GESTO DE RISCOS

PAULA SOARES DE ALMEIDA

UNIFEI - UNIVERSIDADE FEDERAL DE ITAJUB
AGOSTO, 2016.
 CONTEXTO

Auditoria Interna - Atividade independente e de assessoria gesto;

Auxilia a organizao a atingir seus objetivos a partir da aplicao de uma abordagem sistemtica e
disciplinada para avaliar e melhorar a eficcia dos processos de gerenciamento de riscos, dos
controles internos, da integridade e da governana. (Instituto dos Auditores Internos do Brasil- IIA Brasil
e CGU IN Conjunta n1, maio 2016)
 CAMADAS DE DEFESA DA GESTO (CGU IN 01-05/2016)

Avaliao das operaes de controle

interno da gesto auditorias operacionais
3 Linha
Auditoria
Interna
Superviso dos controles Internos

2 Linha
Instncias especficas -Comits
de Riscos e Controles Internos

1 linha
Executado por todos os nveis de gesto
dentro da Organizao Controles
Internos de todos os setores
ACRDOS TCU DE 2013 E 2014

TCU Acrdos Plenrio n 3392/2013, 3388/2013, 3383/2013, 3466/2014...

TCU Acrdo n 3821/2014 Plenrio: importncia do gerenciamento de riscos nas organizaes ao
afirmar ser de sua competncia a intensificao de aes que promovam a melhoria da gesto de
riscos e dos controles da Administrao Pblica;
9.17.3. estruture mais adequadamente as prticas de planejamento estratgico adotadas pela organizao, com vistas
a implementao futura de uma gesto orientada governana e gesto de riscos;
9.17.4. promova estudos com vistas a estruturar um sistema de controle interno que enseje a identificao dos riscos
mais significativos para os objetivos da organizao e o desenvolvimento de controles internos voltados mitigao
ou eliminao desses riscos;
 INSTRUO NORMATIVA CONJUNTA N 1, 10 DE MAIO DE 2016
(MINISTRIO DO PLANEJAMENTO E A CGU)

Dispe sobre controles internos, gesto de riscos e governana no mbito do Poder Executivo
federal;
Conceitos importantes;
Cap.II Controles Internos da Gesto
Seo III - Estrutura dos Controles Internos da gesto(COSO): ambiente de controle, avaliao de risco,
atividades de controle internos, informao e comunicao, monitoramento.
CAP. III DA GESTO DE RISCOS
SEO III DA ESTRUTURA DO MODELO DE GESTO DE RISCOS

I- Ambiente Interno (Base, valores ticos, competncias)

II- Fixao dos objetivos (todos os nveis da organizao)
III- Identificao de eventos (identificar os riscos s atividades da organizao em todos os nveis)
IV- Avaliao dos riscos (probabilidade e impacto- gestores)
V- Resposta ao risco (evitar, transferir, aceitar ou tratar o risco)
VI- Atividades de Controle interno (polticas e procedimentos definidos para mitigar o risco que a
organizao optou por tratar)
VII- Informao e Comunicao (As informaes produzidas devem fluir por todos os nveis de
forma clara e aberta todos)
VIII- Monitoramento (avaliar a qualidade da gesto de riscos e realizar as alteraes quando houver
alguma alterao na exposio ao risco)
CAPTULO III
SEO VI- POLTICA DE GESTO DE RISCO

Prazo para implantao: 11/05/2017

Art. 18. Considerar os possveis tipos de risco:

Risco operacional: eventos que podem comprometer as atividades da Universidade, esto
associados falhas de processos internos, pessoas, infraestrutura e sistemas;
Exemplo: Pagamento indevido servidor que solicitou auxlio transporte mas no anexou o
comprovante de endereo no sistema (falha operacional, falha de sistema, falha de controle)
Alunos no terem acesso notas (Falha no sistema acadmico)
Risco imagem/reputao: eventos que podem comprometer a confiana da sociedade em
relao misso institucional da Universidade;
Exemplo: Ocorrncia de fraudes de conhecimento da sociedade sem a devida punio;
 Riscos Legais: eventos derivados de alteraes legislativas ou normativas que podem comprometer as
atividades da universidade;
Exemplo: Risco de no observncia em alterao de normativo. Nmero de professores afastados acima do
permitido para o perodo, prejudicando os discentes.

Riscos Financeiros/oramentrios: eventos que podem comprometer a capacidade da universidade

de contar com recursos financeiros para a realizao de suas atividades ou comprometer a prpria
execuo oramentria.
Exemplo: Risco financeiro: Atraso no envio de recursos financeiros.
Risco oramentrio: Limite de empenho imposto pelo MEC.
CAPTULO V COMIT DE GOVERNANA, RISCOS E
CONTROLES

Composio do Comit: Dirigente mximo (Reitor) +

Dirigentes subordinados ao Reitor + apoiado pelo Estabelecer o Comit
Assessor Especial de Controle Interno.
Competncias.
Instituir a poltica de Gesto
de Riscos

Sua Instituio j tem tudo isto formalizado? Iniciar as atividades de gesto

de riscos (anlises)
 NORMAS SOBRE GESTO DE RISCOS

ABNT NBR ISO 31000:2009 -Gesto de Riscos Princpios e Diretrizes

ABNT NBR ISO/IEC 31010:2012 - Gesto de Riscos - Tcnicas para o processo de avaliao de riscos.
Enterprise Risk Management (ERM)
Management of Risk Principles and Concepts (Orange Book)
 ABNT NBR ISO 3100:2009

Conceitos em geral (Risco = O efeito da incerteza nos objetivos)

A norma destinada a atender s necessidades de uma ampla gama de partes interessadas, incluindo:
os responsveis pelo desenvolvimento da poltica de gesto de riscos no mbito de suas organizaes,
os responsveis por assegurar que os riscos so eficazmente gerenciados na organizao como um
todo ou em uma rea, atividade ou projetos especficos, os que precisam avaliar a eficcia de uma
organizao em gerenciar riscos e os desenvolvedores de normas, guias.
ABNT NBR ISO 3100:2009
As organizaes gerenciam o risco, identificando-o, analisando-o, em seguida, avaliando se o risco deve ser
modificado pelo tratamento do risco a fim de atender a seus critrios de risco. Ao longo de todo este processo,
elas comunicam e consultam as partes interessadas e monitoram e analisam criticamente o risco e os controles
que o modificam, a fim de assegurar que nenhum tratamento de risco adicional seja requerido. A norma descreve
este processo sistemtico e lgico em detalhes.

Fonte: ABNT NBR ISO 3100

ISO 31010:2009 TCNICAS PARA O PROCESSO DE AVALIAO DE
RISCOS
Considerando os quatro tipos de riscos estabelecidos pela IN n1: operacional, legal, imagem e financeiro
Cada nvel da Instituio deve ESTABELECER O CONTEXTO

Reitor e Vice Reitor

Macroprocessos

Processos
Pr Reitores e Diretores
Sub processos

Atividades
Servidores operacionais
Tarefas
EXEMPLO: PR REITORA DE GESTO DE PESSOAS

O que devo me perguntar?

Quais os processos, sub processos, atividades e tarefas exercidas pelo meu setor que podem oferecer riscos?
RISCOS: legal, financeiro, operacional, de imagem Universidade.

MACRO PROCESSO
Gesto de Pessoas

PROCESSO PROCESSO PROCESSO PROCESSO PROCESSO

Diviso de Diviso de Diviso de assuntos Diviso de Diretoria de
Legislao e direitos Recrutamento e comunitrios Cadastro e Assistncia
Seleo financeira Estudantil

SUB PROCESSO SUB PROCESSO SUB PROCESSO SUB PROCESSO SUB PROCESSO
Aposentadoria Admisso Programa de Auxlio PNAES
Preveno de Transporte
ATIVIDADE acidentes e ATIVIDADE
Aposentadoria doenas Concesso de Bolsas
voluntria Auxlio Permanncia
ATIVIDADE
Programa de preveno
de doenas ergonmicas
 MAPEAMENTO DAS ATIVIDADES E TAREFAS
Realizar o mapeamento das atividades executadas dentro de cada departamento;
Forma Manual ou utilizando programas. Ex:
 Risco: Servidor trabalhar mais de 120h/ano.

Risco: Servidor trabalhou porm estava indisponvel

para realizar a atividade (afastado).

Risco: Ocorrer atividade sem recurso alocado.

Risco: Servidor no presta contas (comprovao
da reposio de horas dentro de um ano).

Risco: Servidor realiza a atividade sem prvio empenho.

 IDENTIFICAR OS RISCOS

MTODOS:
Baseado em evidncias exemplo: dados histricos, achados de auditoria;
Abordagem sistemtica da equipe, perguntas entre a equipe;
Tcnicas de raciocnio indutivo- What-if
Tcnicas de apoio Brainstorming
Quem so as pessoas mais capazes de identificar os riscos dentro das atividades, tarefas ou
processos em que atuam diretamente?
Alta gerncia? Diretores? Ou servidores operacionais?
 EXEMPLO:
Mtodo evidncias: Quais as principais
constataes sobre este procedimento?
- Endereo informado no sistema diferente do
comprovante de residncia digitalizado;
- Comprovante de residncia em nome de
terceiros sem comprovao do vnculo;
Tcnica what-if:
- E se a pessoa preencher errado os campos
solicitados?
- E se a pessoa no incluir o comprovante de
endereo?
- E se...
Braintorming: rene a equipe responsvel e
colocam as ideias de o que pode dar errado?
O que seria um risco neste procedimento?
 AVALIAO DOS RISCOS
Trata-se de entender o risco.
Estabelecer consequncias e as probabilidades para determinar o nvel do risco.
Exemplo:
- Evento 1: Informar um endereo e anexar no sistema o comprovante com outro endereo.
- Risco Financeiro (pagamento indevido?) e risco operacional (falha no controle)
Probabilidade Consequncia Matriz qualitativa de riscos
1- Raro 1- Desprezvel
2- Improvvel 2- Menor
Consequncia
5

E- Risco Extremo ao Cons.

Desprezvel Maior Catastrfica
3- Possvel 3- Moderada imediata Proba. Menor Moderada
4

4- Provvel 4- Maior A- Risco Alto ao alta

Quase Certo A E E E
3

5- Quase certo 5- Catastrfica A

gerncia
M- Risco Moderado A E
2

Provvel M A E
definir responsabilidade
1

B M A E E
gerencial Possvel
1 2 3 4 5 B- Risco Baixo manter Improvvel B B M A E
Probabilidade prticas e procedimentos Raro B B B A A
 ANLISE DOS RISCOS

Analisar se para cada evento encontrado:

- Os controles existentes so capazes de evitar que os riscos identificados ocorram?
- Analisar as consequncias: alta ou baixa?
- Anlise e estimativa da probabilidade. (dados histricos, opinio de especialistas)
 EXEMPLO

Anlise da concesso do auxlio transporte para servidor que informa endereo

divergente do anexado. Risco financeiro (pagamento indevido) e operacional (falha no
controle)
- Os controles foram suficientes para identificar esta falha? NO
- A avaliao (cons. X prob.) foi de nvel de RISCO ALTO (Matriz) que indica que devem
ser tomadas as providncias pela gerncia;
E- Risco Extremo ao imediata
A- Risco Alto ao alta gerncia
M- Risco Moderado definir responsabilidade gerencial
B- Risco Baixo manter prticas e procedimentos

APETITE AO RISCO = o quanto o gestor est disposto

a assumir o risco.
 Pessoas adequadas para analisar e avaliar so os Pr reitores e Diretores, alm
do dirigente mximo.
Cada gestor e o dirigente mximo, em suas vises, devem definir seus critrios
de anlises e que tipo de ao deve ser tomada;
AES FUTURAS

O risco precisa de tratamento?

Qual a prioridade para o tratamento?

Avaliar a deciso de tratamento do risco

Custo benefcio de se assumir o risco x Custo benefcio de implementar novos

controles
Vale a pena tratar o risco, ou assumir a suas consequncias?
 TRATAMENTOS (EXEMPLOS)

Risco: Pagamento indevido do aux. Transporte.

Causa: Aceite de documentao inadequada pelo sistema.
Fonte de risco: Deficincia no sistema operacional SIG de reconhecimento do documento adequado.

TRATAMENTOS
1- Remover a fonte de risco (Fonte: Sistema SIG deficiente. No utilizar mais o sistema para conceder o
auxlio)
2- Evitar o risco (Deciso de no iniciar ou descontinuar a atividade que d origem ao risco No conceder
mais o auxilio transporte)
3- Alterar a probabilidade = ao preventiva (Estabelecer mais controle: Orientar formalmente os
solicitantes quanto ateno no preenchimento dos dados no sistema o e comprovante que deve ser
anexado; Realizar dupla checagem pelos servidores do DPE na documentao anexada no sistema)
4- Alterar a consequncia = ao corretiva/diminuir o efeito (pagamento indevido pedir restituio do
valor pago indevidamente)
5- Transferir o risco terceirizao (Seguros)
6- Reter o risco- assumir. (No estabelecer tratamento algum, assumir o risco quando mais vantajoso)
 TRATAMENTO: PROBABILIDADE X CONSEQUNCIA
Alterar apenas a Probabilidade Alterar apenas a Consequncia/Impacto

Alterar a Consequncia/Impacto e a
probabilidade
 EXEMPLO- TRATAMENTO

O gestor entendeu que este risco (financeiro e

operacional) deve receber um tratamento;
Qual?
Alterar a probabilidade e a consequncia para que
se torne um risco aceitvel.
Alterar a Probabilidade: Implementar novos
controles; (verificao manual de cada comprovante
do sistema ou implantar reconhecimento
automtico de imagem dos documentos) E
configurar o sistema para no deixar campos de
informao em branco e sem anexo;
Alterar a consequncia: Exigir restituio do valor
recebido indevidamente;
 MONITORAMENTO E ANLISE CRTICA
Envolvem checagens e vigilncias regulares. (Garantir que os controles sejam eficazes e eficientes nos
procedimentos);
Podem ser peridicos ou acontecer em resposta a um fato especfico;
Analisar os eventos, mudanas, tendncias, sucessos e fracassos e aprender com eles;
Detectar mudanas no contexto interno e externo, o que pode trazer alteraes nos critrios de riscos
e nos seus tratamentos.
Obs.: O monitoramento manual pode se tornar muito trabalhoso ou invivel. O ideal seria o
monitoramento por sistemas de informao, mas depende de sua disponibilidade.
 MONITORAMENTO E ANLISE CRTICA
Podem ser aplicados em todo o processo de gesto de riscos, no controle ou no risco. (Identificar mudanas no nvel
do desempenho esperado)
Exemplo:
Monitoramento aplicado ao risco: De acordo com o nvel do risco, Alto ou Muito alto, devem ser monitorados
periodicamente, por exemplo mensalmente, de acordo com a vontade do gestor.
Monitoramento aplicado ao controle: A conferncia do endereo do servidor feita por reconhecimento automtico
de imagem, e no mais manualmente por um outro servidor, altera o nvel de desempenho deste controle . Quando a
checagem for realizada de forma automtica trar mais segurana e menores chances de ocorrerem erros.
Monitoramento em todo o processo de gesto de risco: Utilizar sistema integrado capaz de indicar ao gestor, durante
a execuo de seus procedimentos, todos os potenciais riscos e os possveis tratamentos para este. Sistema SIG
Mdulo Gesto de Riscos- sendo desenvolvido/ a ser implantado. (UFRN)
RESUMINDO:
CURSOS
 AES CONJUNTAS (IFES)

Capacitaes
Estudos de casos
Compartilhar mapas de riscos e processos
Benchmark (identificao de riscos em comum para servir de comparao)
Ao conjunta com a UFRN na gesto de riscos (Modelagem de Sistema)
REFERNCIAS

SILVA, Bruno. Modelo de Gesto de Riscos em Instituies Federais de Ensino Superior (IFES).
UFRN: Natal, 2016.

ABNT NBR ISO 31000:2009. Gesto de riscos- Princpios e diretrizes. Associao Brasileira de
Normas Tcnicas- ABNT. Rio de janeiro, 2009.

ABNT NBR ISO/IEC 31010. Gesto de riscos- tcnicas para o processo de avaliao de riscos.
Associao Brasileira de Normas Tcnicas- ABNT. Rio de janeiro, 2012.

Jnior, Joacir Arajo Machado. ISO 31010:2009 Avaliao de Riscos Seleo de Ferramentas e
Tcnicas de Risk Assessment. QSP- Centro da Qualidade, Segurana e Produtividade para o Brasil e
Amrica Latina: So Paulo, 2016.