Curso de Gestão de Riscoswiki.incra.gov.br/images/e/ec/Curso_de_Gerenciamento_de... ·...

INSTRUTORA: KELLEN TENUTA RIBEIRO COELHO

SETEMBRO/2015

Curso de Gestão de Riscos Conceitos, Princípios, Estruturas e Processos

Aplicáveis ao Setor Público Brasileiro

O que é risco?

Como lidar com riscos na administração pública?

Porque gerenciar riscos?

Quem deve se responsabilizar pela gestão de riscos?

Conteúdo programático

Noções gerais sobre risco e gestão de riscos

Papel indutor do TCU no que tange à gestão de riscos no setor

público

Por que Gestão de Riscos?

Benefícios da gestão de riscos.

Evolução da gestão de riscos.

Desafios e fatores críticos de sucesso à implantação da gestão de

riscos.

Modelos para gestão de riscos.

Gestão de Riscos – Vocabulário, segundo as normas ABNT NBR

ISO 31000/2009 e ABNT NBR ISO GUIA 73/2009.

Processo de Gestão de Riscos

Definição de risco

Segundo a NBR ISO 31000:2009 “risco é o efeito

da incerteza nos objetivos”.

O Coso II conceitua risco como a “possibilidade de que

um evento ocorrerá e afetará negativamente a

realização dos objetivos”.

Conceito de risco

“Risco refere-se à incerteza que cerca eventos e

resultados futuros. É a expressão da probabilidade e do

impacto de um evento que tem potencial para

influenciar a consecução dos objetivos de uma

organização” (Secretaria do Tesouro do Canadá)

OBJETIVO

Evento – Risco e Oportunidades

Evento é uma incidente ou uma ocorrência geradasem fontes internas ou externas, que afetam arealização dos objetivos. Os eventos podem causarimpacto negativos, positivos ou ambos.

IMPACTO NEGATIVO RISCO

IMPACTO POSITIVO OPORTUNIDADE

Conceito de Risco

Riscos Típicos do Setor Público

O QUE É GESTÃO DE RISCOS?

Gestão de riscos: Atividades coordenadas para dirigir e controlar a organização no que se refere a riscos. (ISO31000/2009)

“O gerenciamento de riscos corporativos é um processo conduzido em uma

organização pelo conselho de administração, diretoria e demais

empregados, aplicado no estabelecimento de estratégias, formuladas para

identificar em toda a organização eventos em potencial, capazes de

afetá-la, e administrar os riscos de modo a mantê-los compatível com o

apetite a risco da organização e possibilitar garantia razoável do

cumprimento dos seus objetivos.” (COSO II)

Papel indutor do TCU no que tange à gestão de riscos no

setor público


setor público

- A atuação a posteriori, pouco agrega valor para a sociedade.

- A recuperação dos prejuízos são mínimas.

- Irregularidades repetitivas.

• Deslocar o foco tradicional de controle dos aspectos formais e legais para uma atuação preventiva e proativa da gestão.

Promover controles mais efetivos para melhorar a gestão, coibir fraudes e desvio de recursos e assegurar a conformidade

• Melhoria da gestão de riscos e dos controles na Administração Pública


setor público

O TCU vem desenvolvendo desde 2007 trabalhos voltados para a

avaliação da governança de tecnologia da informação no setor público. A

partir de 2010, a Secretaria de Fiscalização de Tecnologia da Informação

– SEFTI passou a calcular o Índice de Governança de TI (IGovTI) em várias

entidades da administração pública.

Em 2012, foi realizado Levantamento para avaliação da Gestão de Riscos

e Controles Internos na Administração Pública Federal. O trabalho aferiu a

maturidade da gestão de riscos dos órgãos da administração indireta

adotando critérios inspirados em modelos internacionalmente reconhecidos.

Papel indutor do TCU no que tange à gestão de riscos

no Setor Público

Em 2010 com a Instrução Normativa TCU 63/2010 que estabelece normas de organização e de apresentação da prestação de contas ao TCU, incorporou a avaliação de riscos em seu conteúdo:

Art. 1º

.................................................................................................

III. processo de contas ordinárias: processo de contas referente a exercício financeiro determinado, constituído pelo Tribunal segundo critérios de risco,materialidade e relevância;

V. risco: possibilidade de algo acontecer e ter impacto nos objetivos, sendo medido em termos de consequências e probabilidades;

IX. exame do desempenho: análise da eficácia, eficiência, efetividade e economicidade da gestão em relação a padrões administrativos e gerenciais expressos em metas e resultados negociados com a administração superior ou definidos nas leis orçamentárias, e da capacidade dos controles internos de minimizar riscos e evitar falhas e irregularidades;

Papel indutor do TCU no que tange à gestão de

riscos no setor público

Documento que reúne eorganiza boas práticas degovernança pública.

Aplicável a Órgãos eEntidades da AdministraçãoPública.

Bem observadas, as práticasdo Referencial podemincrementar a qualidade e aefetividade de políticas públicase de serviços prestados aoscidadãos.

Papel indutor do TCU no que tange à gestão de

riscos no setor público

6. Estabeleça metas e delegue podere recursos para alcançá-las;

7. Estabeleça mecanismos decoordenação de ações com outrasorganizações;

8. Gerencie riscos e institua osmecanismos de controle internonecessários;

9. Estabeleça função de auditoriainterna independente que adicionevalor à organização;

10. Estabeleça diretrizes detransparência e sistema deprestação de contas eresponsabilização

Visão estratégica do risco

Toda organização tem uma razão para existir, que é a sua

missão, e, para lhe dar cumprimento é necessário que estabeleça

objetivos e estratégias para alcançá-los.

Riscos, quando não gerenciados adequadamente, ameaçam o

atingimento dos objetivos, o cumprimento dos prazos, o

controle dos custos e da qualidade de um programa, projeto ou

entrega de serviços aos cidadãos.

Correlação entre objetivo, risco e controle

OBJETIVO

RISCO

CONTROLE

• Estratégico

• Tático

• Operacional

• Impacto

• Probabilidade

• Eventos Internos

• Eventos Externos

• Controle Interno Administrativo

• Controle Interno Avaliativo

Aplicações da gestão de riscos

Negócio da organização (estratégico)

Nas atividades cotidianas ou aos

seus processos (operacional, informacional,

conformidade)

Em projetos.

Níveis de Gerenciamento de Riscos

Objetivos estratégicos

Iniciativas

estratégicas

Ações em

planos,

projetos,

processos de

trabalho e

atividades

Benefícios da gestão de riscos para o setor público

Melhoria na entrega de serviços ao cidadão

Maior chance de entrega do produto ou serviços no prazo, no

custo e na qualidade esperada

Redução de surpresas e crises

Melhor utilização de recursos

Melhor planejamento e melhor gerenciamento de programas e

projetos

Evolução da Gestão de Riscos no Setor Público

A gestão de riscos já é prática consolidada no setor público. O Treasury BoardSecretariat (Secretaria do Tesouro) do Canadá adotou oficialmente modelo de gestão de riscos em 2001 (Integrated Risk Management Framework, abril de 2001)

O Reino Unido tem adotado gestão de riscos no seu setor público há alguns anos. Já no ano 2000, o Auditor Geral do Reino Unido publicou relatório de auditoria sobre o tema (Supporting innovation: Managing risk in government departments)

No Brasil, ainda não há um referencial que oriente a estruturação da gestão de riscos na administração pública federal. O mais próximo disso é o Gespública, que consiste em conjunto de orientações e parâmetros para avaliação da gestão, embora esse modelo de gestão não tenha enfoque específico para gerenciamento de riscos.

Desafios e fatores críticos de sucesso à implantação da

Gestão de Riscos

Princípios Norma ISO NBR 31000

A gestão de riscos cria e protege valor.

A gestão de riscos é parte integrante de todos osprocessos organizacionais.

A gestão de riscos é parte da tomada de decisões.

A gestão de riscos aborda explicitamente a incerteza.

A gestão de riscos é sistemática, estruturada eoportuna.

A gestão de riscos baseia-se nas melhores informaçõesdisponíveis.

Desafios e fatores críticos de sucesso à implantação da

Gestão de Riscos

A gestão de riscos é feita sob medida.

A gestão de riscos considera fatores humanos

e culturais.

A gestão de riscos é transparente e inclusiva.

A gestão de riscos é dinâmica, iterativa e

capaz de reagir a mudanças.

A gestão de riscos facilita a melhoria contínua

da organização.

NORMA ABNT ISO 31000

Fornece princípios e diretrizes para gerenciar qualquer

forma de risco.

Aplicável a qualquer escopo e contexto.

Tem por finalidade:

-aumentar a probabilidade de atingir os

objetivos,

- melhorar a governança e

- estabelecer base confiável para tomada de

decisões.

Relação entre os princípios, estrutura e processo de gestão de riscos

(ISO 31000)

COSO

COMITÊ DE ORGANIZAÇÕE PATROCINADORAS DA

COMISSÃO TREADWAY (The Committee of Sponsoring

Organizations - COSO - of the Treadway Commission)

COSO trata-se de uma entidade do setor privado, sem fins lucrativos,

voltada ao aperfeiçoamento da qualidade de relatórios financeiros por

meio de éticas profissionais, implementação de controles internos e

governança corporativa. Foi originalmente constituída em 1985, para

patrocinar a Comissão Nacional sobre Relatórios Financeiros Fraudulentos

[National Commission on Fraudulent Financial Reporting (Treadway

Commission)].

Modelo Coso

Em 1992 foi emitido o Relatório COSO, intitulado InternalControl – Integrated Framework (Controle Interno –Estrutura Integrada), cujas principais finalidades foram:

1. Estabelecer uma definição comum decontroles internosque atendesse necessidades de diferentes interessadose

2. Fornecer um padrão contra o qual as organizaçõespudessem avaliar seus sistemas de controles eestabelecer como poderiam aprimorá-los.

Modelo Coso

Em 2004, foi publicado modelo Enterprise Risk Management –

Integrated Framework (Gerenciamento de Riscos Corporativos –

Estrutura Integrada), também conhecida como Coso ERM ou

Coso II, que intensificou a preocupação com os riscos.

O COSO II traz mais enfoque ao gerenciamento de riscos,

incluindo os riscos relacionados aos objetivos estratégicos, que

são os que dão suporte à sobrevivência da organização,

razão por que o Coso II dicionou essa categoria de objetivo

(estratégico) às três anteriormente estabelecidas pelo Coso I

(operacional, comunicação e conformidade).

O MODELO COSO

Modelo Coso - 2013

Em 2013, a versão foi atualizada incluindo melhorias e esclarecimentos

para facilitar seu uso e sua aplicação. Uma das melhorias mais

significativas é a formalização de conceitos fundamentais introduzidos na

estrutura original. Agora, esses conceitos se transformaram em princípios,

que são associados aos cinco componentes e que proporcionam ao usuário

clareza no desenvolvimento e na implementação dos sistemas de controle

interno, além de compreensão dos requisitos de um controle interno eficaz.

A Estrutura foi aprimorada com a ampliação da categoria de objetivos de

divulgação financeira, a fim de incluir outros formatos significativos de

divulgação, como as divulgações internas e não financeiras.

Modelo Coso - 2013

Incluiu considerações sobre as muitas mudanças nos ambientes operacionais

e corporativos durante as últimas décadas, inclusive:

• Expectativas em relação à supervisão da governança.

• Globalização dos mercados e das operações.

• Mudanças nos negócios e maior complexidade.

• Demandas e complexidades nas leis, regras, regulamentações e normas.

• Uso de tecnologias em transformação e confiança nas mesmas.

• Expectativas em relação à prevenção e detecção de fraudes.

COSO – Componentes de Controles Internos

1. AMBIENTE DE CONTROLE

“Fixa o tom” de uma organização, influenciando a consciência de

controle dos empregados.

É a base para todos os demais componentes, provendo disciplina

e estrutura:

• integridade, valores éticos e competência;

• filosofia de administração e estilo operacional;

• forma que a administração designa autoridade e

responsabilidade e organiza e desenvolve as pessoas, etc.


2. AVALIAÇÃO DE RISCO

Toda organização enfrenta uma variedade de riscos de fontes

externas e internas.

Avaliação de risco é a identificação e análise dos riscos

relevantes para a consecução dos objetivos da entidade.

Devido às constantes mudanças no cenário econômico,

industrial, regulador e operacional são necessários mecanismos

para identificar e lidar com os riscos especiais inerentes.


3. ATIVIDADES DE CONTROLE

Tratam-se de políticas e procedimentos que ajudam a

assegurar a observância às diretrizes estabelecidas pela

administração.

Atividades de controle acontecem ao longo da organização,

em todos os níveis e funções.

Incluem uma gama de atividades diversas, como aprovações,

autorizações, verificações, revisões de desempenho

operacional, reconciliações, salvaguarda de ativos e

segregação de funções.


4. INFORMAÇÃO E COMUNICAÇÃO

As informações pertinentes devem ser identificadas, capturadas e

comunicadas sob forma e prazo que permitam às pessoas cumprir

suas responsabilidades.

Sistemas de informação geram relatórios com informação

operacional, financeira, compliance, que possibilita dirigir e

controlar o negócio.

Todo o pessoal deve receber uma mensagem clara “de cima” - da

cúpula da administração -, de modo que seja disseminada uma

consciência de controle por toda organização; assunto a ser levado

a sério.


5. MONITORAMENTO

Sistemas de controles internos precisam ser monitorados.

O monitoramento consiste em um processo que avalia a qualidade

do desempenho dos controles internos com o passar do tempo.

A extensão e freqüência de avaliações dependerão, principalmente,

de uma avaliação de riscos e a efetividade de monitorar

procedimentos continuamente.

Modelo Coso - Objetivos

• Operacional – Esses objetivos relacionam-se à eficácia e à eficiência dasoperações da entidade, inclusive as metas de desempenho financeiro eoperacional e a salvaguarda de perdas de ativos.

• Divulgação – Esses objetivos relacionam-se a divulgações financeiras e nãofinanceiras, internas e externas, podendo abranger os requisitos deconfiabilidade, oportunidade, transparência ou outros termos estabelecidospelas autoridades normativas, órgãos normatizadores reconhecidos, ou àspolíticas da entidade.

•Conformidade – Esses objetivos relacionam-se ao cumprimento de leis eregulamentações às quais a entidade está sujeita.

INTOSAI – Guias GOV 9100 e GOV 9130

A Organização Internacional de Entidades Fiscalizadoras

Superiores (INTOSAI) publicou, em 2004, os guia GOV 9100 –

Guidelines for Internal Control Standards for the Public Sector e ,

com o objetivo de prover um modelo de controle interno no setor

público.

Em 2007, a INTOSAI publicou o guia complementar GOV 9130 –

Guidelines for Internal Control Standards for the Public Sector –

Further Information on Entity Risk Management, com o objetivo de

estabelecer um modelo para a aplicação da gestão de riscos no

setor público.

Esses guias foram baseados, respectivamente, no modelo COSO-IC

e COSO-ERM.

ISACA/Cobit 5

O COBIT é um padrão, modelo ou framework para a governança e

gestão de Tecnologia da Informação (TI), desenvolvido pela ISACA ,

publicado inicialmente em 1996.

A edição atual, o Cobit 5, disponibilizada em 2012, propõe-se a

servir como um modelo completo para a governança e a gestão

corporativas de TI, em conformidade com as melhores práticas

internacionais, com vistas a apoiar a alta direção e demais gestores

na definição e no alcance de objetivos de negócio relacionados com

TI.

O guia “Cobit 5 for Risk” sugere a classificação dos riscos em

categorias como: entrega de valor ou estratégicos,

programas/projetos e operacionais.

MODELO BRITÂNICO – Orange book

“The Orange Book Management of Risk -Principles and

Concepts“ (Gerenciamento de Riscos – Princípios e Conceitos)

produzido e publicado pelo HM Treasury do Governo

Britânico (Orange Book).

O Orange Book tem como vantagens, além de ser compatível

com padrões internacionais de gerenciamento de riscos,

apresentar uma introdução ao tema gerenciamento de riscos,

tratando de uma forma abrangente e simples, um tema

complexo como o gerenciamento de riscos nas organizações.

Gespública – Modelo de gerenciamento de riscos

O MODELO DO INSTITUTO DE AUDITORES INTERNOS - IIA

As atividades relacionadas ao gerenciamento de riscos e

controle estão divididas departamentos e setores, porém o

trabalho deve ser coordenado com cuidado, para garantir

que sejam bem conduzidos

Sem uma abordagem coesa e coordenada, os recursos

limitados de riscos e controle podem não ser aplicados com

eficácia e os riscos significantes podem não ser identificados

e gerenciados de forma apropriada.

Necessidade de se determinar funções específicas e

coordenadas com eficiência os departamentos e setores

envolvidos, de forma que não haja “lacunas” em controles,

nem duplicações desnecessárias.

O MODELO DO INSTITUTO DE AUDITORES INTERNOS - IIA

Processo de Gestão de Riscos

Estabelecimento do Contexto

A avaliação do contexto externo da organização pode incluir mas não está limitada:

aos ambientes cultural, social, político, legal, regulamentar, financeiro, tecnológico, econômico, natural e competitivo, quer seja internacional, nacional, regional ou local;

aos fatores–chave e às tendências que tenham impacto sobre os objetivos da organização; e

às relações com partes interessadas externas e suas percepções e valores.

Estabelecimento do Contexto

A avaliação do contexto interno da organização pode incluir, mas não está limitada:

à governança, estrutura organizacional, funções e responsabilidades;

às políticas, objetivos e às estratégias implementadas para atingi–los;

às capacidades, entendidas em termos de recursos e conhecimento (por exemplo, capital, tempo, pessoas, processos, sistemas e tecnologias);

aos sistemas de informação, fluxos de informação e processos de tomada de decisão (formais e informais);

às relações com partes interessadas internas, e suas percepções e valores.

às normas, diretrizes e modelos adotados pela organização, e

à forma e extensão das relações contratuais.

IDENTIFICAÇÃO DO RISCO

Para que riscos possam ser gerenciados, a organização

precisa em primeiro lugar identificá-los e documentá-los.

Um princípio importante do gerenciamento de riscos é que a

identificação de riscos deve estar relacionada continuamente

com objetivos. Riscos só podem ser identificados e priorizados

com relação a estes objetivos.

IDENTIFICAÇÃO DE RISCOS

Identificação de riscos

Riscos Externos: são os riscos associados ao ambiente

onde a organização opera. Em geral, a organização não

tem controle direto sobre estes eventos, mas mesmo assim

ações podem ser tomadas quando necessário.

Riscos Internos: são os riscos associados à própria estrutura

da organização, seus processos, governança, quadro de

pessoal, recursos ou ambiente de tecnologia. A organização

pode e deve agir diretamente de forma proativa.

Identificação de RISCOs

RISCOS EXTERNOS

Políticos (Nacional e Internacional) ex.: mudança de governo; mudança no cenário político; decisões sobre políticas interministeriais; mudanças na máquina do governo; terrorismo etc.

Econômico/Financeiros (Nacional e Internacional) ex.: inflação; variação cambial afetando custos nas transações internacionais; taxa de juros; efeitos da economia global na economia brasileira; ações da concorrência internacional, etc.

Socioculturais ex.: mudanças demográficas afetando a demanda por serviços; mobilidade de classes sociais; mudança de expectativa dos cidadãos e da sociedade devido à globalização; conflitos sociais etc.

Tecnológicos ex.: tecnologias emergentes; Internet; obsolescência dos sistemas atuais; mudança na competitividade estrutural com base no uso de novas tecnologias; oportunidades advindas de avanços tecnológicos; etc.

Legal/Regulatório ex.: novas leis ou mudanças de marcos regulatórios em termos de qualidade, segurança, meio ambiente, saúde, trabalhista; etc.

Ambiental ex.: desastres naturais, ecológicos, climáticos (enchentes, deslizamentos,

secas, etc...) etc.

Identificação de riscos

RISCOS INTERNOS

Recursos Financeiros ex.: incerteza em relação às fontes de financiamento e orçamento.

Recursos Humanos ex.: relacionados à disponibilidade, contratação ou capacitação das equipes.

Processos Internos ex.: relacionados à falta de definição de processos críticos específicos assim como de papéis e responsabilidades, autoridade para aprovação.

Sistemas de Informação ex.: relacionados à adequação de sistemas de informação.

Parceiros/Fornecedores ex.: forma contratual e definição de papéis e responsabilidades, capacitação de fornecedores, processo de seleção.

Outros Riscos: Outros riscos específicos da organização que não se enquadram nas categorias acima.

IDENTIFICAÇÃO DO RISCO

Identificação inicial de Riscos: Quando é efetuada pela

primeira vez, ocorre para uma organização que ainda não

tenha identificado os riscos de uma forma estruturada ou

relativa a um novo projeto ou processo;

Identificação contínua de Riscos: Necessária para a

identificação de novos riscos ou riscos que não são mais

relevantes para a organização. A identificação contínua de

riscos deve ser uma rotina do gerenciamento de riscos da

organização.

Análise de riscos

É o processo de entendimento do impacto e probabilidade de ocorrência , assim como seu efeito combinado, de um evento

de risco específico. (Gespública)

Segundo o COSO II a avaliação de riscos permite que uma organização considere até que ponto eventos em potencial

podem impactar a realização dos objetivos. A administração avalia os eventos com base em duas perspectivas –

probabilidade e impacto – e, geralmente, utiliza uma combinação de métodos qualitativos e quantitativos. Os

impactos positivos e negativos dos eventos em potencial devem ser analisados isoladamente ou por categoria em toda a organização. Os riscos são avaliados com base em suas

características inerentes e residuais.

Técnicas de Análise

Modelos Probabilísticos – Os modelos probabilísticos associam a

uma gama de eventos e seu respectivo impacto, probabilidade de

ocorrência sob determinadas premissas. A probabilidade e o

impacto são avaliados com base em dados históricos ou resultados

simulados que refletem hipóteses de comportamento futuro.

Modelos Não Probabilísticos – Os modelos não probabilísticos

empregam critérios subjetivos para estimar o impacto de eventos,

sem quantificar uma probabilidade associada. A avaliação do

impacto de eventos baseia-se em dados históricos ou simulados a

partir de hipóteses sobre o comportamento futuro.

ANÁLISE DE RISCOS

Resposta ao Risco

Resposta a Riscos

É o processo de desenvolver e determinar estratégias para

gerenciar os riscos identificados. O modelo Coso II identifica

quatro categorias de resposta a riscos: evitar, reduzir,

compartilhar e aceitar, cuja escolha dependerá do nível de

exposição a riscos previamente estabelecido pela

organização em confronto com a avaliação que se fez do

risco.

Resposta a Riscos

Evitar (ou, ainda, encerrar a atividade, segundo aIntosai): é a decisão de não iniciar ou dedescontinuar a atividade sujeita ao risco.

Reduzir (ou também tratar, segundo a Intosai): é aadoção de medidas para reduzir aprobabilidade ou a conseqüência dos riscos ou atémesmo ambos. Na maior parte dos casos, o riscodeverá ser tratado, gerando a necessidade deimplementar e manter um efetivo sistema decontrole interno.

Resposta a Riscos

Compartilhar (ou também transferir, segundo a Intosai): é mitigar a

consequência e/ou probabilidade de ocorrência do risco por meio da

transferência ou compartilhamento de uma parte do risco, mediante

contratação de seguros, operações de headging ou terceirização de

atividades nas quais a organização não tem expertise.

Aceitar (ou também tolerar, segundo a Intosai): é não tomar,

deliberadamente, nenhuma medida para alterar a probabilidade ou a

consequência do risco. Ocorre quando o risco está dentro do nível de

tolerância da organização ou a capacidade para fazer qualquer coisa

sobre o risco é limitada ou, ainda, o custo de tomar qualquer medida é

desproporcional em relação ao benefício potencial.

Resposta ao risco

TRATAMENTO DO RISCO

As atividades de controle são as políticas e os

procedimentos que contribuem para assegurar que as

respostas aos riscos sejam executadas.

Ocorrem em toda a organização, em todos os níveis

e em todas as funções, pois compreendem uma série

de atividades.

Elas incluem uma gama de controles preventivos e

detectivos.

Exemplos de atividades de controle

atribuição de autoridade e limites de alçada;

procedimentos de autorização e aprovação;

segregação de funções ou atividades;

rotatividade de funções;

revisões independentes, verificações e conciliações;

avaliações de desempenho operacional;

avaliações de operações, processos e atividades;

supervisão direta;

controles de acesso a recursos e registros.

Definição controle interno

Controle interno é um processo dinâmico e integral, que se adapta

continuamente às mudanças que a organização enfrenta.

Gerência e pessoal em todos os níveis têm que estar envolvidos

nesse processo, para lidar com riscos e para propiciar certeza

razoável quanto à consecução da missão e dos objetivos gerais da

entidade.

Controle Interno x auditoria interna

controle interno avaliativo, a cargo dos órgãos de controle interno.

controle interno administrativo, de responsabilidade dos gestores.

O termo „controle interno‟, utilizado no artigo 74, § 1º,da Constituição, refere-se aos órgãos de controleinseridos em determinado poder (Executivo, Legislativoe Judiciário), por isso o adjetivo „interno‟, utilizado paradiferenciar do controle externo exercido pelostribunais de contas

Classificação quanto ao nível de abrangência

Controles em nível de entidade

São os controles mais abrangentes da organização, também mencionados

na literatura especializada como Entity-Level Control (ELC).

Indiretos: : são os controles típicos de “governança corporativa”. Normalmente

são preventivos. Exemplo: políticas, regimentos, códigos de conduta, normas

e manuais abrangentes, processo de planejamento estratégico, de gestão

de riscos, conselhos de administração e fiscal, comitês de auditoria e outros,

auditoria interna, ouvidoria (canal de denúncia) etc.



Diretos: consistem em monitoramentos exercidos pela alta administração

com o objetivo de identificar eventuais desvios de padrões para, em

seguida, aprofundar a investigação de erros ou falhas. Incidem

diretamente sobre os processos operacionais da organização, mas não

sobre cada transação individual durante o fluxo de operação ou

processamento. Exemplo: análises de variações do tipo “previsto x

realizado”, revisões de relatórios gerais de desempenho, monitoramento

de indicadores etc. São geralmente detectivos.


Controles em nível de atividades

São os controles que incidem direta ou indiretamente sobre

atividades, operações, processos ou sistemas específicos. Se

desdobram em dois níveis:

• Indiretos ou abrangentes: definem como fazer. Por exemplo,

manuais de processos de trabalho (manual do patrimônio,

procedimentos operacionais etc.). Tem função preventiva.

Classificação quanto ao nível de

abrangência


• Diretos, de monitoramento ou de registros: controlam ou

evidenciam a execução de atividades durante o fluxo de

operação ou processamento. Incidem sobre produtos ou

serviços, atividades e tarefas. Exemplos: controles de

qualidade na produção (estatístico ou individual), registro de

horas despendidas em atividades, registros de produção,

conciliações etc.

monitoramento

“A integridade da gestão de riscos corporativos é

monitorada e são feitas as modificações necessárias.

O monitoramento é realizado através de atividades

gerenciais contínuas ou avaliações independentes

ou de ambas as formas.” (COSOII)

Limitações a eficácia da gestão de riscos

O risco está relacionado ao futuro que é incerto

Determinados eventos estão além do controle daadministração

Nenhum processo será executado conforme oprevisto

Julgamento Humano (tempo e informaçõesdisponíveis, pressão)

Colapsos

Conluio

Custo-benefício

Neutralização da direção

Estrutura de Gestão de Riscos

Política de Gestão de Riscos

ISO 31000:2009 (Seção 4.3.2)

Convém que a política contemple:

a) os objetivos e o comprometimento da organização em relação à gestão de riscos

b) a justificativa da organização para gerenciar riscos;

c) as ligações entre os objetivos e políticas da organização com a política de gestão de riscos;

d) as responsabilidades para gerenciar riscos;

e) a forma com que são tratados conflitos de interesses;

f) o comprometimento de tornar disponíveis os recursos necessários para auxiliar os responsáveis pelo gerenciamento dos riscos;

g) a forma com que o desempenho da gestão de riscos será medido e reportado; e

h) o comprometimento de analisar criticamente e melhorar periodicamente a política e a estrutura da gestão de riscos em resposta a um evento ou mudança nas circunstâncias.

Política de Gestão de Riscos

2. Atributos da política avaliados pelo TCU em levantamento (TC 011.745/2012-6)

a) Objetivos organizacionais com relação à gestão de riscos.

b) Integração da gestão de riscos a processos e políticas organizacionais.

c) Responsabilidades para gerenciar riscos.

d) Diretrizes sobre como riscos devem ser identificados, avaliados, tratados e monitorados.

e) Consultas e comunicação com partes interessadas internas e externas sobre assuntos relacionados a risco.

f) Diretrizes para a medição do desempenho da gestão de riscos.

g) Compromisso de analisar criticamente e melhorar a política e a estrutura da gestão de riscos em resposta a um evento ou mudança nas circunstâncias.

PERSPECTIVAS DA GESTÃO DE RISCOS

Processo de

GCR

Habilitadores

Escopo

(objeto)

Contexto

Processo de

GCR

Atributos-

chave

Comuni-cação e consulta

Identifi-cação

Análise e

Avaliação

Trata-mento

Monito-ramento

e Revisão

Perspectiva “Processo de GCR”

C

I

A

T

M

Organização

Organização estendida

Macroambiente

Perspectiva “Contexto”

Organização

estendida

• fornecedores

• parceiros

• conveniados

• financiadores

• etc.

Perspectiva “Objeto” / Escopo

Objetivos estratégicos

Iniciativas

estratégicas

Ações em

planos,

projetos,

processos de

trabalho e

atividades

Perspectiva “Habilitadores”

• Pessoas

• Processos

• Tecnologia

• Instalações e Equipamentos

• Informações

• Políticas e Normas

• Estruturas Organizacionais

• Cultura, ética

H

H

HH

Habilitadores como Fatores Críticos de

Sucesso da Gestão de Riscos

Habilitadores como Recursos, Vulnerabilidades ou

Controles de um objeto analisado

Habilitadores

Habilitadores

Atributos-Chave da Gestão Corporativa

Perspectiva ATRIBUTO-CHAVE

Habilitadores: mecanismos

de governança

As estruturas, papéis e responsabilidades quanto à gestão de

riscos são claramente definidas

Habilitadores: pessoas e

cultura

Considera-se a importância dos fatores humanos e culturais

Processo Consideram-se oportunidades além de riscos

Processo Riscos e oportunidades são mensurados com base em

probabilidade e impacto

Processo e Escopo/objeto Riscos e oportunidades relacionam-se com o alcance de objetivos

Contexto e Processo Consideram-se impactos financeiros e na reputação da instituição

Processo e habilitadores São definidos limites ou critérios para orientar a avaliação dos

riscos, sendo adequados a diferentes necessidades

Atributos-Chave da GCR

Perspectiva ATRIBUTO-CHAVEProcesso e Escopo/objeto A gestão de riscos agrega valor e provê razoável segurança do

alcance dos objetivos da instituição

Processo e Escopo/objeto A gestão de riscos aplica-se a todos os tipos de atividades

Processo e Escopo/objeto A gestão de riscos auxilia na tomada de decisões

Habilitadores: informação A gestão de riscos baseia-se nas melhores informações

disponíveis

Habilitadores: informação Informações sobre riscos são oportunamente disponibilizadas às

partes interessadas que tenham necessidade de conhecê-las

Processo e Habilitadores A gestão de riscos é estruturada, sistemática e adequadamente

documentada

Habilitadores: mecanismos de

governançaA propriedade sobre riscos é claramente definida

Processo e Habilitadores A relação custo-benefício é considerada nas decisões de tratar

riscos

Atributos-Chave da GCR

Perspectiva ATRIBUTO-CHAVE

Processo e Contexto Consideram-se o ambiente interno e externo e a organização

estendida

Processo e Escopo/objeto Consideram-se objetivos organizacionais e objetos de gestão

de risco nos níveis estratégico, tático e operacional


governançaHá adequada segregação de funções nas atividades de

gestão de riscos (“linhas de defesa”)


governançaBusca-se a melhoria contínua da gestão de riscos

Contexto e Habilitadores:

mecanismos de governança e

Escopo/objeto

Há adequada comunicação e consulta com as partes

interessadas, internas e externas

Habilitadores: informação e

Escopo/objetoInformações sobre riscos são estruturadas e consolidadas em

portfólios (perfis de risco) adequados às necessidades da

instituição

Habilitadores: Tecnologia e

informaçõesSistema informatizado (solução de TI) contribui para a efetiva

consolidação e uso de informações sobre riscos

Auditoria e risco

As unidades encarregadas de atividades defiscalização e auditoria não dispõem de recursoshumanos e materiais suficientes para controlar tudo otempo todo.

As estratégias de fiscalização e auditoria de caráteruniversal são, na maioria dos casos, economicamenteinjustificáveis.

As unidades de Controle Interno devem tomar decisõesquanto aos objetos de suas atividades de fiscalização.

Ferramentas de identificação de riscos

Análise Swot

Diagrama de Verificação de Riscos – DVR

Matriz de Riscos

Análise Stakeholders

Identificação dos Riscos

Análise SWOT

Strengths (forças)

Weaknesses (fraquezas)

Opportunities (oportunidades)

Threats (ameaças)

Análise SWOT

identificação de risco

Listados todos os riscos internos e externos, o passo seguinte é avaliar cada

um deles, em termos de probabilidade de ocorrência e impacto sobre os

objetivos organizacionais. Tal análise pode ser qualitativa ou quantitativa

por meio do Diagrama de Verificação de Risco (DVR).

A DVR é uma técnica da Gestão de Risco que visa, resumidamente,

gerenciar efeitos adversos que possam comprometer um processo de

gestão. Na área de controle, sua aplicabilidade foi bem difundida pelo

Committee of Sponsoring Organizations of the Treadway Commission

(COSO).

Análise Stakeholder

Stakeholder são aqueles que infuenciam de forma decisiva ou são

importantes para o sucesso da organização ou

programa/processo/projeto.

Stakeholder são pessoas, grupos ou instituições com interesse em algum

programa, processo ou projeto e inclui tanto aqueles envolvidos quanto os

excluídos do processo de tomada de decisão. Estão divididos:

> PRIMÁRIOS: são aquele mais afetados, tanto positiva (os beneficiários)

como negativamente (aqueles realocados involuntariamente);

>SECUNDÁRIOS: são os intermediários envolvidos no processo de

prestação de serviço


· identificar pessoas ou grupos de pessoas interessados na melhoriado desempenho de suas instituições e obter seu apoio paraintroduzir mudanças;

· identificar conflito de interesses entre as partes envolvidas,possibilitando, dessa forma diminuir os riscos envolvidos nodesenvolvimento de um programa/processo/projeto;

· obter grande quantidade de informações sobre um determinadoprograma/processo/projeto;

· desenvolver estratégias que permitam implementar efetivamente amelhoria do desempenho.


A análise stakeholder consiste na identificação dos

principais atores envolvidos, dos seus interesses .

Está ligada à apreciação institucional e à avaliação

social, não só utilizando as informações oriundas

destas abordagens, mas também contribuindo para

a combinação de tais dados em um único cenário.


Como obter informações:

· aplicação de questionários;

· participação em workshops e reuniões;

· participação de membros do grupo em grupos

focais;

· divulgação dos benefícios da melhoria do

desempenho.


Programa de Vacinação

Stakeholder INTERESSE ++ --

+/-

0

IMPACTO se o

programa não

atender aos

interesses do

stakeholder

PAPEL do

Stakeholder

Enfermeiras Receber bom

treinamento.

+ Enfermeiras pouco

capacitadas;

Enfermeiras

capacitadas com

excesso de

trabalho.

Aplicar vacinas

Crianças Receber vacinas bem

aplicadas e

armazenadas de

forma adequada

++ Risco de infecções

e doenças

Receber vacina

Diagrama de Verificação de Riscos

Matriz de Riscos

A elaboração da matriz de riscos destina-se a

indicar possíveis ações de controle, que visem a

contribuir para a mitigação ou eliminação dos riscos

identificados nos processos ou áreas de trabalho

detalhados.

Matriz de Riscos

Tratamento do risco

Priorização no tratamento dos riscos

Grau de risco.

Recursos financeiros.

Recursos humanos capacitados.

Escassez de equipamentos.

Tempo disponível para execução.

Capacidade dos recursos humanos

Escala de impacto em objetivos

O que é um processo de trabalho?

Processo de trabalho

O que é mapa de processo?

É um modelo simplificado do funcionamento de um processo no

mundo real.

Pode-se fazer mapa de processos descendo em níveis cada

vez mais detalhados desde de a visão geral do processo

(macroprocesso), quebrando-se em níveis hierarquicamente

organizados (subprocessos), até o detalhamento de cada

atividade.

Exemplo: Processo de compras

EXEMPLO: PROCESSO DE SOLICITAÇÃO DE FÉRIAS

Porque fazer o mapeamento do processo?

Conhecer o processo

Simplificar o processo (eliminar atividades que não

agregam valor)

Melhora o processo (mudar a forma de fazer)

Facilita o monitoramento da mudança do processo

Aspectos relevantes

Os processos de trabalho são complexos

Os processos de trabalho são dinâmicos

Os processos de trabalho são executados por

pessoas que executam papéis

Os processos de trabalho são compostos por

atividades

Os processos de trabalho buscam atingir um ou

mais objetivos

Simplificação e melhoria do processo de trabalho

Agrega valor?

É percebida pelo cliente

Não é retrabalho

Tempo excessivo de espera

Requer movimentação de pessoas e material

É tarefa requerida por lei

A tarefa reduz riscos operacionais

A tarefa é necessária para elaboração de relatório de monitoramento e controle

O processo pode parar se a tarefa for removida

Mudança no processo de trabalho

Notação PBMN

“Sistema de representação ou designação

convencional” ou o “Conjunto de sinais com que se

faz essa representação ou designação”. Enfim,

notação pode ser definida como uma escrita

simplificada ou abreviada por meio de um conjunto

de sinais convencionados.

BPMN é uma sigla para Business Process Modeling

Notation

Bizagi Process Modeler

Bizagi é a solução líder em BPM, o que abrange tanto o

mapeamento de processos de trabalho quanto a automação

de processos a partir do mapeamento. O Bizagi oferece dois

produtos complementares disponíveis para download: Process

Modeler e BPM Suite. Process Modeler é utilizado para

desenhar e documentar processos de trabalho e BPM Suite,

para executar e automatizar processos (workflows).

O exame independente e objetivo de uma

situação ou condição, em confronto com um

critério ou padrão preestabelecido, para que

se possa opinar ou comentar a respeito para

um destinatário predeterminado.

O conceito lato sensu de auditoria

Conceitos:

Controle, fiscalização e auditoria: há diferenças?

O texto constitucional no art. 71, inciso IV elenca cinco tipos de auditoria:

contábil;

financeira;

orçamentária;

operacional;

patrimonial.

No caput do artigo 70, estão especificados os grandes critérios com que essas

auditorias serão realizadas:

Legalidade

Legitimidade

Economicidade

Classificação das auditorias na Constituição Federal

Vertentes da auditoria da gestão pública:

“zelar pela boa e regular aplicação dos recursos”

Vertentes da auditoria da gestão pública

A Auditoria de desempenho é uma técnica ou atividade que presta

consultoria aos mais altos extratos de uma organização, seja de

caráter público ou privado. Procura mostrar os ponto os fracos e

fortes da organização, estabelecendo as recomendações

necessárias para melhorar o processo de tomada de decisões.

Procura avaliar, baseada nos critérios ou parâmetros de eficiência,

eficácia, efetividade e economia, o processo de tomada de

decisões e seu efeito no atingimento das metas e objetivos da

organização.

O QUE É AUDITORIA DE DESEMPENHO

(OPERACIONAL)?

Eficiência refere-se à quantidade, tipo, custo, qualidade dos

recursos utilizados para atingir os objetivos.

Economicidade concerne à consideração do custo dos recursos

utilizados no processo, confrontando o que se paga por estes

recursos com o que se deve pagar.

Eficácia refere-se ao grau de consecução dos objetivos

programados.

Efetividade refere-se ao impacto ou efeito dos resultados

produzidos (comparação dos resultados alcançados vs. O ideal)

Conceitos Importantes

Podem os administradores públicos basear a tomada de decisões nos

indicadores disponíveis?

São eficientes e efetivas as operações e processos da administração

pública?

Existe um adequado controle das operações?

São bons os produtos e serviços públicos?

Os processos satisfazem as necessidades para as quais foram criados?

Questões a serem respondidas pela Auditoria de

Desempenho

As Normas de Auditoria do TCU conceituam a

auditoria como sendo:

Processo sistemático, documentado e independente de

se avaliar objetivamente uma situação ou condição

para determinar a extensão na qual critérios são

atendidos, obter evidências quanto a esse

atendimento e relatar os resultados desta avaliação a

um destinatário predeterminado.

Processo de Auditoria

Estágio Atual:

A Auditoria encontra-se frente a um novo

paradigma, que se baseia na visão dos processos

organizacionais com enfoque nos riscos do negócio

e numa orientação global, holística e sistemática, e

não somente na verificação da conformidade legal

e normativa de atos.

CONCEITOS:

O NOVO PARADIGMA DA AUDITORIA

Definição de Auditoria interna pelo Instituto dos

Auditores Internos (IIA/AUDIBRA, 2004)

“uma atividade independente e objetiva que presta serviços

de avaliação e de consultoria e tem como objetivo adicionar

valor e melhorar as operações de uma organização. A

auditoria auxilia a organização a alcançar seus objetivos

mediante uma abordagem sistemática e disciplinada para a

avaliação e melhoria da eficácia dos processos de

gerenciamento de risco, controle e governança corporativa.”

Auditoria Governamental

Evolução da Auditoria

Enfoque de conferência

Identificação de irregularidades e fraudes

Gestão de riscos, por meio de controles, para o alcance de objetivo

Melhoria da Governança e do desempenho

Maior ênfase aos objetivos e gestão de desempenho;

Avaliação da estrutura de controles internos, gestão de riscos

e governança.

Responsabilização do gestor pelo não alcance dos objetivos;

Profissionalismo da Auditoria Interna;

Realização de auditoria de conformidade a auditoria de

desempenho e consultoria;

Mandatos e descrições de tarefas mais claras para controle e

auditoria interna.

Auditoria Interna – Visão Atual

Fontes internacionais de normas de auditoria

Federação Internacional de Contadores (International Federation of

Accountants - IFAC);

Instituto dos Auditores Internos (Institute of Internal Auditors – IIA);

Securities and Exchange Commission (SEC);

Public Company Accounting Oversight Board (PCAOB);

Government Accountability Office (GAO);

National Audit Office (NAO);

Organização Internacional de Entidades Fiscalizadoras Superiores

(Intosai).

Princípios e Normas de Auditoria

Fontes nacionais de auditoria:

Fontes de normas da auditoria privada:

Comissão de Valores Mobiliários (CVM);

Conselho Federal de Contabilidade (CFC);

Instituto dos Auditores Independentes do Brasil (Ibracon);

Fontes de normas da auditoria governamental:

Controladoria -Geral da União;

Tribunal de Contas da União;

Conselho Nacional de Justiça.

Principios e Normas de Auditoria

• Art. 70: A fiscalização contábil, financeira, orçamentária, operacional e

patrimonial, [...] será exercida pelo Congresso Nacional, mediante controle

externo, e pelo sistema de controle interno de cada Poder.

• Art. 74: Os Poderes Legislativo, Executivo e Judiciário manterão, de forma

integrada, sistema de controle interno com a finalidade de:...

• Art. 74, § 1º: Os responsáveis pelo controle interno, ao tomarem conhecimento

de qualquer irregularidade ou ilegalidade, dela darão ciência ao Tribunal de

Contas da União, sob pena de responsabilidade solidária.

Controle Interno x Auditoria Interna

controle interno avaliativo, a cargo dos órgãos de controle

interno.

controle interno administrativo, de responsabilidade dos gestores.

O termo „controle interno‟, utilizado no artigo 74, § 1º, daConstituição, refere-se aos órgãos de controle inseridos emdeterminado poder (Executivo, Legislativo e Judiciário), por isso oadjetivo „interno‟, utilizado para diferenciar do controle externoexercido pelos tribunais de contas.


Os órgãos ou unidades de controle interno e de

auditoria interna não são e não devem ser

responsáveis pelos controles administrativos. Suas

responsabilidades restringem-se a avaliar a

adequação e a eficácia do controle interno

estabelecido, implantado e mantido pela

administração organizacional, bem como a realizar

auditorias sobre a sua gestão.


A auditoria interna é uma unidade administrativa de

assessoramento da própria organização, vinculada à cúpula

da alta administração (conselho de administração, conselho

diretor, dirigente máximo), que tem sob sua responsabilidade

a avaliação das operações contábeis, financeiras,

operacionais e de outras naturezas, incluindo-se, dentre suas

atribuições, a de medir e avaliar a eficiência e eficácia de

outros controles da organização.

Auditoria Interna

Intosai (in Glossário das ISSAI):

Auditoria Interna - Meio funcional que permite aos administradores de

uma entidade receber, de fontes internas, a segurança de que os

processos pelos quais são responsáveis funcionam de modo tal que

fiquem reduzidas ao mínimo as probabilidades de que se produzam

fraudes, erros ou práticas ineficientes e antieconômicas. Possui muitas

das características da auditoria externa, mas pode, corretamente,

cumprir instruções do nível de direção a que responde.

Auditoria Interna

•Preventivos: são os controles concebidos para reduzir a frequência de

materialização eventos de risco; um controle um determinado evento,

dificultando que esse aconteça.

• Detectivos: são os controles que detectam a materialização de eventos de

risco, contudo não impedem a sua ocorrência. Alertam sobre a existência de

problemas ou desvios do padrão, com o objetivo de provocar a gestão

para adotar as ações corretivas pertinentes.

• Compensatórios: como o próprio nome sugere, são controles concebidos para

compensar a não adoção de outros controles preventivos ou detectivos, ou

para contrabalançar outras falhas na estrutura de controle da organização.

A adoção desse tipo de controle normalmente acontece por razões de

custo-benefício.

Classificações de Controles Internos por Função

Prévio: a execução dos atos é condicionada a uma

aprovação anterior a eles.

Concomitante: o controle é realizado

simultaneamente à execução dos atos

Posterior: a verificação dos fatos ocorre após a

consumação.

Classificação quanto ao momento da aplicação


São os controles mais abrangentes da organização, também mencionados

na literatura especializada como Entity-Level Control (ELC).

Indiretos: : são os controles típicos de “governança corporativa”. Normalmente

são preventivos. Exemplo: políticas, regimentos, códigos de conduta, normas

e manuais abrangentes, processo de planejamento estratégico, de gestão

de riscos, conselhos de administração e fiscal, comitês de auditoria e outros,

auditoria interna, ouvidoria (canal de denúncia) etc.



Diretos: consistem em monitoramentos exercidos pela alta administração

com o objetivo de identificar eventuais desvios de padrões para, em

seguida, aprofundar a investigação de erros ou falhas. Incidem

diretamente sobre os processos operacionais da organização, mas não

sobre cada transação individual durante o fluxo de operação ou

processamento. Exemplo: análises de variações do tipo “previsto x

realizado”, revisões de relatórios gerais de desempenho, monitoramento

de indicadores etc. São geralmente detectivos.



São os controles que incidem direta ou indiretamente sobre

atividades, operações, processos ou sistemas específicos. Se

desdobram em dois níveis:

• Indiretos ou abrangentes: definem como fazer. Por exemplo,

manuais de processos de trabalho (manual do patrimônio,

procedimentos operacionais etc.). Tem função preventiva.



• Diretos, de monitoramento ou de registros: controlam ou

evidenciam a execução de atividades durante o fluxo de

operação ou processamento. Incidem sobre produtos ou

serviços, atividades e tarefas. Exemplos: controles de

qualidade na produção (estatístico ou individual), registro de

horas despendidas em atividades, registros de produção,

conciliações etc.


Controle Interno Público se modernizou nos últimos 10-15 anos.

Em alguns países a mudança começou na década de 80, mas

aconteceram mais reformas a partir de 2000 em função de:

necessidade de reformas administrativas (decentralizando

poderes centrais)

reconhecimento da necessidade de gerenciar riscos

reduzir o déficit público causado pelas crises financeiras

contribuintes querendo ver o valor do seu dinheiro

Evolução do CI nas Instituições Públicas

Escolha de apenas um grupo de unidades jurisdicionadas para

ter os processos de contas ordinárias constituídos para fins de

julgamento, com base em critérios de materialidade,

relevância e risco.

O Relatório de gestão da unidade jurisdicionada passou a ser

considerado como a principal peça a compor o processo de

contas ordinárias.

Maior ênfase nos aspectos de desempenho e resultados.

Novo Modelo de Prestação de Contas após a

IN TCU 57/2008

Prestação Anual de Contas - TCU

Em 2010 com a Instrução Normativa TCU 63/2010 que estabelece normas de organização e de apresentação da prestação de contas ao TCU, incorporou a avaliação de riscos em seu conteúdo:

Art. 1º

.................................................................................................

III. processo de contas ordinárias: processo de contas referente a exercício financeiro determinado, constituído pelo Tribunal segundo critérios de risco, materialidade e relevância;

V. risco: possibilidade de algo acontecer e ter impacto nos objetivos, sendo medido em termos de consequências e probabilidades;

IX. exame do desempenho: análise da eficácia, eficiência, efetividade e economicidade da gestão em relação a padrões administrativos e gerenciais expressos em metas e resultados negociados com a administração superior ou definidos nas leis orçamentárias, e da capacidade dos controles internos de minimizar riscos e evitar falhas e irregularidades;

• Maior efetividade das contas ordinárias como instrumento de controle,

tanto em relação ao controle da conformidade, quanto à avaliação do

desempenho da gestão.

• Utilização das prestações de contas como instrumento para aumento da

transparência da gestão pública perante a sociedade.

• Visão global da Administração pública sem prejuízo da expectativa de

controle por parte dos jurisdicionados.

• Aumento da sinergia entre o Tribunal e os órgãos de controle interno de

forma a reforçar o caráter de complementariedade das ações desses

órgãos nas auditorias de gestão.

Benefícios do Novo Modelo

As DN-TCU que tratam dos Relatórios de Auditoria

de Gestão, desde a de nº 110/2010 (exercício

2010), vêm exigindo que os órgãos de controle

interno incluam nesses relatórios uma avaliação do

sistema de controle interno da UJ, também

contemplando os cinco componentes do modelo

Coso.

Relatório de Auditoria de Gestão

Avaliação, pelos próprios dirigentes da unidadejurisdicionada, da qualidade e suficiência dos controlesinternos administrativos instituídos para garantir aconsecução dos seus objetivos estratégicos,considerando os componentes a seguir:

ambiente de controle;

avaliação de risco;

atividades de controle;

informação e Comunicação;

monitoramento.

Relatório de Auditoria de Gestão

Decisão Normativa TCU 134/2013

Planejamento da unidade jurisdicionada, contemplando:

descrição sintética dos planos estratégico, tático e/ou

operacional que orientam sua atuação, identificando os

principais objetivos estratégicos para o exercício de

referência do relatório de gestão, as unidades técnicas

mais diretamente afetas a seu desenvolvimento, as

revisões ocorridas desde a elaboração, as estratégias

adotadas para sua realização e para o tratamento

dos riscos envolvidos;

Decisão Normativa TCU 134/2013

Estrutura de pessoal da unidade jurisdicionada,

contemplando as seguintes perspectivas:

h) descrever os principais riscos identificados na

gestão de pessoas da unidade jurisdicionada e as

providências adotadas para mitigá-los;

Conceitos de Governança

Finalidade da boa governança no setor público é

garantir que as suas organizações atuem sempre

conforme o interesse público. Com base nessa premissa,

a Federação Internacional de Contadores - IFAC entende

que governança compreende a estrutura (administrativa,

política, econômica, social, ambiental, legal e outras)

posta em prática para garantir que os resultados

pretendidos pelas partes interessadas sejam definidos

e alcançados. (IFAC, 2013).

Conceitos de Governança

- dirigir, monitorar e incentivar uma organização, ressaltando que

os seus princípios são aplicáveis ao setor público (IBGC, 2009).

- De acordo com o Banco Mundial, governança diz respeito a

estruturas, funções, processos e tradições organizacionais que

visam garantir que as ações planejadas (programas) sejam

executadas de tal maneira que atinjam seus objetivos e resultados

de forma transparente.

São funções da governança (WORLD BANK, 2013). :

(a) definir o direcionamento estratégico;

(b) supervisionar a gestão;

(c) envolver as partes interessadas;

(d) gerenciar riscos estratégicos;

(e) gerenciar conflitos internos;

(f) auditar e avaliar o sistema de gestão e controle; e

(g) promover a accountability (prestação de contas e responsabilidade) e a transparência.

Conceito de Governança

MODELO DE GOVERNANÇA PÚBLICA

Avaliação de Governança de Pessoas (Acórdão 3023/2013

– Plenário)

Avaliação da Governança de Tecnologia da Informação

Avaliação Governança das Aquisições Logísticas (em

andamento)

Levantamento da estrutura, funcionamento e projetos

prioritários voltados à modernização da governança e da

gestão no Poder Judiciário Federal (TC 020.830/2014-9 – em

andamento);

Auditorias de Governança realizadas pelo TCU

AUDITORIA DE GOVERNANÇA DE PESSOAL

Resultado

49% não aprovam plano de auditoria para avaliar os riscos;

65% não avaliam o desempenho dos gestores;

76% não desenvolvem processo sucessório;

75% escolhem gestores sem ser baseado em competência;

46% não avaliam o desempenho dos servidores;

76% não identificam lacunas de competências dos servidores;

60% não conhecem sua força de trabalho detalhadamente;

83% não reconhecem servidores de alto desempenho.

AUDITORIA DE GOVERNANÇA DE PESSOAL

Papéis das Instâncias de Governança

Alta Administração: A responsabilidade por aspectos

específicos de recursos organizacionais pode ser delegada

para os gerentes da organização. Entretanto, a prestação de

contas (accountability) pelo uso desses recursos de forma

efetiva, eficiente e aceitável na organização permanece com

a alta administração e não pode ser delegada.

Papéis da Alta Administração: ser responsável por implantar

e manter: ‐ Processo de planejamento institucional ‐ Sistema de

gestão de riscos e controles internos ‐ Função de auditoria

interna

MODELO DE AVALIAÇÃO DA MATURIDADE

:DA GESTÃO DE RISCOS

CONSTRUÇÃO DE MODELO DE AVALIAÇÃO DA

MATURIDADE DA GESTÃO DE RISCOS:

O modelo de gestão de riscos adotado pelo

governo do Reino Unido foi considerado o mais

adequado para servir de referência à elaboração

de um modelo do TCU para avaliação da

maturidade em gestão de riscos, (com adaptações

vindas dos modelos COSO e ISO 31000/2009).


DA GESTÃO DE RISCOS:

Porque o Orange Book?

a) é um modelo abrangente, já adaptado para o setor público;

b) deriva de um modelo maduro de excelência de gestão (EFQM, 2012) utilizado por mais de 30 mil organizações , principalmente da Europa;

c) é um referencial flexível que pode ser adaptado pelas organizações segundo suas necessidades;

d) não prescreve formas de implantar ou aprimorar a gestão de risco, mas limita-se a indicar quais características são esperadas de gestão de risco madura;

e) incorpora a dimensão parcerias, o que outros modelos estudados não fazem (parceria caracteriza-se quando o ente público se vale de outros agentes para alcançar seus resultados).

MODELO DE AVALIAÇÃO DA

MATURIDADE DA GESTÃO DE RISCOS

O Modelo proposto no trabalho aplica quatro

dimensões de avaliação:

. Ambiente de Gestão de Riscos;

. Processos de Gestão de Riscos;

. Gestão de Riscos em Parcerias;

. Resultados

Modelo de Avaliação de Riscos Criado

pelo Tesouro Britânico


MATURIDADE DA GESTÃO DE RISCOS



Ambiente de Gestão de Riscos

> A dimensão Ambiente, tomada do modelo COSO;

> engloba as subdimensões Liderança, Políticas e Estratégias, e Pessoas, as quais figuram explicitamente no modelo britânico.

> As perguntas desta dimensão procuram definir condições fundamentais que devem estar presentes para que a gestão de riscos possa prosperar na organização.



Processos de gestão de riscos

Para lidar com os riscos que podem impactar os objetivos de uma organização, devem ser instituídos processos de trabalho voltados para:

. identificar eventos de risco;

. avaliar a probabilidade de ocorrência e o impacto dos riscos identificados sobre os resultados pretendidos (essa análise pode ser qualitativa ou quantitativa);

. escolher o tipo de resposta apropriada para cada risco, que pode consistir em aceitar, evitar, mitigar ou transferir o risco;

. desenhar e implementar respostas para os riscos priorizados na avaliação;

. comunicar assuntos relacionados a risco às partes interessadas; e monitorar a integridade da estrutura e do processo de gestão de riscos.



Gestão de riscos em parcerias :

> Entende-se por parceria qualquer arranjo

estabelecido a fim de possibilitar relacionamento

colaborativo entre as partes visando o alcance de

objetivos previamente acordados. Parcerias

envolvem riscos e benefícios compartilhados.

> São considerados aspectos relativos à gestão de

riscos em parcerias estabelecidas pela organização

com entes públicos ou privados

MODELO DE AVALIAÇÃO DA MATURIDADE DA

GESTÃO DE RISCOS:

Resultados

> O pressuposto utilizado na estruturação desta

dimensão é que os efeitos produzidos pela gestão

de riscos em uma organização se dá em duas

esferas: uma de efeitos imediatos e outra de

efeitos mediatos.


DA GESTÃO DE RISCOS:

Efeitos imediatos, denominada Eficácia da Gestão de Riscos:

. práticas de gestão de riscos observados na qualidade do processo decisório;

. na coordenação entre unidades organizacionais, no gerenciamento de riscos com parceiros;

. no aperfeiçoamento de planos e políticas organizacionais;

. na comunicação sobre riscos com partes interessadas e no envolvimento dos servidores com avaliação e controle de riscos;



Resultados mediatos: São aqueles que se caracterizam como resultados organizacionais e que surgem a partir da presença dos efeitos imediatos. Somente com a eficácia da gestão de riscos pode-se chegar a melhorar resultados organizacionais, tais como:

. eficiência das operações,

. governança

. qualidade de bens e serviços

. cumprimento de leis e normas.

Nível de Maturidade em Gestão de Riscos das

Entidades da Administração Indireta

Escopo da auditoria de riscos

Segundo o manual de Padrões de Levantamento do TCU, o escopo

do levantamento deve abranger os principais objetivos, as

relações externas e as definições estratégicas, que compõem o

nível estratégico do órgão/entidade, bem como o detalhamento

dos processos de trabalho relevantes para o escopo definido. Tais

processos de trabalho são os mais abrangentes da organização e

devem ter nível de agregação suficiente de forma a representar

os principais objetivos do órgão/entidade e não somente

representar fluxos operacionais de trabalho.

Escopo da auditoria baseada de riscos

É importante destacar que nem todos os processos do

órgão precisam ser detalhados, devendo ser

priorizados aqueles que suportam os objetivos

finalísticos do órgão/entidade e aqueles que envolvam

maior materialidade.

Visão geral do objeto auditado

Para identificação das informações necessárias, a equipe deve considerar que a visão geral contempla:

Panorama geral do órgão/unidade – direcionadores estratégicos; organograma geral; normativos básicos aplicáveis; contexto orçamentário; nome e objetivo dos principais processos de trabalho e descrição dos ambientes externo e interno.

Informações sobre o ambiente interno e as atividades de controle no nível do órgão/entidade.

O detalhamento dos principais processos reúne informações sobre nome e objetivo; aspecto organizacional; marco regulatório; suporte de tecnologia da informação; materialidade envolvida; diagrama de blocos (representando as principais atividades abrangidas pelo processo); principais pontos fortes e fracos, ameaças e oportunidades; e avaliação simplificada de risco dos processos examinados.

Informação sobre o ambiente interno e as atividades de controle

no nível do órgão/unidade

As informações sobre o ambiente interno (cultura de controle) e as atividades de controle devem ser feitas com base no preenchimento do Formulário de Informações de Controles Internos – Ambiente Interno e Atividades de Controle. O citado formulário traz, ainda, as orientações e definições dos itens que serão abordados.

O formulário pode ser aplicado com adaptações, selecionando-se os itens que são pertinentes ao objeto do levantamento.

É possível que o órgão/unidade tenha seus processos definidos. A equipe deve avaliar se os grandes processos, principalmente os finalísticos, da forma como estão definidos, retratam efetivamente o que o órgão/entidade faz.

Informações que devem ser consideradas no detalhamento

dos principais Macroprocesso de trabalho

organizacional – identificar a estrutura organizacional e a infraestrutura que suporta o processo:

estrutura organizacional – representar por meio de organograma e lotacionograma (representação gráfica que fornece a visão exata da disposição dos recursos humanos) as responsabilidades organizacionais (competências e atribuições) e mencionar, se for o caso, as unidades descentralizadas;

infraestrutura básica – avaliar se as condições do ambiente de trabalho são adequadas e se as principais instalações, equipamentos e serviços necessários para o funcionamento do processo estão disponíveis;

diagrama de blocos – representar graficamente o processo mostrando a sequência lógica de suas principais atividades;

Informações que devem ser consideradas no

detalhamento dos principais Macroprocesso de trabalho

marco regulatório – destacar a vinculação ao planejamento estratégico e identificar a legislação, as normas, os manuais, as publicações e as políticas de treinamento aplicáveis ao processo;

suporte de tecnologia da informação – indicar o nome e o objetivo dos sistemas que suportam o processo;

orçamentário – indicar os programas abrangidos, bem como a materialidade envolvida. Se não for possível obter o valor exato da materialidade, a equipe pode estimá-lo

Elaboração de roteiro de Entrevista

DEPARTAMENTO DE TECNOLOGIA DA INFORMAÇÃO

Descreva a estrutura, funcionamento e atribuições da unidade. Está documentado?

A unidade realiza planejamento de curto e longo prazo?

Como são planejadas as aquisições da área?

Qual a relação do departamento de TI do CJF com os departamentos/secretarias do Conselho?

Existe um comitê gestor de políticas de TI no âmbito da Justiça Federal?

Qual os principais processos de trabalho e produtos entregues pela Secretaria de TI?

Quais os pontos críticos da Secretaria de TI? O que pode atingir o seu desempenho?

A Secretaria de TI sobre cortes de orçamento? Qual o impacto nos seus principais processos de trabalho?

Quais os indicadores adotados pela Secretaria para mensurar seu desempenho?

Qual a situação da estrutura física e de pessoal da Secretaria de TI do Conselho? É adequada? Existem estudossobre isso?

Qual o principal projeto em andamento na Secretaria de TI?

Um dos objetivos do CJF é “buscar a excelência na gestão dos custos operacionais”. Quais ações têm sidoimplementadas neste sentido?

A equipe deve registrar por escrito os pontos relevantes tratados nas principais entrevistas, para posterior revisão, consolidação de informações e supervisão dos trabalhos. Para esse registro deve ser usado o extrato de entrevista

Entrevistas - observações

Em regra, as informações relativas aos processos (macroprocessos) podemser, primeiramente, obtidas junto aos seus responsáveis, visto que estespossuem uma visão sistêmica. Podem, ainda, ser realizadas entrevistas comos servidores ou funcionários que executam rotineiramente os processos detrabalho, e conhecem as atividades realizadas em detalhe.

Durante as entrevistas, a equipe deve obter a informação sobre aexistência de documentação (memorial descritivo, fluxogramas, diagramasetc.) atualizada relativa aos processos.

Sempre que necessário, pode ser realizada mais de uma entrevista com omesmo servidor com o intuito de obter esclarecimentos adicionais quantoao funcionamento dos processos.

A equipe deve avaliar a necessidade da realização de reuniões comvários servidores da unidade jurisdicionada para obter informaçõesadicionais sobre áreas ou assuntos compreendidos no escopo dos trabalhos

AVALIAÇÃO DE RISCO

“Com base nas informações e conhecimentos

adquiridos sobre o processo e sobre o

órgão/entidade, a equipe deve apontar os riscos

associados ao processo. Para tanto deve identificar

os eventos que possam impedir ou dificultar o alcance

dos objetivos do processo bem como estimar

qualitativamente suas consequências e

probabilidades”

PROCEDIMENTOS

Após a identificação das ações e projetos maisrelevantes, será realizada uma abordagem crítica dosmacroprocessos principais, buscando a identificação dosriscos e fraquezas envolvidos (Análise SWOT eDiagrama de Verificação de Risco).

Além disso, deverão ser identificados os principaisatores, por meio de uma Análise Stakeholders. Osprincipais stakeholders serão entrevistados com oobjetivo de identificar os pontos fracos e fortes dasações e dos projetos de modernização da gestão.

Execução dos trabalhos

Uma vez que nos levantamentos o órgão/unidade

auditada é uma das principais fontes de

informação, o trabalho deve basear-se em

interação com gestores e funcionários, o que exige

o desenvolvimento de atividades da fase de

planejamento nas dependências do

órgão/entidade

Elaborando o relatório de auditoria de

riscos

Introdução;

Visão Geral do Órgão/entidade;

Principais Processos;

Principais riscos e possíveis ações de controle;

Conclusão;

Proposta de Encaminhamento;

Anexos do Relatório, se houver;

Obrigado!

[email protected]

Tels.: (61)3316-7685

(61) 9697-1767

mailto:[email protected]





Curso de Gestão de Riscoswiki.incra.gov.br/images/e/ec/Curso_de_Gerenciamento_de... ·...

Documents

Transcript of Curso de Gestão de Riscoswiki.incra.gov.br/images/e/ec/Curso_de_Gerenciamento_de... ·...