MINISTÉRIO DA ECONOMIA
FUNDAÇÃO JORGE DUPRAT FIGUEIREDO DE SEGURANÇA E MEDICINA DO TRABALHO
Resolução CGRC/FUNDACENTRO Nº 6, DE 18 DE dezembro DE 2020
Dispõe sobre a Metodologia de Gestão de Riscos da Fundação Jorge Duprat Figueiredo de Segurança e Medicina do Trabalho – Fundacentro. |
O PRESIDENTE DO COMITÊ INTERNO DE GOVERNANÇA, RISCOS E CONTROLES DA FUNDAÇÃO JORGE DUPRAT FIGUEIREDO DE SEGURANÇA E MEDICINA DO TRABALHO - CGRC, no uso das atribuições que lhe foram conferidas pelo art. 12 do Estatuto aprovado pelo Decreto nº 10.096, de 6 de novembro de 2019, e pelo inciso I, art. 3º, da Portaria nº 489, de 16 de dezembro de 2019, que institui o CGRC, e
CONSIDERANDO o a Instrução Normativa Conjunta MP/CGU nº1, de 10 de maio de 2016, que dispõe sobre controles internos, gestão de riscos e governança no âmbito do poder executivo federal;
CONSIDERANDO o Decreto nº 9.203, de 22 de novembro de 2017, que dispõe sobre a política de governança da administração pública federal direta, autárquica e fundacional,
CONSIDERANDO a Resolução CRTCI nº 2, de 27 de junho de 2019, que dispõe sobre a Política de Gestão de Riscos do Ministério da Economia;
CONSIDERANDO a Resolução CGRC nº 3, de 8 de maio de 2020, que dispõe sobre a Política de Gestão de Riscos da Fundacentro;
CONSIDERANDO deliberação tomada em sua Reunião nº 5, ocorrida em 10 e 11 de dezembro de 2020;
CONSIDERANDO o constante dos autos do processo nº 47648.000537/2020-80,
RESOLVE:
Art. 1º Aprovar, na forma do anexo I, a Metodologia de Gestão de Riscos da Fundacentro.
Art. 2º Esta Resolução entra em vigor na data de sua publicação.
Documento assinado eletronicamente por Felipe Memolo Portela, Presidente, em 18/12/2020, às 15:37, conforme horário oficial de Brasília, com fundamento no art. 6º, § 1º, do Decreto nº 8.539, de 8 de outubro de 2015. |
A autenticidade deste documento pode ser conferida no site https://sei.fundacentro.gov.br/sei/controlador_externo.php?acao=documento_conferir&id_orgao_acesso_externo=0, informando o código verificador 0084518 e o código CRC A92FE1EF. |
ANEXO I
metodologia de gEstão de riscos da fundacentro
A entrega do melhor valor para a sociedade, com o máximo de eficiência, deve ser o objetivo de toda instituição pública.
Nesse sentido, temas como governança, integridade, controles internos e gerenciamento de riscos vêm ganhando importância na agenda dos órgãos e entidades da administração pública federal, sendo a Instrução Normativa Conjunta CGU/MPDG nº 1, de 10 de maio de 2016, o marco normativo mais importante do Poder Executivo no que diz respeito à gestão de riscos. A referida instrução determina a todos os entes do executivo a instituição da sua Política de Gestão de Riscos, e traz os fundamentos para a incorporação do tema no dia a dia das instituições.
Este documento registra a metodologia de gerenciamento de riscos da Fundacentro, que visa fornecer meios para o reconhecimento de fragilidades que podem interferir no alcance dos objetivos institucionais e a estratégia para tratamento, seja preventiva ou corretiva, para cada uma dessas situações.
A perspectiva é a de que a implementação da gestão de riscos institucionais fortaleça a estrutura de controles internos e traga maior estabilidade e segurança para o ambiente institucional
Este documento tem por objetivo detalhar as etapas do processo de gerenciamento de riscos a fim de auxiliar a sua implantação, além de atender ao disposto na Política de Gestão de Riscos da Fundacentro. Sua aplicabilidade abrange toda a Fundacentro, sem prejuízo da utilização de outras normas complementares específicas relativas ao processo de trabalho, projetos ou ações de cada unidade.
Base legal
Instrução Normativa Conjunta MP/CGU nº1/2016
Decreto nº 9.203/2017
Apetite a risco – nível de risco que a entidade está disposta a aceitar;
Categorias de risco – agrupamento das causas de riscos entre: Estratégicos, Operacionais, Orçamentário, Reputação, Fiscal, e Integridade;
Causas ou fatores de risco – condições que viabilizam a concretização de um evento que afeta os objetivos. São resultantes da junção das fontes de risco com as vulnerabilidades;
Consequências – resultado de um evento que afeta os objetivos;
Contexto – refere-se à definição dos parâmetros externos e internos e dos critérios de risco a serem levados em consideração no gerenciamento de riscos;
Controle interno da gestão – processo que engloba o conjunto de regras, procedimentos, diretrizes, protocolos, rotinas de sistemas informatizados, conferências e trâmites de documentos e informações, entre outros, operacionalizados de forma integrada, destinados a enfrentar os riscos e fornecer segurança razoável de que os objetivos organizacionais serão alcançados;
Evento de risco – incidente ou ocorrência que afeta a implementação da estratégia ou a realização dos objetivos;
Fonte de risco – elemento (pessoas, processos, sistemas, estrutura organizacional, infraestrutura física, tecnologia, eventos externos) que, individualmente ou de maneira combinada, tem o potencial intrínseco para dar origem ao risco. São consideradas fontes de riscos: ameaças, oportunidades e perigos;
Governança – combinação de processos e estruturas implantadas pela alta administração da entidade, para informar, dirigir, administrar, avaliar e monitorar atividades organizacionais, com o intuito de alcançar os objetivos e prestar contas dessas atividades para a sociedade;
Gestor de risco – agente que tem a responsabilidade e a autoridade para gerenciar determinado risco (na Fundacentro, são os gestores do processo);
Gestor do processo – gestor responsável pelo desenho e execução de determinado processo de trabalho (chefes de serviço, de unidade, coordenadores, diretores, presidente);
Impacto – efeito resultante da ocorrência do evento de risco;
Indicadores-chave de risco (ICR) – número, percentagem ou razão estabelecido para monitorar as variações no desempenho em relação à meta para o cumprimento de objetivos estratégicos e operacionais relevantes para o negócio; sinalizam a exposição aos riscos e são utilizados para alertar os gestores da necessidade de tomada tempestiva de ações corretivas;
Nível de risco – resultado da aferição da criticidade do risco, considerando aspectos como probabilidade e impacto;
Órgãos de controle interno – instâncias responsáveis por supervisionar a gestão de riscos, efetuar avaliação crítica e proceder com avaliações independentes dos controles institucionais;
Processo de gestão de riscos – processo para identificar, avaliar, administrar e controlar potenciais eventos ou situações e fornecer segurança razoável no alcance dos objetivos organizacionais;
Processo de trabalho – conjunto de ações e atividades inter-relacionadas, que são executadas para alcançar produto, resultado ou serviço predefinido, e que pertencem às competências e atribuições da entidade;
Risco – probabilidade de ocorrência de um evento que tenha impacto no atingimento dos objetivos da entidade;
Risco inerente – risco a que uma entidade está exposta sem considerar medidas de controle que possam reduzir a probabilidade de sua ocorrência ou seu impacto;
Risco residual – risco a que uma entidade está exposta após a implementação de medidas de controle para o tratamento do risco; e,
Vulnerabilidade – ausência, inadequação ou deficiência em uma fonte de risco, a qual pode vir a contribuir com a concretização de um evento indesejado.
Comitê Interno de Governança, Riscos e Controles (CGRC)
As competências e responsabilidades do CGRC estão elencadas na Política de Gestão de Riscos da Fundacentro. De maneira geral, cabe ao colegiado efetuar o acompanhamento dos ciclos de gestão de riscos em cada unidade e dos processos acompanhados e monitorados, além de deliberar quanto a modificações nesta metodologia de gestão de riscos.
As competências e responsabilidades do Núcleo Gestor de Riscos estão elencadas na Política de Gestão de Riscos da Fundacentro. De maneira geral, cabe ao Núcleo prestar suporte ao CGRC, supervisionar e prestar apoio metodológico e operacional a todas as unidades, bem como efetuar o levantamento e acompanhamento de riscos estratégicos, além de propor modificações nesta metodologia que agreguem valor ao processo de gestão de riscos.
As unidades organizacionais têm como responsabilidade acompanhar a gestão de riscos afetas aos seus processos organizacionais, efetuar o monitoramento de seus riscos específicos e retroalimentação às instâncias de decisão, com o apoio das unidades próprias de suporte.
Gestores de processo de trabalho
As competências e responsabilidades dos gestores de riscos (gestores de processo) estão elencadas na Política de Gestão de Riscos da Fundacentro. De maneira geral, cabe aos gestores de riscos implementar nos processos sob sua responsabilidade as etapas de gerenciamento de riscos elencadas nessa metodologia, observando as diretrizes e objetivos dispostos na Política de Gestão de Riscos da Fundacentro. Também é competência dos gestores de riscos identificar e propor melhorias a esta metodologia de riscos.
O processo de gestão de riscos envolve a identificação, a análise e a avaliação de riscos, a seleção e a implementação de respostas aos riscos avaliados, o monitoramento de riscos e controles, e a comunicação sobre riscos com partes interessadas, internas e externas. É aplicado a uma ampla gama de atividades da entidade, abrangendo os níveis estratégico, tático e operacional.
Uma boa gestão de riscos busca, dentre outros benefícios:
aumento da probabilidade de alcance dos objetivos traçados;
aprimoramento do processo de identificação de oportunidades e ameaças;
fornecimento de uma base sólida e segura para a tomada de decisão e planejamento;
aprimoramento da eficácia na alocação e no uso de recursos;
melhora da eficiência operacional e redução das perdas e custos;
melhora da conformidade com os requisitos legais e normativos; e,
aprimoramento do controle e da governança corporativa.
Figura 1 - Etapas do processo de gestão de riscos
Fonte: TCU (adaptado)
Etapa em que se realiza o levantamento e registro dos aspectos que compõem o ambiente no qual a entidade está inserida, com a finalidade de captar de forma abrangente os fatores que podem influenciar a capacidade em atingir os seus objetivos. O entendimento do contexto é composto por três fases: (i) identificação do processo de trabalho; (ii) análise do ambiente; e, (iii) análise das partes interessadas.
I – Identificação do processo de trabalho
Nesta fase, devem ser identificados, pelo menos:
Descrição resumida do processo (um breve relato sobre o processo que permite compreender o seu fluxo, a relação entre os atores envolvidos e os resultados esperados);
Fluxo do processo de trabalho (documentação que descreve as atividade e tarefas necessárias para a consecução do processo, incluindo-se o fluxo e o fluxograma);
Objetivos do processo de trabalho (apontar quais objetivos são alcançados pelo processo de trabalho; para identificação dos objetivos, pode-se buscar responder à questão “O que deve ser atingido nas diversas dimensões para se concluir que o processo ocorreu com sucesso?”);
Relação de Objetivos Estratégicos da Fundacentro alcançados pelo processo de trabalho;
Periodicidade máxima do ciclo do processo de gerenciamento de riscos (propor qual o prazo necessário para realizar um novo gerenciamento de riscos do processo de trabalho, devendo este prazo ser menor ou igual a um ano);
Unidade responsável pelo processo de trabalho;
Leis e regulamentos relacionados ao processo de trabalho;
Ciclo médio do processo de trabalho (em dias);
Sistemas tecnológicos que apoiam o processo de trabalho;
Partes interessadas no processo (podendo ser internas ou externas);
Refere-se à análise sobre os pontos fortes e fracos do ambiente interno, as oportunidades e ameaças do ambiente externo, e a identificação dos principais atores envolvidos no processo referente ao gerenciamento de riscos. Uma excelente ferramenta que pode ser utilizada é a Análise SWOT (Strenghts ou Forças, Weakenesses ou Fraquezas, Oportunities ou Oportunidades, Threats ou Ameaças).
Figura 2 – Matriz SWOT
O quatro 1, a seguir, elenca um rol exemplificativo de elementos que podem ser considerados na análise dos fatores:
Quadro 1 - Análise de fatores: rol exemplificativo
Ambiente interno (Forças ou Fraquezas) |
Ambiente externo (Oportunidades ou Ameaças) |
Enfim, pode envolver aspectos como governança, estrutura organizacional, funções, responsabilidades, políticas, estratégias, capacidades, competência, alçadas, sistemas de informação, processos decisórios, cultura organizacional.
|
Enfim, pode envolver aspectos no âmbito cultural, social, político, regulatório, financeiro, tecnológico, econômico, ambiental. |
III – Análise das partes interessadas
Refere-se à distribuição de responsabilidades específicas para cada atividade da gestão de riscos por meio de uma matriz RACI (Responsável, Aprovador, Consultado, Informado).
PRINCIPAIS PRODUTOS E RESULTADOS DESSA ETAPA: |
|
Consiste em encontrar, reconhecer e descrever riscos através da identificação de fontes de risco, eventos, suas causas e suas consequências potenciais. O processo de identificação tem como produto uma lista de riscos, baseada em eventos que possam impedir, atrasar ou, de maneira geral, constranger a realização dos objetivos da entidade, afetando o valor público a ser entregue à sociedade. Recomenda-se que a identificação inclua também os riscos provenientes de fontes não controladas pela área do respectivo gestor de riscos, assim como os efeitos cumulativos, as causas, as consequências e as reações em cadeia.
Os riscos podem ser identificados a partir de perguntas, como:
Quais eventos podem EVITAR o atingimento de um ou mais objetivos do processo organizacional?
Quais eventos podem ATRASAR o atingimento de um ou mais objetivos do processo organizacional?
Quais eventos podem PREJUDICAR o atingimento de um ou mais objetivos do processo organizacional?
Quais eventos podem IMPEDIR o atingimento de um ou mais objetivos do processo organizacional?
Após uma rodada inicial para identificação dos eventos, recomenda-se que os mesmos sejam revisados, reorganizados, reformulados e, sendo o caso, eliminados. Para tanto, podem ser utilizadas as seguintes questões:
O evento é um risco que pode comprometer claramente um objetivo do processo?
O evento é um risco ou uma falha no desenho do processo organizacional?
À luz dos objetivos do processo organizacional, o evento identificado é um risco ou uma causa para um risco?
O evento é um risco ou uma fragilidade em um controle para tratar um risco do processo?
Existem inúmeras ferramentas que auxiliam na identificação de riscos, sendo que apresentaremos a seguir a técnica conhecida por Bow Tie.
Esta técnica busca analisar e descrever os caminhos de um evento de risco, desde suas causas até as consequências, por meio de uma representação pictográfica semelhante a uma gravata borboleta (bow tie). O método tem como foco as barreiras entre as causas e o evento de risco e as barreiras entre o evento de risco e suas consequências.
O processo de elaboração do esquema bow tie ocorre da seguinte forma:
Representa-se o evento de risco como sendo o nó de uma gravata borboleta;
As possíveis causas ou fontes do evento de risco são listadas no lado esquerdo do desenho e cada uma delas é conectada por uma linha ao nó da gravata;
Barreiras que impedem ou diminuem a possibilidade da causa ou fonte produzir o evento de risco são representadas como itens cruzando as linhas que ligam as causas ao evento (controles preventivos);
De forma análoga, no lado direito do desenho, identificam-se possíveis consequências e cada uma delas é ligada ao nó central por uma linha;
Barreiras que impedem ou diminuem o efeito das consequências são representadas como itens cruzando as linhas que ligam o evento às consequências (controles atenuantes ou corretivos).
O produto resultante dessa análise é o próprio diagrama esquemático gerado, bem como as informações a ele associadas que foram identificadas: evento de risco, fontes, causas, controles preventivos e controles atenuantes.
Figura 3 – Diagrama BowTie
Fonte: TCU (adaptado)
A seguinte sintaxe descreve os aspectos envolvendo um evento de risco e pode auxiliar na reflexão e desenvolvimento desta etapa:
Quadro 2 - Sitaxe auxiliar
Devido a <CAUSA,FONTE>, poderá acontecer <EVENTO DE RISCO>, o que poderá levar a <IMPACTO, EFEITO, CONSEQUÊNCIA>, constrangendo o <OBJETIVO DO PROCESSO>. |
PRINCIPAIS PRODUTOS E RESULTADOS DESSA ETAPA: |
|
A etapa de análise de riscos visa promover subsídios para a avaliação de riscos, bem como para as estratégias, métodos e decisões de tratamento dos riscos. Busca-se o entendimento do nível do risco e de sua natureza, especialmente quanto à estimação da probabilidade de ocorrência e do impacto dos eventos identificados.
Envolve a investigação das causas e das fontes de risco, com o intuito de oferecer subsídios aos controles preventivos; também, das consequências oriundas da efetivação do evento de risco, angariando informação para a elaboração de controles atenuantes.
Além disso, a análise deve confrontar os eventos de risco identificados com os controles existentes, a fim de testar a eficácia e a eficiência dos controles e estabelecer o nível atual do risco em análise (risco residual).
Para tanto, o gestor de riscos deverá fazer uso dos elementos oriundos das etapas anteriores, bem como das escalas de probabilidade e impacto, da matriz de riscos e da definição da eficácia dos controles.
Escala de probabilidade
Instrumento que define como a probabilidade, que está associada às chances de um determinado evento ocorrer, será mensurada. O gestor de riscos poderá, quando necessário, adequar APENAS os quantitativos do parâmetro “Frequência”.
Quadro 3 - Escala de probabilidade
Probabilidade |
Frequência |
Descrição da probabilidade, desconsiderando os controles |
Peso |
Muito baixa |
Até 10% |
Improvável. Em situações excepcionais, o evento poderá até ocorrer, mas nada nas circunstâncias indica essa possibilidade. |
1 |
Baixa |
>10% até 30% |
Rara. De forma inesperada ou casual, o evento poderá ocorrer, pois as circunstâncias pouco indicam essa possibilidade. |
2 |
Média |
>30% até 50% |
Possível. De alguma forma, o evento poderá ocorrer, pois as circunstâncias indicam moderadamente essa possibilidade |
3 |
Alta |
>50% até 90% |
Provável. De forma até esperada, o evento poderá ocorrer, pois as circunstâncias indicam fortemente essa possibilidade. |
4 |
Muito alta |
>90% |
Praticamente certa. De forma inequívoca, o evento ocorrerá, as circunstâncias indicam claramente essa possibilidade. |
5 |
Fonte: TCU (adaptado)
Escala de impacto
Instrumento que define a natureza e tipos de consequências do evento ocorrido. Para defini-lo, é importante que sejam considerados os impactos no objetivo do processo de trabalho avaliado.
Quadro 4 - Escala de impacto
Impacto |
Descrição do impacto nos objetivos, caso o evento ocorra: |
Peso |
Muito baixo |
Mínimo impacto nos objetivos (estratégicos, operacionais, de informação/comunicação/divulgação ou de conformidade) |
1 |
Baixo |
Pequeno impacto nos objetivos (idem). |
2 |
Médio |
Moderado impacto nos objetivos (idem), porém recuperável. |
3 |
Alto |
Significativo impacto nos objetivos (idem), de difícil reversão. |
4 |
Muito alto |
Catastrófico impacto nos objetivos (idem), de forma irreversível. |
5 |
Fonte: TCU (adaptado)
Matriz de Risco
Instrumento gráfico que permite identificar visualmente quais os riscos que devem receber maior atenção (figura 4). A matriz possui duas dimensões, Probabilidade e Impacto, em que se classifica e se avalia o nível do risco com a combinação (multiplicação) dos valores encontrados em cada dimensão, podendo resultar em quatro níveis:
Quadro 5 - Níveis de risco
Risco baixo |
Risco moderado |
Risco alto |
Risco crítico |
RB <= 3 |
3 < RM <= 6 |
6 < RA <= 15 |
RC > 15 |
Figura 4 – Matriz de risco
Fonte: TCU (adaptado)
Definição da eficácia dos controles
Esta etapa busca estabelecer critérios objetivos para a análise dos controles implementados e para a apuração do risco residual. A avaliação será notadamente quanto ao desenho e à operação dos controles existentes, da seguinte forma:
Desenho: há procedimento de controle suficiente e formalizado?
não há procedimento de controle;
há procedimentos de controle, mas insuficiente e não formalizado;
há procedimentos de controle formalizado, mas insuficientes;
há procedimentos de controle suficientes, mas não formalizados; ou
há procedimentos de controle suficientes e formalizados.
Operação: há procedimento de controle sendo executado? Há evidências de sua execução?
não há procedimento de controle;
há procedimentos de controle, mas não são executados;
há procedimentos de controle, mas parcialmente executados;
há procedimentos de controle executados, mas não evidenciados; ou
há procedimentos de controle executados de forma evidenciável.
Quadro 6 - Níveis de confiança dos controles
Nível de confiança (NC) |
Avaliação do desenho e implementação dos controles (atributos do controle) |
Risco de controle (RC) |
Inexistente NC=0% (0,0) |
Controles inexistentes, mal desenhados ou mal implementados, isto é, não funcionais. |
Muito alto 1,0 |
Fraco NC=20% (0,2) |
Controles têm abordagens ad hoc, tendem a ser aplicados caso a caso, a responsabilidade é individual, havendo elevado grau de confiança no conhecimento das pessoas. |
Alto 0,8 |
Mediano NC=40% (0,4) |
Controles implementados mitigam alguns aspectos do risco, mas não contemplam todos os aspectos relevantes do risco devido a deficiências no desenho ou nas ferramentas utilizadas. |
Médio 0,6 |
Satisfatório NC=60% (0,6) |
Controles implementados e sustentados por ferramentas adequadas e, embora passíveis de aperfeiçoamento, mitigam o risco satisfatoriamente. |
Baixo 0,4 |
Forte NC=80% (0,8) |
Controles implementados podem ser considerados a "melhor prática", mitigando todos os aspectos relevantes do risco. |
Muito baixo 0,2 |
Fonte: TCU (adaptado)
O nível de risco final será apurado por meio da aplicação do fator Risco de Controle ao nível de risco apurado previamente, da seguinte forma:
Nível de risco final = (Nível de risco apurado previamente X Risco de controle).
PRINCIPAIS PRODUTOS E RESULTADOS DESSA ETAPA: |
|
Etapa que utiliza os resultados da análise de riscos como subsídio para tomada de decisão sobre quais riscos necessitam de tratamento e a prioridade para a implementação do tratamento. Envolve comparar o nível de risco encontrado durante o processo de análise com as diretrizes de priorização e tratamento.
Na etapa de avaliação, deve-se observar se um determinado risco precisa de tratamento e a prioridade para isso, bem como se controles internos devem ser implementados ou, se já existirem, se devem ser modificados, mantidos ou eliminados.
A priorização consiste em, a partir da documentação resultante das etapas anteriores, elaborar uma lista dos riscos que requerem tratamento, com suas respectivas classificações e prioridades. Para tanto, devem ser considerados os valores dos níveis de riscos residuais calculados na etapa anterior para identificar quais riscos serão priorizados para tratamento. O quadro 5 mostra, por classificação, quais ações devem ser adotadas em relação ao risco.
Diretrizes para priorização e tratamento
Instrumento que determina como os riscos serão priorizados. Sua finalidade é auxiliar na avaliação da reposta mais adequada ao tratamento dos riscos.
Quadro 7 - Diretrizes para priorização e tratamento
Nível de risco |
Critérios para priorização e tratamento de riscos |
Risco crítico |
Nível de risco muito além do apetite a risco. Qualquer risco nesse nível deve ser comunicado ao Comitê Interno de Governança Riscos e Controles – CGRC e ter uma resposta imediata. Postergação de medidas só com a autorização do dirigente máximo. |
Risco alto |
Nível de risco além do apetite a risco. Qualquer risco nesse nível deve ser comunicado à alta gestão e ter uma ação tomada em período determinado. Postergação de medidas só com a autorização do dirigente da área (nível de diretoria). |
Risco moderado |
Nível de risco dentro do apetite a risco. Geralmente nenhuma medida especial é necessária, porém requer atividades de monitoramento específicas e atenção da gerência na manutenção de respostas e controles para manter o risco nesse nível, ou reduzi-lo sem custos adicionais. |
Risco baixo |
Nível de risco dentro do apetite a risco, mas é possível que existam oportunidades de maior retorno que podem ser exploradas assumindo-se mais riscos, avaliando a relação custos x benefícios, como diminuir o nível de controles. |
Fonte: TCU (adaptado)
PRINCIPAIS PRODUTOS E RESULTADOS DESSA ETAPA: |
|
A etapa de tratamento de riscos consiste na elaboração e implementação de um plano de tratamento que contenha uma coleção de medidas com o objetivo de modificar os riscos. Sua implementação pode gerar novos controles ou modificar os controles existentes.
Entre as opções de resposta a riscos, elencam-se as seguintes ações (mutuamente exclusivas e coletivamente exaustivas):
Evitar o risco: cessar o processo de trabalho para evitar totalmente o risco;
Transferir o risco: compartilhar ou transferir uma parte do risco a terceiros;
Mitigar o risco: reduzir o impacto ou a probabilidade de ocorrência do risco; e,
Aceitar o risco: aceitar ou tolerar o risco sem que nenhuma ação específica seja tomada, pois ou o nível do risco é considerado baixo ou a capacidade da entidade para tratar o risco é limitada ou o custo é desproporcional ao benefício.
A resposta aos riscos deverá observar os limites de exposição a riscos definidos pelo Comitê Interno de Governança, Riscos e Controles - CGRC, de maneira que, para riscos com nível de criticidade apurado superior ao definido dever-se-á instituir controles e/ou ações mitigadoras com o objetivo de reduzi-los ou compartilhá-los até sua conformidade com o limite de exposição aceitável.
Com relação aos controles propostos, eles podem ser avaliados quanto ao: (i) tipo (preventivo ou corretivo); (ii) natureza (manual, automático ou híbrido); e, (iii) frequência (anual, semestral, etc.). Além disso, sua implementação deve considerar ainda aspectos como os custos e esforços (diretos ou de oportunidade) de implementação, bem como os benefícios decorrentes; os requisitos legais, normativos e regulatórios; os responsáveis por aprovar e implementar as ações (as funções devem ser segregadas); e, recursos necessários.
Para a elaboração do Plano de Tratamento de Riscos, deve-se levar em consideração:
A eficácia das ações/controles já existentes;
As restrições organizacionais, técnicas e estruturais;
Os requisitos legais;
A análise custo/benefício;
As ações a serem realizadas;
Os responsáveis;
As prioridades; e,
Os prazos de execução.
O Plano de Tratamento de Riscos deverá ser aprovado pelo Comitê Interno de Governança, Riscos e Controles - CGRC.
PRINCIPAIS PRODUTOS E RESULTADOS DESSA ETAPA: |
|
Comunicação e consulta
Etapa que tem como objetivo facilitar a troca de informações, levando em consideração os aspectos de confidencialidade, integridade e confiabilidade. Ocorre durante todas as fases do processo de gestão de riscos e abrange a coleta e disseminação de informações e iniciativas com o intuito de assegurar a compreensão suficiente a todos os envolvidos.
As informações apresentadas nos meios de monitoramento devem possuir qualidade contextual e de representação com base nos critérios elencados a seguir. Além disso, o fluxo das comunicações deve assegurar que as informações atinjam as partes interessadas.
Critérios de qualidade contextual:
Relevância: a informação deve ser útil para o objetivo do trabalho;
Integralidade: as informações importantes e suficientes para a compreensão devem estar presentes;
Adequação: o volume de informação deve ser adequado e suficiente;
Concisão: a informação deve ser apresentada de forma compacta;
Consistência: as informações apresentadas devem ser compatíveis;
Clareza: a informação deve ser facilmente compreensível; e
Padronização: a informação deve ser apresentada no padrão aceitável.
Por fim, devem ser observados aspectos como alçadas dos agentes e, quanto às informações, a gradual convergência para promover a relevância, integralidade, adequação, concisão, consistência, clareza e padronização.
PRINCIPAIS PRODUTOS E RESULTADOS DESSA ETAPA: |
|
Monitoramento e análise crítica
Etapa que poderá ser periódica ou acontecer em resposta a um fato específico, e tem por finalidade:
Garantir que os controles sejam eficazes e eficientes na operação;
Obter informações adicionais para melhorar a avaliação dos riscos;
Analisar os eventos, as mudanças, e aprender com o sucesso ou fracasso do tratamento do risco;
Detectar mudanças nos contextos externo e interno, incluindo alterações nos critérios de risco e no próprio risco, as quais podem exigir a revisão da forma de tratar os riscos e das prioridades; e,
Identificar os riscos emergentes, que poderão surgir após o processo de análise crítica, reiniciando o ciclo do processo de gestão de riscos.
Monitoramento trata-se de um processo contínuo de supervisão, verificação, observação crítica e identificação de mudanças significativas no contexto, e será realizado pelas funções que gerenciam e têm propriedade de riscos. Assim, cabe aos gestores de risco, coordenadores e diretores monitorarem o nível de risco de sua área e o impacto em toda a instituição, reportando os resultados tempestivamente ao Núcleo Gestor de Riscos.
A análise crítica diz respeito à atividade executada para verificar a adequação, suficiência e eficácia do processo de gestão de riscos, de maneira a garantir que a entidade esteja exposta a níveis de risco compatíveis com o seu apetite. Essa atividade será realizada pelo Núcleo Gestor de Risco em conjunto com as partes interessadas, e os resultados da análise serão submetidos à apreciação do CGRC.
Por fim, no caso de indicativos de deficiência, os gestores de risco conjuntamente com o Núcleo Gestor de Risco deverão avaliar e propor ações corretivas, como ajustes dos controles existentes, a serem aprovados pelo CGRC.
PRINCIPAIS PRODUTOS E RESULTADOS DESSA ETAPA: |
|
BRASIL. Instrução Normativa Conjunta MP/CGU Nº 01, de 10 de maio de 2016, que estabelece a adoção de uma série de medidas para a sistematização de práticas relacionadas a gestão de riscos, controles internos e governança.
BRASIL. Ministério da Transparência e Controladoria-Geral da União. Metodologia de gestão de riscos. Abril de 2018.
BRASIL. Tribunal de Contas da União. Referencial básico de gestão de riscos / Tribunal de Contas da União. – Brasília : TCU, Secretaria Geral de Controle Externo (Segecex), 2018.
BRASIL. Ministério da Economia. Guia de gestão de riscos do ministério da economia. Resolução CRTCI nº 9/2019. Agosto de 2019.
Referência: Processo nº 47648.000537/2020-80 | SEI nº 0084518 |