343o de Riscos e Controles Internos - Universidades...

28/03/2018

1

GESTÃO DE RISCOS E CONTROLES INTERNOS NO SETOR PÚBLICO

Teoria e Prática

Apresentar os conceitos de Gestão de Riscos necessários à implementação da estrutura de

governança, gestão de riscos e controles internos prevista na IN MP/CGU 01/2016.

OBJETIVO GERAL

�

AGENDA

• Evolução Histórica – Riscos & Controles

• Decreto nº 9.203/2017

• IN MP/CGU nº 01/2016

• Gestão de Riscos: Objetivos

• Gestão de Riscos: Conceitos Fundamentais

28/03/2018

2

�

AGENDA

• Processo de Gestão de Riscos:

- Estabelecimento do Contexto

- Identificação:

o dos Riscos

o das Causas

o das Consequências

�

AGENDA


- Avaliação dos Riscos

o Probabilidade e Impacto

o Risco Inerente e Risco Residual

o Critérios de Avaliação dos Riscos

o Nível de Risco

o Diagrama de Riscos

�

AGENDA


- Avaliação dos Riscos

- Outras Visões do Nível de Risco

- Tratamento de Riscos

o Opções de Tratamento

o Apetite e Tolerância

28/03/2018

3

�

AGENDA

• Controles Internos

• Responsabilidades de Gestores e

Auditores

• Gerenciamento de Continuidade de Negócios

• Atributos de uma Gestão de Riscos

Avançada

Evolução Histórica: Controle & RiscoEvolução Histórica: Controle & Risco

1975 - Quebra dos bancos Herstatt (Ale) e Franklin National (EUA)

1985 - Fraudes financeiras em instituições de crédito nos EUA

1975 1985

1975 – Criação do Comitê da Basileia

1992 – COSO ICIF

Má gestão, fraudes e consequente quebra de diversas instituições

financeiras

1997 - Comitê da Basileia edita 38 princípios abordando os

temas controle interno e gestão de riscos

1975 1992

1993 - 1998 1997 2001 2002

2001 – ENRON

2002 - WORLDCOM

2001 - 2004

2001 – Orange Book

2002 – SOX

2004 – COSO ICIF

2004 – COSO ERM

2004 – Basileia II

2004 – Orange Book

2008 2009...

2008 – Lehman Brothers

2009 - ISO 31000

2010 – Basileia III

2013 - COSO ICIF

2017 - COSO ERM

2018 - ISO 31000

Evolução Histórica: Controle & Risco

ENRON

28/03/2018

4

Evolução histórica: COSO ICIF

1992 20132004

Comparativo COSO ICIF x COSO ERM

COSO ICIF COSO ERM

Evolução histórica: COSO ERM (2017)

28/03/2018

5

Dispõe sobre a política de governança da

administração pública federal direta,

autárquica e fundacional

DECRETO nº 9.203, de 22/11/2017

Governança Pública – Decreto 9.203/2017

Conjunto de mecanismos de liderança, estratégia e controle postos em prática para avaliar, direcionar e monitorar a gestão, com vistas à

condução de políticas públicas e à prestação de serviços de interesse da

sociedade

Fonte: Decreto nº 9.203/2017TCU - Referencial Básico de Governança, 2014

CIG

CGU

CG

Fonte:TCU - Referencial Básico de Governança, 2014 - Adaptado

CIG – Comitê Interministerial

de Governança (CC, MF, MP, CGU)

CG – Comitês Internos de Governança (constituídos em

cada ministério)

28/03/2018

6

Governança Pública

Gestão de Riscos

Controles Internos

da Gestão

Auditoria Interna

Decreto 9.203/2017

Governança Pública – Decreto 9.203/2017

Princípios da Gestão de Riscos (Art. 17):

I - implementação e aplicação de forma sistemática, estruturada,

oportuna e documentada, subordinada ao interesse público;

II - integração da gestão de riscos ao processo de planejamento

estratégico e [demais processos de gestão] relevantes para aexecução da estratégia e o alcance dos objetivos institucionais;

III - estabelecimento de controles internos proporcionais aosriscos...;

IV - utilização dos resultados para apoio à melhoria contínua dodesempenho e dos processos de GR, controle e governança.

Dispõe sobre controles internos,

gestão de riscos e governança no âmbito do

Poder Executivo Federal

IN MP/CGU Nº 01, de 10/5/2016

28/03/2018

7

IN C

on

jun

ta M

P/C

GU

n

º 0

1/2

01

6

Controles Internos da Gestão

Gestão de Riscos

Governança

• Princípios

• Objetivos

• Estrutura

• Responsabilidades

• Princípios

• Objetivos

• Estrutura

• Política de Gestão de Riscos

• Responsabilidades

• Princípios

IN CGU/MP nº 01/2016 – ESTRUTURA

OBJETIVO DA GESTÃO DE RISCOS

Permitir o TRATAMENTO ADEQUADO dos EVENTOS (riscos e oportunidades), de forma a melhorar a capacidade de CONSTRUIR VALOR,

proporcionando SERVIÇOS mais EFETIVOS, EFICIENTES E EFICAZES

BENEFÍCIOS DA GESTÃO DE RISCOS

• Cria e protege valor

• Melhoria da performance

• Encoraja a inovação

• Aumenta a probabilidade de alcance dos objetivos

• Melhor alocação dos recursos

• Proporciona base confiável para a tomada de decisão

• Melhora a governança

• Melhora a confiança das partes interessadas

Elevador

28/03/2018

8

CONCEITOS BÁSICOS

Objetivos

CONCEITOS BÁSICOS

Pra Onde?

Objetivos

CONCEITOS BÁSICOS

Meta ou propósito que se deseja alcançar de forma a se obter êxito no

cumprimento da missão e no alcance da visão de futuro da organização

28/03/2018

9

Riscos

CONCEITOS BÁSICOS

Efeito da incerteza nos objetivos da organização

Risco

CONCEITOS BÁSICOS

Controles

CONCEITOS BÁSICOS

28/03/2018

10

Conjunto de regras, procedimentos, diretrizes, protocolos, rotinas de sistemas informatizados,

conferências e trâmites de documentos e informações, entre outros, operacionalizados de forma integrada, destinados a enfrentar os riscos

e fornecer segurança razoável de que os objetivos serão alcançados.

Controles

CONCEITOS BÁSICOS

Framework

CONCEITOS BÁSICOS

Conjunto de conceitos e boas práticas usados para orientar as atividades relacionadas a um

domínio específico

Framework

CONCEITOS BÁSICOS

28/03/2018

11

GOVERNANÇA E CULTURA1. Exercer a supervisão dos riscos pela alta direção

2. Estabelecer estruturas operacionais3. Definir a cultura desejada

4. Demonstrar compromisso com valores centrais5. Atrair, desenvolver e reter capacidades individuais

FRAMEWORK: COSO ERM (2017)

ESTRATÉGIA E DEFINIÇÃO DE OBJETIVOS6. Analisar o contexto do negócio

7. Definir o Apetite ao Risco8. Avaliar Estratégias Alternativas

9. Formular objetivos do negócio


DESEMPENHO10. Identificar o risco

11. Avaliar a severidade do risco12. Priorizar Riscos

13. Implementar resposta ao risco14. Desenvolver a visão de portfólio


28/03/2018

12

REVISÃO15. Avaliar mudanças substanciais16. Revisar risco e desempenho

17. Perseguir a melhoria no GRC


INFORMAÇÃO, COMUNICAÇÃO E REPORTE18. Alavancar informação e tecnologia19. Comunicar informações sobre risco

20. Relatar sobre risco, cultura e desempenho


FRAMEWORK: ISO 31000:2018

28/03/2018

13

Fonte: Gespública, 2013

Macro Ambiente

Expectativas deCidadãos e Sociedade

OrganizaçãoEstendida

Organização

Identificaro Contexto

e os Riscos

PlanejarRespostas

ImplementarMonitorar eControlar

Analisar eAvaliar

os riscos

Estratégia

Programas

Projetos e Atividades

Comunicaçãoe Aprendizado

Comunicaçãoe Aprendizado

FRAMEWORK: HM TREASURY ORANGE BOOK

18/09/16

FRAMEWORK: MODELOS E REGULAMENTAÇÕES APLICÁVEIS A SEGMENTOS ESPECÍFICOS

SOX

Política

CONCEITOS BÁSICOS

28/03/2018

14

Declaração das intenções, comprometimento e diretrizes gerais de uma organização

relacionadas à gestão de riscos

Política

CONCEITOS BÁSICOS

Deve abordar:

• Propósito da organização em relação à GR

• Ligação entre objetivos da organização e da GR

• Integração da GR com a tomada de decisão

• Autoridade, Responsabilidade e Accountability

• Tratamento de conflitos de interesse

• Recursos

• Medição e reporte do desempenho

• Análise crítica e melhoria contínua

POLÍTICA DE GESTÃO DE RISCOS

Art. 17. A política de gestão de riscos (...) deve especificar ao menos:

I – princípios e objetivos organizacionais;

II – diretrizes sobre:

a) como a gestão de riscos será integrada ao planejamento estratégico, aos processos e

às políticas da organização;

b) como e com qual periodicidade serão identificados, avaliados, tratados e monitorados

os riscos;

c) como será medido o desempenho da gestão de riscos;

d) como serão integradas as instâncias do órgão ou entidade responsáveis pela gestão de

riscos; e) a utilização de metodologia e ferramentas para o apoio à gestão de riscos; e

f) o desenvolvimento contínuo dos agentes públicos em gestão de riscos; e

III – competências e responsabilidades para a efetivação da gestão de riscos no âmbito

do órgão ou entidade.

IN CGU/MP nº 01/2016 – POLÍTICA DE GESTÃO DE RISCOS

28/03/2018

15

APLICAÇÕES DO TEMA NO PODER EXECUTIVO FEDERAL

Políticas de GR nos Entes Públicos

Portaria nº 674/2014 – Política de GR da RFB

Portaria nº 627/2014 – Política de GR da PGFN

Portaria nº 64/2015 – Política de GR do CARF

Portaria nº 426/2016 – Política de Gestão de Integridade, Riscos e Controles Internos da Gestão do MP

RI nº 020/2016 – Política Corporativa de GR, Controle Interno e Conformidade do SERPRO

Política de Gestão de Riscos do STJ/2016

Resolução nº 287/2017 – Política de GR do TCU

Portaria nº 353/2017 – Política de GR do MT

Instrução Normativa nº 114/2017 – Política de GR da ANAC

Deliberação nº 87/2017 – Política de GR da ANTT

PrincípiosObjetivos da Gestão de RiscosProcesso

- entendimento do contexto- análise dos riscos

- avaliação dos riscos

- priorização dos riscos- respostas aos riscos

- comunicação e monitoramento

Competências- Comitê de Gestão Estratégica

- Comitê Gerencial

- Núcleo de Gestão de Riscos- Proprietários dos Riscos

POLÍTICA DE GESTÃO DE RISCOSPortaria CGU nº 915/2017

Metodologia

CONCEITOS BÁSICOS

28/03/2018

16

Explicação minuciosa, detalhada, rigorosa e exata de toda ação desenvolvida no método

(caminho) de trabalho

Metodologia

CONCEITOS BÁSICOS

PROCESSO DE GESTÃO DE RISCOS

ENTENDIMENTO DO CONTEXTO

Missão Visão Stakeholders

28/03/2018

17

OBJETIVOS – DEFINIÇÃO DOS OBJETIVOS

IdentificarRiscos

DesenvolverCritérios deAvaliação

AvaliarRiscos

Avaliar aInteração

dos Riscos

PriorizarRiscos

Responderao Risco

Avaliação do Risco

Fonte: COSO, 2012

PROCESSO DE AVALIAÇÃO DE RISCOS

Brainstorm

Mapeamento de Processos

Método Delphi

Matriz SWOT

RISCOS – IDENTIFICAÇÃO

28/03/2018

18

PERGUNTAS POSSÍVEIS PARA IDENTIFICAR RISCOS

Item Descrição

1 O que pode comprometer o alcance do objetivo?

2 Como e onde podemos falhar?

3 O que pode dar errado?

4 Onde somos vulneráveis?

5 Que ativos são mais relevantes?

6 Como saber se estamos atingindo os objetivos?

7 Onde gastamos mais dinheiro?

8 Que atividades são mais complexas?

9 Que situações seriam ruins para nossa imagem?

10 Que decisões exigem mais análise?

Documentos para subsídio:

- Organograma- Opinião de especialistas

- Histórico documentado- Relatórios de auditoria

- Fluxograma do processo

CEO

Reclamação

Fonte: ISO 31010:2009

RISCOS – Identificação

Objetivo:

Evento

Identificação:- Objetivo Estratégico- Objetivo do Programa

- 2 Riscos

Vamos praticar?

Caminhão

28/03/2018

19

RISCOS – CAUSA

Pessoas

Processos

Sistemas

Infraestrutura Tecnologia

Eventos Externos

RISCOS – CAUSA – FONTE DE RISCO

CAUSAFONTE/FATOR + FRAGILIDADES

Fonte: Elaboração própria

RISCOS – CAUSA

28/03/2018

20

OBSERVAÇÃO:

Fragilidades nos controles implementados para mitigar um determinado risco NÃO devem ser tratadas como causa

primária desse risco.

RISCOS – CAUSA

RISCOS – CONSEQUÊNCIA

Devido a <CAUSAS/FONTES>, poderá acontecer <DESCRIÇÃO DA INCERTEZA>, o que poderá levar a

<DESCRIÇÃO DO IMPACTO/CONSEQUÊNCIA/EFEITO>impactando no/na <DIMENSÃO DE OBJETIVO

IMPACTADA>

DESCRIÇÃO DE RISCOS

Fonte: TCU, 2013

RISCOS – SINTAXE

28/03/2018

21

Devido à ausência de manutenção preventiva, o sistema de climatização poderá não manter a

temperatura apropriada, o que poderá ocasionar pane dos servidores de rede do edifício sede, implicando em indisponibilidade temporária de informações e

sistemas da unidade

DESCRIÇÃO DE RISCOS

RISCOS – SINTAXE

Identificação (1 risco):- 2 causas- 2 consequências

Vamos praticar?

É o risco intrínseco à atividade que está sendo realizada, está presente no estado atual das coisas, antes da adoção

de medidas de resposta ao risco

RISCO INERENTE

28/03/2018

22

RISCO RESIDUAL

É o risco remanescente após a adoção de medidas de resposta ao risco

RISCOS - AVALIAÇÃO

PROBABILIDADE X IMPACTO

PROBABILIDADE CAUSAS

IMPACTO CONSEQUÊNCIAS

OBSERVAÇÃO: Uma análise que mistura aspectos quantitativos e qualitativos terá um

resultado QUALITATIVO!

QuantitativoQualitativo

RISCOS – AVALIAÇÃO – CRITÉRIOS

28/03/2018

23

Fonte: COSO, 2012

Comparação entre as técnicas de mensuração do riscoTécnica Vantagens Desvantagens

Qualitativa

• Relativamente rápida e fácil• Fácil compreensão, não requer treinamento em técnicas sofisticadas de análise

quantitativa• Fácil de se extrapolar para avaliações que não se restrinjam apenas a impacto financeiro

e probabilidade, tais como vulnerabilidade, velocidade e persistência do impacto, impacto

não financeiro, segurança, reputação, etc

• Provê diferenciação limitada entre os níveis de risco (ex: muito alto, alto, médio e baixo)• Imprecisa - eventos de risco que apareçam

dentro do mesmo nível de risco podem apresentar diferenças consideráveis no valor de seus critérios

• Limitação quanto à análise de custo-benefício das respostas ao risco

Quantitativa

• Permite agregação numérica levando em consideração as interações dos riscos• Permite análise de custo benefício na escolha

das respostas ao risco• Permite que a alocação do capital para as atividades do negócio sejam baseadas no risco,

visando um retorno ideal• Permite computar qual o requerimento de

capital necessário para manter a solvência da organização em condições extremas

• Consome muito tempo e recurso, especialmente na construção do modelo de avaliação

• Pode implicar numa precisão maior que a realidade devido às incertezas dos valores de entrada

• Presunções podem não ficar claras• A necessidade de escolha de medidas como

dólar ou frequência anual pode resultar na negligência de impactos qualitativos


PROBABILIDADE (LIKELYHOOD X PROBABILITY)

RISCOS – AVALIAÇÃO – CRITÉRIOS (PROBABILIDADE)

DEFININDO OS CRITÉRIOS PARA MENSURAÇÃO DE PROBABILIDADE

Fonte: COSO, 2012


28/03/2018

24

CRITÉRIOS PARA MENSURAÇÃO DE PROBABILIDADE DO MP

Fonte: MP, 2016


CRITÉRIOS PARA MENSURAÇÃO DE PROBABILIDADE DA CGU

FREQUÊNCIA ESTIMADAFE10 - Evento pode ocorrer, considerando a série histórica nos últimos 24 meses

ou projeções, em mais de 81% dos ciclos do processo organizacional.FE08 - Evento pode ocorrer, considerando a série histórica nos últimos 24 meses

ou projeções, em entre 61% e 80% dos ciclos do processo organizacional.FE06 - Evento pode ocorrer, considerando a série histórica nos últimos 24 meses



ou projeções, em no máximo 20% dos ciclos do processo organizacional.FE00 - Considerando a série histórica nos últimos 24 meses ou projeções, o

evento é improvável de se materializar.


RISCOS – AVALIAÇÃO – CRITÉRIOS (IMPACTO)

IMPACTO

28/03/2018

25

Fonte: COSO, 2012

RISCOS – AVALIAÇÃO - CRITÉRIOS (IMPACTO)

Fonte: COSO, 2012

RISCOS – AVALIAÇÃO – CRITÉRIOS (IMPACTO)

Fonte: MP, 2016

RISCOS – AVALIAÇÃO – CRITÉRIOS (M PLANEJAMENTO)

28/03/2018

26

Fonte: MP, 2016

RISCOS – AVALIAÇÃO – CRITÉRIOS (M PLANEJAMENTO)

ESFORÇO DE GESTÃO IMAGEM ESTRATÉGIA IMPACTO EM POLÍTICAS PÚBLICAS ORÇAMENTÁRIO

EG10 - Evento com potencial para levar a CGU ao colapso.

IM10 - Cobertura por muito tempo pela mídia internacional e nacional, resultando em grande desconfiança pelo cidadão brasileiro e pelas instituições internacionais.

ES10 - Prejudica o alcance da missão da CGU.

PP10 - Pode levar ao colapso de política pública transversal.

OR10 - >= 25 % do valor do orçamento da CGU relacionado a despesas primárias discricionárias (conforme SIAFI).

EG08 - Evento crítico, mas que com a devida gestão pode ser suportado.

IM8 - Cobertura por muito tempo pela mídia nacional, resultando em desconfiança pelo cidadão brasileiro.

ES08 - Prejudica o alcance de um ou mais objetivos estratégicos.

PP8 - Pode levar ao colapso de política pública.

OR08 - >= 10% < 25% do valor do orçamento da CGU relacionado a despesas primárias discricionárias (conforme SIAFI).

EG06 - Evento significativo que pode ser gerenciado em circunstâncias normais.

IM6 - Cobertura por pouco tempo pela mídia nacional, mas com boa exposição na mídia local, resultando em desconfiança pelo cidadão local.

ES06 - Prejudica o alcance de uma ou mais iniciativas no Planejamento Estratégico.

PP6 - Pode prejudicar a política pública e demanda esforço da gestão para minimizar impacto.


EG04 - Evento cujas consequências podem ser absorvidas, mas carecem de esforço da gestão para minimizar o impacto.

IM4 - Cobertura por pouco tempo pela mídia local, resultando impactos temporários à imagem da CGU.

ES04 - Prejudica o alcance de uma ou mais ações no Planejamento Estratégico.

PP4 - Pode prejudicar a política pública, sem demandar esforço da gestão.

OR04 - >= 1 % < 3% do valor do orçamento da CGU relacionado a despesas primárias discricionárias (conforme SIAFI).

EG02 - Evento cujo impacto pode ser absorvido por meio de atividades normais.

IM2 - Apenas as partes envolvidas tomam conhecimento sobre o ocorrido sem impactos relevantes para a imagem da CGU

ES02 - Prejudica o alcance dos objetivos/metas do processo organizacional.

PP2 - Não prejudica a política pública, mas aumenta o esforço da gestão desnecessariamente (aumento da burocracia).

OR02 - < 1% do valor do orçamento da CGU relacionado a despesas primárias discricionárias (conforme SIAFI).

EG00 - Evento sem impacto na gestão.

IM0 - Apenas a área interna é capaz de tomar conhecimento sobre o ocorrido.

ES00 - Nenhum impacto nas metas/objetivos do processo organizacional.

PP0 - Não há impacto negativo em políticas públicas

OR00 - Sem impacto financeiro.

18/09/16

Ferramenta de base estatística desenvolvida para apoiar a tomada de decisão racional

Mais do que determinar qual a decisão correta, o AHP ajuda a justificar a escolha

Baseado em princípios da matemática e da psicologia

Ferramenta online gratuita: http://bpmsg.com/academic/ahp_calc.php

RISCOS – AVALIAÇÃO - CRITÉRIOS

AHP (ANALYTIC HIERARCHY PROCESS)

28/03/2018

27

18/09/16

Devem ser respondidas as seguintes questões:

Qual a importância de “a” em relação a “b”? Qual a importância de “a” em relação a “c”? Qual a importância de “b” em relação a “c”?

RISCOS – AVALIAÇÃO - CRITÉRIOS


18/09/16

ESCALA PARA PRIORIZAÇÃO DOS ATRIBUTOS/INDICADORES (A/I)



18/09/16

Ferramenta online gratuita: http://bpmsg.com/academic/ahp_calc.php



28/03/2018

28

RISCOS – AVALIAÇÃO – NÍVEL DO RISCO

NÍVEL DE RISCO

Probabilidade x Impacto

RISCOS – AVALIAÇÃO – DIAGRAMA DE RISCO

RISCOS – AVALIAÇÃO – DIAGRAMA DE RISCO

Risco BaixoRisco BaixoRisco BaixoRisco Baixo

28/03/2018

29


OUTRAS VISÕES DO NÍVEL DE RISCO


DECOMPONDO A PROBABILIDADE

A Probabilidade da materialização de um risco depende da correlação entre as

vulnerabilidades e as ameaças presentes no processo

QUANTO A QUESTÕES AMBIENTAIS:

VULNERABILIDADES X AMEAÇAS


28/03/2018

30

Outras Visões do Nível de Risco: Vulnerabilidade x Impacto


DEFININDO OS CRITÉRIOS DE VULNERABILIDADE

Fonte: COSO, 2012


18/09/16

Interpretando os dados


28/03/2018

31

OUTRA VISÃO DO NÍVEL DE RISCO: VELOCIDADE DO IMPACTO


OUTRA VISÃO DO NÍVEL DE RISCO: VELOCIDADE DO IMPACTO

Fonte: COSO, 2012

Impacto

Pro

ba

bili

da

de



Fonte: O GLOBO, 2015

OUTRA VISÃO DO NÍVEL DE RISCO: PERSISTÊNCIA DO IMPACTO

28/03/2018

32

Avaliação do Risco:- Impacto- Probabilidade

- Vulnerabilidade

Vamos praticar?

RISCOS – TRATAMENTO

ACEITAR MITIGAR

COMPARTILHAR EVITAR

RESPOSTAS AO RISCO = SÃO AÇÕES GERENCIAIS DESTINADAS A MODIFICAR O RISCO

RISCOS – OPÇÕES DE TRATAMENTO

Aceitar

• Risco dentro do apetite da organização

• Não requer medidas para reduzir probabilidade e/ou impacto

• Monitoramento para garantir o risco em nível aceitável

Mitigar

• Requer medidas de controle para reduzir causas (probabilidade) e/ou consequências (impacto)

Compartilhar Evitar

• Descontinuar ou não iniciar as atividades que geram os riscos

• Redução do impacto e/ou probabilidade mediante transferência ou compartilhamento

de uma porção do risco

• Exemplos: terceirização; seguros

Tubarão

28/03/2018

33


APETITE A RISCO = Nível de risco que uma organização está disposta a aceitar

APETITE AO RISCO

ÁREA DECLARAÇÃO DO APETITE A RISCO

COMPLIANCEA empresa habilita e espera o pleno cumprimento de todas

as leis e regulamentos aplicáveis

ÉTICA

Todas as pessoas que representam a empresa devem agir

de acordo com os mais altos padrões éticos em todos os

momentos

REPUTAÇÃOA reputação da empresa é valiosa demais para ser colocada

em risco

REPORTES FINANCEIROSDistorções relevantes nas demonstrações financeiras não

são aceitáveis

SEGURANÇARisco de segurança aos funcionários e público não é

aceitável

AMBIENTENenhum risco de danos a longo prazo para o meio

ambiente é aceitável




CRESCIMENTO E

AQUISIÇÃO

Aceitar o risco calculado é incentivado nas decisões de

aquisição e investimento de capital, como o reconhecimento

de que alguma probabilidade de falha sempre acompanha

ação rápida para aproveitar as oportunidades

INOVAÇÃO

Benefícios da inovação e do desenvolvimento são obtidos

através de uma visão de portfólio que reconhece que alguns

novos produtos/serviços não terão sucesso

APETITE AO RISCO

28/03/2018

34


RECURSOS HUMANOSAlgum risco é aceitável se o custo de reter e atrair os indivíduos mais qualificados é insustentável no contexto

da economia de mercado de trabalho

CONTINUIDADE DE NEGÓCIOS E

GESTÃO DE CRISES

Os custos são equilibrados com a exposição de forma

prioritária

GLOBALIZAÇÃORiscos calculados em entrar em geografias novas e

emergentes são aceitáveis

MOEDA E GESTÃO DE

COMMODITIES

Volatilidade deve ser gerida de forma ativa, mas a

especulação é inaceitável

PROPRIEDADE INTELECTUALO custo para fazer cumprir direitos de propriedade

intelectual é ponderado em relação ao valor da PI

CADEIA DE SUPRIMENTOSAlgum risco de ruptura no aprovisionamento é aceitável

se o custo para garantir o abastecimento for excessivo


APETITE AO RISCO

ESFORÇO DE GESTÃO IMAGEM ESTRATÉGIA IMPACTO EM POLÍTICAS PÚBLICAS ORÇAMENTÁRIO

EG10 - Evento com potencial para levar a CGU ao colapso.

IM10 - Cobertura por muito tempo pela mídia internacional e nacional, resultando em grande desconfiança pelo cidadão brasileiro e pelas instituições internacionais.

ES10 - Prejudica o alcance da missão da CGU.

PP10 - Pode levar ao colapso de política pública transversal.

OR10 - >= 25 % do valor do orçamento da CGU relacionado a despesas primárias discricionárias (conforme SIAFI).

EG08 - Evento crítico, mas que com a devida gestão pode ser suportado.

IM8 - Cobertura por muito tempo pela mídia nacional, resultando em desconfiança pelo cidadão brasileiro.

ES08 - Prejudica o alcance de um ou mais objetivos estratégicos.

PP8 - Pode levar ao colapso de política pública.


EG06 - Evento significativo que pode ser gerenciado em circunstâncias normais.

IM6 - Cobertura por pouco tempo pela mídia nacional, mas com boa exposição na mídia local, resultando em desconfiança pelo cidadão local.

ES06 - Prejudica o alcance de uma ou mais iniciativas no Planejamento Estratégico.

PP6 - Pode prejudicar a política pública e demanda esforço da gestão para minimizar impacto.


EG04 - Evento cujas consequências podem ser absorvidas, mas carecem de esforço da gestão para minimizar o impacto.

IM4 - Cobertura por pouco tempo pela mídia local, resultando impactos temporários à imagem da CGU.

ES04 - Prejudica o alcance de uma ou mais ações no Planejamento Estratégico.

PP4 - Pode prejudicar a política pública, sem demandar esforço da gestão.

OR04 - >= 1 % < 3% do valor do orçamento da CGU relacionado a despesas primárias discricionárias (conforme SIAFI).

EG02 - Evento cujo impacto pode ser absorvido por meio de atividades normais.

IM2 - Apenas as partes envolvidas tomam conhecimento sobre o ocorrido sem impactos relevantes para a imagem da CGU

ES02 - Prejudica o alcance dos objetivos/metas do processo organizacional.

PP2 - Não prejudica a política pública, mas aumenta o esforço da gestão desnecessariamente (aumento da burocracia).

OR02 - < 1% do valor do orçamento da CGU relacionado a despesas primárias discricionárias (conforme SIAFI).

EG00 - Evento sem impacto na gestão.

IM0 - Apenas a área interna é capaz de tomar conhecimento sobre o ocorrido.

ES00 - Nenhum impacto nas metas/objetivos do processo organizacional.

PP0 - Não há impacto negativo em políticas públicas

OR00 - Sem impacto financeiro.

OK OK

Fora do apetite! Fora do apetite!


APETITE AO RISCO

28/03/2018

35

APETITE = TOLERÂNCIA?


Fonte: IIA Espanha

Capacidade de Risco

Tolerância ao Risco

Apetite de Risco

A organização pode assumir mais risco para otimizar seus resultados

O risco excede os limites desejáveis

O risco excede os limites toleráveis

Exp

osiç

ão

Tempo

Apetite x Tolerância: visão gráfica

28/03/2018

36

PROCESSO DO CONTROLE INTERNO

Abordagem SISTEMÁTICA e DISCIPLINADA

É um processo INTEGRADO

É executado por PESSOAS

Auxilia o alcance de OBJETIVOS

Oferece SEGURANÇA RAZOÁVEL


TIPOS DE CONTROLE

• Tem a finalidade de reduzir a frequência de materialização de eventos de risco. Age sobre sua probabilidade de ocorrência. Exemplos: normas, manuais, processos de planejamento, etc.

Controle Preventivo:

• Tem a finalidade de identificar eventos (indesejados ou desejados), contudo não impedem a sua ocorrência. Alertam sobre a existência de problemas ou desvios do padrão, com o objetivo de provocar a gestão para adotar as ações corretivas pertinentes.

Controle Detectivo:

• Medidas corretivas e/ou punitivas ao se detectar falhas, desperdícios, irregularidades e ilegalidades sanáveis ou insanáveis, ocorridas.

Controle Corretivo:

• Controle concebido para compensar a não adoção de outros controles, ou para contrabalançar outras falhas na estrutura de controle da organização. A adoção desse tipo de controle normalmente acontece por razões de custo-benefício.

Controle Compensatório:

Ambiente de controle1. Aderência à integridade e a valores éticos

2. Competência da alta administração em exercer a supervisão do desenvolvimento e do desempenho dos controles internos da gestão

3. Coerência e harmonização da estrutura de competências e reponsabilidades dos diversos níveis de gestão do órgão ou entidade

4. Compromisso da alta administração em atrair, desenvolver e reter pessoas com competências técnicas, em alinhamento com os objetivos da organização5. Clara definição dos responsáveis pelos diversos controles internos da gestão no âmbito da organização


PRINCÍPIOS PARA O CONTROLE INTERNO EFICAZ

28/03/2018

37



Avaliação de riscos6. Clara definição de objetivos que possibilitem o eficaz gerenciamento de riscos

7. Mapeamento das vulnerabilidades que impactam os objetivos, de forma que sejam adequadamente identificados os riscos a serem geridos

8. A organização considera o potencial para fraude na avaliação dos riscos à realização dos objetivos

9. Identificação e avaliação das mudanças internas e externas ao órgão ou entidade que possam afetar significativamente os controles internos da gestão



Atividades de controle10. Desenvolvimento e implementação de atividades de controle que contribuam para a obtenção de níveis aceitáveis de riscos

11. Adequado suporte de tecnologia da informação para apoiar a implementação dos controles internos da gestão

12. Definição de políticas e normas que suportem as atividades de controles internos da gestão



Informação e comunicação13. Utilização de informações relevantes e de qualidade para apoiar o funcionamento dos controles internos da gestão

14. Disseminação de informações necessárias ao fortalecimento da cultura e da valorização dos controles internos da gestão

15. A organização comunica-se com os públicos externos sobre assuntos que afetam o funcionamento do controle interno

28/03/2018

38

Atividades de monitoramento16. Realização de avaliações periódicas para verificar a eficácia do funcionamento dos controles internos da gestão

17. Comunicação do resultado da avaliação dos controles internos da gestão aos responsáveis pela adoção de ações corretivas, incluindo a alta administração




LIMITAÇÕES À EFICÁCIA DO CONTROLE INTERNO

Custo

Eventos

ExternosErros de

Julgamento

ColapsosConluio


DESAFIOS AO PROCESSO DE CONTROLE INTERNO

Falta de consciência (cultura) sobre a necessidade de gerenciar riscos por meio de controles internos e outras respostas

Resistência de unidades organizacionais e pessoas

Falta de documentação de atividades/processos (políticas, manuais, normas, fluxos)

Falta de conhecimento do negócio da organização e de seu ambiente interno e externo (contexto no qual os objetivos são buscados)

28/03/2018

39

Controles:- Causas- Consequências

Vamos praticar?

Churrasco

RESPONSABILIDADES DOS GESTORES E AUDITORES

Fonte: IIA, 2013

7x1

28/03/2018

40

IN MP/CGU 01/2016 – 3 LINHAS DE DEFESA

Fonte: IIA, 2009

PAPEL DA AUDITORIA INTERNA


Revisar o gerenciamento dos principais riscos

Avaliar o processo de reporte dos principais riscos

Avaliar os processos de gerenciamento de riscos

Dar garantia (assurance) que os riscos são corretamente estimados

Dar garantia (assurance) dos processos de gerenciamento de riscos

28/03/2018

41


Facilitar a identificação e avaliação dos riscos

Orientar a administração na resposta aos riscos

Coordenar as atividades de GRC

Reporte consolidado sobre os riscos

Manter e desenvolver a estrutura do GRC

Defender a implantação do GRC

Desenvolver estratégia de RM para aprovação do conselho


Estabelecer o apetite de risco

Impor processos de gerenciamento de riscos

Garantia de administração de riscos

Tomar decisões sobre quais as respostas aos riscos

Implantar as respostas aos riscos em nome da administração

Responsabilizar-se pelo gerenciamento de riscos

RISCOS – E QUANDO O RISCO SE MATERIALIZA?

28/03/2018

42

EVENTO

DE RISCO

Ações

ImediatasRecuperação

Plano de

ContingênciaPlano de Ação

Prevenção

Gestão de Continuidade dos Negócios

Materialização do Risco

RISCOS – GERENCIAMENTO DE CONTINUIDADE DE NEGÓCIO

RISCOS – PLANO DE CONTIGÊNCIA

Definição de responsabilidades, áreas e sistemas envolvidos para atender a uma emergência

Tem o objetivo de treinar, organizar, orientar, facilitar, agilizar e uniformizar as ações necessárias às respostas de controle e combate às ocorrências anormais

Também chamado de planejamento de riscos, plano de continuidade de negócios ou plano de recuperação de desastres

RISCOS – PLANO DE AÇÃO E MONITORAMENTO

• O que será feito (What) – descrever claramente a ação que será realizada

• Porque será feito (Why) – indicar objetivo da ação e justificar necessidade de sua realização

• Quem fará (Who) – nominar e individualizar responsabilidades para cada ação do plano

• Quando fará (When) – estabelecer as datas previstas de início e fim de execução de cada ação

• Onde fará (Where) – local, unidade, processo, sistema, programa, ação etc.

• Como fará (How) – maneira, método ou solução adotada

• Quanto custará (How much) – custo das ações

Planos de ação devem indicar (5W2H):

28/03/2018

43

ATRIBUTOSPOSSÍVEIS INDICADORES DE

DESEMPENHO

Melhoria Contínua • Metas explicitas de desempenho

Responsabilização integral pelos riscos

• Responsáveis pela gestão de riscos devidamente registrados em descrições de cargo/posição, em banco de dados ou sistemas de informação

Fonte: ABNT NBR ISO 31000:2009, Anexo A

RISCOS – ATRIBUTOS DE UMA GESTÃO DE RISCOS AVANÇADA

ALTO NÍVEL DE DESEMPENHO

ATRIBUTOS POSSÍVEIS INDICADORES DE DESEMPENHO

Aplicação da gestão de riscos

em todas as tomadas de

decisão

• Registros de reuniões e decisões que demonstrem que

discussões explícitas sobre os riscos ocorreram;

• Representação de todos os componentes da gestão de

riscos dentro dos processos-chave para a tomada de

decisão na organização.

Comunicação contínua

• Reportes externos e internos, abrangentes e

frequentes, sobre os riscos significativos e sobre o

desempenho da gestão de riscos.

Integração total na estrutura de governança da organização

• Importantes materiais escritos que utilizam o termo

incerteza em conexão com riscos;

• Entrevista com gestores e evidência de suas ações e

declarações.

Fonte: ABNT NBR ISO 31000:2009, Anexo A

RISCOS – ATRIBUTOS DE UMA GESTÃO DE RISCOS AVANÇADA

ALTO NÍVEL DE DESEMPENHO

Oportunidades

28/03/2018

44

Instrutor: Carlos Pinheiro Torggler

Controladoria Geral da União – CGU – Brasília/DF

� (61) 2020-7078

� [email protected]

Instrutor: Jeferson Alves dos Santos

Universidade Federal de Alfenas - MG

Presidente de Associação FANAIMEC

� (35) 3701-9009 e 98875-5379

� [email protected]

CONTATOS

343o de Riscos e Controles Internos - Universidades...

Documents

Transcript of 343o de Riscos e Controles Internos - Universidades...