Metodologia de Gestão de Riscos e Controles Internos

1. 2 - Metodologia de Gestão de Riscos

1.1. Permite a implementação, manutenção e monitoramento do processo de gestão de riscos.

1.2. Deverá ser aplicada a todos os processos do Serpro e deve estabelecer:

1.2.1. Matrizes de riscos com sua relevância para:

1.2.1.1. cada processo

1.2.1.2. a organização

1.2.2. Planos de ação para tratamento do Risco

1.2.3. Indicadores de evolução

2. 1 - Introdução

2.1. Risco

2.1.1. As organizações enfrentam influências e fatores internos e externos que tornam incerto o alcance de seus objetivos

2.1.2. O efeito que essa incerteza tem sobre os objetivos da organização é chamado de “risco”.

2.2. Gestão de Riscos

2.2.1. A gestão de riscos corresponde às atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos.

2.2.2. Quando implementada e mantida, possibilita à organização:

2.2.2.1. Assegurar que os responsáveis pela tomada de decisão, em todos os níveis da empresa, tenham acesso tempestivo a informações suficientes quanto aos riscos aos quais está exposta

2.2.2.2. Aumentar a probabilidade de alcance dos objetivos da organização, reduzindo os riscos a níveis aceitáveis;

2.2.2.3. Agregar valor à organização por meio da melhoria dos processos na tomada de decisão e do tratamento adequado dos riscos e dos impactos negativos decorrentes de sua materialização.

3. 3 - Princípios da gestão de Riscos

3.1. A gestão de riscos e os controles internos são mecanismos de governança corporativa e parte integrante de todos os processos organizacionais

3.2. Princípios

3.2.1. Todos os gestores e empregados são responsáveis pela gestão de riscos e controles internos em seus processos de atuação, bem como por alocar recursos para este fim

3.2.2. A execução da gestão de riscos será realizada de forma sistemática, estruturada e oportuna, subordinada ao interesse público

3.2.3. Estabelecimento de níveis de exposição a riscos adequados

3.2.4. Estabelecimento de procedimentos de controles internos proporcionais ao risco, observada a relação custo-benefício, e destinados a agregar valor à organização

3.2.5. Utilização do mapeamento de riscos para apoio à tomada de decisão e à elaboração do planejamento estratégico

3.2.6. Utilização da gestão de riscos para apoio à melhoria contínua dos processos organizacionais

4. 4 - Componentes da estrutura de gestão de riscos.

4.1. Ambiente Interno

4.1.1. O ambiente interno é a base para todos os outros componentes da estrutura de gestão de riscos, provendo disciplina e prontidão para a gestão de riscos.

4.1.2. Inclui, entre outros elementos:

4.1.2.1. integridade

4.1.2.2. valores éticos e competência das pessoas

4.1.2.3. maneira pela qual a gestão delega autoridade e responsabilidades

4.1.2.4. estrutura de governança organizacional e políticas

4.1.2.5. práticas de recursos humanos

4.2. Fixação de Objetivos

4.2.1. Todos os níveis da organização devem ter objetivos fixados e comunicados

4.2.2. A explicitação de objetivos, alinhados à missão e à visão da organização, é necessária para permitir a identificação de eventos que potencialmente impeçam sua consecução.

4.3. Identificação dos eventos

4.3.1. Devem ser identificados e relacionados os riscos inerentes à própria atividade da organização, em seus diversos níveis

4.4. Avaliação dos riscos

4.4.1. Devem ser avaliados por:

4.4.1.1. probabilidade

4.4.1.2. impacto

4.4.2. A avaliação deve ser feita por

4.4.2.1. análises qualitativas

4.4.2.2. análises quantitativas

4.4.2.3. Ou ambas

4.4.3. Os riscos devem ser avaliados quanto à sua condição

4.4.3.1. Inerentes

4.4.3.2. Residuais

4.5. Resposta a riscos

4.5.1. Qual estratégia seguir em relação aos riscos mapeados e avaliados

4.5.1.1. evitar

4.5.1.2. transferir

4.5.1.3. aceitar

4.5.1.4. tratar

4.5.2. A escolha dependerá do nível de exposição a riscos em confronto com a avaliação que se fez do risco.

4.6. Atividades de controles internos

4.6.1. São as políticas e os procedimentos estabelecidos e executados para mitigar os riscos que a organização tenha optado por tratar

4.6.2. Também denominadas de procedimentos de controle

4.6.2.1. Devem estar distribuidas

4.6.2.1.1. por toda a organização

4.6.2.1.2. em todos os níveis

4.6.2.1.3. em todas as funções

4.6.2.2. Podem ser

4.6.2.2.1. preventivos

4.6.2.2.2. detectivos

4.6.2.2.3. planos de contingência

4.6.2.2.4. Planos de Resposta

4.7. Informação e comunicação

4.7.1. A comunicação das informações produzidas deve atingir todos os níveis, por meio de canais claros e abertos que permitam que a informação flua em todos os sentidos.

4.7.2. Informações relevantes devem ser

4.7.2.1. identificadas

4.7.2.2. coletadas

4.7.2.3. comunicadas

4.7.3. Informações que permitem o gerenciamento de riscos e a tomada de decisão

4.7.3.1. dados produzidos internamente

4.7.3.2. Informações sobre

4.7.3.2.1. Eventos

4.7.3.2.2. atividades

4.7.3.2.3. condições externas

4.8. Monitoramento

4.8.1. Tem como objetivo avaliar a qualidade da gestão de riscos e dos controles internos através de:

4.8.1.1. atividades gerenciais contínuas

4.8.1.2. avaliações independentes

4.8.2. Deve assegurar

4.8.2.1. Que estes funcionem como previsto

4.8.2.2. Que sejam modificados apropriadamente de acordo com mudanças nas condições que alterem o nível de exposição a riscos

4.8.3. Quem faz?

4.8.3.1. Gestores

4.8.3.1.1. Unidades

4.8.3.1.2. Processos

4.8.3.1.3. Atividades

4.8.3.2. Alta Administração

4.8.3.2.1. No âmbito da Organização

4.8.3.2.2. visão de riscos de forma consolidada

5. 5 - Categorização dos riscos

5.1. Quanto à Tipologia

5.1.1. Riscos Operacionais

5.1.1.1. Efetam

5.1.1.1.1. Orgão

5.1.1.1.2. Departamento

5.1.1.1.3. Divisão

5.1.1.2. Causados por Falhas, deficiências ou inadequação de:

5.1.1.2.1. processos internos

5.1.1.2.2. pessoas

5.1.1.2.3. infraestrutura

5.1.1.2.4. Sistemas

5.1.1.3. Classificação

5.1.1.3.1. Pessoas

5.1.1.3.2. Processos

5.1.1.3.3. Tecnologia

5.1.1.3.4. Eventos Externos

5.1.2. Riscos de Imagem / Reputação

5.1.2.1. Podem comprometer a confiança em relação à capacidade do Serpro em cumprir sua missão institucional junto a:

5.1.2.1.1. Parceiros

5.1.2.1.2. sociedade

5.1.2.1.3. clientes

5.1.2.1.4. fornecedores

5.1.3. Riscos legais

5.1.3.1. derivados de alterações

5.1.3.1.1. Legais

5.1.3.1.2. Normativas

5.1.4. Riscos Financeiros/Orçamentários

5.1.4.1. podem comprometer a capacidade do Serpro de dispor dos recursos orçamentários e financeiros necessários à realização de suas atividades

5.1.4.2. ou que possam comprometer a própria execução orçamentária.

5.2. Quanto à Origem dos eventos

5.2.1. Externos

5.2.1.1. são riscos associados ao ambiente onde a organização opera

5.2.1.2. Em geral, a organização não tem controle direto sobre estes eventos

5.2.1.2.1. mas mesmo assim ações podem ser tomadas quando necessário.

5.2.1.2.2. Por exemplo: não é possível controlar a incidência de raios, mas instalar para-raios;

5.2.2. Internos

5.2.2.1. são riscos associados à própria estrutura da organização

5.2.2.1.1. processos

5.2.2.1.2. governança

5.2.2.1.3. quadro pessoal

5.2.2.1.4. recursos

5.2.2.1.5. ambiente de tecnologia

5.2.2.2. A organização pode e deve agir diretamente de forma proativa.

5.3. Quanto aos controles internos

5.3.1. Inerente

5.3.1.1. risco a que uma organização está exposta sem considerar quaisquer controles internos que possam reduzir a probabilidade de sua ocorrência ou seu impacto

5.3.2. Residual

5.3.2.1. risco a que uma organização está exposta após a implementação de controles internos para o tratamento do risco.

6. 6 - Responsabilidades

6.1. Diretoria

6.1.1. estabelecimento da estratégia da organização

6.1.2. aprovar, cumprir e fazer cumprir a política de gerenciamento de riscos

6.1.3. o estabelecimento, a manutenção, o monitoramento e o aperfeiçoamento dos controles internos da gestão

6.2. O Comitê Estratégico de Governança, Riscos, Controles e Segurança da Informação

6.2.1. órgão colegiado

6.2.2. Responsável por

6.2.2.1. Integrar os gestores de riscos operacionais, financeiros e de segurança da informação

6.2.2.2. supervisionar a institucionalização da gestão de riscos e de controles internos,

6.2.2.3. assessorar a Diretoria e propor limites de exposição a riscos para o Serpro.

6.3. Os Comitês Táticos de Riscos, Controles e Segurança da Informação das Diretorias

6.3.1. institucionalização da gestão de riscos e controles internos nas Unidades

6.3.2. monitoração dos planos de ação de mitigação de riscos

6.3.3. prover informações agregadas para o Comitê Estratégico.

6.4. A Superintendência de Controles, Riscos e Compliance – SUPCR

6.4.1. Gerenciar, disseminar e apoiar ações relacionadas à aplicação da metodologia

6.4.2. Promover a capacitação da metodologia para as Unidades Organizacionais da empresa

6.4.3. Gerir o ciclo de vida da metodologia por meio de avaliações periódicas para corrigir desvios e identificar melhorias no processo e nos artefatos gerados.

6.5. Gestores e empregados

6.5.1. são responsáveis pela gestão de riscos e controles internos em seus processos de atuação

6.5.2. Gestor de Risco

6.5.2.1. cada risco mapeado e avaliado deve estar associado a um agente responsável formalmente identificado.

6.5.2.1.1. O agente responsável pelo gerenciamento de determinado risco deve ser o gestor com alçada suficiente para orientar e acompanhar as ações de mapeamento, avaliação e mitigação do risco.

6.5.2.2. Responsável por

6.5.2.2.1. Assegurar que o risco seja gerenciado de acordo com a política de gestão de riscos

6.5.2.2.2. Monitorar o risco ao longo do tempo, de modo a garantir que as respostas adotadas resultem na manutenção do risco em níveis adequados, de acordo com a política de gestão de riscos

6.5.2.2.3. Garantir que as informações adequadas sobre o risco estejam disponíveis em todos os níveis da organização

6.5.2.2.4. Realizar novo ciclo de análise de riscos anualmente, atendendo o princípio de que a gestão de riscos deve ser sistemática, estruturada e oportuna

7. 7 - Processo da Gestão dos Riscos Corporativos – PGRC

7.1. Etapas

7.1.1. Estabelecer contexto

7.1.1.1. Nesta etapa serão levantadas todas as atividades e objetivos-chave dos processos e subprocessos a serem avaliados

7.1.1.1.1. Todas as ações, atividades ou tarefas pertencentes aos processos e subprocessos que estejam alinhadas aos objetivos-chave do processo, planejamento estratégico ou no âmbito do contexto corporativo da empresa (informações externas, legislação pertinente, entre outras) são insumos relevantes.

7.1.1.2. Figura

7.1.1.2.1. Figura 2 – Análise de Riscos Inerentes (ARI) – Contexto

7.1.2. Identificar e analisar riscos inerentes

7.1.2.1. Identificar os riscos

7.1.2.1.1. Os eventos que poderão interferir na consecução dos objetivos do processo serão identificados e classificados em termos de sua tipologia

7.1.2.1.2. Análise de Riscos Inerentes (ARI) - Identificação

7.1.2.1.3. Figura

7.1.2.2. Analisar riscos inerentes

7.1.2.2.1. Para análise dos riscos inerentes não serão considerados os controles que possam existir para diminuir a probabilidade da sua ocorrência ou de seu impacto, caso o evento venha a ocorrer.

7.1.2.2.2. Os riscos deverão ser analisados em termos de:

7.1.2.2.3. Estes valores serão utilizados no cálculo do nível do risco inerente (NRi)

7.1.2.2.4. Figura

7.1.2.3. Matriz de riscos Inerentes - MRI

7.1.2.3.1. A partir da identificação e análise do risco inerente, será possível a construção da Matriz de Riscos Inerentes (MRI),

7.1.2.3.2. Figura

7.1.3. Avaliar controles existentes

7.1.3.1. Conceitos

7.1.3.1.1. Nesta etapa do processo é levado em consideração a avaliação sobre a implementação de políticas, procedimentos, técnicas e ferramentas para diminuir os riscos e assegurar o alcance de objetivos organizacionais, denominados controles internos.

7.1.3.2. Avaliação dos Controles Existentes (ACE)

7.1.3.2.1. Na figura abaixo estão as descrições dos campos a serem preenchidos

7.1.3.2.2. Figura

7.1.3.3. Matriz de riscos Residuais - MRR

7.1.3.3.1. A partir da identificação e análise do risco residual, será possível a construção da Matriz de Riscos Residuais (MRR)

7.1.3.3.2. Figura

7.1.4. Responder aos riscos

7.1.4.1. Conceitos

7.1.4.1.1. A planilha de Respostas aos Riscos (RR) é utilizada para o registro dos controles necessários ao tratamento dos riscos e das ações necessárias à implementação dos mesmos.

7.1.4.1.2. Todos os riscos identificados serão apresentados na planilha Resposta aos Riscos (RR) junto a estratégia sugerida para seu tratamento.

7.1.4.1.3. A estratégia é sugerida com base no nível de risco calculado nas planilhas Análise de Risco Inerente (ARI) ou Avaliação dos controles existentes (ACE)

7.1.4.1.4. Não há obrigatoriedade na adoção da estratégia sugerida. O gestor pode estabelecer uma estratégia distinta denominada estratégia definida.

7.1.4.1.5. Não havendo controles existentes para os riscos descritos e, de acordo com a estratégia definida, é essencial que se aponte os controles necessários para o tratamento dos riscos.

7.1.4.2. Tabela Resposta aos Riscos (RR)

7.1.4.2.1. Figura 12 – Respostas aos Riscos (RR)

7.1.4.3. A Matriz de Riscos Finais (MRF)

7.1.4.3.1. apresenta a expectativa do nível de risco obtido após a conclusão do plano de ação.

7.1.4.3.2. Figura

7.1.5. Executar a matriz GUT – Gravidade, Urgência e Tendência

7.1.5.1. Conceitos

7.1.5.1.1. Funciona como um instrumento auxiliar para ajudar o gestor na definição das prioridades no tratamento e controle dos riscos.

7.1.5.1.2. O preenchimento da Matriz GUT serve apenas como auxílio para definições de prioridades, de forma que fica facultado ao processo a sua utilização conforme a necessidade.

7.1.5.1.3. O nível de risco apontado na planilha de Resposta aos Riscos (RR) permite ao gestor ter uma visão “panorâmica” de como um determinado risco age dentro e fora da organização em função dos objetivos estratégicos

7.1.5.1.4. A matriz GUT permite ao gestor apontar:

7.1.5.2. Matriz Gut

7.1.5.2.1. Figura 14 – Matriz de Gravidade, Urgência e Tendência – GUT

7.1.6. Monitorar

7.1.6.1. É a avaliação permanente dos riscos e controles internos

7.1.6.1.1. O objetivo é avaliar a qualidade da gestão de riscos e controles internos por meio de atividades gerenciais contínuas para assegurar que funcionem como previsto.

7.1.6.2. Os resultados obtidos durante a aplicação desta metodologia (matrizes de risco, planilhas de análise e resposta a riscos) são insumos para o monitoramento.

7.1.6.3. O plano de ação da unidade, contido na planilha de Resposta a Riscos (RR), permite o monitoramento tempestivo e cíclico das ações de controle e resposta aos riscos.

7.1.6.3.1. Figura 16 – Respostas aos Riscos (RR) – Plano de Ação

7.1.6.3.2. Adicionalmente, com o acompanhamento da execução do Plano de Ação, o gestor poderá refazer a avaliação do nível do risco para os controles que foram implementados e verificar se o nível do risco alcançou a expectativa que foi calculada na Matriz de Riscos Finais.

7.1.6.4. O gestor dos riscos da unidade deverá acompanhar a execução do plano e comunicar as dificuldades e os resultados à alta administração.

7.1.6.4.1. Os gestores de riscos entregarão o resultado referente ao processo de gestão de riscos e, a partir das matrizes de riscos inerente e residual, o Comitê Estratégico de Gestão de Riscos definirá o nível de exposição aos riscos.

7.1.6.4.2. A alta administração determinará, assim, seu posicionamento frente aos riscos, considerando seus efeitos, a tolerância aos riscos e o apetite aos riscos.