Post on 09-Nov-2018
28/03/2018
1
GESTÃO DE RISCOS E CONTROLES INTERNOS NO SETOR PÚBLICO
Teoria e Prática
Apresentar os conceitos de Gestão de Riscos necessários à implementação da estrutura de
governança, gestão de riscos e controles internos prevista na IN MP/CGU 01/2016.
OBJETIVO GERAL
�
AGENDA
• Evolução Histórica – Riscos & Controles
• Decreto nº 9.203/2017
• IN MP/CGU nº 01/2016
• Gestão de Riscos: Objetivos
• Gestão de Riscos: Conceitos Fundamentais
28/03/2018
2
�
AGENDA
• Processo de Gestão de Riscos:
- Estabelecimento do Contexto
- Identificação:
o dos Riscos
o das Causas
o das Consequências
�
AGENDA
• Processo de Gestão de Riscos:
- Avaliação dos Riscos
o Probabilidade e Impacto
o Risco Inerente e Risco Residual
o Critérios de Avaliação dos Riscos
o Nível de Risco
o Diagrama de Riscos
�
AGENDA
• Processo de Gestão de Riscos:
- Avaliação dos Riscos
- Outras Visões do Nível de Risco
- Tratamento de Riscos
o Opções de Tratamento
o Apetite e Tolerância
28/03/2018
3
�
AGENDA
• Controles Internos
• Responsabilidades de Gestores e
Auditores
• Gerenciamento de Continuidade de Negócios
• Atributos de uma Gestão de Riscos
Avançada
Evolução Histórica: Controle & RiscoEvolução Histórica: Controle & Risco
1975 - Quebra dos bancos Herstatt (Ale) e Franklin National (EUA)
1985 - Fraudes financeiras em instituições de crédito nos EUA
1975 1985
1975 – Criação do Comitê da Basileia
1992 – COSO ICIF
Má gestão, fraudes e consequente quebra de diversas instituições
financeiras
1997 - Comitê da Basileia edita 38 princípios abordando os
temas controle interno e gestão de riscos
1975 1992
1993 - 1998 1997 2001 2002
2001 – ENRON
2002 - WORLDCOM
2001 - 2004
2001 – Orange Book
2002 – SOX
2004 – COSO ICIF
2004 – COSO ERM
2004 – Basileia II
2004 – Orange Book
2008 2009...
2008 – Lehman Brothers
2009 - ISO 31000
2010 – Basileia III
2013 - COSO ICIF
2017 - COSO ERM
2018 - ISO 31000
Evolução Histórica: Controle & Risco
ENRON
28/03/2018
4
Evolução histórica: COSO ICIF
1992 20132004
Comparativo COSO ICIF x COSO ERM
COSO ICIF COSO ERM
Evolução histórica: COSO ERM (2017)
28/03/2018
5
Dispõe sobre a política de governança da
administração pública federal direta,
autárquica e fundacional
DECRETO nº 9.203, de 22/11/2017
Governança Pública – Decreto 9.203/2017
Conjunto de mecanismos de liderança, estratégia e controle postos em prática para avaliar, direcionar e monitorar a gestão, com vistas à
condução de políticas públicas e à prestação de serviços de interesse da
sociedade
Fonte: Decreto nº 9.203/2017TCU - Referencial Básico de Governança, 2014
CIG
CGU
CG
Fonte:TCU - Referencial Básico de Governança, 2014 - Adaptado
CIG – Comitê Interministerial
de Governança (CC, MF, MP, CGU)
CG – Comitês Internos de Governança (constituídos em
cada ministério)
28/03/2018
6
Governança Pública
Gestão de Riscos
Controles Internos
da Gestão
Auditoria Interna
Decreto 9.203/2017
Governança Pública – Decreto 9.203/2017
Princípios da Gestão de Riscos (Art. 17):
I - implementação e aplicação de forma sistemática, estruturada,
oportuna e documentada, subordinada ao interesse público;
II - integração da gestão de riscos ao processo de planejamento
estratégico e [demais processos de gestão] relevantes para aexecução da estratégia e o alcance dos objetivos institucionais;
III - estabelecimento de controles internos proporcionais aosriscos...;
IV - utilização dos resultados para apoio à melhoria contínua dodesempenho e dos processos de GR, controle e governança.
Dispõe sobre controles internos,
gestão de riscos e governança no âmbito do
Poder Executivo Federal
IN MP/CGU Nº 01, de 10/5/2016
28/03/2018
7
IN C
on
jun
ta M
P/C
GU
n
º 0
1/2
01
6
Controles Internos da Gestão
Gestão de Riscos
Governança
• Princípios
• Objetivos
• Estrutura
• Responsabilidades
• Princípios
• Objetivos
• Estrutura
• Política de Gestão de Riscos
• Responsabilidades
• Princípios
IN CGU/MP nº 01/2016 – ESTRUTURA
OBJETIVO DA GESTÃO DE RISCOS
Permitir o TRATAMENTO ADEQUADO dos EVENTOS (riscos e oportunidades), de forma a melhorar a capacidade de CONSTRUIR VALOR,
proporcionando SERVIÇOS mais EFETIVOS, EFICIENTES E EFICAZES
BENEFÍCIOS DA GESTÃO DE RISCOS
• Cria e protege valor
• Melhoria da performance
• Encoraja a inovação
• Aumenta a probabilidade de alcance dos objetivos
• Melhor alocação dos recursos
• Proporciona base confiável para a tomada de decisão
• Melhora a governança
• Melhora a confiança das partes interessadas
Elevador
28/03/2018
8
CONCEITOS BÁSICOS
Objetivos
CONCEITOS BÁSICOS
Pra Onde?
Objetivos
CONCEITOS BÁSICOS
Meta ou propósito que se deseja alcançar de forma a se obter êxito no
cumprimento da missão e no alcance da visão de futuro da organização
28/03/2018
9
Riscos
CONCEITOS BÁSICOS
Efeito da incerteza nos objetivos da organização
Risco
CONCEITOS BÁSICOS
Controles
CONCEITOS BÁSICOS
28/03/2018
10
Conjunto de regras, procedimentos, diretrizes, protocolos, rotinas de sistemas informatizados,
conferências e trâmites de documentos e informações, entre outros, operacionalizados de forma integrada, destinados a enfrentar os riscos
e fornecer segurança razoável de que os objetivos serão alcançados.
Controles
CONCEITOS BÁSICOS
Framework
CONCEITOS BÁSICOS
Conjunto de conceitos e boas práticas usados para orientar as atividades relacionadas a um
domínio específico
Framework
CONCEITOS BÁSICOS
28/03/2018
11
GOVERNANÇA E CULTURA1. Exercer a supervisão dos riscos pela alta direção
2. Estabelecer estruturas operacionais3. Definir a cultura desejada
4. Demonstrar compromisso com valores centrais5. Atrair, desenvolver e reter capacidades individuais
FRAMEWORK: COSO ERM (2017)
ESTRATÉGIA E DEFINIÇÃO DE OBJETIVOS6. Analisar o contexto do negócio
7. Definir o Apetite ao Risco8. Avaliar Estratégias Alternativas
9. Formular objetivos do negócio
FRAMEWORK: COSO ERM (2017)
DESEMPENHO10. Identificar o risco
11. Avaliar a severidade do risco12. Priorizar Riscos
13. Implementar resposta ao risco14. Desenvolver a visão de portfólio
FRAMEWORK: COSO ERM (2017)
28/03/2018
12
REVISÃO15. Avaliar mudanças substanciais16. Revisar risco e desempenho
17. Perseguir a melhoria no GRC
FRAMEWORK: COSO ERM (2017)
INFORMAÇÃO, COMUNICAÇÃO E REPORTE18. Alavancar informação e tecnologia19. Comunicar informações sobre risco
20. Relatar sobre risco, cultura e desempenho
FRAMEWORK: COSO ERM (2017)
FRAMEWORK: ISO 31000:2018
28/03/2018
13
Fonte: Gespública, 2013
Macro Ambiente
Expectativas deCidadãos e Sociedade
OrganizaçãoEstendida
Organização
Identificaro Contexto
e os Riscos
PlanejarRespostas
ImplementarMonitorar eControlar
Analisar eAvaliar
os riscos
Estratégia
Programas
Projetos e Atividades
Comunicaçãoe Aprendizado
Comunicaçãoe Aprendizado
FRAMEWORK: HM TREASURY ORANGE BOOK
18/09/16
FRAMEWORK: MODELOS E REGULAMENTAÇÕES APLICÁVEIS A SEGMENTOS ESPECÍFICOS
SOX
Política
CONCEITOS BÁSICOS
28/03/2018
14
Declaração das intenções, comprometimento e diretrizes gerais de uma organização
relacionadas à gestão de riscos
Política
CONCEITOS BÁSICOS
Deve abordar:
• Propósito da organização em relação à GR
• Ligação entre objetivos da organização e da GR
• Integração da GR com a tomada de decisão
• Autoridade, Responsabilidade e Accountability
• Tratamento de conflitos de interesse
• Recursos
• Medição e reporte do desempenho
• Análise crítica e melhoria contínua
POLÍTICA DE GESTÃO DE RISCOS
Art. 17. A política de gestão de riscos (...) deve especificar ao menos:
I – princípios e objetivos organizacionais;
II – diretrizes sobre:
a) como a gestão de riscos será integrada ao planejamento estratégico, aos processos e
às políticas da organização;
b) como e com qual periodicidade serão identificados, avaliados, tratados e monitorados
os riscos;
c) como será medido o desempenho da gestão de riscos;
d) como serão integradas as instâncias do órgão ou entidade responsáveis pela gestão de
riscos; e) a utilização de metodologia e ferramentas para o apoio à gestão de riscos; e
f) o desenvolvimento contínuo dos agentes públicos em gestão de riscos; e
III – competências e responsabilidades para a efetivação da gestão de riscos no âmbito
do órgão ou entidade.
IN CGU/MP nº 01/2016 – POLÍTICA DE GESTÃO DE RISCOS
28/03/2018
15
APLICAÇÕES DO TEMA NO PODER EXECUTIVO FEDERAL
Políticas de GR nos Entes Públicos
Portaria nº 674/2014 – Política de GR da RFB
Portaria nº 627/2014 – Política de GR da PGFN
Portaria nº 64/2015 – Política de GR do CARF
Portaria nº 426/2016 – Política de Gestão de Integridade, Riscos e Controles Internos da Gestão do MP
RI nº 020/2016 – Política Corporativa de GR, Controle Interno e Conformidade do SERPRO
Política de Gestão de Riscos do STJ/2016
Resolução nº 287/2017 – Política de GR do TCU
Portaria nº 353/2017 – Política de GR do MT
Instrução Normativa nº 114/2017 – Política de GR da ANAC
Deliberação nº 87/2017 – Política de GR da ANTT
PrincípiosObjetivos da Gestão de RiscosProcesso
- entendimento do contexto- análise dos riscos
- avaliação dos riscos
- priorização dos riscos- respostas aos riscos
- comunicação e monitoramento
Competências- Comitê de Gestão Estratégica
- Comitê Gerencial
- Núcleo de Gestão de Riscos- Proprietários dos Riscos
POLÍTICA DE GESTÃO DE RISCOSPortaria CGU nº 915/2017
Metodologia
CONCEITOS BÁSICOS
28/03/2018
16
Explicação minuciosa, detalhada, rigorosa e exata de toda ação desenvolvida no método
(caminho) de trabalho
Metodologia
CONCEITOS BÁSICOS
PROCESSO DE GESTÃO DE RISCOS
ENTENDIMENTO DO CONTEXTO
Missão Visão Stakeholders
28/03/2018
17
OBJETIVOS – DEFINIÇÃO DOS OBJETIVOS
IdentificarRiscos
DesenvolverCritérios deAvaliação
AvaliarRiscos
Avaliar aInteração
dos Riscos
PriorizarRiscos
Responderao Risco
Avaliação do Risco
Fonte: COSO, 2012
PROCESSO DE AVALIAÇÃO DE RISCOS
Brainstorm
Mapeamento de Processos
Método Delphi
Matriz SWOT
RISCOS – IDENTIFICAÇÃO
28/03/2018
18
PERGUNTAS POSSÍVEIS PARA IDENTIFICAR RISCOS
Item Descrição
1 O que pode comprometer o alcance do objetivo?
2 Como e onde podemos falhar?
3 O que pode dar errado?
4 Onde somos vulneráveis?
5 Que ativos são mais relevantes?
6 Como saber se estamos atingindo os objetivos?
7 Onde gastamos mais dinheiro?
8 Que atividades são mais complexas?
9 Que situações seriam ruins para nossa imagem?
10 Que decisões exigem mais análise?
Documentos para subsídio:
- Organograma- Opinião de especialistas
- Histórico documentado- Relatórios de auditoria
- Fluxograma do processo
CEO
Reclamação
Fonte: ISO 31010:2009
RISCOS – Identificação
Objetivo:
Evento
Identificação:- Objetivo Estratégico- Objetivo do Programa
- 2 Riscos
Vamos praticar?
Caminhão
28/03/2018
19
RISCOS – CAUSA
Pessoas
Processos
Sistemas
Infraestrutura Tecnologia
Eventos Externos
RISCOS – CAUSA – FONTE DE RISCO
CAUSAFONTE/FATOR + FRAGILIDADES
Fonte: Elaboração própria
RISCOS – CAUSA
28/03/2018
20
OBSERVAÇÃO:
Fragilidades nos controles implementados para mitigar um determinado risco NÃO devem ser tratadas como causa
primária desse risco.
RISCOS – CAUSA
RISCOS – CONSEQUÊNCIA
Devido a <CAUSAS/FONTES>, poderá acontecer <DESCRIÇÃO DA INCERTEZA>, o que poderá levar a
<DESCRIÇÃO DO IMPACTO/CONSEQUÊNCIA/EFEITO>impactando no/na <DIMENSÃO DE OBJETIVO
IMPACTADA>
DESCRIÇÃO DE RISCOS
Fonte: TCU, 2013
RISCOS – SINTAXE
28/03/2018
21
Devido à ausência de manutenção preventiva, o sistema de climatização poderá não manter a
temperatura apropriada, o que poderá ocasionar pane dos servidores de rede do edifício sede, implicando em indisponibilidade temporária de informações e
sistemas da unidade
DESCRIÇÃO DE RISCOS
RISCOS – SINTAXE
Identificação (1 risco):- 2 causas- 2 consequências
Vamos praticar?
É o risco intrínseco à atividade que está sendo realizada, está presente no estado atual das coisas, antes da adoção
de medidas de resposta ao risco
RISCO INERENTE
28/03/2018
22
RISCO RESIDUAL
É o risco remanescente após a adoção de medidas de resposta ao risco
RISCOS - AVALIAÇÃO
PROBABILIDADE X IMPACTO
PROBABILIDADE CAUSAS
IMPACTO CONSEQUÊNCIAS
OBSERVAÇÃO: Uma análise que mistura aspectos quantitativos e qualitativos terá um
resultado QUALITATIVO!
QuantitativoQualitativo
RISCOS – AVALIAÇÃO – CRITÉRIOS
28/03/2018
23
Fonte: COSO, 2012
Comparação entre as técnicas de mensuração do riscoTécnica Vantagens Desvantagens
Qualitativa
• Relativamente rápida e fácil• Fácil compreensão, não requer treinamento em técnicas sofisticadas de análise
quantitativa• Fácil de se extrapolar para avaliações que não se restrinjam apenas a impacto financeiro
e probabilidade, tais como vulnerabilidade, velocidade e persistência do impacto, impacto
não financeiro, segurança, reputação, etc
• Provê diferenciação limitada entre os níveis de risco (ex: muito alto, alto, médio e baixo)• Imprecisa - eventos de risco que apareçam
dentro do mesmo nível de risco podem apresentar diferenças consideráveis no valor de seus critérios
• Limitação quanto à análise de custo-benefício das respostas ao risco
Quantitativa
• Permite agregação numérica levando em consideração as interações dos riscos• Permite análise de custo benefício na escolha
das respostas ao risco• Permite que a alocação do capital para as atividades do negócio sejam baseadas no risco,
visando um retorno ideal• Permite computar qual o requerimento de
capital necessário para manter a solvência da organização em condições extremas
• Consome muito tempo e recurso, especialmente na construção do modelo de avaliação
• Pode implicar numa precisão maior que a realidade devido às incertezas dos valores de entrada
• Presunções podem não ficar claras• A necessidade de escolha de medidas como
dólar ou frequência anual pode resultar na negligência de impactos qualitativos
RISCOS – AVALIAÇÃO – CRITÉRIOS
PROBABILIDADE (LIKELYHOOD X PROBABILITY)
RISCOS – AVALIAÇÃO – CRITÉRIOS (PROBABILIDADE)
DEFININDO OS CRITÉRIOS PARA MENSURAÇÃO DE PROBABILIDADE
Fonte: COSO, 2012
RISCOS – AVALIAÇÃO – CRITÉRIOS (PROBABILIDADE)
28/03/2018
24
CRITÉRIOS PARA MENSURAÇÃO DE PROBABILIDADE DO MP
Fonte: MP, 2016
RISCOS – AVALIAÇÃO – CRITÉRIOS (PROBABILIDADE)
CRITÉRIOS PARA MENSURAÇÃO DE PROBABILIDADE DA CGU
FREQUÊNCIA ESTIMADAFE10 - Evento pode ocorrer, considerando a série histórica nos últimos 24 meses
ou projeções, em mais de 81% dos ciclos do processo organizacional.FE08 - Evento pode ocorrer, considerando a série histórica nos últimos 24 meses
ou projeções, em entre 61% e 80% dos ciclos do processo organizacional.FE06 - Evento pode ocorrer, considerando a série histórica nos últimos 24 meses
ou projeções, em entre 41% e 60% dos ciclos do processo organizacional.FE04 - Evento pode ocorrer, considerando a série histórica nos últimos 24 meses
ou projeções, em entre 21% e 40% dos ciclos do processo organizacional.FE02 - Evento pode ocorrer, considerando a série histórica nos últimos 24 meses
ou projeções, em no máximo 20% dos ciclos do processo organizacional.FE00 - Considerando a série histórica nos últimos 24 meses ou projeções, o
evento é improvável de se materializar.
RISCOS – AVALIAÇÃO – CRITÉRIOS (PROBABILIDADE)
RISCOS – AVALIAÇÃO – CRITÉRIOS (IMPACTO)
IMPACTO
28/03/2018
25
Fonte: COSO, 2012
RISCOS – AVALIAÇÃO - CRITÉRIOS (IMPACTO)
Fonte: COSO, 2012
RISCOS – AVALIAÇÃO – CRITÉRIOS (IMPACTO)
Fonte: MP, 2016
RISCOS – AVALIAÇÃO – CRITÉRIOS (M PLANEJAMENTO)
28/03/2018
26
Fonte: MP, 2016
RISCOS – AVALIAÇÃO – CRITÉRIOS (M PLANEJAMENTO)
ESFORÇO DE GESTÃO IMAGEM ESTRATÉGIA IMPACTO EM POLÍTICAS PÚBLICAS ORÇAMENTÁRIO
EG10 - Evento com potencial para levar a CGU ao colapso.
IM10 - Cobertura por muito tempo pela mídia internacional e nacional, resultando em grande desconfiança pelo cidadão brasileiro e pelas instituições internacionais.
ES10 - Prejudica o alcance da missão da CGU.
PP10 - Pode levar ao colapso de política pública transversal.
OR10 - >= 25 % do valor do orçamento da CGU relacionado a despesas primárias discricionárias (conforme SIAFI).
EG08 - Evento crítico, mas que com a devida gestão pode ser suportado.
IM8 - Cobertura por muito tempo pela mídia nacional, resultando em desconfiança pelo cidadão brasileiro.
ES08 - Prejudica o alcance de um ou mais objetivos estratégicos.
PP8 - Pode levar ao colapso de política pública.
OR08 - >= 10% < 25% do valor do orçamento da CGU relacionado a despesas primárias discricionárias (conforme SIAFI).
EG06 - Evento significativo que pode ser gerenciado em circunstâncias normais.
IM6 - Cobertura por pouco tempo pela mídia nacional, mas com boa exposição na mídia local, resultando em desconfiança pelo cidadão local.
ES06 - Prejudica o alcance de uma ou mais iniciativas no Planejamento Estratégico.
PP6 - Pode prejudicar a política pública e demanda esforço da gestão para minimizar impacto.
OR06 - >= 3% < 10% do valor do orçamento da CGU relacionado a despesas primárias discricionárias (conforme SIAFI).
EG04 - Evento cujas consequências podem ser absorvidas, mas carecem de esforço da gestão para minimizar o impacto.
IM4 - Cobertura por pouco tempo pela mídia local, resultando impactos temporários à imagem da CGU.
ES04 - Prejudica o alcance de uma ou mais ações no Planejamento Estratégico.
PP4 - Pode prejudicar a política pública, sem demandar esforço da gestão.
OR04 - >= 1 % < 3% do valor do orçamento da CGU relacionado a despesas primárias discricionárias (conforme SIAFI).
EG02 - Evento cujo impacto pode ser absorvido por meio de atividades normais.
IM2 - Apenas as partes envolvidas tomam conhecimento sobre o ocorrido sem impactos relevantes para a imagem da CGU
ES02 - Prejudica o alcance dos objetivos/metas do processo organizacional.
PP2 - Não prejudica a política pública, mas aumenta o esforço da gestão desnecessariamente (aumento da burocracia).
OR02 - < 1% do valor do orçamento da CGU relacionado a despesas primárias discricionárias (conforme SIAFI).
EG00 - Evento sem impacto na gestão.
IM0 - Apenas a área interna é capaz de tomar conhecimento sobre o ocorrido.
ES00 - Nenhum impacto nas metas/objetivos do processo organizacional.
PP0 - Não há impacto negativo em políticas públicas
OR00 - Sem impacto financeiro.
18/09/16
Ferramenta de base estatística desenvolvida para apoiar a tomada de decisão racional
Mais do que determinar qual a decisão correta, o AHP ajuda a justificar a escolha
Baseado em princípios da matemática e da psicologia
Ferramenta online gratuita: http://bpmsg.com/academic/ahp_calc.php
RISCOS – AVALIAÇÃO - CRITÉRIOS
AHP (ANALYTIC HIERARCHY PROCESS)
28/03/2018
27
18/09/16
Devem ser respondidas as seguintes questões:
Qual a importância de “a” em relação a “b”? Qual a importância de “a” em relação a “c”? Qual a importância de “b” em relação a “c”?
RISCOS – AVALIAÇÃO - CRITÉRIOS
AHP (ANALYTIC HIERARCHY PROCESS)
18/09/16
ESCALA PARA PRIORIZAÇÃO DOS ATRIBUTOS/INDICADORES (A/I)
RISCOS – AVALIAÇÃO – CRITÉRIOS
AHP (ANALYTIC HIERARCHY PROCESS)
18/09/16
Ferramenta online gratuita: http://bpmsg.com/academic/ahp_calc.php
RISCOS – AVALIAÇÃO – CRITÉRIOS
AHP (ANALYTIC HIERARCHY PROCESS)
28/03/2018
28
RISCOS – AVALIAÇÃO – NÍVEL DO RISCO
NÍVEL DE RISCO
Probabilidade x Impacto
RISCOS – AVALIAÇÃO – DIAGRAMA DE RISCO
RISCOS – AVALIAÇÃO – DIAGRAMA DE RISCO
Risco BaixoRisco BaixoRisco BaixoRisco Baixo
28/03/2018
29
RISCOS – AVALIAÇÃO – NÍVEL DO RISCO
OUTRAS VISÕES DO NÍVEL DE RISCO
RISCOS – AVALIAÇÃO – NÍVEL DO RISCO
DECOMPONDO A PROBABILIDADE
A Probabilidade da materialização de um risco depende da correlação entre as
vulnerabilidades e as ameaças presentes no processo
QUANTO A QUESTÕES AMBIENTAIS:
VULNERABILIDADES X AMEAÇAS
RISCOS – AVALIAÇÃO – NÍVEL DO RISCO
28/03/2018
30
Outras Visões do Nível de Risco: Vulnerabilidade x Impacto
RISCOS – AVALIAÇÃO – NÍVEL DO RISCO
DEFININDO OS CRITÉRIOS DE VULNERABILIDADE
Fonte: COSO, 2012
RISCOS – AVALIAÇÃO – NÍVEL DO RISCO
18/09/16
Interpretando os dados
RISCOS – AVALIAÇÃO – NÍVEL DO RISCO
28/03/2018
31
OUTRA VISÃO DO NÍVEL DE RISCO: VELOCIDADE DO IMPACTO
RISCOS – AVALIAÇÃO – NÍVEL DO RISCO
OUTRA VISÃO DO NÍVEL DE RISCO: VELOCIDADE DO IMPACTO
Fonte: COSO, 2012
Impacto
Pro
ba
bili
da
de
RISCOS – AVALIAÇÃO – NÍVEL DO RISCO
RISCOS – AVALIAÇÃO – NÍVEL DO RISCO
Fonte: O GLOBO, 2015
OUTRA VISÃO DO NÍVEL DE RISCO: PERSISTÊNCIA DO IMPACTO
28/03/2018
32
Avaliação do Risco:- Impacto- Probabilidade
- Vulnerabilidade
Vamos praticar?
RISCOS – TRATAMENTO
ACEITAR MITIGAR
COMPARTILHAR EVITAR
RESPOSTAS AO RISCO = SÃO AÇÕES GERENCIAIS DESTINADAS A MODIFICAR O RISCO
RISCOS – OPÇÕES DE TRATAMENTO
Aceitar
• Risco dentro do apetite da organização
• Não requer medidas para reduzir probabilidade e/ou impacto
• Monitoramento para garantir o risco em nível aceitável
Mitigar
• Requer medidas de controle para reduzir causas (probabilidade) e/ou consequências (impacto)
Compartilhar Evitar
• Descontinuar ou não iniciar as atividades que geram os riscos
• Redução do impacto e/ou probabilidade mediante transferência ou compartilhamento
de uma porção do risco
• Exemplos: terceirização; seguros
Tubarão
28/03/2018
33
RISCOS – TRATAMENTO
APETITE A RISCO = Nível de risco que uma organização está disposta a aceitar
APETITE AO RISCO
ÁREA DECLARAÇÃO DO APETITE A RISCO
COMPLIANCEA empresa habilita e espera o pleno cumprimento de todas
as leis e regulamentos aplicáveis
ÉTICA
Todas as pessoas que representam a empresa devem agir
de acordo com os mais altos padrões éticos em todos os
momentos
REPUTAÇÃOA reputação da empresa é valiosa demais para ser colocada
em risco
REPORTES FINANCEIROSDistorções relevantes nas demonstrações financeiras não
são aceitáveis
SEGURANÇARisco de segurança aos funcionários e público não é
aceitável
AMBIENTENenhum risco de danos a longo prazo para o meio
ambiente é aceitável
RISCOS – TRATAMENTO
RISCOS – TRATAMENTO
ÁREA DECLARAÇÃO DO APETITE A RISCO
CRESCIMENTO E
AQUISIÇÃO
Aceitar o risco calculado é incentivado nas decisões de
aquisição e investimento de capital, como o reconhecimento
de que alguma probabilidade de falha sempre acompanha
ação rápida para aproveitar as oportunidades
INOVAÇÃO
Benefícios da inovação e do desenvolvimento são obtidos
através de uma visão de portfólio que reconhece que alguns
novos produtos/serviços não terão sucesso
APETITE AO RISCO
28/03/2018
34
ÁREA DECLARAÇÃO DO APETITE A RISCO
RECURSOS HUMANOSAlgum risco é aceitável se o custo de reter e atrair os indivíduos mais qualificados é insustentável no contexto
da economia de mercado de trabalho
CONTINUIDADE DE NEGÓCIOS E
GESTÃO DE CRISES
Os custos são equilibrados com a exposição de forma
prioritária
GLOBALIZAÇÃORiscos calculados em entrar em geografias novas e
emergentes são aceitáveis
MOEDA E GESTÃO DE
COMMODITIES
Volatilidade deve ser gerida de forma ativa, mas a
especulação é inaceitável
PROPRIEDADE INTELECTUALO custo para fazer cumprir direitos de propriedade
intelectual é ponderado em relação ao valor da PI
CADEIA DE SUPRIMENTOSAlgum risco de ruptura no aprovisionamento é aceitável
se o custo para garantir o abastecimento for excessivo
RISCOS – TRATAMENTO
APETITE AO RISCO
ESFORÇO DE GESTÃO IMAGEM ESTRATÉGIA IMPACTO EM POLÍTICAS PÚBLICAS ORÇAMENTÁRIO
EG10 - Evento com potencial para levar a CGU ao colapso.
IM10 - Cobertura por muito tempo pela mídia internacional e nacional, resultando em grande desconfiança pelo cidadão brasileiro e pelas instituições internacionais.
ES10 - Prejudica o alcance da missão da CGU.
PP10 - Pode levar ao colapso de política pública transversal.
OR10 - >= 25 % do valor do orçamento da CGU relacionado a despesas primárias discricionárias (conforme SIAFI).
EG08 - Evento crítico, mas que com a devida gestão pode ser suportado.
IM8 - Cobertura por muito tempo pela mídia nacional, resultando em desconfiança pelo cidadão brasileiro.
ES08 - Prejudica o alcance de um ou mais objetivos estratégicos.
PP8 - Pode levar ao colapso de política pública.
OR08 - >= 10% < 25% do valor do orçamento da CGU relacionado a despesas primárias discricionárias (conforme SIAFI).
EG06 - Evento significativo que pode ser gerenciado em circunstâncias normais.
IM6 - Cobertura por pouco tempo pela mídia nacional, mas com boa exposição na mídia local, resultando em desconfiança pelo cidadão local.
ES06 - Prejudica o alcance de uma ou mais iniciativas no Planejamento Estratégico.
PP6 - Pode prejudicar a política pública e demanda esforço da gestão para minimizar impacto.
OR06 - >= 3% < 10% do valor do orçamento da CGU relacionado a despesas primárias discricionárias (conforme SIAFI).
EG04 - Evento cujas consequências podem ser absorvidas, mas carecem de esforço da gestão para minimizar o impacto.
IM4 - Cobertura por pouco tempo pela mídia local, resultando impactos temporários à imagem da CGU.
ES04 - Prejudica o alcance de uma ou mais ações no Planejamento Estratégico.
PP4 - Pode prejudicar a política pública, sem demandar esforço da gestão.
OR04 - >= 1 % < 3% do valor do orçamento da CGU relacionado a despesas primárias discricionárias (conforme SIAFI).
EG02 - Evento cujo impacto pode ser absorvido por meio de atividades normais.
IM2 - Apenas as partes envolvidas tomam conhecimento sobre o ocorrido sem impactos relevantes para a imagem da CGU
ES02 - Prejudica o alcance dos objetivos/metas do processo organizacional.
PP2 - Não prejudica a política pública, mas aumenta o esforço da gestão desnecessariamente (aumento da burocracia).
OR02 - < 1% do valor do orçamento da CGU relacionado a despesas primárias discricionárias (conforme SIAFI).
EG00 - Evento sem impacto na gestão.
IM0 - Apenas a área interna é capaz de tomar conhecimento sobre o ocorrido.
ES00 - Nenhum impacto nas metas/objetivos do processo organizacional.
PP0 - Não há impacto negativo em políticas públicas
OR00 - Sem impacto financeiro.
OK OK
Fora do apetite! Fora do apetite!
RISCOS – TRATAMENTO
APETITE AO RISCO
28/03/2018
35
APETITE = TOLERÂNCIA?
RISCOS – TRATAMENTO
Fonte: IIA Espanha
Capacidade de Risco
Tolerância ao Risco
Apetite de Risco
A organização pode assumir mais risco para otimizar seus resultados
O risco excede os limites desejáveis
O risco excede os limites toleráveis
Exp
osiç
ão
Tempo
Apetite x Tolerância: visão gráfica
28/03/2018
36
PROCESSO DO CONTROLE INTERNO
Abordagem SISTEMÁTICA e DISCIPLINADA
É um processo INTEGRADO
É executado por PESSOAS
Auxilia o alcance de OBJETIVOS
Oferece SEGURANÇA RAZOÁVEL
PROCESSO DO CONTROLE INTERNO
TIPOS DE CONTROLE
• Tem a finalidade de reduzir a frequência de materialização de eventos de risco. Age sobre sua probabilidade de ocorrência. Exemplos: normas, manuais, processos de planejamento, etc.
Controle Preventivo:
• Tem a finalidade de identificar eventos (indesejados ou desejados), contudo não impedem a sua ocorrência. Alertam sobre a existência de problemas ou desvios do padrão, com o objetivo de provocar a gestão para adotar as ações corretivas pertinentes.
Controle Detectivo:
• Medidas corretivas e/ou punitivas ao se detectar falhas, desperdícios, irregularidades e ilegalidades sanáveis ou insanáveis, ocorridas.
Controle Corretivo:
• Controle concebido para compensar a não adoção de outros controles, ou para contrabalançar outras falhas na estrutura de controle da organização. A adoção desse tipo de controle normalmente acontece por razões de custo-benefício.
Controle Compensatório:
Ambiente de controle1. Aderência à integridade e a valores éticos
2. Competência da alta administração em exercer a supervisão do desenvolvimento e do desempenho dos controles internos da gestão
3. Coerência e harmonização da estrutura de competências e reponsabilidades dos diversos níveis de gestão do órgão ou entidade
4. Compromisso da alta administração em atrair, desenvolver e reter pessoas com competências técnicas, em alinhamento com os objetivos da organização5. Clara definição dos responsáveis pelos diversos controles internos da gestão no âmbito da organização
PROCESSO DO CONTROLE INTERNO
PRINCÍPIOS PARA O CONTROLE INTERNO EFICAZ
28/03/2018
37
PROCESSO DO CONTROLE INTERNO
PRINCÍPIOS PARA O CONTROLE INTERNO EFICAZ
Avaliação de riscos6. Clara definição de objetivos que possibilitem o eficaz gerenciamento de riscos
7. Mapeamento das vulnerabilidades que impactam os objetivos, de forma que sejam adequadamente identificados os riscos a serem geridos
8. A organização considera o potencial para fraude na avaliação dos riscos à realização dos objetivos
9. Identificação e avaliação das mudanças internas e externas ao órgão ou entidade que possam afetar significativamente os controles internos da gestão
PROCESSO DO CONTROLE INTERNO
PRINCÍPIOS PARA O CONTROLE INTERNO EFICAZ
Atividades de controle10. Desenvolvimento e implementação de atividades de controle que contribuam para a obtenção de níveis aceitáveis de riscos
11. Adequado suporte de tecnologia da informação para apoiar a implementação dos controles internos da gestão
12. Definição de políticas e normas que suportem as atividades de controles internos da gestão
PROCESSO DO CONTROLE INTERNO
PRINCÍPIOS PARA O CONTROLE INTERNO EFICAZ
Informação e comunicação13. Utilização de informações relevantes e de qualidade para apoiar o funcionamento dos controles internos da gestão
14. Disseminação de informações necessárias ao fortalecimento da cultura e da valorização dos controles internos da gestão
15. A organização comunica-se com os públicos externos sobre assuntos que afetam o funcionamento do controle interno
28/03/2018
38
Atividades de monitoramento16. Realização de avaliações periódicas para verificar a eficácia do funcionamento dos controles internos da gestão
17. Comunicação do resultado da avaliação dos controles internos da gestão aos responsáveis pela adoção de ações corretivas, incluindo a alta administração
PROCESSO DO CONTROLE INTERNO
PRINCÍPIOS PARA O CONTROLE INTERNO EFICAZ
PROCESSO DO CONTROLE INTERNO
LIMITAÇÕES À EFICÁCIA DO CONTROLE INTERNO
Custo
Eventos
ExternosErros de
Julgamento
ColapsosConluio
PROCESSO DO CONTROLE INTERNO
DESAFIOS AO PROCESSO DE CONTROLE INTERNO
Falta de consciência (cultura) sobre a necessidade de gerenciar riscos por meio de controles internos e outras respostas
Resistência de unidades organizacionais e pessoas
Falta de documentação de atividades/processos (políticas, manuais, normas, fluxos)
Falta de conhecimento do negócio da organização e de seu ambiente interno e externo (contexto no qual os objetivos são buscados)
28/03/2018
39
Controles:- Causas- Consequências
Vamos praticar?
Churrasco
RESPONSABILIDADES DOS GESTORES E AUDITORES
Fonte: IIA, 2013
7x1
28/03/2018
40
IN MP/CGU 01/2016 – 3 LINHAS DE DEFESA
Fonte: IIA, 2009
PAPEL DA AUDITORIA INTERNA
PAPEL DA AUDITORIA INTERNA
Revisar o gerenciamento dos principais riscos
Avaliar o processo de reporte dos principais riscos
Avaliar os processos de gerenciamento de riscos
Dar garantia (assurance) que os riscos são corretamente estimados
Dar garantia (assurance) dos processos de gerenciamento de riscos
28/03/2018
41
PAPEL DA AUDITORIA INTERNA
Facilitar a identificação e avaliação dos riscos
Orientar a administração na resposta aos riscos
Coordenar as atividades de GRC
Reporte consolidado sobre os riscos
Manter e desenvolver a estrutura do GRC
Defender a implantação do GRC
Desenvolver estratégia de RM para aprovação do conselho
PAPEL DA AUDITORIA INTERNA
Estabelecer o apetite de risco
Impor processos de gerenciamento de riscos
Garantia de administração de riscos
Tomar decisões sobre quais as respostas aos riscos
Implantar as respostas aos riscos em nome da administração
Responsabilizar-se pelo gerenciamento de riscos
RISCOS – E QUANDO O RISCO SE MATERIALIZA?
28/03/2018
42
EVENTO
DE RISCO
Ações
ImediatasRecuperação
Plano de
ContingênciaPlano de Ação
Prevenção
Gestão de Continuidade dos Negócios
Materialização do Risco
RISCOS – GERENCIAMENTO DE CONTINUIDADE DE NEGÓCIO
RISCOS – PLANO DE CONTIGÊNCIA
Definição de responsabilidades, áreas e sistemas envolvidos para atender a uma emergência
Tem o objetivo de treinar, organizar, orientar, facilitar, agilizar e uniformizar as ações necessárias às respostas de controle e combate às ocorrências anormais
Também chamado de planejamento de riscos, plano de continuidade de negócios ou plano de recuperação de desastres
RISCOS – PLANO DE AÇÃO E MONITORAMENTO
• O que será feito (What) – descrever claramente a ação que será realizada
• Porque será feito (Why) – indicar objetivo da ação e justificar necessidade de sua realização
• Quem fará (Who) – nominar e individualizar responsabilidades para cada ação do plano
• Quando fará (When) – estabelecer as datas previstas de início e fim de execução de cada ação
• Onde fará (Where) – local, unidade, processo, sistema, programa, ação etc.
• Como fará (How) – maneira, método ou solução adotada
• Quanto custará (How much) – custo das ações
Planos de ação devem indicar (5W2H):
28/03/2018
43
ATRIBUTOSPOSSÍVEIS INDICADORES DE
DESEMPENHO
Melhoria Contínua • Metas explicitas de desempenho
Responsabilização integral pelos riscos
• Responsáveis pela gestão de riscos devidamente registrados em descrições de cargo/posição, em banco de dados ou sistemas de informação
Fonte: ABNT NBR ISO 31000:2009, Anexo A
RISCOS – ATRIBUTOS DE UMA GESTÃO DE RISCOS AVANÇADA
ALTO NÍVEL DE DESEMPENHO
ATRIBUTOS POSSÍVEIS INDICADORES DE DESEMPENHO
Aplicação da gestão de riscos
em todas as tomadas de
decisão
• Registros de reuniões e decisões que demonstrem que
discussões explícitas sobre os riscos ocorreram;
• Representação de todos os componentes da gestão de
riscos dentro dos processos-chave para a tomada de
decisão na organização.
Comunicação contínua
• Reportes externos e internos, abrangentes e
frequentes, sobre os riscos significativos e sobre o
desempenho da gestão de riscos.
Integração total na estrutura de governança da organização
• Importantes materiais escritos que utilizam o termo
incerteza em conexão com riscos;
• Entrevista com gestores e evidência de suas ações e
declarações.
Fonte: ABNT NBR ISO 31000:2009, Anexo A
RISCOS – ATRIBUTOS DE UMA GESTÃO DE RISCOS AVANÇADA
ALTO NÍVEL DE DESEMPENHO
Oportunidades
28/03/2018
44
Instrutor: Carlos Pinheiro Torggler
Controladoria Geral da União – CGU – Brasília/DF
� (61) 2020-7078
� carlos.torggler@cgu.gov.br
Instrutor: Jeferson Alves dos Santos
Universidade Federal de Alfenas - MG
Presidente de Associação FANAIMEC
� (35) 3701-9009 e 98875-5379
� jeferson.santos@unifal-mg.edu.br
CONTATOS