MANUAL DE GESTÃO INTEGRADA DE ISCOS ORPORATIVOS · A gestão de riscos deve ser capaz de...

[Digite aqui]

2ª EDIÇÃO - DEZEMBRO/2016

MANUAL DE GESTÃO INTEGRADA DE

RISCOS CORPORATIVOS FRENTE GESTÃO DE RISCOS

SGE/SE-MF – AECI/GMF-MF

2

Manual de Gestão Integrada de Riscos Corporativos - MF

Assessoria Especial de

Controle Interno

Ministério da Fazenda

Gabinete do Ministério da Fazenda/Secretaria Executiva do Ministério da Fazenda

Programa de Modernização Integrada do Ministério da Fazenda – PMIMF

Frente Gestão de Riscos Corporativos - MF

Assessor Especial de Controle Interno - MF

Ministro de Estado da Fazenda

Henrique de Campos Meirelles

Secretário-Executivo

Eduardo Refinetti Guardia

Chefe de Gabinete

Rogério Antônio Lucca

Líder da Frente Gestão de Riscos Corporativos/Assessor Especial de Controle Interno

Francisco Eduardo de Holanda Bessa

Elaboração

José Luiz de Albuquerque Melo Filho

Colaboradores

Representantes dos seguintes órgãos:

Procuradoria-Geral da Fazenda Nacional - PGFN

Secretaria da Receita Federal do Brasil – RFB

Secretaria de Acompanhamento Econômico – SEAE

Secretaria de Assuntos Internacionais – SAIN

Secretaria de Política Econômica - SPE

Secretaria do Tesouro Nacional – STN

Subsecretaria de Planejamento, Orçamento e Administração - SPOA

3



Controle Interno

APRESENTAÇÃO

O Programa de Modernização Integrada do Ministério da Fazenda (PMIMF), concebido em 2011, consiste em um conjunto de ações estruturadas, ano a ano, voltadas à construção de soluções coletivas e desafios gerenciais comuns a diversos órgãos da estrutura do Ministério, à modernização da gestão e à busca por maior eficiência e eficácia das ações do Ministério da Fazenda no exercício de suas funções regimentais, sempre em prol da sociedade.

O PMIMF está estruturado em frentes de trabalho paralelas e simultâneas que alcança sete Órgãos Específicos Singulares (ESAF, PGFN, RFB, SAIN, SEAE, SPE e STN), cinco Órgãos Colegiados (CARF, COAF, CONFAZ, CRSFN E CRSNSP) e duas entidades vinculadas (CVM e Susep) componentes da estrutura organizacional do Ministério da Fazenda.

A Frente Gestão de Riscos constitui-se na sexta frente do PMIMF. Foi criada em agosto de 2013 motivada especialmente pela busca de eficiência organizacional, pela necessidade de adoção e disseminação das melhores práticas de gestão, pelo zelo com a coisa pública e, também, pela mudança de foco de atuação dos órgãos de controle interno e externo.

A atuação da Frente de Riscos tem por finalidade, juntamente com outras Frentes do PMIMF (Custos, Infraestrutura, Pessoas, Planejamento Estratégico, Projetos e Processos e Tecnologia), contribuir com a melhoria contínua de processos de trabalho, por meio de ações de desenvolvimento, disseminação e implementação de metodologia de gerenciamento de riscos e assegurar o cumprimento da missão do Ministério da Fazenda: “Formular e implementar políticas econômicas para o desenvolvimento sustentável, com justiça fiscal e equilíbrio das contas públicas”. A Frente Gestão de Riscos conta com o apoio de Grupo Técnico, formado por representantes das unidades vinculadas ao PMIMF e do Banco Central do Brasil.

O modelo de Gestão Integrada de Riscos Corporativos do Ministério da Fazenda, desenvolvido pela Frente Gestão de Riscos, sugere o alinhamento com indutores internos e externos. Como indutor interno visa atender à necessidade de informações e indicadores de risco que sirvam de subsídio à tomada de decisão, necessária à preservação da condução de políticas públicas e que assegure a entrega de valor à sociedade e, como indutor externo, visa o atendimento das atuais demandas dos órgãos de controle, que têm recomendado melhoria nos processos acerca do mapeamento de riscos e riscos e controles, das unidades auditadas, em função da mudança de foco de suas atuações que passaram a privilegiar a visão preventiva.

O modelo de Gestão de Riscos, tem por objetivos: (i) incluir a abordagem de Gestão Integrada de Riscos Corporativos (Governança, Políticas e Metodologia) no modelo de Governança do Ministério da Fazenda; (ii) definir os requisitos mínimos de uma metodologia de identificação e medição de riscos associados aos processos de negócio, a ser observada pelos órgãos alcançados pelo PMIMF; (iii) definir políticas

4



Controle Interno

de gestão de riscos no contexto do MF; e (iv) institucionalizar um Modelo de Gestão Integrada de Riscos Corporativos para o MF.

O objetivo deste Manual é orientar e padronizar os procedimentos que viabilizarão a institucionalização deste Modelo de Gestão Integrada de Riscos Corporativos. Para tanto, estrutura-se o manual da seguinte maneira: uma pequena introdução e uma visão geral da gestão de riscos corporativos no Ministério da Fazenda e os principais conceitos, em seguida o modelo conceitual e, por fim, o modelo de operacionalização do gerenciamento do riscos no âmbito do PMIMF.

5



Controle Interno

Sumário

APRESENTAÇÃO................................................................................................................. 3

1. INTRODUÇÃO ............................................................................................................... 7

2. GESTÃO DE RISCOS .................................................................................................... 8

2.1 Modelo de Gestão Integrada de Riscos Corporativos do MF ............................................... 9

2.2 Contextualização ..................................................................................................................... 10

2.3. Gestão Integrada de Riscos Corporativos do Ministério da Fazenda ............................... 12

2.4. Política de Gestão de Risco do Ministério da Fazenda ....................................................... 13

2.5 Visão Geral dos Conceitos ..................................................................................................... 13

3. MODELO CONCEITUAL DO GERENCIAMENTO DE RISCOS DO MF ...................... 15

3.1 Dimensão Funcional ............................................................................................................... 15

3.1.1 Risco Operacional ........................................................................................................... 15

3.2 Dimensão Estratégica ............................................................................................................. 17

3.2.1 Risco Estratégico ............................................................................................................. 17

3.2.2 Risco Projeto ................................................................................................................... 17

3.2.3 Risco de Conjuntura ........................................................................................................ 18

3.3 Dimensão Econômica ............................................................................................................. 18

3.3.1 Risco de Mercado ............................................................................................................ 18

3.3.2 Risco de Crédito .............................................................................................................. 19

3.3.3 Risco de Liquidez ............................................................................................................ 19

3.3.4 Risco de Conjuntura ........................................................................................................ 20

4. MODELO OPERACIONAL DO GERENCIAMENTO DE RISCOS DO MF ................... 21

4.1 Análise de Contexto ................................................................................................................ 22

4.2 Identificação de Risco ............................................................................................................ 22

4.3 Mensuração de Risco ............................................................................................................. 23

4.3.1 Avaliação de Riscos e Controles ..................................................................................... 24

4.3.1.1 Verificação do controle quanto ao desenho ............................................................ 24

4.3.1.2 Verificação do controle quanto à operação ............................................................. 24

6



Controle Interno

4.3.2 Matriz de Riscos .............................................................................................................. 25

4.3.2.1 Cálculo da nota de rating ......................................................................................... 25

4.3.2.2 Descrição das notas de rating ................................................................................. 27

4.4. Tratamento de Risco ............................................................................................................... 28

4.4.1 Plano de Implementação de Controles ........................................................................... 28

4.4.2 Mapa de Risco ................................................................................................................. 30

4.5. Monitoramento ......................................................................................................................... 31

4.6. Reporte Gerencial.................................................................................................................... 32

REFERÊNCIAS ................................................................................................................... 33

ANEXO 1A – ANÁLISE DE CONTEXTO/1ª PARTE ........................................................... 34

ANEXO 1B – ANÁLISE DE CONTEXTO/2ª PARTE ........................................................... 35

ANEXO 2A – IDENTIFICAÇÃO DE RISCO/DIMENSÃO E TIPO DE RISCO ...................... 36

ANEXO 2B – IDENTIFICAÇÃO DE RISCO/PERGUNTAS ORIENTADORAS .................... 36

ANEXO 2C – IDENTIFICAÇÃO DE RISCO/TAXONOMIA DE RISCOS .............................. 39

ANEXO 3A – MENSURAÇÃO DE RISCO/AVALIAÇÃO DE RISCOS E CONTROLES ...... 41

ANEXO 3B – MENSURAÇÃO DE RISCO/MATRIZ DE RISCOS ........................................ 42

ANEXO 4A – TRATAMENTO DE RISCO/PL. DE IMPLEMENTAÇÃO DE CONTROLES .. 43

ANEXO 4B – CONTROLES BÁSICOS ............................................................................... 44

ANEXO 4C – MONITORAMENTO/MAPA DE RISCO ......................................................... 45

7



Controle Interno

1. INTRODUÇÃO

Gerenciar riscos é atividade crítica para qualquer organização. O desenvolvimento acelerado da economia mundial, o avanço tecnológico, o fluxo internacional de capitais e o aumento da competição e da complexidade das transações entre as organizações fazem com que a gestão de riscos corporativos seja uma atividade cada vez mais complexa, contudo extremamente necessária.

As crises costumam chamar mais a atenção para a importância da gestão de riscos, porém, ela deve ser tratada como componente essencial do sistema de gestão de qualquer entidade e sugere uma ampliação do entendimento e da importância dessa gestão nas organizações.

A premissa inerente à gestão de riscos corporativos é que toda organização existe para gerar valor às partes interessadas e, no caso do poder executivo federal, à sociedade. Nesse sentido, a gestão de riscos corporativos auxilia os órgãos na tomada de decisão, no alcance de seus objetivos, e a evitar que perigos e surpresas ocorram em seu percurso, maximizando assim o valor entregue à sociedade.

No Brasil a gestão de riscos tem sido considerada mais uma prática da governança corporativa, por força do legislador ou em função da maturidade da organização. A gestão de riscos tem se expandido para setores não financeiros, inclusive para organizações públicas, sendo uma abordagem complementar de gestão.

Para o setor público, o Tribunal de Contas da União incluiu, na versão mais recente do seu planejamento estratégico, um objetivo voltado para “intensificar ações que promovam a melhoria da gestão de riscos e de controles internos da Administração Pública”.

No âmbito do Poder Executivo Federal o processo de gestão de riscos iniciou-se em 2002 por iniciativa do Ministério da Previdência Social.

Já no Ministério da Fazenda, também em 2002, a Secretaria do Tesouro Nacional – STN iniciou as atividades de Risco Operacional e em 2006 foi criada área independente para tratar do tema, em cumprimento a uma recomendação do Tribunal de Contas da União - TCU. Em 2007, com a criação da Secretaria da Receita Federal – RFB, a competência da gestão de riscos foi atribuída em seu regimento interno. E finalmente, em 2013, a criação da Frente Gestão de Riscos, vinculada ao PMIMF.

Este Manual é uma ferramenta que auxilia na visão dos conceitos, técnicas e métodos buscando torná-los mais simples para o mapeamento de riscos dos processos de trabalho no dia a dia da unidade. Por fim, este Manual não tem a pretensão de esgotar o assunto e não deve ser considerado um documento acabado.

8



Controle Interno

2. GESTÃO DE RISCOS

A gestão de riscos deve ser capaz de identificar os eventos de riscos em potencial, capazes de afetar a organização, permitir o gerenciamento dos riscos de modo compatível com o tamanho e complexidade da organização e, ainda, possibilitar um nível razoável de garantia em relação ao cumprimento dos seus objetivos, e, no caso do setor público, aumentar benefícios e reduzir o custo do valor a ser entregue à sociedade, protegendo os direitos públicos, criando condições para a prosperidade econômica, melhorando a prestação dos serviços governamentais, entre outros.

Assumir riscos é uma precondição essencial para o desenvolvimento

humano; se parássemos de assumir riscos, inovações técnicas e sociais

necessárias para solucionar muitos dos problemas mundiais desapareceriam.

De fato, muitos dos riscos existentes na sociedade moderna resultam de

benefícios gerados por inovações sociais e tecnológicas. Por outro lado, a

imprudência insensata também não é uma boa ideia. Em vez disso,

precisamos definir um caminho intermediário no qual o acaso – com suas

incertezas e ambiguidades inerentes – seja levado em consideração de

maneira objetiva, racional e eficiente (Wildavsky, 1979).

A gestão de riscos pode ser aplicada a toda organização, em suas várias áreas e níveis, a qualquer momento, bem como a função, atividades e projetos específicos.

A adoção de uma abordagem ativa, sistemática, holística e integrada permite gerenciar os riscos, modificando tanto a natureza de suas consequências como a probabilidade de que determinado efeito ocorra, por meio da identificação, compreensão, atuação objetiva e comunicação de questões que envolvam riscos.

De acordo com ABNT ISO 31000/2009, são utilizadas as expressões “gestão de riscos” e “gerenciamento de riscos”. Em termos gerais, “gestão de riscos” refere-se à arquitetura (princípios, estrutura e processo) para gerenciar riscos eficazmente, enquanto que “gerenciar riscos” refere-se à aplicação dessa arquitetura para riscos específicos.

9



Controle Interno

2.1 Modelo de Gestão Integrada de Riscos Corporativos do MF

A visão geral do modelo organiza-se da seguinte maneira:

Concluído

Em andamento

Relativamente à visão estratégica:

a. O CEG e CGRCI: órgãos colegiados que têm competências específicas,

dentre outras, para elaborar, propor e aprovar política e metodologias

relativas à Gestão de Integrada de Riscos Corporativos para o MF;

b. A Política de Gestão de Riscos: normas que estabelecem princípios, diretrizes

e responsabilidades a serem observados no processo de gestão de riscos do

MF;

c. Os Órgãos alcançados pelo PMIMF: referem-se as unidades que deverão

observar os requisitos mínimos sugeridos para a gestão de riscos no MF; e

d. O Modelo de Relacionamento: descreve os atores e suas atribuições no

processo de gestão de risco (responsabilidades, fluxo de informações, etc).

Quanto ao gerenciamento riscos:

a. A Metodologia: estabelece o regramento para a identificação, mensuração,

tratamento, monitoramento e reporte gerencial do gerenciamento de riscos do

MF;

b. O Sistema do MF: refere-se a ferramenta eletrônica utilizada no

gerenciamento de risco;

10



Controle Interno

c. A Cadeia de Valor Integrada do MF: é o conjunto de atividades criadoras de

valor, base para aplicação da metodologia;

d. O Plano de Implementação: registra as prioridades e o cronograma para

aplicação da metodologia.

2.2 Contextualização

As organizações, sejam públicas ou privadas, devem entender quais são os riscos associados às suas operações, processos e atividades, no intuito de identificar e priorizar as falhas que devem ser corrigidas, e, por conseguinte, implantar as melhorias necessárias ao aprimoramento do sistema de gestão de riscos.

Segundo definição do COSO (Committee of Sponsoring Organizations of The Treadway Commission ou Comitê das Organizações Patrocinadoras), o gerenciamento de riscos corporativos é o processo conduzido pelo conselho de administração, pela diretoria executiva e pelos demais funcionários. Trata-se do processo onde são estabelecidas as estratégias formuladas para identificar riscos potenciais capazes de afetar a organização. Essas estratégias visam minimizar possíveis ocorrências de riscos, a fim de mantê-los compatíveis com o apetite da organização, possibilitando garantir o cumprimento de seus objetivos (COSO Executive Report - 2012).

De acordo INTOSAI (2004), faz-se necessária a adoção de ferramentas apropriadas para a identificação de risco. O normativo indica duas categorias de ferramentas como as mais utilizadas: avaliação de risco e autoavaliação de risco.

Ainda de acordo com INTOSAI (2004), a avaliação de riscos é um procedimento do tipo top-down, que utiliza equipe constituída para identificar os riscos associados a todas as atividades da organização que possam impactar o alcance de seus objetivos. Nesse procedimento, são realizadas entrevistas com membros-chave da organização, em seus diversos níveis, no intuito de construir um perfil de risco para todas as atividades, funções, processos ou atividades que estão particularmente vulneráveis a riscos.

Já a autoavaliação, é uma abordagem bottom-up, na qual cada nível da organização é convidado a rever suas atividades e alimentar o diagnóstico de riscos, podendo ser realizada por meio da utilização de uma série de instrumentos, tais como documentos, questionários, formulários ou mesmo por meio de workshop.

A norma ISO 31000, publicada em 2009, como padrão internacional “prevê um conjunto de princípios que devem ser atendidos na gestão eficaz dos riscos”. O normativo recomenda que as “organizações devem desenvolver, implementar e melhorar continuamente um quadro que visa integrar o processo de gestão de riscos na gestão global da organização, planejamento e estratégia, gestão, processos de informação, políticas, valores e cultura” (ISO 31000, 2009).

A ISO 31000/2009 apresenta princípios e diretrizes para o gerenciamento de risco

11



Controle Interno

genérico, destacando que na concepção e implementação de planos de gestão de riscos é preciso considerar as “diferentes necessidades de uma organização específica, nomeadamente os seus objetivos, contexto, estrutura, operações, processos, funções, projetos, produtos, serviços ou bens específicos e práticas empregadas”.

Assim, a referida norma menciona que para a gestão de riscos ser eficaz, convém que uma organização, em todos os níveis, atenda a três perspectivas: princípios, estrutura e processo.

Na perspectiva princípios, o item 3, da ABNT ISO 31000/2009, prevê que a gestão de riscos: (a) cria e protege valor; (b) é parte integrante dos processos organizacionais; (c) é parte da tomada de decisão; (d) aborda explicitamente a incerteza; (e) é sistemática, estruturada e oportuna; (f) baseia-se nas melhores informações disponíveis; (g) é feita sob medida; (h) considera fatores humanos e culturais; (i) é transparente e inclusiva; (j) é dinâmica, interativa e capaz de reagir a mudanças; e (k) facilita a melhoria contínua da organização.

Na perspectiva estrutura, o item 4, da ABNT ISO 31000/2009, prevê que o sucesso da gestão de riscos irá depender da eficácia da estrutura da gestão que fornece os fundamentos e os arranjos que irão incorporá-la através de toda a organização e em todos os níveis e, ainda, assegura que a informação sobre risco proveniente desse processo seja adequadamente reportada e utilizada como base para a tomada de decisões e a responsabilização em todos os níveis organizacionais aplicáveis.

Na perspectiva processo, o item 5, da ABNT ISO 31000/2009, prevê que convém que o processo de gestão de riscos seja: parte integrante da gestão; incorporado na cultura e nas práticas; e adaptado aos processos de negócios da organização.

A figura abaixo demonstra o relacionamento entre os princípios da gestão de riscos, estrutura e processo:

12



Controle Interno

O Modelo proposto pela Frente Gestão de Riscos do PMIMF observa, em parte, os princípios, a estrutura e o processo divulgados na norma ISO 31000, por ser menos complexo e mais customizável.

2.3. Gestão Integrada de Riscos Corporativos do Ministério da Fazenda

Tanto o processo de Gestão Integrada de Riscos Corporativos como o modelo de Gerenciamento de Riscos Corporativos do MF estão em desenvolvimento. Em 28 de julho de 2014, o Comitê Estratégico de Gestão do Ministério da Fazenda – CEG aprovou a criação do Comitê de Gestão de Riscos, Controle e Integridade - CGRCI, por meio da Resolução nº 05/CEG. Na resolução o CEG aprova os representantes de cada um dos órgãos do Ministério da Fazenda que compõe o CGRCI.

O CGRCI, em reunião de 22/08/2014, por meio da Resolução nº 01/CGRCI, aprovou o seu regimento interno, que define, entre outros, sua competência e finalidade. Cabe, neste momento, ressaltar as seguintes competências: (i) art. 3º, item “i”: “elaborar e propor ao CEG, para fins de análise e aprovação, políticas e diretrizes relativas à Gestão Integrada de Riscos Corporativos, no âmbito do Ministério da Fazenda; e “ix” avaliar e aprovar tecnicamente metodologias e métodos aplicados à Gestão Integrada de Riscos Corporativos no contexto do Ministério da Fazenda, bem como suas alterações e aprimoramentos, encaminhando posteriormente ao CEG para ser referendado.

Com relação às competências destacadas, registra-se que a proposta de política de gestão de riscos encontra-se em fase de elaboração. Já o presente manual faz parte da entrega prevista no item “ix”, art. 3º da Resolução nº 01/CGRCI, de 22/08/2015.

Definiu-se também no art. 2º da referida resolução que, no contexto de Ministério da Fazenda, Gestão Integrada de Riscos Corporativos é o processo de gestão aplicado a toda organização, em todos seus níveis e unidades, incluindo a formulação de uma visão de portfólio de todos os riscos a que a organização está exposta, visando identificar, mensurar, tratar, monitorar e reportar aos gestores a exposição a riscos que podem afetar a geração dos valores organizacionais.

Nesse contexto, a gestão integrada no âmbito do Ministério Fazenda, deve ser abrangente e consolidada, considerando todos os riscos relevantes aos quais esteja exposto.

Alinhado com o Planejamento Estratégico do Ministério da Fazenda, o gerenciamento de riscos tem como ponto de partida os processos organizacionais registrados na Cadeia de Valor Integrada do MF. O valor é o ativo a ser protegido e, por isso, serão tratados, prioritariamente, os riscos que afetam a entrega do valor declarado nesta Cadeia.

13



Controle Interno

2.4. Política de Gestão de Risco do Ministério da Fazenda

A norma NBR ISO 31000/2009 conceitua política de gestão de riscos como a “declaração das intenções e diretrizes gerais de uma organização relacionadas à gestão de riscos”.

A política tem por objetivo estabelecer princípios, diretrizes e responsabilidades a serem observadas no processo de gestão de riscos, de forma a possibilitar a identificação, avaliação, tratamento, monitoramento e comunicação de riscos os quais a organização possa incorrer.

Conforme estabelecido pelo item 4.2 da ISO 31000/2009, é necessário forte comprometimento da administração da organização para que ocorra a introdução da gestão de riscos e sua contínua eficácia. Além disso, faz-se necessário um planejamento rigoroso e estratégico para que se alcance um comprometimento em todos os níveis da organização.

A mencionada norma traz o seguinte destaque no item 4.3.4 - “convém que a gestão de riscos seja incorporada em todas as práticas e processos da organização, de forma que seja pertinente, eficaz e eficiente”. Da mesma forma, dispõe que o processo de gestão de riscos deve ser parte integrante dos processos organizacionais, sendo esse processo de gestão incorporado ao desenvolvimento de políticas, na análise crítica, no planejamento estratégico e de negócios, bem como nos processos de gestão de mudanças.

O Ministério da Fazenda não possui, atualmente, uma política de gestão de riscos estruturada e formalizada. No entanto, verifica-se a presença de práticas relacionadas à gestão de riscos. A elaboração de uma proposta de Política de Gestão de Riscos para o Ministério da Fazenda caberá à Frente de Gestão de Riscos (art. 3º, item “i”, da Resolução nº 01/CGRCI, de 22/08/2014).

2.5 Visão Geral dos Conceitos

A seguir são descritos alguns conceitos de termos adotados pela Frente Gestão de Riscos do PMIMF. Dos termos adotados, alguns são consagrados na literatura relativa à gestão de riscos e outros foram adaptados/customizados para atender as características dos negócios fazendários.

Risco: evento com possibilidade de afetar a entrega dos valores organizacionais, declarados na Cadeia de Valor Integrada do Ministério da Fazenda.

Evento de Risco: é a materialização do risco que gera algum impacto para a organização.

Risco Inerente: risco sem levar em conta os controles existentes.

Risco Residual: risco remanescente após a adoção de controles.

14



Controle Interno

Tipos de Controles: controle preventivo e controle corretivo.

Controle Preventivo: são os controles implantados, previstos ou propostos; têm a função de diminuir o nível de risco atuando na redução da probabilidade de ocorrência do risco.

Controle Corretivo: são os procedimentos de acompanhamento implantados, previstos ou propostos; têm a função de possibilitar a diminuição do nível de risco atuando na redução do impacto provocado pela ocorrência do risco.

Natureza dos Controles: controle manual ou automatizado.

Controle Manual: são controles realizados por pessoas cujas regras não estão em um dispositivo ou sistema.

Controle Automatizado: são controles cujas regras estão em dispositivo ou sistema.

Valor: valor declarado na Cadeia de Valor Integrada do Ministério da Fazenda a ser entregue à sociedade.

Cadeia de Valor Integrada Ministério da Fazenda: é o conjunto de atividades criadoras de valor desde as fontes de matérias-primas básicas, passando por fornecedores de componentes, até o produto final entregue nas mãos do consumidor.

Foco da Análise: direcionador da análise dos processos dentro de um conjunto de valores definidos para a Cadeia de Valor do MF.

Dimensão: agrupamento de alto nível de abstração, que abriga um conjunto de tipos de riscos semelhantes, mas de forma geral.

Dimensão Funcional: o foco da análise são os processos organizacionais associados à geração de valor.

Dimensão Econômica: o foco da análise são as transações financeiras (captação, tributos, orçamento, fluxo de pagamento).

Dimensão Estratégica: o foco da análise são os Projetos Estratégicos Corporativos – PEC e os Objetivos Estratégicos.

Tipo de Risco: um grupamento de fatores de riscos semelhantes, segundo um ou mais critérios, que facilita o entendimento da natureza dos riscos.

Fator de Risco: categorização de riscos mais específica que permite classificar os riscos por temas bem peculiares.

15



Controle Interno

3. Modelo Conceitual do Gerenciamento de Riscos do MF

O Modelo Conceitual de Gerenciamento de Riscos aprovado pelo Comitê de Gestão Integrada de Riscos – CGRCI, em 17/11/2015, foi desenvolvido considerando o foco da análise nas três Dimensões: Funcional, Estratégica e Econômica, detalhadas a seguir:

Estratégica

Organização

3.1 Dimensão Funcional

Representada pelo Risco Operacional, seus fatores e subfatores.

3.1.1 Risco Operacional

Conceito: é o risco associado à possibilidade de perda resultante da ocorrência de

falha, deficiência ou inadequação de processos internos, pessoas e ambiente

tecnológico, ou de eventos externos (Resolução CMN 3380/2006).

O conceito adotado para o No que se refere ao risco operacional foram considerados os seguintes fatores e subfatores:

a) Processos:

Comunicação Interna: comunicação apropriada, clara, objetiva e de fácil

16



Controle Interno

acesso para consulta.

Modelagem: desenho, redesenho e documentação de processos com seus controles e instrumentos de mitigação.

Segurança Física: segurança de pessoas e equipamentos.

Adequação à legislação: leis e jurisprudências vigentes no país – compliance.

b) Pessoas:

Carga de Trabalho: compatibilização das demandas de trabalho à capacidade operacional e à jornada de trabalho.

Competência: autoridade, habilidade e conhecimento para execução do processo.

Ambiente Organizacional: clima organizacional e infraestrutura adequada para execução do processo.

Conduta: postura ética nos relacionamentos interpessoais, atenção e zelo, imparcialidade, confidencialidade e comprometimento para a execução do processo.

c) Ambiente Tecnológico:

Segurança Lógica: acesso aos sistemas de TI pelos servidores, usuários externos, contratados, fornecedores e parceiros para a execução do processo.

Infraestrutura Tecnológica: disponibilidade de hardware e software para a execução do processo.

Solução de TI: especificação, desenvolvimento, manutenção, homologação e implantação de soluções de TI em consonância à necessidade de execução do processo.

Comunicação: disponibilidade de rede física e lógica com acesso aos usuários internos e externos para a execução do processo.

d) Eventos Externos:

Desastres Naturais e Catástrofes: eventos naturais ou catástrofes que provoque dano à continuidade das operações.

Ambiente Regulatório: mudanças políticas, legislação e regulamentação que interfira na execução do processo, inclui o risco de imagem.

Ambiente Social: situação econômico-social que interfira na execução do

17



Controle Interno

processo, inclui o risco de imagem.

Fornecedores: desempenho e qualidade dos fornecedores de produtos e serviços que interfira na execução do processo.

3.2 Dimensão Estratégica

Representada pelo Risco Estratégico, Risco de Projeto e Risco de Conjuntura.

Para a dimensão estratégica foram adotados termos e definições e considerados os fatores e subfatores a seguir:

3.2.1 Risco Estratégico

Conceito: é o risco associado à possibilidade de perda resultante do insucesso das estratégias adotadas, levando-se em conta a dinâmica dos negócios (concorrência, clientes, fornecedores e investimentos) e as alterações políticas e econômicas no País e fora dele, ou seja, qualquer incerteza que afeta a realização das diretrizes estratégicas.

Fatores e subfatores do risco estratégico:

a) Descontinuidade:

Desempenho inadequado do processo em função de tomada de decisão do gestor que afete a realização das diretrizes estratégicas.

b) Indisponibilidade de Recursos:

Alteração de recursos previstos que afetem a realização dos objetivos dos processos estratégicos.

3.2.2 Risco Projeto

Conceito: é o risco associado à possibilidade de perda resultante da ocorrência de um conjunto de eventos sob a forma de ameaças que, caso se concretizem, afetem a realização dos objetivos do projeto.

Fatores e subfatores do risco de projeto:

a) Atraso:

Não cumprimento das entregas de produtos previstas nos projetos estratégicos, que, ocasionando atrasos, afetem a realização dos objetivos do projeto.

b) Indisponibilidade de Recursos:

18



Controle Interno

Alteração de recursos previstos que afetem a realização dos objetivos dos processos estratégicos.

c) Perda de Patrocínio:

Falta de apoio político à realização do projeto estratégico que afete o alcance dos seus objetivos.

3.2.3 Risco de Conjuntura

Conceito: é o risco associado à possibilidade de perda resultante de mudanças verificadas nas condições políticas, culturais, sociais, econômicas ou financeiras do Brasil ou de outros países.

Fatores e subfatores do risco de conjuntura:

a) Mudanças Internas:

Condições políticas, culturais, sociais, econômicas ou financeiras do Brasil.

b) Mudanças Externas:

Condições políticas, culturais, sociais, econômicas ou financeiras de outros países.

3.3 Dimensão Econômica

Representada pelo Risco de Mercado, Risco de Crédito, Risco de Liquidez e Risco de Conjuntura.

Para a dimensão econômica foram adotados termos e definições e considerados os fatores e subfatores detalhados a seguir:

3.3.1 Risco de Mercado

Conceito: é o risco associado à possibilidade de perda resultante de movimentação de preços de mercado, notadamente de flutuações de taxas de juros, câmbio, preços de ações e commodities ou indicadores econômicos que impactem a captação/desembolso de recursos.

Fatores e subfatores do risco de mercado:

a) Taxa de Juros:

Mudanças adversas nas taxas de juros e/ou em seus derivativos.

b) Taxa de Câmbio:

19



Controle Interno

Mudanças adversas nas taxas de câmbio e/ou em seus derivativos.

c) Títulos Públicos:

Mudanças adversas na precificação dos títulos públicos.

d) Participações Societárias:

Efeitos dos preços das ações da união sobre a posição financeira, desempenho financeiro e fluxos de caixa.

e) Indicadores Econômicos:

Flutuações nos preços dos ativos indexados por índices de preços, índices de bolsas.

3.3.2 Risco de Crédito

Conceito: é o risco associado à possibilidade de perda resultante da incerteza quanto ao recebimento de valores pactuados com tomadores de financiamentos e tributos inscritos na dívida ativa.

Fatores e subfatores do risco de crédito:

a) Inadimplência:

Incerteza no recebimento por incapacidade de pagamento do tomador de empréstimo, contraparte de um contrato ou de um emissor de título.

b) Garantias Associadas:

Suficiência e liquidez das garantias associadas aos débitos e ações de execução.

c) Litígio:

Atrasos ou não recebimento de créditos concedidos em função de contestação judicial.

3.3.3 Risco de Liquidez

Conceito: é o risco associado à possibilidade de perda resultante do descasamento entre a entrada de recursos (captação no mercado, arrecadação de tributos/outras receitas e obtenção de crédito junto a organismos) para atender às exigências de caixa que impactem o cumprimento de obrigações/compromissos programados.

Fatores e subfatores do risco de liquidez:

20



Controle Interno

a) Entrada de Recursos:

Captação no mercado, arrecadação de tributos e outras receitas, obtenção de crédito junto a organismos.

b) Exigência de Caixa:

Atendimento/cumprimento de obrigações/compromissos programados.

c) Desvalorização de Ativos:

Condições em que o valor contábil do ativo excede seu valor recuperável.

3.3.4 Risco de Conjuntura

Conceito: é o risco associado à possibilidade de perda resultante de mudanças verificadas nas condições políticas, culturais, sociais, econômicas ou financeiras do Brasil ou de outros países.

Fatores e subfatores de risco de conjuntura:

a) Mudanças Internas:

Condições políticas, culturais, sociais, econômicas ou financeiras do Brasil.

b) Mudanças Externas:

Condições políticas, culturais, sociais, econômicas ou financeiras de outros países.

21



Controle Interno

4. Modelo Operacional do Gerenciamento de Riscos do MF

O propósito deste item é fornecer a visão do ciclo do gerenciamento de riscos desenvolvido para o Ministério da Fazenda, assegurar que este modelo atenda aos requisitos mínimos para um gerenciamento de riscos eficaz, bem como contribuir para a uniformidade de procedimentos na execução dos trabalhos de mapeamento de riscos nos diversos órgãos alcançados pelo PMIMF.

A aplicação do modelo de gerenciamento de riscos tem por base os processos da Cadeia de Valor Integrada do MF. Assim, os processos priorizados serão submetidos ao ciclo de gerenciamento de riscos.

O ciclo foi programado para ser realizado em seis etapas, conforme figura abaixo. Registra-se que este manual contempla apenas as quatro primeiras, as duas últimas, Monitoramento e Reporte Gerencial, estão em desenvolvimento.

A seguir, estão detalhadas as finalidades de cada etapa do ciclo de gerenciamento de riscos, sugestões de técnicas a serem utilizadas e o sistema operativo.

22



Controle Interno

4.1 Análise de Contexto

Para iniciar o mapeamento de riscos é desejável que o processo esteja mapeado, nesse caso, as informações do mapeamento serão utilizadas. Para os casos em que o processo não esteja mapeado deverá ser realizada a etapa Análise de Contexto, desenvolvida com a finalidade de colher as informações macro que contribuirão para o entendimento e permitir o mapeamento de riscos do processo.

A Análise de Contexto é suportada por um formulário que foi desenvolvido para registrar as informações coletadas sobre o processo e sobre o resultado da análise de SWOT, uma vez que as informações obtidas sobre o ambiente interno e externo, além de contribuir para o entendimento do processo, ajudarão na identificação dos riscos e na escolha das ações para mitigá-los.

Ressalta-se que esta etapa não é obrigatória nos casos em que os processos estiverem mapeados, mas é fundamental para os processos sem mapeamento. O Protótipo de Sistema do MF, possui o referido formulário, inserido na aba Análise de Contexto (Anexos 1A e 1B) e o seu preenchimento não é condição para passar para a etapa seguinte.

4.2 Identificação de Risco

Esta etapa tem por finalidade identificar e registrar os riscos relevantes que comprometem o alcance do objetivo do processo e que afetem a entrega do valor à sociedade, registrado na Cadeia de Valor Integrada do MF.

Para auxiliar na condução desta etapa foram elaboradas algumas perguntas, aqui chamadas de “perguntas orientadoras”. Na elaboração dessas perguntas foram considerados os termos e as definições do modelo conceitual adotado pelo Frente Gestão de Riscos do MF (Anexo 2B).

As perguntas orientadoras estão dispostas na mesma sequência dos termos e definições contidos no modelo conceitual, ou seja, por dimensão, tipo, fatores e subfatores de riscos e ajudarão o gestor ou os especialistas a refletirem sobre os possíveis riscos que podem comprometer o alcance do objetivo do processo em análise e, consequentemente, a entrega do valor.

Dessa forma, aplicando-se a técnica Entrevista com Especialistas ou outra mais apropriada para o processo em análise, faz-se as perguntas de forma a identificar os possíveis riscos que afetem a entrega do valor.

Visando ajudar no momento da identificação dos riscos, elaborou-se uma lista de prováveis riscos, considerando os termos e as definições contidos no modelo conceitual (Anexo 2C). Esta lista não esgota os possíveis riscos, tendo a finalidade de contribuir com a padronização na descrição dos riscos identificados.

Os riscos identificados deverão ser registrados no formulário eletrônico, constante

23



Controle Interno

da aba Identificação de Risco do Sistema do MF (Anexo 2A).

Observação 1: no mapeamento de risco de projeto, identificar se há algum projeto vinculado ao processo em análise. Caso haja, obter da área responsável pelo monitoramento do projeto se há alguma possibilidade de ocorrer um dos seguintes fatores/origem: atraso; indisponibilidade de recursos ou perda de patrocínio, capazes de comprometer o cumprimento dos objetivos do processo e a entrega do valor, previsto na Cadeia de Valor do MF.

Observação 2: no mapeamento de riscos da Dimensão Econômica, identificar a existência ou não de riscos atrelados aos fatores/subfatores definidos no modelo conceitual (Risco de Mercado, Risco de Crédito, Risco de Liquidez e Risco de Conjuntura). Quanto as etapas de mensuração, tratamento, monitoramento e o reporte gerencial, serão desenvolvidas e a presentadas oportunamente.

4.3 Mensuração de Risco

Uma vez identificados e registrados, faz-se necessário analisar os riscos sem levar em conta os controles porventura existentes (Anexo 3A). O processo de compreender a natureza dos riscos fornece base para a sua avaliação e para as decisões sobre o tratamento.

Em seguida, é importante que se identifique os controles existentes e que se faça a verificação da qualidade desses controles quanto ao desenho e quanto à sua aplicação.

A realização desta etapa tem por finalidade mensurar os riscos identificados, incluindo o levantamento das causas, a existência de controles e, ainda, obter a magnitude do risco (probabilidade x impacto).

Assim, para cada risco deverá ser identificada e registrada as possíveis causas e os controles existentes, em seguida, para cada controle identificado deverá ser informando se trata de controle preventivo ou corretivo. Esses registros auxiliarão na avaliação dos riscos e dos controles e permitirá, mais à frente, a mensuração do risco, obtendo-se o risco residual e a nota de rating.

Temos que a causa do risco é o fato gerador que motiva a possibilidade da ocorrência do risco e que o controle são procedimentos ou atividades que visam mitigar a possibilidade da ocorrência do risco. O controle reduz o risco inerente. Assim, são exemplos de atividades de controles: aprovações, conferências, autorizações, verificações, validações, conciliações, monitoramento, travas em sistemas, segregação de funções, dentre outras.

Ressalta-se que poderão existir mais de uma causa e mais de um controle relacionado a um mesmo risco. Nesse caso descrever o que for relevante para a análise do risco identificado e, consequentemente, para o processo.

24



Controle Interno

Posteriormente, com as causas e os controles listados, aplica-se o questionário para a verificação da qualidade dos controles. O resultado dessa verificação é de extrema importância para atribuir as notas relacionadas à probabilidade e impacto, na aplicação da Matriz de Risco.

4.3.1 Avaliação de Riscos e Controles

4.3.1.1 Verificação do controle quanto ao desenho

Os controles serão verificados quanto ao desenho nas seguintes perspectivas:

4.3.1.2 Verificação do controle quanto à operação

Os controles serão verificados quanto à operação nas seguintes perspectivas:

(1) O Controle não é sistematizado

(2) Há procedimento de controle para algumas atividades, porém informais

(3) Controles não foram planejados formalmente, mas são executados de acordo com a experiência dos servidores

(4) É desenhado um sistema de controle integrado adequadamente planejado, discutido e documentado. O sistema de controle vigente é eficaz, mas não prevê revisões periódicas;

(5) O sistema de controle é eficaz na gestão de riscos. Foi adequadamente planejado, discutido, testado e documentado com correções ou aperfeiçoamentos planejados

de forma tempestiva.

Desenho do Controle

(1) Controle não executado

(2) Controle parcialmente executado e com deficiências

(3) Controle parcialmente executado

(4) Controle implantado e executado de maneira periódica e quase sempre uniforme. Avaliação dos controles é feita com alguma periodicidade

(5) Controle implantado e executado de maneira uniforme pela equipe e na frequência desejada. Periodicamente os controles são testados e aperfeiçoados.

Operação do Controle

25



Controle Interno

A aba Mitigação de Risco, no Sistema do MF, traz o formulário eletrônico para a registro da realização desta etapa (Anexos 3A e 3B).

Ressalta-se que a avaliação da eficácia do controle cabe à Auditoria Interna. No mapeamento de riscos a verificação da qualidade do desenho e da aplicação do controle tem a finalidade de subsidiar a mensuração do risco, no momento em que está sendo analisado (risco residual).

4.3.2 Matriz de Riscos

4.3.2.1 Cálculo da nota de rating

Para auxiliar o gestor na tomada de decisão com base nos resultados da análise dos riscos e definir quais riscos são objeto de tratamento e prioridade para a implementação de ações foi criada a nota de rating.

No modelo desenvolvido pela Frente Gestão de Riscos do MF, o cálculo da nota de rating leva em consideração a agregação da severidade (nível de risco – aplicação da Matriz de Risco), o volume de ocorrência e a frequência de execução do processo.

Cada risco avaliado, considerando a apreciação das causas e a qualidade do desenho e da operação do controle, é submetido à Matriz de Risco (probabilidade x impacto).

Outro aspecto importante a ser observado no momento da aplicação da Matriz de Risco é quanto à atuação do controle, preventiva ou corretiva, fator preponderante na atribuição da probabilidade e do impacto.

26



Controle Interno

Assim, o 1º componente da nota de rating obtém-se com a aplicação da Matriz de Riscos. Já a agregação do 2º e do 3º componente é realizada a partir das informações registradas no sistema quanto ao volume de ocorrências e a frequência de execução do processo.

A Matriz de Riscos considera as seguintes possibilidades:

Escala Probabilidade

RARA Pode ocorrer em circunstâncias excepcionais

POUCO PROVÁVEL Pequena possibilidade de ocorrer

PROVÁVEL Provável que ocorra em várias circunstâncias

ALTA Deve ocorrer em algum momento

Escala Impacto

GRANDE Poderá comprometer o alcance total do objetivo do processo

MODERADO Poderá comprometer o alcance de parte relevante do objetivo do processo

PEQUENO Poderá comprometer o alcance de parte não relevante do objetivo do processo

INSIGNIFICANTE Poderá comprometer de forma insignificante o objetivo do processo

Resultado da Aplicação da Matriz de Risco

(Nível de Risco)

A De 4 a 9 Baixo

B De 10 a16 Médio

C De 18 a 30 Alto

O volume de ocorrências poderá ser obtido por meio de dados históricos, se houver, e/ou com conhecimento do gestor, e a frequência de execução do processo poderá ser obtida com os dados do mapeamento e/ou com o conhecimento dos

Probabilidade RARA POUCO PROVÁVEL

PROVÁVEL ALTA

Impacto 2 3 4 5 GRANDE 6 12 18 24 30 MODERADO 4 8 12 16 20 PEQUENO 3 6 9 12 15 INSIGNIFICANTE 2 4 6 8 10

27



Controle Interno

responsáveis pela execução do processo.

Desta forma, primeiro aplica-se a Matriz de Risco para se obter o nível de risco: A, B ou C (1º componente do rating), em seguida identifica-se o Volume de Ocorrências: a, b ou c (2º componente do rating) e, por fim, as informações sobre a frequência de execução do processo: “++”, “+” ou “-” (3º componente do rating), chegando-se a Nota de Rating, instrumento que auxilia o gestor na tomada de decisão quanto ao tratamento a ser dado ao risco identificado.

4.3.2.2 Descrição das notas de rating

Nota Descrição

Aa++ Baixo nível de risco, baixo volume de ocorrências risco e baixa frequência de execução do processo

Aa+ Baixo nível de risco, baixo volume de ocorrências risco e média frequência de execução do processo

Aa- Baixo nível de risco, baixo volume de ocorrências risco e alta frequência de execução do processo

Ab++ Baixo nível de risco, médio volume de ocorrências risco e baixa frequência de execução do processo

Ab+ Baixo nível de risco, médio volume de ocorrências risco e média frequência de execução do processo

Ab- Baixo nível de risco, médio volume de ocorrências risco e alta frequência de execução do processo

Ac++ Baixo nível de risco, alto volume de ocorrências risco e baixa frequência de execução do processo

Ac+ Baixo nível de risco, alto volume de ocorrências risco e média frequência de execução do processo

Ac- Baixo nível de risco, alto volume de ocorrências risco e alta frequência de execução do processo

Ba++ Médio nível de risco, baixo volume de ocorrências risco e baixa frequência de execução do processo

Ba+ Médio nível de risco, baixo volume de ocorrências risco e média frequência de execução do processo

Ba- Médio nível de risco, baixo volume de ocorrências risco e alta frequência de execução do processo

Bb++ Médio nível de risco, médio volume de ocorrências risco e baixa frequência de execução do processo

Bb+ Médio nível de risco, médio volume de ocorrências risco e média frequência de execução do processo

Bb- Médio nível de risco, médio volume de ocorrências risco e alta frequência de execução do processo

Bc++ Médio nível de risco, alto volume de ocorrências risco e baixa frequência de execução do processo

Bc+ Médio nível de risco, alto volume de ocorrências risco e média frequência de execução do processo

Bc- Médio nível de risco, alto volume de ocorrências risco e alta frequência de execução do processo

Ca++ Alto nível de risco, baixo volume de ocorrências risco e baixa frequência de execução do processo

Ca+ Alto nível de risco, baixo volume de ocorrências risco e média frequência de execução do processo

Ca- Alto nível de risco, baixo volume de ocorrências risco e alta frequência de execução do processo

Cb++ Alto nível de risco, médio volume de ocorrências risco e baixa frequência de execução do processo

Cb+ Alto nível de risco, médio volume de ocorrências risco e média frequência de execução do processo

Cb- Alto nível de risco, médio volume de ocorrências risco e alta frequência de execução do processo

Cc++ Alto nível de risco, alto volume de ocorrências risco e baixa frequência de execução do processo

Cc+ Alto nível de risco, alto volume de ocorrências risco e média frequência de execução do processo

Cc- Alto nível de risco, alto volume de ocorrências risco e alta frequência de execução do processo

28



Controle Interno

4.4. Tratamento de Risco

Segundo o item 2.251 da ABNT NBR ISO 31000/2009, o tratamento de riscos é o processo para modificar o risco, e pode envolver: a ação de evitar o risco pela decisão de não se iniciar ou descontinuar a atividade que dá origem ao risco; assumir o risco; a remoção da fonte de risco; a alteração da probabilidade; a alteração da consequência; o compartilhamento do risco com outra parte ou partes (incluindo contrato e financiamento do risco); e a retenção do risco por uma escolha consciente.

O modelo desenvolvido pela Frente de Gestão de Riscos sugere três ações (Aceitar, Mitigar e Evitar) para responder aos riscos, em função da nota de rating obtida, conforme figura abaixo:

4.4.1 Plano de Implementação de Controles

Depois de identificados e mensurados, deve-se definir qual o tratamento a ser dado aos riscos. De acordo com o item 5.5.1 da ABNT NBR ISO 31000/2009, o

1 ABNT - Tratamento de riscos – Processo para modificar o risco – Análise de Riscos

(2.1)

29



Controle Interno

tratamento de riscos envolve a seleção de uma ou mais opções para modificar os riscos.

As opções previstas no Modelo de Gerenciamento de Riscos do MF (Aceitar, Mitigar ou Evitar), oriundas das notas de rating, servem de base para a tomada de decisão do gestor nas ações a serem adotadas. Entretanto, nos casos em que o gestor decidir por não promover ação ou adotar alguma providência para as notas de rating que apontam para a ação de Mitigar ou Evitar, essa decisão deverá ser formalmente justificada.

A finalidade da elaboração do Plano de Implementação de Controles é documentar as opções de tratamento que serão adotadas, para tanto, o gestor deverá levar em consideração:

O gestor deverá adotar ações (controle novo ou melhorar controle existente) e registrá-las em formulário eletrônico disponibilizado no Sistema de Gestão Integrada de Riscos Corporativos do MF, aba Tratamento de Risco (Anexo 4A).

O formulário permitirá ao gestor informar o tipo de plano (adotar um controle novo ou melhorar um controle existente); descrever a ação; informar o responsável pela implementação da ação; como se dará a implementação da ação, início e fim, bem como estabelecer sua Meta de Rating.

Visando auxiliar o gestor na proposição das ações de tratamento, que irão compor o Plano de Implementação de Controles, foi disponibilizada uma lista de controles básicos (Anexo 4B), vinculados aos fatores e subfatores do risco operacional.

É importante que os gestores, tomadores de decisão, estejam cientes da natureza e

30



Controle Interno

da extensão do risco após seu tratamento. Desta forma, o modelo prevê o registro da Meta de Rating. Esta Meta representa a nota que o gestor espera atingir com as ações propostas em seu Plano.

4.4.2 Mapa de Risco

Para permitir ao gestor e as partes interessadas conhecerem o resultado do mapeamento de riscos foi desenvolvido o Mapa de Risco, que é uma planilha eletrônica disponibilizada no Sistema do MF. Atualmente o Mapa de Risco apresenta o resultado das quatro primeiras etapas do ciclo de gerenciamento de riscos, ou seja, até a etapa Tratamento de Risco.

A sequência dos dados no Mapa de Risco é a seguinte: (i) os riscos são vinculados ao processo/macroprocesso/valor da Cadeia de Valor integrada do MF; (ii) o foco da análise (dimensão, tipo e fator de risco); (iii) o resultado da avaliação dos riscos e controles (causas e controles); (iv) o resultado da mensuração dos riscos (Nota de Rating); (v) as ações para tratamento; (vi) a meta de rating estabelecida pelo gestor.

O Mapa de Risco consta da aba Monitoramento do Sistema do MF e é gerado em planilha Excel (Anexo 4B).

Conforme mencionado anteriormente, as duas últimas etapas do Ciclo de Gestão de Riscos do MF, Monitoramento e Reporte Gerencial, estão em desenvolvimento e tão logo concluídas farão parte deste manual.

31



Controle Interno

4.5. Monitoramento

Em desenvolvimento.

O que Monitorar O que AcompanharTipo de

MonitoramentoComo Quando

Plano de Ação de

Implementação de

Controles

Melhoria do Controle ContínuoAtribuindo sinalizadores: Bandeira Verde = implantado, Bandeira Amarela = no prazo e

Bandeira Vermelha = em atraso, para o estágio de desenvolvimento das açõesBimestral

Adoção de Controle Novo ContínuoAtribuindo sinalizadores: Bandeira Verde = implantado, Bandeira Amarela = no prazo e

Bandeira Vermelha = em atraso, para o estágio de desenvolvimento das açõesBimestral

Projeto (quando necessário

elaborar um projeto para

mitigar um risco)

ContínuoObtendo da área de projetos informações sobre o projeto elaborado para tratar um

determinado riscoSemestral

Eficácia do controle Nota de rating Contínuo1 - cruzamento da nota de rating do 2º ciclo X com a mota do 1º ciclo, e

2 - comparação entre a nota de rating do 2º ciclo X a meta de rating atribuida pelo gestorSemestral

Eventos de Riscos

(riscos materializados)

1 - Riscos (materializados)

registrados no sistema de

riscos

2 - Riscos (constatações)

registrados nos relatórios de

auditoria e registros na

ouvidoria

Contínuo

1 - Emissão de alerta do sistema de risco para o gestor do processo e para o representante

de risco da área;

2 - Verificação dos registros nos relatórios da ouvidoria (nesse caso, verificar a possibilidade

de o gestor fazer uma marcação no registro de forma que gera um relatório específico para

cada gestor com os riscos de sua área).

1 - sempre que

houver registro no

sistema

2 - a cada emissão

de relatório de

auditoria

Processo de Gestão de

RiscosResultado das Autoavaliações

Avaliações

IndependenteAplicação de questionário de autoavaliação acompanhado de roteiro auxilar Anual

32



Controle Interno

4.6. Reporte Gerencial

Em desenvolvimento.

DIMENSÃO DE RISCO

TIPO DE RISCO

FATOR DE RISCO

TAXIONOMIA DE RISCO

EVENTO DE RISCO

RISCO

RATING

> SEVERIDADE

> VOLUME DE OCORRÊNCIAS

> FREQUENCIA DE EXECUÇÃO DO PROCESSO

PLANO DE MITIGAÇÃO DE RISCOS

META DE RATING

MAPA DE RISCO

Reporte

Informação em diferentes níveis

CADEIA DE VALOR

MACROPROCESSOS

UNIDADE ORGANIZACIONAL

PROCESSOS

N

Í

V

E

L

D

E

R

E

P

O

R

T

E

E

S

T

R

A

T

É

G

I

C

O

E

X

E

C

U

T

I

V

O

G

E

R

E

N

C

I

A

L

O

P

E

R

A

C

I

O

N

A

L

Gestor de riscos do processo (visão processo interno)

Gestores intermediários e escritório de apoio à gestão de risco ou representante de riscos nos órgãos

Principais gestores dos órgãos

Conselho e alta administração (visão MF - sala de situação)

33



Controle Interno

REFERÊNCIAS

IBGC, Guia de Orientação para Gerenciamento de Riscos Corporativos.

COSO. Gerenciamento de Riscos Corporativos – Estrutura Integrada. 2007.

Tradução: Instituto dos Auditores Internos do Brasil (Audibra) e Pricewaterhouse

Coopers Governance, Risk and Compliance, Estados Unidos da América, 2007.

INTOSAI GOV 9100. Guidelines for Internal Controls Standards for the Public Sector.

2004. Disponível em: < http://www.intosai.org/en/issai-executive-summaries/intosai-

guidance-for-good-governance-intosai-gov.html >. Acesso em 28 out. 2015.

ISO (ISO - International Organization for Standardization). ISO 31000 – Risk

Management System – Principles and Guidelines. Tradução: Associação Brasileira

de Normas Técnicas (ABNT) Projeto 63:000.01- 001. Agosto, 2009.

ISO (ISO - International Organization for Standardization). ISO Guide 73, Vocabulary

for Risk Management, 2009.

TCU. Avaliação de controles internos na administração pública federal. 2012.

Disponível em http://portal2.tcu.gov.br/portal/pls/portal/docs/2436815.PDF. Acesso

em 14.set.2013.

Manual de GERENCIAMENTO DE RISCOS, Secretaria da Receita Federal do

Brasil, novembro de 2012.

Relatório de Gestão de Riscos e Principais Modelos Conceituais, Programa de

Modernização integrada do Ministério da Fazenda/PMIMF, janeiro de 2014.

34



Controle Interno

ANEXO 1A – Análise de Contexto/1ª Parte

35



Controle Interno

ANEXO 1B – Análise de Contexto/2ª Parte

36



Controle Interno

ANEXO 2A – Identificação de Risco/Dimensão e Tipo de Risco

ANEXO 2B – Identificação de Risco/Perguntas Orientadoras

Dimensão Tipo de Risco Fator de Risco Perguntas Orientadoras

Funcional Risco Operacional

Processos Existem ameaças associadas à possibilidade de perda resultante da ocorrência de falha, deficiência ou inadequação de processos?

Pessoas Existem ameaças associadas à possibilidade de perda resultante da ocorrência de falha, deficiência ou inadequação de pessoas?

Ambiente Existem ameaças associadas à possibilidade de perda

37



Controle Interno


Tecnológico resultante da ocorrência de falha, deficiência ou inadequação de ambiente tecnológico?

Eventos Externos

Existem ameaças associadas à possibilidade de perda resultante da ocorrência de falha, deficiência ou inadequação de eventos externos?

Estratégica

Risco Estratégico

Descontinuidade Existe o risco de descontinuidade neste processo ao

ponto de comprometer o alcance deste valor?

Indisponibilidade de Recursos

Existe o risco de indisponibilidade de recursos neste

processo ao ponto de comprometer o alcance deste valor?

Risco de Projeto (Existe

PROJETO vinculado a este processo para atingimento do valor?)

Atraso

Existe o risco de atraso no PROJETO vinculado a este

processo ao ponto de comprometer o alcance deste valor?

Indisponibilidade de Recursos

Existe o risco de indisponibilidade de recursos no

PROJETO vinculado a este processo ao ponto de comprometer o alcance deste valor?

Perda de Patrocínio

Existe o risco de perda de patrocínio no PROJETO

vinculado a este processo ao ponto de comprometer o alcance deste valor?

Risco de Conjuntura

Mudanças Internas

Existe risco de mudanças internas neste processo ao


Mudanças Externas

Existe risco de mudanças externas neste processo ao


Econômica

Risco de

Mercado

Taxa de Juros

Existe o risco de flutuações de mercado na taxa de juros

neste processo ao ponto de comprometer o alcance deste valor?

Taxa de Câmbio

Existe o risco de flutuações de mercado na taxa de câmbio neste processo ao ponto de comprometer o

alcance deste valor?

Títulos Públicos Existe o risco de flutuações de mercado nos preços dos títulos públicos neste processo ao ponto de

comprometer o alcance deste valor?

Participações Societárias

Existe o risco de flutuações de mercado no preço das ações da união neste processo ao ponto de


Indicadores Econômicos

Existe o risco de variações nos indicadores econômicos neste processo ao ponto de comprometer o


Risco de Crédito

Inadimplência Existe risco de default neste processo ao ponto de


Garantias Associadas

Existe risco de default na execução das garantias associadas neste processo ao ponto de comprometer o alcance deste valor?

Litígio Existe risco de litígio de créditos neste processo ao


Risco de Liquidez

Entrada de Recursos

Existe risco de descasamento entre a entrada de recursos e obrigações a pagar originado pela incerteza

acerca da entrada de recursos ao ponto de comprometer o alcance deste valor?

Exigência de Caixa

Existe risco de descasamento entre a entrada de recursos e obrigações a pagar originado pela incerteza de caixa ao ponto de comprometer o alcance deste

valor?

38



Controle Interno


Desvalorização de Ativos

Existe risco de descasamento entre a entrada de recursos e obrigações a pagar originado pela desvalorização de ativos ao ponto de comprometer o


Risco de Conjuntura

Mudanças Internas

Existe risco de mudanças internas neste processo ao


Mudanças Externas

Existe risco de mudanças externas neste processo ao


39



Controle Interno

ANEXO 2C – Identificação de Risco/Taxonomia de Riscos

Risco Operacional

Fator Subfator e Exemplos de Riscos (Taxonomia)

PROCESSOS

COMUNICAÇÃO INTERNA:

Os insumos e as informações não são recebidos em tempo adequado para a execução do processo

Ausência de padrões mínimos definidos para a execução do processo Erros e falhas de informações que afetam a execução do processo

MODELAGEM:

Fluxo desatualizado e não reflete a prática atual utilizada na execução do processo Ausência de avaliações periódica sobre a adequabilidade do desenho do processo Ausência ferramenta para análise e melhoria contínua do processo Falha ou falta de metodologia que auxilie no mapeamento do processo

SEGURANÇA FÍSICA:

Falha ou falta de segurança no ambiente de trabalho que afeta a execução do processo

Acesso a áreas consideradas como críticas sem que as pessoas estejam devidamente credenciadas e identificadas

ADEQUAÇÃO À LEGISLAÇÃO:

Descumprimento de prazos legais na execução do processo Ausência de compilação e distribuição de legislação pertinente ao processo em

execução Execução do processo em desacordo com o regimento interno/normas Descumprimento de prazo judicial na execução do processo Descumprimento de obrigação regulatória na execução do processo

PESSOAS

CARGA DE TRABALHO:

Rotatividade (turnover) de pessoal acima do esperado que afeta a execução do processo

Capacidade operacional insuficiente para a execução do processo Falha ou falta de dimensionamento da capacidade operacional com impacto na

execução do processo

COMPETÊNCIAS:

Capacitação da equipe é insatisfatória para a execução do processo Concentração de conhecimentos em determinados servidores afetando a execução do

processo Falha ou falta de disseminação de conhecimento afetando a execução do processo Falha ou falta de capacitação que afeta a execução do processo

AMBIENTE ORGANIZACIONAL:

Ausência de satisfação e/ou de bem-estar do servidor na execução de sua tarefa Desconhecimento dos objetivos do processo por parte dos Servidores Servidores desconhecem as suas responsabilidades individuais na execução do

processo Ausência de recursos necessários para execução das tarefas Resistência de Servidores em promover alterações nas condições de trabalho

CONDUTA:

Ausência de postura ética nas atividades e nos relacionamentos interpessoais Falta de atenção e zelo na execução do processo Ausência de imparcialidade, cumprimento das leis e normas/regulamentares,

confidencialidade e comprometimento na execução do processo Quebra de sigilo e confidencialidade

SEGURANÇA LÓGICA:

Ausência de estrutura de perfis de acesso aos sistemas para execução do processo Ausência de controle de acesso lógico Ausência de logon próprio na rede institucional Falha ou falta de meios seguros de acesso aos sistemas Inexistência de registro nos sistemas (log) das transações críticas

Ausência de formalização que defina as responsabilidades do usuário externo do

40



Controle Interno

Risco Operacional

Fator Subfator e Exemplos de Riscos (Taxonomia)

AMBIENTE TECNOLÓGICO

sistema Incapacidade do sistema de prover informações confiáveis e suficientes sobre o

processo em execução

INFRAESTRUTURA TECNOLÓGICA:

Grau de informatização do processo inadequado para execução do processo Informações e dados armazenados em diretórios não protegidos e sem controle de

acesso Ausência de backup de arquivos, planilhas e bancos de dados essenciais à execução

do processo A estação de trabalho não possui acionado dispositivo de time-out Descarte de mídias sem antes terem apagados os com conteúdo reservado Sobrecarga de sistemas de processamento de dados no momento da execução do

processo Inadequação de sistemas operacionais/aplicativos para execução do processo Falhas de hardware, faltas de backup e de legalização do software afetando a

execução do processo Obsolescência dos sistemas e equipamentos afetando a execução do processo Ataques lógicos à rede de computadores afetando a execução do processo

SOLUÇÃO DE TI:

Inexistência de controle nas requisições e nas melhorias requeridas nos sistemas cuja falta de implementação afeta a execução do processo

Falha ou falta de homologação de sistema impedindo a execução do processo de forma automatizada

COMUNICAÇÃO:

Instabilidade nos sistemas operacionais que afeta a execução do processo Incompatibilidade e/ou indisponibilidade de informações afetando a execução do

processo

EVENTOS EXTERNOS

DESASTRES NATURAIS E CATASTROFE:

Ação Humana: ações intencionais executadas por terceiros para lesar o órgão, como por exemplo: (i) roubos, falsificações, furtos, atos de vandalismos, fraudes externas; (ii) degradação do meio ambiente; e (iii) alterações no ambiente econômico, político e social

Força Maior: (i) enchentes, terremotos, catástrofes (queda de prédio) e outros desastres naturais

AMBIENTE REGULATÓRIO:

Alterações inesperadas na legislação ou em marcos regulatórios pelos órgãos fiscalizadores e reguladores

AMBIENTE SOCIAL:

Cenário socioeconômico interfere na execução do processo Retrações ou não-aproveitamento de oportunidades de mercado provocadas por

eventos relacionados a segurança patrimonial que impede a execução do processo

FORNECEDORES:

Indisponibilidade de recursos em virtude de concentração em um único fornecedor que impede a execução do processo

Falhas ou indisponibilidade de serviços públicos que afeta a execução do processo

41



Controle Interno

ANEXO 3A – Mensuração de Risco/Avaliação de Riscos e Controles

42



Controle Interno

ANEXO 3B – Mensuração de Risco/Matriz de Riscos

43



Controle Interno

ANEXO 4A – Tratamento de Risco/Plano de Implementação de Controles

44



Controle Interno

ANEXO 4B – Controles Básicos

Fator Subfator Controles Básicos Pessoas

Carga de Trabalho

Planejamentos de longo, médio e curto prazos

Acordo de Trabalho

Pesquisa de Clima Organizacional

Reuniões Participativas

Competência

Identificação da Necessidade de Conhecimento / Habilidades

Atividades de Treinamento

Normas e Procedimentos Internos

Ferramentas de autoavaliação de Conhecimento / Habilidades

Ambiente Organizacional

Pesquisa de Clima Organizacional

Condições Ambientais

Comunicação com a Administração

Processo de Gerenciamento de Equipes

Conduta

Valores Éticos e Normas de Conduta da Empresa

Alçadas e Limites

Mecanismos de Motivação/Recompensa /Punição – Práticas de Disciplina e Demissão

Reconhecimento de Responsabilidade por Escrito

Conferências e Autorizações

Rodízio de Funcionários

Segregação de Funções

Testes de Conformidade

Canais de Comunicação – Com clientes

Processos

Comunicação Interna

Canais de Comunicação – Com funcionários


Modelagem

Ferramentas para Análise e Melhoria Contínua de Processos

Metodologia de Autoavaliação de Riscos e Controles

Metodologia de Desenvolvimento de Produtos e Serviços – CARPIS

Validações – Backtesting


Metodologia de Autoavaliação de Riscos e Controles

Mecanismos de Monitoramento e Reporte

Segurança Física

Mecanismos de Segurança Física

Controles de Acesso Físico

Manutenção de Equipamentos

Adequação à Legislação

Testes de Conformidade


Ambiente Tecnológico

Segurança Lógica

Políticas e Diretrizes

Controles de Acesso Lógico

Arquivo e Preservação de Registros

Infraestrutura e Tecnologia


Layout de formulários e Sistemas

Planos de Contingência

Layout de Formulários e Sistemas

Validações - Backtesting


Comunicação Planos de Contingência


Eventos Externos

Desastres Naturais e Catástrofe

Planos de Contingência


Ambiente Regulatório

Análise da Conjuntura Política e Econômica Nacional e Internacional

Ambiente Social Análise da Conjuntura Política e Econômica Nacional e Internacional

Fornecedores Controles de Serviços Terceirizados

45



Controle Interno

ANEXO 4C – Monitoramento/Mapa de Risco

Meta de Rating: corresponde à expectativa de rating que se espera alcançar após a implementação dos controles necessários.

MANUAL DE GESTÃO INTEGRADA DE ISCOS ORPORATIVOS · A gestão de riscos deve ser capaz de...

Documents

Transcript of MANUAL DE GESTÃO INTEGRADA DE ISCOS ORPORATIVOS · A gestão de riscos deve ser capaz de...