Metodologia de Gestão de Riscos e Controles Internos

1. 5 - Categorização dos riscos

1.1. Quanto à Tipologia

1.1.1. Riscos Operacionais

1.1.1.1. Efetam

1.1.1.1.1. Orgão

1.1.1.1.2. Departamento

1.1.1.1.3. Divisão

1.1.1.2. Causados por Falhas, deficiências ou inadequação de:

1.1.1.2.1. processos internos

1.1.1.2.2. pessoas

1.1.1.2.3. infraestrutura

1.1.1.2.4. Sistemas

1.1.1.3. Classificação

1.1.1.3.1. Pessoas

1.1.1.3.2. Processos

1.1.1.3.3. Tecnologia

1.1.1.3.4. Eventos Externos

1.1.2. Riscos de Imagem / Reputação

1.1.2.1. Podem comprometer a confiança em relação à capacidade do Serpro em cumprir sua missão institucional junto a:

1.1.2.1.1. Parceiros

1.1.2.1.2. sociedade

1.1.2.1.3. clientes

1.1.2.1.4. fornecedores

1.1.3. Riscos legais

1.1.3.1. derivados de alterações

1.1.3.1.1. Legais

1.1.3.1.2. Normativas

1.1.4. Riscos Financeiros/Orçamentários

1.1.4.1. podem comprometer a capacidade do Serpro de dispor dos recursos orçamentários e financeiros necessários à realização de suas atividades

1.1.4.2. ou que possam comprometer a própria execução orçamentária.

1.2. Quanto à Origem dos eventos

1.2.1. Externos

1.2.1.1. são riscos associados ao ambiente onde a organização opera

1.2.1.2. Em geral, a organização não tem controle direto sobre estes eventos

1.2.1.2.1. mas mesmo assim ações podem ser tomadas quando necessário.

1.2.1.2.2. Por exemplo: não é possível controlar a incidência de raios, mas instalar para-raios;

1.2.2. Internos

1.2.2.1. são riscos associados à própria estrutura da organização

1.2.2.1.1. processos

1.2.2.1.2. governança

1.2.2.1.3. quadro pessoal

1.2.2.1.4. recursos

1.2.2.1.5. ambiente de tecnologia

1.2.2.2. A organização pode e deve agir diretamente de forma proativa.

1.3. Quanto aos controles internos

1.3.1. Inerente

1.3.1.1. risco a que uma organização está exposta sem considerar quaisquer controles internos que possam reduzir a probabilidade de sua ocorrência ou seu impacto

1.3.2. Residual

1.3.2.1. risco a que uma organização está exposta após a implementação de controles internos para o tratamento do risco.

2. 6 - Responsabilidades

2.1. Diretoria

2.1.1. estabelecimento da estratégia da organização

2.1.2. aprovar, cumprir e fazer cumprir a política de gerenciamento de riscos

2.1.3. o estabelecimento, a manutenção, o monitoramento e o aperfeiçoamento dos controles internos da gestão

2.2. O Comitê Estratégico de Governança, Riscos, Controles e Segurança da Informação

2.2.1. órgão colegiado

2.2.2. Responsável por

2.2.2.1. Integrar os gestores de riscos operacionais, financeiros e de segurança da informação

2.2.2.2. supervisionar a institucionalização da gestão de riscos e de controles internos,

2.2.2.3. assessorar a Diretoria e propor limites de exposição a riscos para o Serpro.

2.3. Os Comitês Táticos de Riscos, Controles e Segurança da Informação das Diretorias

2.3.1. institucionalização da gestão de riscos e controles internos nas Unidades

2.3.2. monitoração dos planos de ação de mitigação de riscos

2.3.3. prover informações agregadas para o Comitê Estratégico.

2.4. A Superintendência de Controles, Riscos e Compliance – SUPCR

2.4.1. Gerenciar, disseminar e apoiar ações relacionadas à aplicação da metodologia

2.4.2. Promover a capacitação da metodologia para as Unidades Organizacionais da empresa

2.4.3. Gerir o ciclo de vida da metodologia por meio de avaliações periódicas para corrigir desvios e identificar melhorias no processo e nos artefatos gerados.

2.5. Gestores e empregados

2.5.1. são responsáveis pela gestão de riscos e controles internos em seus processos de atuação

2.5.2. Gestor de Risco

2.5.2.1. cada risco mapeado e avaliado deve estar associado a um agente responsável formalmente identificado.

2.5.2.1.1. O agente responsável pelo gerenciamento de determinado risco deve ser o gestor com alçada suficiente para orientar e acompanhar as ações de mapeamento, avaliação e mitigação do risco.

2.5.2.2. Responsável por

2.5.2.2.1. Assegurar que o risco seja gerenciado de acordo com a política de gestão de riscos

2.5.2.2.2. Monitorar o risco ao longo do tempo, de modo a garantir que as respostas adotadas resultem na manutenção do risco em níveis adequados, de acordo com a política de gestão de riscos

2.5.2.2.3. Garantir que as informações adequadas sobre o risco estejam disponíveis em todos os níveis da organização

2.5.2.2.4. Realizar novo ciclo de análise de riscos anualmente, atendendo o princípio de que a gestão de riscos deve ser sistemática, estruturada e oportuna

3. 7 - Processo da Gestão dos Riscos Corporativos – PGRC

3.1. Etapas

3.1.1. Estabelecer contexto

3.1.1.1. Nesta etapa serão levantadas todas as atividades e objetivos-chave dos processos e subprocessos a serem avaliados

3.1.1.1.1. Todas as ações, atividades ou tarefas pertencentes aos processos e subprocessos que estejam alinhadas aos objetivos-chave do processo, planejamento estratégico ou no âmbito do contexto corporativo da empresa (informações externas, legislação pertinente, entre outras) são insumos relevantes.

3.1.1.2. Figura

3.1.1.2.1. Figura 2 – Análise de Riscos Inerentes (ARI) – Contexto

3.1.2. Identificar e analisar riscos inerentes

3.1.2.1. Identificar os riscos

3.1.2.1.1. Os eventos que poderão interferir na consecução dos objetivos do processo serão identificados e classificados em termos de sua tipologia

3.1.2.1.2. Análise de Riscos Inerentes (ARI) - Identificação

3.1.2.1.3. Figura

3.1.2.2. Analisar riscos inerentes

3.1.2.2.1. Para análise dos riscos inerentes não serão considerados os controles que possam existir para diminuir a probabilidade da sua ocorrência ou de seu impacto, caso o evento venha a ocorrer.

3.1.2.2.2. Os riscos deverão ser analisados em termos de:

3.1.2.2.3. Estes valores serão utilizados no cálculo do nível do risco inerente (NRi)

3.1.2.2.4. Figura

3.1.2.3. Matriz de riscos Inerentes - MRI

3.1.2.3.1. A partir da identificação e análise do risco inerente, será possível a construção da Matriz de Riscos Inerentes (MRI),

3.1.2.3.2. Figura

3.1.3. Avaliar controles existentes

3.1.3.1. Conceitos

3.1.3.1.1. Nesta etapa do processo é levado em consideração a avaliação sobre a implementação de políticas, procedimentos, técnicas e ferramentas para diminuir os riscos e assegurar o alcance de objetivos organizacionais, denominados controles internos.

3.1.3.2. Avaliação dos Controles Existentes (ACE)

3.1.3.2.1. Na figura abaixo estão as descrições dos campos a serem preenchidos

3.1.3.2.2. Figura

3.1.3.3. Matriz de riscos Residuais - MRR

3.1.3.3.1. A partir da identificação e análise do risco residual, será possível a construção da Matriz de Riscos Residuais (MRR)

3.1.3.3.2. Figura

3.1.4. Responder aos riscos

3.1.4.1. Conceitos

3.1.4.1.1. A planilha de Respostas aos Riscos (RR) é utilizada para o registro dos controles necessários ao tratamento dos riscos e das ações necessárias à implementação dos mesmos.

3.1.4.1.2. Todos os riscos identificados serão apresentados na planilha Resposta aos Riscos (RR) junto a estratégia sugerida para seu tratamento.

3.1.4.1.3. A estratégia é sugerida com base no nível de risco calculado nas planilhas Análise de Risco Inerente (ARI) ou Avaliação dos controles existentes (ACE)

3.1.4.1.4. Não há obrigatoriedade na adoção da estratégia sugerida. O gestor pode estabelecer uma estratégia distinta denominada estratégia definida.

3.1.4.1.5. Não havendo controles existentes para os riscos descritos e, de acordo com a estratégia definida, é essencial que se aponte os controles necessários para o tratamento dos riscos.

3.1.4.2. Tabela Resposta aos Riscos (RR)

3.1.4.2.1. Figura 12 – Respostas aos Riscos (RR)

3.1.4.3. A Matriz de Riscos Finais (MRF)

3.1.4.3.1. apresenta a expectativa do nível de risco obtido após a conclusão do plano de ação.

3.1.4.3.2. Figura

3.1.5. Executar a matriz GUT – Gravidade, Urgência e Tendência

3.1.5.1. Conceitos

3.1.5.1.1. Funciona como um instrumento auxiliar para ajudar o gestor na definição das prioridades no tratamento e controle dos riscos.

3.1.5.1.2. O preenchimento da Matriz GUT serve apenas como auxílio para definições de prioridades, de forma que fica facultado ao processo a sua utilização conforme a necessidade.

3.1.5.1.3. O nível de risco apontado na planilha de Resposta aos Riscos (RR) permite ao gestor ter uma visão “panorâmica” de como um determinado risco age dentro e fora da organização em função dos objetivos estratégicos

3.1.5.1.4. A matriz GUT permite ao gestor apontar:

3.1.5.2. Matriz Gut

3.1.5.2.1. Figura 14 – Matriz de Gravidade, Urgência e Tendência – GUT

3.1.6. Monitorar

3.1.6.1. É a avaliação permanente dos riscos e controles internos

3.1.6.1.1. O objetivo é avaliar a qualidade da gestão de riscos e controles internos por meio de atividades gerenciais contínuas para assegurar que funcionem como previsto.

3.1.6.2. Os resultados obtidos durante a aplicação desta metodologia (matrizes de risco, planilhas de análise e resposta a riscos) são insumos para o monitoramento.

3.1.6.3. O plano de ação da unidade, contido na planilha de Resposta a Riscos (RR), permite o monitoramento tempestivo e cíclico das ações de controle e resposta aos riscos.

3.1.6.3.1. Figura 16 – Respostas aos Riscos (RR) – Plano de Ação

3.1.6.3.2. Adicionalmente, com o acompanhamento da execução do Plano de Ação, o gestor poderá refazer a avaliação do nível do risco para os controles que foram implementados e verificar se o nível do risco alcançou a expectativa que foi calculada na Matriz de Riscos Finais.

3.1.6.4. O gestor dos riscos da unidade deverá acompanhar a execução do plano e comunicar as dificuldades e os resultados à alta administração.

3.1.6.4.1. Os gestores de riscos entregarão o resultado referente ao processo de gestão de riscos e, a partir das matrizes de riscos inerente e residual, o Comitê Estratégico de Gestão de Riscos definirá o nível de exposição aos riscos.

3.1.6.4.2. A alta administração determinará, assim, seu posicionamento frente aos riscos, considerando seus efeitos, a tolerância aos riscos e o apetite aos riscos.

4. 2 - Metodologia de Gestão de Riscos

4.1. Permite a implementação, manutenção e monitoramento do processo de gestão de riscos.

4.2. Deverá ser aplicada a todos os processos do Serpro e deve estabelecer:

4.2.1. Matrizes de riscos com sua relevância para:

4.2.1.1. cada processo

4.2.1.2. a organização

4.2.2. Planos de ação para tratamento do Risco

4.2.3. Indicadores de evolução

5. 1 - Introdução

5.1. Risco

5.1.1. As organizações enfrentam influências e fatores internos e externos que tornam incerto o alcance de seus objetivos

5.1.2. O efeito que essa incerteza tem sobre os objetivos da organização é chamado de “risco”.

5.2. Gestão de Riscos

5.2.1. A gestão de riscos corresponde às atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos.

5.2.2. Quando implementada e mantida, possibilita à organização:

5.2.2.1. Assegurar que os responsáveis pela tomada de decisão, em todos os níveis da empresa, tenham acesso tempestivo a informações suficientes quanto aos riscos aos quais está exposta

5.2.2.2. Aumentar a probabilidade de alcance dos objetivos da organização, reduzindo os riscos a níveis aceitáveis;

5.2.2.3. Agregar valor à organização por meio da melhoria dos processos na tomada de decisão e do tratamento adequado dos riscos e dos impactos negativos decorrentes de sua materialização.

6. 3 - Princípios da gestão de Riscos

6.1. A gestão de riscos e os controles internos são mecanismos de governança corporativa e parte integrante de todos os processos organizacionais

6.2. Princípios

6.2.1. Todos os gestores e empregados são responsáveis pela gestão de riscos e controles internos em seus processos de atuação, bem como por alocar recursos para este fim

6.2.2. A execução da gestão de riscos será realizada de forma sistemática, estruturada e oportuna, subordinada ao interesse público

6.2.3. Estabelecimento de níveis de exposição a riscos adequados

6.2.4. Estabelecimento de procedimentos de controles internos proporcionais ao risco, observada a relação custo-benefício, e destinados a agregar valor à organização

6.2.5. Utilização do mapeamento de riscos para apoio à tomada de decisão e à elaboração do planejamento estratégico

6.2.6. Utilização da gestão de riscos para apoio à melhoria contínua dos processos organizacionais

7. 4 - Componentes da estrutura de gestão de riscos.

7.1. Ambiente Interno

7.1.1. O ambiente interno é a base para todos os outros componentes da estrutura de gestão de riscos, provendo disciplina e prontidão para a gestão de riscos.

7.1.2. Inclui, entre outros elementos:

7.1.2.1. integridade

7.1.2.2. valores éticos e competência das pessoas

7.1.2.3. maneira pela qual a gestão delega autoridade e responsabilidades

7.1.2.4. estrutura de governança organizacional e políticas

7.1.2.5. práticas de recursos humanos

7.2. Fixação de Objetivos

7.2.1. Todos os níveis da organização devem ter objetivos fixados e comunicados

7.2.2. A explicitação de objetivos, alinhados à missão e à visão da organização, é necessária para permitir a identificação de eventos que potencialmente impeçam sua consecução.

7.3. Identificação dos eventos

7.3.1. Devem ser identificados e relacionados os riscos inerentes à própria atividade da organização, em seus diversos níveis

7.4. Avaliação dos riscos

7.4.1. Devem ser avaliados por:

7.4.1.1. probabilidade

7.4.1.2. impacto

7.4.2. A avaliação deve ser feita por

7.4.2.1. análises qualitativas

7.4.2.2. análises quantitativas

7.4.2.3. Ou ambas

7.4.3. Os riscos devem ser avaliados quanto à sua condição

7.4.3.1. Inerentes

7.4.3.2. Residuais

7.5. Resposta a riscos

7.5.1. Qual estratégia seguir em relação aos riscos mapeados e avaliados

7.5.1.1. evitar

7.5.1.2. transferir

7.5.1.3. aceitar

7.5.1.4. tratar

7.5.2. A escolha dependerá do nível de exposição a riscos em confronto com a avaliação que se fez do risco.

7.6. Atividades de controles internos

7.6.1. São as políticas e os procedimentos estabelecidos e executados para mitigar os riscos que a organização tenha optado por tratar

7.6.2. Também denominadas de procedimentos de controle

7.6.2.1. Devem estar distribuidas

7.6.2.1.1. por toda a organização

7.6.2.1.2. em todos os níveis

7.6.2.1.3. em todas as funções

7.6.2.2. Podem ser

7.6.2.2.1. preventivos

7.6.2.2.2. detectivos

7.6.2.2.3. planos de contingência

7.6.2.2.4. Planos de Resposta

7.7. Informação e comunicação

7.7.1. A comunicação das informações produzidas deve atingir todos os níveis, por meio de canais claros e abertos que permitam que a informação flua em todos os sentidos.

7.7.2. Informações relevantes devem ser

7.7.2.1. identificadas

7.7.2.2. coletadas

7.7.2.3. comunicadas

7.7.3. Informações que permitem o gerenciamento de riscos e a tomada de decisão

7.7.3.1. dados produzidos internamente

7.7.3.2. Informações sobre

7.7.3.2.1. Eventos

7.7.3.2.2. atividades

7.7.3.2.3. condições externas

7.8. Monitoramento

7.8.1. Tem como objetivo avaliar a qualidade da gestão de riscos e dos controles internos através de:

7.8.1.1. atividades gerenciais contínuas

7.8.1.2. avaliações independentes

7.8.2. Deve assegurar

7.8.2.1. Que estes funcionem como previsto

7.8.2.2. Que sejam modificados apropriadamente de acordo com mudanças nas condições que alterem o nível de exposição a riscos

7.8.3. Quem faz?

7.8.3.1. Gestores

7.8.3.1.1. Unidades

7.8.3.1.2. Processos

7.8.3.1.3. Atividades

7.8.3.2. Alta Administração

7.8.3.2.1. No âmbito da Organização

7.8.3.2.2. visão de riscos de forma consolidada