quando a combinação

Documentos relacionados
É tempo de gestão de riscos!

Portaria nº 966 de 26 de março de O Vice-Reitor da Universidade Federal de São Paulo, no uso de suas atribuições legais e regimentais,

CONTROLES INTERNOS, GESTÃO DE RISCOS E GOVERNANÇA NO ÂMBITO DO PODER EXECUTIVO FEDERAL

Processo de Gerenciamento de Riscos e suas Ferramentas

Controle Interno e Gestão de Riscos. Alessandro de Araújo Fontenele Auditor Federal de Controle Externo TCU

Institui a Política de Gestão de Riscos - PGR do Ministério da Transparência, Fiscalização e Controladoria-Geral da União - CGU.

1ª Reunião do FORPLAD/2017 Prof. Paulo Ricardo, AECI/MCID Recife-PE, 15 de março de 2017

POLÍTICA DE RISCO OPERACIONAL

Política de Risco Operacional BM&FBOVESPA. Página 1

DE GESTÃO DE RISCOS DO IFMS

POLÍTICA DE GESTÃO, INTEGRIDADE, RISCOS E CONTROLES INTERNOS MGI MINAS GERAIS PARTICIPAÇÕES S.A.

PORTARIA SEI REITO Nº 775, DE 13 DE AGOSTO DE 2018

Institui a Política de Gestão de Riscos do Ministério do Meio Ambiente.

GESTÃO DE RISCOS CORPORATIVOS E CONTROLES INTERNOS BELÉM (PA) MAIO DE 2018

Modelo prático da ANAC

GESTÃO DE RISCOS NAS UNIVERSIDADES FEDERAIS BRASILEIRAS. Monique Regina Bayestorff Duarte

PORTARIA NORMATIVA Nº 004 DE 12/04/2017

Governança, Gestão de Riscos e Controle Interno

Gestão de Riscos e Estruturação De Controles Internos IN 001/2016 CGU/MPOG. Novas Estratégias sobre controles

Gerenciamento e Interoperabilidade de Redes. Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt

Auditoria Interna em Sistema de Integridade. Rodrigo Fontenelle, CGAP, CRMA, CCSA

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA FRONTEIRA SUL Gabinete do Reitor PORTARIA Nº 0301/GR/UFFS/2017

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini /

Instrumento Organizacional. Política Institucional GESTÃO DE RISCOS CORPORATIVOS PI0028 V.2

A gestão de riscos e a operacionalização de controles internos da gestão: o papel da auditoria interna como 3a linha de defesa

RESOLUÇÃO CFC N.º 1.528, DE 18 DE AGOSTO DE O CONSELHO FEDERAL DE CONTABILIDADE, no uso de suas atribuições legais e regimentais,

Política de Gestão de Riscos do IF Goiano

POLÍTICA DE GESTÃO DE RISCOS

ANEXO POLÍTICA DE GESTÃO DE INTEGRIDADE, DE RISCOS E DE CONTROLES INTERNOS POGIRC DO MINISTÉRIO DE MINAS E ENERGIA

MINISTÉRIO DA EDUCAÇÃO UNIVERSIDADE FEDERAL DO CEARÁ REITORIA

Interpretação da norma NBR ISO/IEC 27001:2006

Falhas na regulação de serviços ou atividades Danos ambientais Danos econômicos Na execução de projetos Demora Custos excedidos Nos serviços

GOVERNANÇA O QUE É? Outubro / 2018

PORTARIA DO MINISTÉRIO DA INTEGRAÇÃO NACIONAL Nº 702, DE

Módulo Processo (primeira parte: 5.1 Generalidades, 5.2 Comunicação e consulta, 5.3 Estabelecimento de contexto)

POLÍTICA GESTÃO RISCOS CORPORATIVOS

A importância da Gestão de Riscos. Marcelo de Sousa Monteiro

ÍNDICE 1. OBJETIVO ABRANGÊNCIA DEFINIÇÕES GESTÃO DE RISCOS ETAPAS DA GESTÃO DE RISCOS E CONTROLES INTERNOS...

Sistema CFQ/CRQ Planejamento Estratégico INOVAÇÃO & INTEGRAÇÃO

POLÍTICA GESTÃO DE RISCOS

POLÍTICA DE CONFORMIDADE

Reflexões sobre governança, riscos e controles internos na administração pública

Mapeamento de Riscos

VI FÓRUM DE ADMINISTRAÇÃO E PLANEJAMENTO

Governança e Gestão das Aquisições. Encontro com fornecedores dos Correios. Brasília Junho/2016

GESTÃO DE RISCOS. A gestão de riscos pode ser aplicada a toda uma organização, em suas várias. bem como a funções, atividades e projetos específicos.

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini /

GERENCIAMENTO INTEGRADO DE RISCOS CORPORATIVOS, CONTROLES INTERNOS E COMPLIANCE. Histórico de Revisões. Elaboração do Documento.

Gerenciamento e Interoperabilidade de Redes

Verificação: Diretoria Executiva

Poder Judiciário Federal Justiça Eleitoral do Ceará. Planejamento Estratégico Plano de Gestão de Riscos

POLÍTICA PCT 007 GERENCIAMENTO DE RISCOS E CONTROLES INTERNOS

Gestão de Riscos em IES:

POLÍTICA DE GERENCIAMENTO

GESTÃO DE RISCOS NAS LICITAÇÕES E CONTRATOS

A Norma ISO 19600:2014 A implementação de um padrão global para o Gerenciamento da Conformidade (Compliance)

Ministério da Saúde - MS Agência Nacional de Vigilância Sanitária - ANVISA

COMPANHIA DOCAS DO ESTADO DE SÃO PAULO AUTORIDADE PORTUÁRIA POLÍTICA DE GERENCIAMENTO DE RISCOS

ForRisco: gerenciamento de riscos em instituições públicas na prática. Apresentação: Rodrigo Fontenelle de A. Miranda. Brasília, DF

CARTILHA INFORMATIVA SOBRE A AUDITORIA INTERNA DA UFRRJ

MANUAL DE GESTÃO DE RISCOS Diretoria de Riscos

MINISTÉRIO DA EDUCAÇÃO UNIVERSIDADE FEDERAL DO RIO GRANDE DO NORTE

POLÍTICA DE CONTROLES INTERNOS

POLÍTICA GESTÃO DE RISCOS

GOVERNANÇA PÚBLICA O DESAFIO DO BRASIL AS CONTRIBUIÇÕES DO CONTROLE EXTERNO JOÃO AUGUSTO RIBEIRO NARDES MINISTRO DO TCU

Por Carolina de Moura 1

Missão. Visão. Objetivos Estratégicos (OE)

Capítulo I DAS DISPOSIÇÕES GERAIS. Seção I Dos Conceitos

INSTRUMENTO NORMATIVO

Gestão do Conhecimento (GC). Teoria e

GESTÃO DE RISCOS NA CONTRATAÇÃO PÚBLICA GABRIELA PÉRCIO

DIRETRIZES DE CONTROLE EXTERNO Projeto Qualidade e Agilidade dos TCs QATC2

PORTARIA No , DE 20 DE JULHO DE 2017

Data de Publicação 23/02/2017. Prazo de Validade 23/02/2018. Política de Controles Internos e Risco Operacional

CARTILHA INFORMATIVA SOBRE A AUDITORIA INTERNA DA UFRRJ

CONTEÚDO CAPÍTULO I - DA MISSÃO E DO ESCOPO DO TRABALHO CAPÍTULO II - DA VINCULAÇÃO E ABRANGÊNCIA

Política de Gestão Estratégica de Riscos e Controles Internos CELESC

METODOLOGIA DE AUDITORIA BASEADA EM RISCOS PARA ELABORAÇÃO DO PAINT

O NOVO PARADIGMA PARA A GESTAO DE RISCO FIXADO PELA INSTRUÇÃO NORMATIVA CONJUNTA N. 01/16-MP/CGU. Francisco Eduardo de Holanda Bessa

Segurança da Informação Aula 9 Políticas de Segurança. Prof. Dr. Eng. Fred Sauer

PORTARIA Nº 42, DE 1º DE FEVEREIRO DE 2019

POLÍTICA DE GESTÃO DE RISCOS DO INSTITUTO FEDERAL SUL-RIO-GRANDENSE TÍTULO I DAS DISPOSIÇÕES INICIAIS

Política de Gestão de Riscos AES Brasil

Gestão de Processos Introdução Aula 1. Professor: Osmar A. Machado

GESTÃO DE RISCO NA ADMINISTRAÇÃO PÚBLICA: QUEBRANDO PARADIGMAS ATORES E

WESTERN UNION CORRETORA DE CÂMBIO S.A. E BANCO WESTERN UNION DO BRASIL S.A. ( WU BRASIL )

Norma de Gestão de Risco

GESTÃO DE RISCOS NO SETOR PÚBLICO

Capítulo I DAS DISPOSIÇÕES GERAIS. Seção I. Dos Conceitos

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DO PARÁ CONSELHO UNIVERSITÁRIO RESOLUÇÃO N. 778, DE 03 DE JULHO DE 2018 R E S O L U Ç Ã O :

ESTRUTURA DE GERENCIAMENTO DE RISCO OPERACIONAL

Parecer de Dirigente do Controle Interno

INSTRUMENTO NORMATIVO

SLC AGRÍCOLA S.A. POLÍTICA DE GERENCIAMENTO DE RISCOS

Apresentação do representante Técnico

RESOLUÇÃO Nº. 001 DE 11 DE JUNHO DE 2018.

Ética Conduta Respeito Confiabilidade Responsabilidade

Transcrição:

1

Para determinar os níveis de risco, é preciso definir escalas para estimar a probabilidade e o impacto, bem como estabelecer quando a combinação desses dois fatores representa um risco baixo, médio, alto, etc. A seguir, são exemplificadas escalas qualitativas para auxiliar na estimativa de probabilidades e impactos de eventos, bem como uma matriz Impacto x Probabilidade, definindo níveis de risco decorrentes da combinação desses dois fatores. 2

Um risco é avaliado, racionalmente, em termos de probabilidade de ocorrência e de impacto sobre os objetivos organizacionais. Quanto maior a probabilidade e maior o impacto, maior é o nível do risco. Nível do Risco = Probabilidade x Impacto O desafio da governança nas organizações do setor público é determinar quanto risco aceitar na busca do melhor valor para os cidadãos e demais partes interessadas, o que significa prestar serviço de interesse público da melhor maneira possível (INTOSAI, 2007). O instrumento de governança para lidar com esse desafio é a gestão de riscos (Referencial Básico de Governança, TCU, 2ª ed, 2014, p. 57). Governança no setor público engloba mecanismos de liderança, estratégia e controle postos em prática para avaliar, direcionar e monitorar a atuação da gestão, com vistas à condução de políticas públicas e à prestação de serviços de interesse da sociedade (IN Conjunta 1, de 2016). Ver Portaria/CGU nº 1.308, de 22/05/2015, a qual instituiu a estrutura de governança para implantação e acompanhamento da gestão estratégica, no âmbito do Ministério da Transparência, Fiscalização e Controladoria-Geral da União-CGU. 3

Observe que: enquanto a probabilidade está associada a um incidente ou ocorrência potencial (chance de o evento vir a ocorrer, a partir de fontes internas ou externas) o impacto está associado à consequência do evento ocorrido (materialização do risco) 4

Uma estimativa probabilística de risco produzida por um cientista, embora baseada em teorias e evidências científicas, tende a incluir a sua própria avaliação profissional sobre a importância relativa de diferentes desfechos, a aceitabilidade da incerteza e assim por diante. A estimativa de riscos feita por um leigo, embora menos sistemática do que a abordagem científica, é intuitivamente sofisticada e pode refletir considerações importantes que, talvez, não estejam presentes em uma avaliação científica (HILL, S.; DINSDALE, G. Uma base para o desenvolvimento de estratégias de aprendizagem para a gestão de riscos no serviço público. Cadernos Enap, Brasília, 2003. p. 16, grifos nossos). 5

Descritor Descrição Nível Muito Baixa Baixa Média Alta Muito Alta Evento extraordinário para os padrões conhecidos da gestão e operação do processo. Embora possa assumir dimensão estratégica para a manutenção do processo, não há histórico disponível de sua ocorrência... Evento casual, inesperado. Muito embora raro, há histórico conhecido de sua de ocorrência por parte dos principais gestores e operadores do processo... Evento esperado, que se reproduz com frequência reduzida, porém constante. Seu histórico de ocorrência é de conhecimento da maioria dos gestores e operadores do processo... Evento usual, corriqueiro. Devido à sua ocorrência habitual ou conhecida em uma dezena ou mais de casos, aproximadamente, seu histórico é amplamente conhecido por parte de gestores e operadores do processo... Evento se reproduz muitas vezes, se repete seguidamente, de maneira assídua, numerosa e, não raro, de modo acelerado. Interfere de modo claro no ritmo das atividades, sendo evidente para os que conhecem o processo... 1 2 3 4 5 6

Nível Descritor Descrição 1 Muito Baixo Degradação de operações, atividades, projetos, programas ou processos da organização, porém causando impactos mínimos nos objetivos (de tempo, prazo, custo, quantidade, qualidade, acesso, escopo, imagem, etc.) relacionados ao atendimento de metas, padrões ou à capacidade de entrega de produtos/serviços às partes interessadas (clientes internos/externos, beneficiários). 2 Baixo Degradação de operações, atividades, projetos, programas ou processos da organização, causando impactos pequenos nos objetivos. 3 Médio Interrupção de operações ou atividades da organização, de projetos, programas ou processos, causando impactos significativos nos objetivos, porém recuperáveis. 4 Alto Interrupção de operações, atividades, projetos, programas ou processos da organização, causando impactos de reversão muito difícil nos objetivos. 5 Muito Alto Interrupção abrupta de operações, atividades, projetos, programas ou processos da organização, impactando fortemente outros processos, causando impactos de dificílima reversão nos objetivos. 7

probabilidade 8

Impacto Legenda Nível de Risco Extremo Alto Médio Baixo 5 Muito Alto 4 Alto 3 Médio 2 Baixo 1 Muito Baixo 1 Muito Baixa 2 Baixa Probabilidade 3 Média 4 Alta 5 Muito Alta 5 10 15 20 25 Extremo 4 8 12 16 20 Alto 3 6 9 12 15 Médio 2 4 6 8 10 Baixo 1 2 3 4 5 Notação: Matriz de cálculo de risco, sendo Extremo: > 15 a 25; Alto: > 8 a 12; Médio: > 3 a 6; e Baixo: 1 a 2. 9

Fonte: matriz de cálculo de risco, criada por STONEBURNER, Gary et al. Risk Management Guide for Information Technology Systems. NIST Special Publication 800-30. National Institute of Standards and Technology. 2002, p. 25. 10

Impacto 100% 90% 80% Cisne-Negro Risco Grave Risco Crítico 70% 60% 50% 40% 30% Risco Improvável Risco Moderado Risco Grave Vamos olhar a figura ao lado com muita atenção! 20% Risco Aceitável Risco de Baixo Impacto Comedor de Recurso 10% 0% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Probabilidade Fonte: CGU 11

Fonte: CGU 12

Condições que dão origem à possibilidade de um evento acontecer. Causas também são chamadas fatores de riscos e podem ter origem no ambiente externo ou interno à organização sob análise. CAUSA Fontes de Risco Vulnerabilidades 14

Fonte de risco: elemento que, individualmente ou combinado, tem o potencial intrínseco para dar origem ao risco: pessoas (erro não-intencional; qualificação; fraude...) processos (modelagem; transação; conformidade; controle; técnico...) sistemas de gestão infraestruturas física e organizacional (departamentalização; descentralização...) tecnologia de produto ou de produção (equipamentos; sistemas informatizados; confiabilidade da informação...) eventos externos (não gerenciáveis) Fatores de risco: materialidade em valor; liquidez de ativos; competência gerencial; qualidade dos controles internos da gestão; grau de mudança ou estabilidade, tempo decorrido desde o último trabalho da auditoria interna; complexidade; relações com empregados e governo, etc. (cf. PA/IPPF/IIA nº 2010-2). Vulnerabilidade: inexistências, inadequações ou deficiências em uma fonte de risco. 15

Da Fonte Pessoas Vulnerabilidades Em número insuficiente Sem capacitação Perfil inadequado Desmotivadas Ardilosas... 16

Da Fonte Processos Vulnerabilidades Mal concebidos (fluxo, desenho, centralização, custosos...) Sem manuais ou instruções formalizadas (procedimentos e rotinas) Ausência de segregação de funções... 17

Da Fonte Sistemas informatizados Vulnerabilidades Obsoletos Sem integração Sem manuais de operação Inexistência de controles de acesso lógico / backups... 18

Da Fonte Estrutura organizacional Vulnerabilidades Falta de clareza quanto às funções e responsabilidades Deficiências nos fluxos de informação e comunicação Centralização de responsabilidades Delegações exorbitantes... 19

Da Fonte Infraestrutura física Vulnerabilidades Localização inadequada Instalações ou leiaute inadequados Inexistência de controles de acesso físico... 20

Da Fonte Tecnologia (de produto ou de produção) Vulnerabilidades Técnica de produção ultrapassada / produto obsoleto Inexistência de investimentos em pesquisa e desenvolvimento Tecnologia sem proteção de patentes Processo produtivo (tecnologia) sem proteção contra espionagem 21

22

Processo organizável de busca, reconhecimento e descrição de riscos (ABNT NBR ISO 31000:2009) Envolve a identificação de fontes de risco, eventos, suas causas e suas consequências potenciais, num esforço de compreensão da natureza de determinado risco. Causa Evento Consequência Um princípio que não pode ser esquecido na identificação de riscos é que eles se relacionam com os objetivos da organização, do processo, do projeto, etc. A identificação de riscos pode basear-se em dados históricos, análises teóricas, opiniões de pessoas capacitadas em GRC e especialistas, e nas necessidades das partes interessadas. 23

RISCO (mensurável/manejável) CAUSA EVENTO CONSEQUÊNCIA Fontes do risco Incidente Impacto em um objetivo Vulnerabilidades Irregularidade Ganho/Perda 24

25

26

Como o risco afeta a tomada de decisão? Fatores que influenciam: Percepção/consciência dos riscos; perfil; situação conjuntural (circunstancial; binômio forças impulsionadoras e/ou forças restritivas). 27

Evento Impacto Incerteza Objetivos Diante disso, com o GRC, busca-se melhorar a capacidade de previsibilidade e ampliar a quantidade de variáveis monitoradas, dentro do contexto; ou seja, transformar a incerteza em riscos, de forma a poder enfrentá-los (Sabbag, 2002). 28

29

30

Art. 12. A responsabilidade por estabelecer, manter, monitorar e aperfeiçoar os controles internos da gestão é da alta administração da organização, sem prejuízo das responsabilidades dos gestores dos processos organizacionais e de programas de governos nos seus respectivos âmbitos de atuação. Parágrafo único. Cabe aos demais funcionários e servidores a responsabilidade pela operacionalização dos controles internos da gestão e pela identificação e comunicação de deficiências às instâncias superiores. 31

Art. 13. Os órgãos e entidades do Poder Executivo federal deverão implementar, manter, monitorar e revisar o processo de gestão de riscos, compatível com sua missão e seus objetivos estratégicos, observadas as diretrizes estabelecidas nesta Instrução Normativa. Art. 15. São objetivos da gestão de riscos: I - assegurar que os responsáveis pela tomada de decisão, em todos os níveis do órgão ou entidade, tenham acesso tempestivo a informações suficientes quanto aos riscos aos quais está exposta a organização, inclusive para determinar questões relativas à delegação, se for o caso; II - aumentar a probabilidade de alcance dos objetivos da organização, reduzindo os riscos a níveis aceitáveis; e III - agregar valor à organização por meio da melhoria dos processos de tomada de decisão e do tratamento adequado dos riscos e dos impactos negativos decorrentes de sua materialização. 32

33

Resultado eu não tenho condição de assegurar... mas desempenho e trabalhar pra isso, sim... (Tite Treinador da Seleção Brasileira de Futebol) 34

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback