Modelo de Gestão de Riscos em Instituições Federais de Ensino Superior (IFES) Bruno Silva Auditor Interno
Estrutura da Apresentação I. Introdução Objetivos Definições II. Por que propor um modelo de gestão de riscos para IFES? O papel da Auditoria Interna no gerenciamento de riscos Abordagens da Auditoria Interna no que se refere à ABR III. Modelo de Gestão de Riscos em IFES Estrutura Processo Proposta de módulo para um sistema de informação Gerenciando riscos na área de pessoal IV. Considerações Finais Benefícios decorrentes da adoção do modelo proposto
Objetivos Apresentar um modelo de gestão de riscos concebido especificamente para IFES, com base em dois modelos reconhecidos mundialmente (Enterprise Risk Management 1 e Management of Risk Principles and Concepts 2 ) e uma norma brasileira, editada pela Associação Brasileira de Normas Técnicas (ISO 31.000); Compartilhar um módulo proposto para o sistema de informação da Universidade Federal do Rio Grande do Norte (UFRN), capaz de registrar os componentes de gestão de riscos, em consonância com o modelo apresentado; Demonstrar como um auditor pode agregar valor à gestão ao atuar como facilitador em oficinas realizadas com o propósito de gerenciar riscos, utilizando como exemplo um subprocesso da área de pessoal (Concessão de Retribuição por Titulação RT). 1 Gerenciamento de Riscos Corporativos, conhecido como COSO II. 2 Gestão de Riscos Princípios e Conceitos, conhecido também como Orange Book (Livro Laranja).
Definições A auditoria interna é uma atividade independente e objetiva de avaliação e de consultoria, desenhada para adicionar valor e melhorar as operações de uma organização. Auxilia na realização dos objetivos organizacionais a partir da aplicação de uma abordagem sistemática e disciplinada para avaliar e melhorar a eficácia dos processos de gerenciamento de riscos, controle e governança (IIA Brasil). O gerenciamento de risco é um processo necessário, lógico e sistemático para organizações identificarem e avaliarem riscos e oportunidades, visando melhorar a tomada de decisões e a avaliação de desempenhos (CARVALHO NETO e SILVA, 2009).
Por que propor um modelo de gestão de riscos para Instituições Federais de Ensino Superior (IFES)?
O Papel da Auditoria Interna no Gerenciamento de Riscos Em 2009 o Instituto dos Auditores Internos do Reino Unidade publicou um comunicado intitulado The role of Internal Auditing in Enterprisewide Risk Management 1. Segundo o IIA (2009, p. 3), o papel da auditoria interna é dar garantia ao conselho de administração ou órgão equivalente sobre a eficácia da gestão de riscos. Acrescentou ainda que a auditoria interna agrega valor à organização quando assegura que: i. os riscos chave estão sendo gerenciados adequadamente; e ii. que a organização possui uma estrutura efetiva de gestão de riscos e controle interno. 1 O papel da Auditoria Interna no gerenciamento de riscos.
Abordagens da Auditoria Interna no que refere à Auditoria Baseada em Riscos Segundo De Cicco 1 e Griffiths 2, a ABR pode ser abordada de duas formas distintas pela unidade de Auditoria Interna: Abordagem da Auditoria Interna segundo De Cicco: Cenário 1. Quando uma organização já apresenta um grau de maturidade de gestão de riscos mais avançado; 2. Quando a organização não apresenta estrutura e processo de gestão de riscos definidos, ou seja, não adota nenhum modelo. Abordagem Basear-se na avaliação de riscos da própria organização, definida pelos gestores. Basear-se na avaliação de riscos da própria auditoria interna. 1 Implemente a Auditoria Baseada em Riscos em sua Organização (2007, p. 5) 2 Risk Based Internal Auditing: An Introduction (2006, pg. 24)
Abordagens da Auditoria Interna no que refere à Auditoria Baseada em Riscos Segundo De Cicco 1 e Griffiths 2, a ABR pode ser abordada de duas formas distintas pela unidade de Auditoria Interna: Abordagem da Auditoria Interna segundo Griffiths: Cenário 1. Quando uma organização já apresenta um grau de maturidade de gestão de riscos mais avançado; 2. Quando a organização não apresenta estrutura e processo de gestão de riscos definidos, ou seja, não adota nenhum modelo. Abordagem Basear-se na avaliação de riscos da própria organização, definida pelos gestores. Realizar atividades de assessoria e consultoria visando aprimorar a estrutura e o processo de gestão de riscos da organização. 1 Implemente a Auditoria Baseada em Riscos em sua Organização (2007, p. 5) 2 Risk Based Internal Auditing: An Introduction (2006, pg. 24)
Atividades de consultoria prestadas pela Auditoria Interna i. Colocar à disposição da gestão ferramentas e técnicas utilizadas pela auditoria interna para analisar riscos e controles de gestão; ii. Encorajar a implementação da gestão de riscos corporativos, aproveitando sua expertise em gestão de risco e controle, além do seu conhecimento global da organização; iii. iv. Agir como facilitador em oficinas, promovendo o desenvolvimento de uma linguagem comum; Agir como o ponto central para a coordenação, acompanhamento e elaboração de relatórios de riscos; e v. Apoiar os gestores na identificação das melhores formas de mitigar o risco. Fonte: Instituto dos Auditores internos do Reino Unido, 2009
Modelo de Gestão de Riscos em IFES (GERIFES)
Estrutura de Gestão de Riscos 1.1 Ambiente Interno 1.1.1. Filosofia de Gestão de Riscos 1.1.2 Integridade e Valores Éticos 1.1.3 Estrutura Organizacional 1.1.4 Delegação de Autoridade e Responsabilidade 1.1.5 Capacitação e Reconhecimento de Servidores 1.2. Arcabouço para Definição dos Objetivos Passíveis de Gerenciamento 1.2.1 Definição dos Macroprocessos 1.2.2 Definição dos Processos ou Macro Objetivos 1.3 Política de Gestão de Riscos 1.4 Comitê de Gestão de Riscos 1.5 Sistema de Informação
Níveis dos Objetivos Organizacionais
Missão da UFRN Educar, produzir e disseminar o saber universal, preservar e difundir as artes e a cultura, e contribuir para o desenvolvimento humano, comprometendo-se com a justiça social, a sustentabilidade socioambiental, a democracia e a cidadania.
Macroprocessos
Processos ou Macro Objetivos
Estrutura de Gestão de Riscos 1.1 Ambiente Interno 1.1.1. Filosofia de Gestão de Riscos 1.1.2 Integridade e Valores Éticos 1.1.3 Estrutura Organizacional 1.1.4 Delegação de Autoridade e Responsabilidade 1.1.5 Capacitação e Reconhecimento de Servidores 1.2. Arcabouço para Definição dos Objetivos Passíveis de Gerenciamento 1.2.1 Definição dos Macroprocessos 1.2.2 Definição dos Processos ou Macro Objetivos 1.3 Política de Gestão de Riscos 1.4 Comitê de Gestão de Riscos 1.5 Sistema de Informação
Processo de Gestão de Riscos 2.1 Definição do Objetivos Organizacionais 2.1.1. Objetivos Estratégicos 2.1.2 Objetivos Operacionais 2.2 Identificação de Eventos 2.2.1 Origem dos Eventos 2.2.2 Tipos de Risco 2.2.3 Proprietário do Risco 2.2.4 Técnicas de Identificação de Eventos 2.2.4.1 Análise de Fluxo de Subprocesso 2.2.4.2 Realização de Oficinas com Facilitadores 2.3 Classificação do Risco 2.3.1 Matriz de Risco 2.3.2 Graus de Risco 2.3.2.1 Risco Baixo 2.3.2.2 Risco Moderado 2.3.2.3 Risco Alto 2.3.2.4 Risco Muito Alto
Processo de Gestão de Riscos 2.1 Definição do Objetivos Organizacionais 2.1.1. Objetivos Estratégicos 2.1.2 Objetivos Operacionais 2.2 Identificação de Eventos 2.2.1 Origem dos Eventos 2.2.2 Tipos de Risco 2.2.3 Proprietário do Risco 2.2.4 Técnicas de Identificação de Eventos 2.2.4.1 Análise de Fluxo de Subprocesso 2.2.4.2 Realização de Oficinas com Facilitadores 2.3 Classificação do Risco 2.3.1 Matriz de Risco 2.3.2 Graus de Risco 2.3.2.1 Risco Baixo 2.3.2.2 Risco Moderado 2.3.2.3 Risco Alto 2.3.2.4 Risco Muito Alto
Processo de Gestão de Riscos 2.1 Definição do Objetivos Organizacionais 2.1.1. Objetivos Estratégicos 2.1.2 Objetivos Operacionais 2.2 Identificação de Eventos 2.2.1 Origem dos Eventos 2.2.2 Tipos de Risco 2.2.3 Proprietário do Risco 2.2.4 Técnicas de Identificação de Eventos 2.2.4.1 Análise de Fluxo de Subprocesso 2.2.4.2 Realização de Oficinas com Facilitadores 2.3 Classificação do Risco 2.3.1 Matriz de Risco 2.3.2 Graus de Risco 2.3.2.1 Risco Baixo 2.3.2.2 Risco Moderado 2.3.2.3 Risco Alto 2.3.2.4 Risco Muito Alto
Processo de Gestão de Riscos 2.1 Definição do Objetivos Organizacionais 2.1.1. Objetivos Estratégicos 2.1.2 Objetivos Operacionais 2.2 Identificação de Eventos 2.2.1 Origem dos Eventos 2.2.2 Tipos de Risco 2.2.3 Proprietário do Risco 2.2.4 Técnicas de Identificação de Eventos 2.2.4.1 Análise de Fluxo de Subprocesso 2.2.4.2 Realização de Oficinas com Facilitadores 2.3 Classificação do Risco 2.3.1 Matriz de Risco 2.3.2 Graus de Risco 2.3.2.1 Risco Baixo 2.3.2.2 Risco Moderado 2.3.2.3 Risco Alto 2.3.2.4 Risco Muito Alto
Processo de Gestão de Riscos 2.1 Definição do Objetivos Organizacionais 2.1.1. Objetivos Estratégicos 2.1.2 Objetivos Operacionais 2.2 Identificação de Eventos 2.2.1 Origem dos Eventos 2.2.2 Tipos de Risco 2.2.3 Proprietário do Risco 2.2.4 Técnicas de Identificação de Eventos 2.2.4.1 Análise de Fluxo de Subprocesso 2.2.4.2 Realização de Oficinas com Facilitadores 2.3 Classificação do Risco 2.3.1 Matriz de Risco 2.3.2 Graus de Risco 2.3.2.1 Risco Baixo 2.3.2.2 Risco Moderado 2.3.2.3 Risco Alto 2.3.2.4 Risco Muito Alto
Processo de Gestão de Riscos 2.1 Definição do Objetivos Organizacionais 2.1.1. Objetivos Estratégicos 2.1.2 Objetivos Operacionais 2.2 Identificação de Eventos 2.2.1 Origem dos Eventos 2.2.2 Tipos de Risco 2.2.3 Proprietário do Risco 2.2.4 Técnicas de Identificação de Eventos 2.2.4.1 Análise de Fluxo de Subprocesso 2.2.4.2 Realização de Oficinas com Facilitadores 2.3 Classificação do Risco 2.3.1 Matriz de Risco 2.3.2 Graus de Risco 2.3.2.1 Risco Baixo 2.3.2.2 Risco Moderado 2.3.2.3 Risco Alto 2.3.2.4 Risco Muito Alto
Processo de Gestão de Riscos 2.1 Definição do Objetivos Organizacionais 2.1.1. Objetivos Estratégicos 2.1.2 Objetivos Operacionais 2.2 Identificação de Eventos 2.2.1 Origem dos Eventos 2.2.2 Tipos de Risco 2.2.3 Proprietário do Risco 2.2.4 Técnicas de Identificação de Eventos 2.2.4.1 Análise de Fluxo de Subprocesso 2.2.4.2 Realização de Oficinas com Facilitadores 2.3 Classificação do Risco 2.3.1 Matriz de Risco 2.3.2 Graus de Risco 2.3.2.1 Risco Baixo 2.3.2.2 Risco Moderado 2.3.2.3 Risco Alto 2.3.2.4 Risco Muito Alto
Análise de Fluxo de Subprocesso 01. Implantar RT com insuficiência de documentos; 02. Deixar de submeter o Termo de Compromisso quando não for apresentada a documentação definitiva (diploma); 03. Implantar RT sem sua respectiva publicação; 04. Implantar RT com titulação em desconformidade com o processo; 05. Continuar pagando a RT decorridos 180 dias da sua concessão sem a entrega do certificado ou justificativa plausível, nos casos em que forem concedidas sem a entrega definitiva do título.
Processo de Gestão de Riscos 2.1 Definição do Objetivos Organizacionais 2.1.1. Objetivos Estratégicos 2.1.2 Objetivos Operacionais 2.2 Identificação de Eventos 2.2.1 Origem dos Eventos 2.2.2 Tipos de Risco 2.2.3 Proprietário do Risco 2.2.4 Técnicas de Identificação de Eventos 2.2.4.1 Análise de Fluxo de Subprocesso 2.2.4.2 Realização de Oficinas com Facilitadores 2.3 Classificação do Risco 2.3.1 Matriz de Risco 2.3.2 Graus de Risco 2.3.2.1 Risco Baixo 2.3.2.2 Risco Moderado 2.3.2.3 Risco Alto 2.3.2.4 Risco Muito Alto
Graus de Risco Risco Baixo Risco Moderado Risco Alto Risco Muito Alto
Processo de Gestão de Riscos 2.1 Definição do Objetivos Organizacionais 2.1.1. Objetivos Estratégicos 2.1.2 Objetivos Operacionais 2.2 Identificação de Eventos 2.2.1 Origem dos Eventos 2.2.2 Tipos de Risco 2.2.3 Proprietário do Risco 2.2.4 Técnicas de Identificação de Eventos 2.2.4.1 Análise de Fluxo de Subprocesso 2.2.4.2 Realização de Oficinas com Facilitadores 2.3 Classificação do Risco 2.3.1 Matriz de Risco 2.3.2 Graus de Risco 2.3.2.1 Risco Baixo 2.3.2.2 Risco Moderado 2.3.2.3 Risco Alto 2.3.2.4 Risco Muito Alto
Processo de Gestão de Riscos 2.4 Definição da Resposta ao Risco 2.4.1 Aceitar 2.4.2 Mitigar 2.4.3 Transferir 2.4.4 Evitar 2.5 Estabelecimento de Planos de Ação e de Contingência 2.5.1 Plano de Ação 2.5.2 Plano de Contingência 2.6 Gestão de Risco 2.6.1 Risco Inerente x Risco Residual 2.6.2 Monitoramento do Risco 2.6.2.1 Atividade de Monitoramento Contínuo 2.6.2.2 Avaliações Independentes 2.6.3 Periodicidade do Monitoramento 2.7 Informação e Comunicação
Para alcançar certo objetivo relacionado a um curso técnico, por exemplo, um instituto federal precisa lecionar aulas de informática em determinado laboratório. Ao identificar os eventos que poderiam comprometer o resultado desse objetivo, verifica-se que um deles seria a possibilidade de contaminação dos computadores por vírus. Atitudes do Gestor perante o Risco Aceitar: O gestor abre mão de qualquer plano de ação para combatê-lo e, a depender da situação, de eventuais planos de contingência. Mitigar: Significa diminuir a probabilidade de eventos indesejados ocorrerem (planos de ação) ou reduzir o impacto causado (planos de contingência). Transferir: Atribuir a outrem sua responsabilidade. Geralmente ocorre por meio da terceirização ou contratação de seguro. Evitar: Ao decidir evitar, não está se falando em evitar o risco, mas sim a atividade relacionada com o objetivo que se pretende alcançar.
Processo de Gestão de Riscos 2.4 Definição da Resposta ao Risco 2.4.1 Aceitar 2.4.2 Mitigar 2.4.3 Transferir 2.4.4 Evitar 2.5 Estabelecimento de Planos de Ação e de Contingência 2.5.1 Plano de Ação 2.5.2 Plano de Contingência 2.6 Gestão de Risco 2.6.1 Risco Inerente x Risco Residual 2.6.2 Monitoramento do Risco 2.6.2.1 Atividade de Monitoramento Contínuo 2.6.2.2 Avaliações Independentes 2.6.3 Periodicidade do Monitoramento 2.7 Informação e Comunicação
Módulo Gestão de Riscos proposto para o Sistema Integrado de Patrimônio, Administração e Contratos (SIPAC)
Gerenciando Riscos na Área de Pessoal Concessão de Retribuição por Titulação - RT
Concessão de Retribuição por Titulação - RT Evento Tipo de Risco Classificação do Risco Resposta ao Risco Plano de Ação Status Plano de Contingência Gestão do Risco Implantar RT com insuficiência de documentos; Conformidade Moderado Mitigar Verificar documentação em dois setores: PROGESP 1 e CPCC 2 ; Controlar o prazo de entrega da documentação por meio do SIPAC 3. Finalizado - Finalizado - Baixo Deixar de submeter o Termo de Compromisso quando não for apresentada a documentação definitiva (diploma); Conformidade Baixo Mitigar Verificar documentação em dois setores: PROGESP 1 e CPCC 2. Finalizado - Baixo Implantar RT com titulação em desconformidade com o processo; Processo Moderado Mitigar Comparar as informações do SIAPE 4 com os dados do processo após sua implantação. Iniciado -? Implantar RT sem sua respectiva publicação; Conformidade Muito Alto Mitigar Automatizar as portarias de concessão. Não iniciado -? Continuar pagando a RT decorridos 180 dias da sua concessão sem a entrega do certificado ou apresentação de justificativa plausível; Conformidade Baixo Mitigar Controlar o prazo de entrega da documentação via SIPAC. Finalizado Suspender o pagamento da concessão até a entrega definitiva da documentação. Baixo Implantar RT sem revalidar diploma oriundo de instituições estrangeiras Conformidade Baixo Mitigar Verificar documentação em dois setores: PROGESP e CPCC. Finalizado - Baixo Deixar de realizar os ajustes financeiros. Processo Moderado Mitigar Utilizar check list do fluxo no próprio processo. Iniciado -? 1 Pró-reitoria de Gestão de Pessoas 2 Coordenadoria de Provimentos e Controle de Cargos 3 Sistema Integrado de Patrimônio, Administração e Contratos 4 Sistema Integrado de Administração de Recursos Humanos
Considerações Finais Benefícios para a gestão Possibilidade de cadastrar em sistema de informação todos os objetivos organizacionais da IFES; Criação de banco de dados com os eventos que podem influenciar no alcance de seus objetivos; Registro dos planos de ação/contingência referentes a cada um dos eventos identificados; Visualização dos riscos que exigem maior atenção por parte dos gestores; Padronização da gestão de riscos em toda a instituição; Fortalecimento da governança corporativa.
Considerações Finais Benefício para a unidade de auditoria interna Possibilidade de planejar as atividades de auditoria com base nas áreas mais críticas, ou seja, aquelas que representam maior ameaça à organização; Maior receptividade dos trabalhos de auditoria por parte dos gestores, principalmente pelo fato de haver uma gradativa substituição dos trabalhos de auditoria convencionais, que têm como base fatos pretéritos, por trabalhos de auditoria baseada em riscos, cujo objetivo principal é dar garantia ao gestor máximo de que suas unidades estratégicas estão gerenciando os ricos de forma adequada.
Fim bruno_ufrn_natal@ufrnet.br https://www.dropbox.com/s/66z63m48txg3p29/relat%c3%b3rio%20t%c3%a9cnico %20%28Vers%C3%A3o%20Final%20Consolidada%29.pdf?oref=e&n=281704290