1. 2 - Metodologia de Gestão de Riscos
1.1. Permite a implementação, manutenção e monitoramento do processo de gestão de riscos.
1.2. Deverá ser aplicada a todos os processos do Serpro e deve estabelecer:
1.2.1. Matrizes de riscos com sua relevância para:
1.2.1.1. cada processo
1.2.1.2. a organização
1.2.2. Planos de ação para tratamento do Risco
1.2.3. Indicadores de evolução
2. 1 - Introdução
2.1. Risco
2.1.1. As organizações enfrentam influências e fatores internos e externos que tornam incerto o alcance de seus objetivos
2.1.2. O efeito que essa incerteza tem sobre os objetivos da organização é chamado de “risco”.
2.2. Gestão de Riscos
2.2.1. A gestão de riscos corresponde às atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos.
2.2.2. Quando implementada e mantida, possibilita à organização:
2.2.2.1. Assegurar que os responsáveis pela tomada de decisão, em todos os níveis da empresa, tenham acesso tempestivo a informações suficientes quanto aos riscos aos quais está exposta
2.2.2.2. Aumentar a probabilidade de alcance dos objetivos da organização, reduzindo os riscos a níveis aceitáveis;
2.2.2.3. Agregar valor à organização por meio da melhoria dos processos na tomada de decisão e do tratamento adequado dos riscos e dos impactos negativos decorrentes de sua materialização.
3. 3 - Princípios da gestão de Riscos
3.1. A gestão de riscos e os controles internos são mecanismos de governança corporativa e parte integrante de todos os processos organizacionais
3.2. Princípios
3.2.1. Todos os gestores e empregados são responsáveis pela gestão de riscos e controles internos em seus processos de atuação, bem como por alocar recursos para este fim
3.2.2. A execução da gestão de riscos será realizada de forma sistemática, estruturada e oportuna, subordinada ao interesse público
3.2.3. Estabelecimento de níveis de exposição a riscos adequados
3.2.4. Estabelecimento de procedimentos de controles internos proporcionais ao risco, observada a relação custo-benefício, e destinados a agregar valor à organização
3.2.5. Utilização do mapeamento de riscos para apoio à tomada de decisão e à elaboração do planejamento estratégico
3.2.6. Utilização da gestão de riscos para apoio à melhoria contínua dos processos organizacionais
4. 4 - Componentes da estrutura de gestão de riscos.
4.1. Ambiente Interno
4.1.1. O ambiente interno é a base para todos os outros componentes da estrutura de gestão de riscos, provendo disciplina e prontidão para a gestão de riscos.
4.1.2. Inclui, entre outros elementos:
4.1.2.1. integridade
4.1.2.2. valores éticos e competência das pessoas
4.1.2.3. maneira pela qual a gestão delega autoridade e responsabilidades
4.1.2.4. estrutura de governança organizacional e políticas
4.1.2.5. práticas de recursos humanos
4.2. Fixação de Objetivos
4.2.1. Todos os níveis da organização devem ter objetivos fixados e comunicados
4.2.2. A explicitação de objetivos, alinhados à missão e à visão da organização, é necessária para permitir a identificação de eventos que potencialmente impeçam sua consecução.
4.3. Identificação dos eventos
4.3.1. Devem ser identificados e relacionados os riscos inerentes à própria atividade da organização, em seus diversos níveis
4.4. Avaliação dos riscos
4.4.1. Devem ser avaliados por:
4.4.1.1. probabilidade
4.4.1.2. impacto
4.4.2. A avaliação deve ser feita por
4.4.2.1. análises qualitativas
4.4.2.2. análises quantitativas
4.4.2.3. Ou ambas
4.4.3. Os riscos devem ser avaliados quanto à sua condição
4.4.3.1. Inerentes
4.4.3.2. Residuais
4.5. Resposta a riscos
4.5.1. Qual estratégia seguir em relação aos riscos mapeados e avaliados
4.5.1.1. evitar
4.5.1.2. transferir
4.5.1.3. aceitar
4.5.1.4. tratar
4.5.2. A escolha dependerá do nível de exposição a riscos em confronto com a avaliação que se fez do risco.
4.6. Atividades de controles internos
4.6.1. São as políticas e os procedimentos estabelecidos e executados para mitigar os riscos que a organização tenha optado por tratar
4.6.2. Também denominadas de procedimentos de controle
4.6.2.1. Devem estar distribuidas
4.6.2.1.1. por toda a organização
4.6.2.1.2. em todos os níveis
4.6.2.1.3. em todas as funções
4.6.2.2. Podem ser
4.6.2.2.1. preventivos
4.6.2.2.2. detectivos
4.6.2.2.3. planos de contingência
4.6.2.2.4. Planos de Resposta
4.7. Informação e comunicação
4.7.1. A comunicação das informações produzidas deve atingir todos os níveis, por meio de canais claros e abertos que permitam que a informação flua em todos os sentidos.
4.7.2. Informações relevantes devem ser
4.7.2.1. identificadas
4.7.2.2. coletadas
4.7.2.3. comunicadas
4.7.3. Informações que permitem o gerenciamento de riscos e a tomada de decisão
4.7.3.1. dados produzidos internamente
4.7.3.2. Informações sobre
4.7.3.2.1. Eventos
4.7.3.2.2. atividades
4.7.3.2.3. condições externas
4.8. Monitoramento
4.8.1. Tem como objetivo avaliar a qualidade da gestão de riscos e dos controles internos através de:
4.8.1.1. atividades gerenciais contínuas
4.8.1.2. avaliações independentes
4.8.2. Deve assegurar
4.8.2.1. Que estes funcionem como previsto
4.8.2.2. Que sejam modificados apropriadamente de acordo com mudanças nas condições que alterem o nível de exposição a riscos
4.8.3. Quem faz?
4.8.3.1. Gestores
4.8.3.1.1. Unidades
4.8.3.1.2. Processos
4.8.3.1.3. Atividades
4.8.3.2. Alta Administração
4.8.3.2.1. No âmbito da Organização
4.8.3.2.2. visão de riscos de forma consolidada
5. 5 - Categorização dos riscos
5.1. Quanto à Tipologia
5.1.1. Riscos Operacionais
5.1.1.1. Efetam
5.1.1.1.1. Orgão
5.1.1.1.2. Departamento
5.1.1.1.3. Divisão
5.1.1.2. Causados por Falhas, deficiências ou inadequação de:
5.1.1.2.1. processos internos
5.1.1.2.2. pessoas
5.1.1.2.3. infraestrutura
5.1.1.2.4. Sistemas
5.1.1.3. Classificação
5.1.1.3.1. Pessoas
5.1.1.3.2. Processos
5.1.1.3.3. Tecnologia
5.1.1.3.4. Eventos Externos
5.1.2. Riscos de Imagem / Reputação
5.1.2.1. Podem comprometer a confiança em relação à capacidade do Serpro em cumprir sua missão institucional junto a:
5.1.2.1.1. Parceiros
5.1.2.1.2. sociedade
5.1.2.1.3. clientes
5.1.2.1.4. fornecedores
5.1.3. Riscos legais
5.1.3.1. derivados de alterações
5.1.3.1.1. Legais
5.1.3.1.2. Normativas
5.1.4. Riscos Financeiros/Orçamentários
5.1.4.1. podem comprometer a capacidade do Serpro de dispor dos recursos orçamentários e financeiros necessários à realização de suas atividades
5.1.4.2. ou que possam comprometer a própria execução orçamentária.
5.2. Quanto à Origem dos eventos
5.2.1. Externos
5.2.1.1. são riscos associados ao ambiente onde a organização opera
5.2.1.2. Em geral, a organização não tem controle direto sobre estes eventos
5.2.1.2.1. mas mesmo assim ações podem ser tomadas quando necessário.
5.2.1.2.2. Por exemplo: não é possível controlar a incidência de raios, mas instalar para-raios;
5.2.2. Internos
5.2.2.1. são riscos associados à própria estrutura da organização
5.2.2.1.1. processos
5.2.2.1.2. governança
5.2.2.1.3. quadro pessoal
5.2.2.1.4. recursos
5.2.2.1.5. ambiente de tecnologia
5.2.2.2. A organização pode e deve agir diretamente de forma proativa.
5.3. Quanto aos controles internos
5.3.1. Inerente
5.3.1.1. risco a que uma organização está exposta sem considerar quaisquer controles internos que possam reduzir a probabilidade de sua ocorrência ou seu impacto
5.3.2. Residual
5.3.2.1. risco a que uma organização está exposta após a implementação de controles internos para o tratamento do risco.
6. 6 - Responsabilidades
6.1. Diretoria
6.1.1. estabelecimento da estratégia da organização
6.1.2. aprovar, cumprir e fazer cumprir a política de gerenciamento de riscos
6.1.3. o estabelecimento, a manutenção, o monitoramento e o aperfeiçoamento dos controles internos da gestão
6.2. O Comitê Estratégico de Governança, Riscos, Controles e Segurança da Informação
6.2.1. órgão colegiado
6.2.2. Responsável por
6.2.2.1. Integrar os gestores de riscos operacionais, financeiros e de segurança da informação
6.2.2.2. supervisionar a institucionalização da gestão de riscos e de controles internos,
6.2.2.3. assessorar a Diretoria e propor limites de exposição a riscos para o Serpro.
6.3. Os Comitês Táticos de Riscos, Controles e Segurança da Informação das Diretorias
6.3.1. institucionalização da gestão de riscos e controles internos nas Unidades
6.3.2. monitoração dos planos de ação de mitigação de riscos
6.3.3. prover informações agregadas para o Comitê Estratégico.
6.4. A Superintendência de Controles, Riscos e Compliance – SUPCR
6.4.1. Gerenciar, disseminar e apoiar ações relacionadas à aplicação da metodologia
6.4.2. Promover a capacitação da metodologia para as Unidades Organizacionais da empresa
6.4.3. Gerir o ciclo de vida da metodologia por meio de avaliações periódicas para corrigir desvios e identificar melhorias no processo e nos artefatos gerados.
6.5. Gestores e empregados
6.5.1. são responsáveis pela gestão de riscos e controles internos em seus processos de atuação
6.5.2. Gestor de Risco
6.5.2.1. cada risco mapeado e avaliado deve estar associado a um agente responsável formalmente identificado.
6.5.2.1.1. O agente responsável pelo gerenciamento de determinado risco deve ser o gestor com alçada suficiente para orientar e acompanhar as ações de mapeamento, avaliação e mitigação do risco.
6.5.2.2. Responsável por
6.5.2.2.1. Assegurar que o risco seja gerenciado de acordo com a política de gestão de riscos
6.5.2.2.2. Monitorar o risco ao longo do tempo, de modo a garantir que as respostas adotadas resultem na manutenção do risco em níveis adequados, de acordo com a política de gestão de riscos
6.5.2.2.3. Garantir que as informações adequadas sobre o risco estejam disponíveis em todos os níveis da organização
6.5.2.2.4. Realizar novo ciclo de análise de riscos anualmente, atendendo o princípio de que a gestão de riscos deve ser sistemática, estruturada e oportuna
7. 7 - Processo da Gestão dos Riscos Corporativos – PGRC
7.1. Etapas
7.1.1. Estabelecer contexto
7.1.1.1. Nesta etapa serão levantadas todas as atividades e objetivos-chave dos processos e subprocessos a serem avaliados
7.1.1.1.1. Todas as ações, atividades ou tarefas pertencentes aos processos e subprocessos que estejam alinhadas aos objetivos-chave do processo, planejamento estratégico ou no âmbito do contexto corporativo da empresa (informações externas, legislação pertinente, entre outras) são insumos relevantes.
7.1.1.2. Figura
7.1.1.2.1. Figura 2 – Análise de Riscos Inerentes (ARI) – Contexto
7.1.2. Identificar e analisar riscos inerentes
7.1.2.1. Identificar os riscos
7.1.2.1.1. Os eventos que poderão interferir na consecução dos objetivos do processo serão identificados e classificados em termos de sua tipologia
7.1.2.1.2. Análise de Riscos Inerentes (ARI) - Identificação
7.1.2.1.3. Figura
7.1.2.2. Analisar riscos inerentes
7.1.2.2.1. Para análise dos riscos inerentes não serão considerados os controles que possam existir para diminuir a probabilidade da sua ocorrência ou de seu impacto, caso o evento venha a ocorrer.
7.1.2.2.2. Os riscos deverão ser analisados em termos de:
7.1.2.2.3. Estes valores serão utilizados no cálculo do nível do risco inerente (NRi)
7.1.2.2.4. Figura
7.1.2.3. Matriz de riscos Inerentes - MRI
7.1.2.3.1. A partir da identificação e análise do risco inerente, será possível a construção da Matriz de Riscos Inerentes (MRI),
7.1.2.3.2. Figura
7.1.3. Avaliar controles existentes
7.1.3.1. Conceitos
7.1.3.1.1. Nesta etapa do processo é levado em consideração a avaliação sobre a implementação de políticas, procedimentos, técnicas e ferramentas para diminuir os riscos e assegurar o alcance de objetivos organizacionais, denominados controles internos.
7.1.3.2. Avaliação dos Controles Existentes (ACE)
7.1.3.2.1. Na figura abaixo estão as descrições dos campos a serem preenchidos
7.1.3.2.2. Figura
7.1.3.3. Matriz de riscos Residuais - MRR
7.1.3.3.1. A partir da identificação e análise do risco residual, será possível a construção da Matriz de Riscos Residuais (MRR)
7.1.3.3.2. Figura
7.1.4. Responder aos riscos
7.1.4.1. Conceitos
7.1.4.1.1. A planilha de Respostas aos Riscos (RR) é utilizada para o registro dos controles necessários ao tratamento dos riscos e das ações necessárias à implementação dos mesmos.
7.1.4.1.2. Todos os riscos identificados serão apresentados na planilha Resposta aos Riscos (RR) junto a estratégia sugerida para seu tratamento.
7.1.4.1.3. A estratégia é sugerida com base no nível de risco calculado nas planilhas Análise de Risco Inerente (ARI) ou Avaliação dos controles existentes (ACE)
7.1.4.1.4. Não há obrigatoriedade na adoção da estratégia sugerida. O gestor pode estabelecer uma estratégia distinta denominada estratégia definida.
7.1.4.1.5. Não havendo controles existentes para os riscos descritos e, de acordo com a estratégia definida, é essencial que se aponte os controles necessários para o tratamento dos riscos.
7.1.4.2. Tabela Resposta aos Riscos (RR)
7.1.4.2.1. Figura 12 – Respostas aos Riscos (RR)
7.1.4.3. A Matriz de Riscos Finais (MRF)
7.1.4.3.1. apresenta a expectativa do nível de risco obtido após a conclusão do plano de ação.
7.1.4.3.2. Figura
7.1.5. Executar a matriz GUT – Gravidade, Urgência e Tendência
7.1.5.1. Conceitos
7.1.5.1.1. Funciona como um instrumento auxiliar para ajudar o gestor na definição das prioridades no tratamento e controle dos riscos.
7.1.5.1.2. O preenchimento da Matriz GUT serve apenas como auxílio para definições de prioridades, de forma que fica facultado ao processo a sua utilização conforme a necessidade.
7.1.5.1.3. O nível de risco apontado na planilha de Resposta aos Riscos (RR) permite ao gestor ter uma visão “panorâmica” de como um determinado risco age dentro e fora da organização em função dos objetivos estratégicos
7.1.5.1.4. A matriz GUT permite ao gestor apontar:
7.1.5.2. Matriz Gut
7.1.5.2.1. Figura 14 – Matriz de Gravidade, Urgência e Tendência – GUT
7.1.6. Monitorar
7.1.6.1. É a avaliação permanente dos riscos e controles internos
7.1.6.1.1. O objetivo é avaliar a qualidade da gestão de riscos e controles internos por meio de atividades gerenciais contínuas para assegurar que funcionem como previsto.
7.1.6.2. Os resultados obtidos durante a aplicação desta metodologia (matrizes de risco, planilhas de análise e resposta a riscos) são insumos para o monitoramento.
7.1.6.3. O plano de ação da unidade, contido na planilha de Resposta a Riscos (RR), permite o monitoramento tempestivo e cíclico das ações de controle e resposta aos riscos.
7.1.6.3.1. Figura 16 – Respostas aos Riscos (RR) – Plano de Ação
7.1.6.3.2. Adicionalmente, com o acompanhamento da execução do Plano de Ação, o gestor poderá refazer a avaliação do nível do risco para os controles que foram implementados e verificar se o nível do risco alcançou a expectativa que foi calculada na Matriz de Riscos Finais.
7.1.6.4. O gestor dos riscos da unidade deverá acompanhar a execução do plano e comunicar as dificuldades e os resultados à alta administração.
7.1.6.4.1. Os gestores de riscos entregarão o resultado referente ao processo de gestão de riscos e, a partir das matrizes de riscos inerente e residual, o Comitê Estratégico de Gestão de Riscos definirá o nível de exposição aos riscos.
7.1.6.4.2. A alta administração determinará, assim, seu posicionamento frente aos riscos, considerando seus efeitos, a tolerância aos riscos e o apetite aos riscos.