apostila de gestÃo de riscos e controles internos · apostila de gestão de riscos e controles...

MINISTÉRIO DA DEFESAEXÉRCITO BRASILEIRO

COMANDO DO EXÉRCITO

APOSTILA DE GESTÃO DE RISCOSE CONTROLES INTERNOS

3ª VERSÃO

BRASÍLIA-DF, SETEMBRO DE 2018

Chefe do Centro de Controle Interno do Exército

General de Brigada EUGÊNIO ENEIAS CAMILO

Equipe Responsável:

Coronel ADELSON ROBBI

Major JORGE RODRIGO FARIA

Major CELSO ROSSATO SANTI

Major FABIO DE MOURA SOUSA

Confecção e diagramação:

Major FABIO DE MOURA SOUSA

Capitão ROBÉRIO DAS CHAGAS FERREIRA

LISTA DE FIGURAS

Figura 1: Esquema do Risco...............................................................................................................14Figura 2: Técnica da gravata borboleta..............................................................................................15Figura 3: Exemplo da Técnica da gravata borboleta..........................................................................17Figura 4: Avaliação de Riscos (Probabilidade e Impacto).................................................................18Figura 5: Diagrama de Verificação de Riscos....................................................................................20Figura 6: Diagrama de Verificação de Riscos Inerentes....................................................................21Figura 7:Priorização do Tratamento dos Riscos Inerentes.................................................................23Figura 8: Controles Preventivos e Detectivos....................................................................................25Figura 9: Riscos Residuais Estimados................................................................................................27Figura 10: Diagrama de Verificação de Riscos Residuais Efetivos...................................................29Figura 11: Monitoramento..................................................................................................................30

LISTA DE TABELAS

Tabela 1: Priorização dos Processos Críticos.....................................................................................13Tabela 2: Identificação dos Riscos Inerentes.....................................................................................14Tabela 3: Portfólio de Fatores de Risco.............................................................................................16Tabela 4: Avaliação qualitativa da Probabilidade..............................................................................18Tabela 5: Avaliação qualitativa do Impacto.......................................................................................19Tabela 6: Extrato da Matriz de Riscos e Controles (Avaliação de probabilidade e impacto)............19Tabela 7: Avaliação de Nível de Risco dos Processos (Riscos Inerentes).........................................22Tabela 8: Matriz de Riscos Residuais Estimados (Avaliação de probabilidade e impacto)...............26Tabela 9: Matriz de Riscos Residuais Efetivos (Avaliação de probabilidade e impacto)..................29

SUMÁRIO

1 PREMISSAS E OBJETIVOS...........................................................................................................72 CONCEITOS....................................................................................................................................73 GESTÃO DE RISCOS.....................................................................................................................94 COMPONENTES DA GESTÃO DE RISCOS..............................................................................105 AMBIENTE INTERNO.................................................................................................................116 FIXAÇÃO DE OBJETIVOS..........................................................................................................137 IDENTIFICAÇÃO DE EVENTOS................................................................................................148 AVALIAÇÃO DE RISCOS...........................................................................................................159 RESPOSTAS A RISCOS...............................................................................................................2410 ATIVIDADES DE CONTROLE.................................................................................................2411 INFORMAÇÕES E COMUNICAÇÕES.....................................................................................2812 MONITORAMENTO..................................................................................................................2813 CONCLUSÃO..............................................................................................................................31REFERÊNCIAS BIBLIOGRÁFICAS..............................................................................................33APÊNDICE A – MATRIZ DE RISCOS E CONTROLES (MODELO)..........................................35APÊNDICE B – IDENTIFICAÇÃO DE RISCOS E FATORES DE RISCO..................................36APÊNDICE C – ANÁLISE DA MATRIZ DE RISCOS E CONTROLES......................................37APÊNDICE D – PLANO DE AÇÃO 5W2H....................................................................................38APÊNDICE E – MONITORAMENTO............................................................................................39APÊNDICE F – MATRIZ DE RISCOS E CONTROLES................................................................40APÊNDICE G – ESTUDO DE CASO..............................................................................................41APÊNDICE H – PRIORIZAÇÃO DOS PROCESSOS CRÍTICOS – ESTUDO DE CASO...........43APÊNDICE I – MATRIZ DE RISCOS E CONTROLES – ESTUDO DE CASO...........................44APÊNDICE J – TÉCNICA DA GRAVATA BORBOLETA– ESTUDO DE CASO......................45APÊNDICE K – PROCESSO MAPEADO – ESTUDO DE CASO.................................................46APÊNDICE L – DIAGRAMA DE VERIFICAÇÃO DE RISCOS – ESTUDO DE CASO.............47APÊNDICE M – ANÁLISE DA MATRIZ DE RISCOS E CONTROLES – ESTUDO DE CASO48APÊNDICE N – PLANO DE AÇÃO – 5W2H – ESTUDO DE CASO...........................................49APÊNDICE O – MONITORAMENTO – ESTUDO DE CASO......................................................50APÊNDICE P – PRIORIZAÇÃO DOS PROCESSOS CRÍTICOS – GABARITO.........................51APÊNDICE Q – MATRIZ DE RISCOS E CONTROLES – GABARITO......................................52APÊNDICE R – TÉCNICA DA GRAVATA BORBOLETA – GABARITO.................................53APÊNDICE S – PROCESSO MAPEADO – GABARITO...............................................................54APÊNDICE T – DIAGRAMA DE VERIFICAÇÃO DE RISCOS – GABARITO..........................55APÊNDICE U – ANÁLISE DA MATRIZ DE RISCOS E CONTROLES – GABARITO.............56APÊNDICE V – PLANO DE AÇÃO – 5W2H – GABARITO........................................................57APÊNDICE X – MONITORAMENTO – GABARITO...................................................................58

Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 6

APOSTILA DE GESTÃO DE RISCOS E CONTROLES INTERNOS

1 PREMISSAS E OBJETIVOS

A Apostila de Gestão de Riscos e Controles Internos tem como premissas o alinhamento

às estratégias, a sistematização, o comprometimento dos gestores e a integração aos processos

organizacionais e à tomada de decisões.

São objetivos da Apostila de Gestão de Riscos e Controles Internos apresentar

metodologia, critérios e técnicas para a aplicação prática da Gestão de Riscos, bem como

orientar a identificação, a análise, a avaliação, o tratamento, o monitoramento e a

comunicação dos riscos institucionais.

Esta Apostila compõe o material didático do Curso de Gestão de Riscos e Controles

Internos ministrado pelo Centro de Controle Interno do Exército.

2 CONCEITOS

Para fins desta Apostila, considera-se:

Accountability: conjunto de procedimentos adotados pelas organizações públicas e

pelos indivíduos que as integram que evidenciam sua responsabilidade por decisões tomadas e

ações implementadas, incluindo a salvaguarda de recursos públicos, a imparcialidade e o

desempenho das organizações;

Governança: combinação de processos e estruturas implantadas pela alta

administração, para informar, dirigir, administrar e monitorar as atividades da organização,

com o intuito de alcançar os seus objetivos;

Governança no setor público: compreende essencialmente os mecanismos de

liderança, estratégia e controle postos em prática para avaliar, direcionar e monitorar a

atuação da gestão, com vistas à condução de políticas públicas e à prestação de serviços de

interesse da sociedade. No âmbito do Exército, a governança é exercida pelo seu Comandante,

assessorado pelo Alto Comando do Exército;

Risco: possibilidade de ocorrência de um evento que venha a ter impacto no

cumprimento dos objetivos. O risco é medido em termos de probabilidade e de impacto;

Risco inerente: risco a que uma organização está exposta sem considerar quaisquer

ações gerenciais que possam reduzir a probabilidade de sua ocorrência ou seu impacto;

Risco residual: risco a que uma organização está exposta após a implementação de

ações gerenciais para o tratamento do risco;


Evento: ocorrência ou alteração em um conjunto específico de circunstâncias capaz de

causar impacto;

Causa ou fator de risco: condição que pode dar origem à possibilidade de um evento

acontecer. Pode ter origem no ambiente interno ou externo;

Consequência do risco: resultado de um evento sobre os objetivos;

Probabilidade: quantificação da possibilidade de ocorrência do evento;

Impacto: consequência resultante da ocorrência do evento sobre os objetivos;

Incerteza: incapacidade de saber com antecedência a real probabilidade ou impacto de

eventos futuros;

Mensuração de risco: significa estimar a importância de um risco e calcular a

probabilidade e o impacto de sua ocorrência;

Gestão de riscos: processo para identificar, avaliar, administrar e controlar potenciais

eventos ou situações, para fornecer razoável certeza quanto ao alcance dos objetivos da

organização;

Apetite a risco: nível de risco que uma organização está disposta a aceitar;

Tolerância a risco: limiar de risco, a partir do qual, certos resultados das operações da

organização podem ser comprometidos. É um indicativo da sensibilidade da organização em

relação aos riscos;

Fraude: qualquer ato ilegal caracterizado por desonestidade, dissimulação ou quebra

de confiança. Este ato não implica o uso de ameaça de violência ou de força física. Fraude é

um tipo específico de risco; e

Controles internos da gestão: conjunto de regras, procedimentos, diretrizes,

protocolos, rotinas de sistemas informatizados, conferências e trâmites de documentos e

informações, entre outros, operacionalizados de forma integrada pelo Comandante e por seus

subordinados, destinados a enfrentar os riscos e fornecer segurança razoável de que, na

consecução da missão da Organização Militar, os seguintes objetivos gerais sejam alcançados:

Execução ordenada, ética, econômica, eficiente e eficaz das operações;

Cumprimento das obrigações de accountability;

Cumprimento das leis e regulamentos; e

Salvaguarda dos recursos para evitar perdas, mau uso e danos.

O estabelecimento de controles internos no âmbito da gestão pública visa

essencialmente a aumentar a probabilidade de que os objetivos e metas estabelecidos sejam

alcançados, de forma eficaz, eficiente, efetiva e econômica.


3 GESTÃO DE RISCOS

A Gestão de Riscos é um processo conduzido pelo Exército Brasileiro, desde o Comitê

de Governança, Riscos e Controles até o Gestor de Riscos, no estabelecimento de estratégias,

formuladas para identificar em toda a Instituição eventos em potencial, capazes de afetá-la, e

administrar os riscos de modo a mantê-los compatíveis com o apetite a risco estabelecido na

Política de Gestão de Riscos do Exército e possibilitar garantia razoável do cumprimento dos

seus objetivos.

A definição da Gestão de Riscos reflete certos conceitos fundamentais. A gestão de

riscos é:

Um processo contínuo e que flui através do Exército;

Conduzida por militares e civis em todos os níveis da Instituição;

Aplicada à definição das estratégias;

Formulada para identificar eventos em potencial, cuja ocorrência poderá afetar as

Organizações Militares, e para administrar os riscos de acordo com o apetite a risco do

Exército;

Capaz de propiciar garantia razoável quanto o alcance dos objetivos; e

Orientada para a realização de objetivos em uma ou mais categorias distintas, mas

dependentes.

Com base na missão ou visão estabelecida pelo Exército, a Alta Administração do

Exército (ou Comitê de Governança, Riscos e Controles) estabelece os planos principais,

seleciona as estratégias e determina o alinhamento dos objetivos nos níveis da Instituição.

Essa estrutura de gestão de riscos é orientada a fim de alcançar os objetivos de controle,

classificados em quatro categorias:

Estratégicos: atingimento das metas gerais, alinhadas com o que suportem à sua

missão;

Operacionais: utilização eficaz e eficiente dos recursos;

De Comunicação: confiabilidade de relatórios; e

De Conformidade: cumprimento de leis e regulamentos aplicáveis.

Quando se constata que a gestão de riscos é eficaz em cada uma das quatro categorias

de objetivos, isso significa que o Comandante do Exército e a Alta Administração (ou Comitê

de Governança, Riscos e Controles) terão garantia razoável de que entenderam até que ponto,

os objetivos estratégicos e operacionais estão realmente sendo alcançados, o sistema de

comunicação da Instituição é confiável e todas as leis e regulamentos cabíveis estão sendo

observados.


A Metodologia de Gestão de Riscos adotada é baseada no referencial presente na obra

“Gerenciamento de Riscos Corporativos – Estrutura Integrada” publicada pelo Committee of

Sponsoring Organizations of The Treadway Commission (COSO), conhecida por COSO

ERM.

A fim de viabilizar uma execução simples e eficiente da Gestão de Riscos, utilizaremos

uma Matriz de Riscos e Controles (Apêndice A), cujo preenchimento seguirá a ordem de

apresentação dos componentes da estrutura de Gestão de Riscos presentes no COSO ERM.

4 COMPONENTES DA GESTÃO DE RISCOS

A Gestão de Riscos está estruturada em oito componentes inter-relacionados e

integrados com o processo de gestão das Organizações Militares. Esses componentes são:

Ambiente interno: inclui, entre outros elementos, integridade, valores éticos e

competência das pessoas, maneira pela qual a gestão delega autoridade e responsabilidades,

estrutura de governança organizacional, políticas e práticas de recursos humanos. O ambiente

interno é a base para todos os outros componentes da estrutura de gestão de riscos, provendo

disciplina e prontidão para a gestão de riscos;

Fixação de objetivos: todos os níveis do Exército Brasileiro (Alta Administração,

Departamentos, Diretorias e Organizações Militares) devem ter objetivos fixados e

comunicados. A explicitação de objetivos, alinhados à missão e à visão da organização, é

necessária para permitir a identificação de eventos que potencialmente impeçam sua

consecução;

Identificação de eventos: devem ser identificados e relacionados os riscos inerentes à

própria atividade da organização, em seus diversos níveis;

Avaliação de riscos: os eventos devem ser avaliados sob a perspectiva de

probabilidade e impacto de sua ocorrência. A avaliação de riscos deve ser feita por meio de

análises qualitativas, fazendo uso de lógica intuitiva com critérios preestabelecidos e escala de

valoração para determinar o nível do risco. Os riscos devem ser avaliados quanto à sua

condição de inerentes ou residuais;

Resposta a riscos: a Organização Militar deve identificar qual estratégia seguir (evitar,

mitigar, compartilhar ou aceitar) em relação aos riscos mapeados e avaliados. A escolha da

estratégia dependerá do nível de exposição a riscos previamente estabelecido pelo Exército

Brasileiro em confronto com a avaliação que se fez do risco;

Atividades de controles internos: são as políticas e os procedimentos estabelecidos e

executados para mitigar os riscos que a organização tenha optado por tratar. Também


denominadas de procedimentos de controle, devem estar distribuídas por toda a organização,

em todos os níveis e em todas as funções. Incluem uma gama de controles internos da gestão

preventivos e detectivos, bem como a preparação prévia de planos de contingência e resposta

à materialização dos riscos;

Informação e comunicação: informações relevantes devem ser identificadas, coletadas

e comunicadas, a tempo de permitir que as pessoas cumpram suas responsabilidades, não

apenas com dados produzidos internamente, mas, também, com informações sobre eventos,

atividades e condições externas, que possibilitem o gerenciamento de riscos e a tomada de

decisão. A comunicação das informações produzidas deve atingir todos os níveis, por meio de

canais claros e abertos que permitam que a informação flua em todos os sentidos; e

Monitoramento: tem como objetivo avaliar a qualidade da gestão de riscos e dos

controles internos da gestão, por meio de atividades gerenciais contínuas e/ou avaliações

independentes, buscando assegurar que estes funcionem como previsto e que sejam

modificados apropriadamente, de acordo com mudanças nas condições que alterem o nível de

exposição a riscos.

5 AMBIENTE INTERNO

O Ambiente Interno é a base para todos os outros componentes da Gestão de Riscos, o

que propicia disciplina e estrutura. Esse ambiente influencia o modo pelo qual as estratégias e

os objetivos são estabelecidos, os negócios são estruturados, e os riscos são identificados,

avaliados e geridos. Este influencia o desempenho e o funcionamento das atividades de

controle, dos sistemas de informação e comunicação, bem como das atividades de

monitoramento.

Sendo influenciado pela história e cultura do Exército, o Ambiente Interno compreende

muitos elementos, inclusive os valores éticos da Instituição, a competência e desenvolvimento

pessoal, a filosofia da administração para a gestão de riscos, a atribuição de alçada e

responsabilidade.

Os fatores do ambiente interno compreendem a filosofia administrativa da Instituição no

que diz respeito aos riscos; o seu apetite a risco; a supervisão do Comitê de Governança,

Riscos e Controles; a integridade, os valores éticos e a competência dos militares e civis do

Exército; e a forma pela qual a Alta Administração atribui alçadas e responsabilidades, bem

como organiza e desenvolve o seu pessoal.

A filosofia de gestão de riscos do Exército é representada pelo conjunto de convicções e

atitudes compartilhadas que caracterizam a forma pela qual a Instituição considera o risco em


tudo aquilo que faz, do desenvolvimento e da implementação de estratégias às suas atividades

do dia a dia. Sua filosofia de gestão de riscos reflete em seus valores, influencia a sua cultura

e seu estilo operacional, bem como afeta a forma que os componentes de gestão de riscos são

aplicados inclusive como os riscos são identificados, os tipos de riscos aceitáveis e a forma

pela qual são administrados.

O apetite a risco refere-se ao nível de risco que o Exército dispõe-se a aceitar na busca

de valor. O apetite a risco reflete na filosofia de gestão de riscos e, por sua vez, influencia a

cultura e o estilo operacional.

O Comitê de Governança, Riscos e Controles do Exército representa uma parte crítica

do ambiente interno e é capaz de influenciar os seus elementos de forma significativa. A

despeito do fato que, historicamente, uma instituição não tenha incorrido em prejuízos e nem

se exponha muito a riscos, os membros do Comitê não devem sucumbir à noção mítica de que

eventos que trazem sérias consequências adversas não vão ocorrer no Exército. Eles

reconhecem que, embora a Instituição possa ter uma estratégia perfeita, pessoas competentes,

processos íntegros e tecnologia confiável, ela, como qualquer outra instituição, é vulnerável a

risco e necessita de uma gestão de riscos eficaz.

A estratégia e os objetivos do Exército e o modo pelo qual são implementados baseiam-

se em preferências, julgamentos de valor e estilos gerenciais. A integridade e o compromisso

da Alta Administração com valores éticos influenciam essas preferências e esses julgamentos,

os quais são traduzidos em normas de comportamento. A boa reputação da Instituição pode

ser tão valiosa que seus padrões de comportamento devem estender-se além do mero

cumprimento de normas.

A competência profissional dos militares e civis do Exército reflete no conhecimento e

nas habilidades necessárias à execução de tarefas designadas. A Alta Administração do

Exército decide quão bem essas tarefas necessitam ser executadas, ponderando as estratégias e

os objetivos da Instituição, bem como os planos para a sua implementação e realização. A

Alta Administração do Exército estipula os níveis de competência para determinados

trabalhos e traduz esses níveis em habilidades e conhecimentos necessários, que por sua vez,

podem depender do grau de inteligência, treinamento e experiência individual. Os fatores

considerados no desenvolvimento dos níveis de conhecimentos e habilidades incluem a

natureza e o grau de julgamento utilizado em uma função específica.

A estrutura organizacional do Exército provê o arcabouço para planejar, executar,

controlar e monitorar as suas atividades. A estrutura inclui a definição de áreas fundamentais

de autoridade e responsabilidade, bem como a definição de linhas apropriadas de

comunicação.


A atribuição de alçada e responsabilidade inclui até que ponto pessoas e equipes estão

autorizadas e são incentivadas a adotar sua própria iniciativa ao abordar questões, bem como a

solucionar problemas e os limites dessa autoridade. A delegação de autoridade significa

passar o controle central de determinadas decisões aos escalões inferiores – para o pessoal que

está mais próximo das atividades cotidianas.

O desafio crucial é delegar apenas até o grau necessário ao alcance dos objetivos, a fim

de assegurar que o processo decisório esteja embasado em práticas sadias de identificação e

avaliação de riscos, inclusive o dimensionamento de riscos e a comparação entre o potencial

de prejuízo com os ganhos na determinação de quais riscos aceitar e de como serão

administrados.

Outro desafio é assegurar que todo o pessoal entenda os objetivos da Instituição. É

essencial que as pessoas entendam de que forma suas ações se inter-relacionam e contribuem

para a realização dos objetivos.

6 FIXAÇÃO DE OBJETIVOS

A fixação de objetivos é uma precondição à identificação de eventos, à avaliação de

riscos e às respostas a riscos. É necessário que os objetivos existam para que a Organização

Militar possa identificar e avaliar os riscos quanto a sua realização, bem como adotar as

medidas necessárias para administrá-los.

A definição dos processos críticos, que mais impactam no atingimento dos objetivos da

OM, poderá ser feita estabelecendo uma correlação entre os processos e os objetivos da OM.

O resultado será uma matriz que prioriza os processos mais críticos a serem analisados,

conforme Tabela 1.


Tabela 1: Priorização dos Processos Críticos

Objetivos

Total darelação

Atender asoperações

militares comprodutos eserviços

Contrataçãocom preço

competitivo

Contrataçãocom qualidadeque atenda os

requisitostécnicos

Recebimentodos produtose serviços emtempo hábil

Contrataçãoem

conformidadecom leis e

regulamentos

Processos

Oficialização da demanda 5 3 5 5 5 23

Planejamento dacontratação

3 1 3 3 3 13

Seleção do fornecedor 5 5 5 1 5 21

Gestão do contrato 3 1 5 5 3 17

Legenda:

Relação Processo x Objetivo PontosForte 5Média 3Fraca 1

Sem relação -

Fonte: Adaptado de ENAP (2016)

Após a priorização dos processos mais críticos a serem analisados, devem-se definir os

objetivos do processo em análise. Exemplo:

Processo: Oficialização da demanda

Objetivos:

Solicitar a contratação de produtos e/ou serviços para atender uma necessidade da

organização;

Descrever adequadamente o objeto da contratação;

Definir o prazo para o recebimento dos produtos e/ou prestação dos serviços em

tempo hábil para utilização dos mesmos;

Realizar pesquisa de preço; e

Solicitar a contratação em conformidade com leis e regulamentos.

7 IDENTIFICAÇÃO DE EVENTOS

Neste componente, a OM identifica os eventos em potencial que, se ocorrerem, afetarão

a organização, por possuírem efeitos adversos na sua capacidade de implementar

adequadamente a estratégia e alcançar os objetivos. Estes eventos representam riscos que

exigem avaliação e resposta da OM. A Figura 1 apresenta uma visão ampla sobre os conceitos

de risco, evento, causa, consequência, probabilidade e impacto.


Figura 1: Esquema do Risco

Fonte: CCIEx (2016)

Todo processo tem uma razão de ser que deve estar intimamente relacionado aos

objetivos estratégicos. Definimos isto como objetivos do processo que precisam ser

conhecidos. Com base nestes objetivos, identificamos os riscos inerentes ao processo, isto é, o

que pode acontecer que impacte no alcance dos objetivos do processo, conforme exemplo da

Tabela 2.

Tabela 2: Identificação dos Riscos Inerentes

Objetivos do processo Nº Obj Riscos inerentes aos objetivosNº

Risco

Solicitar a contratação de produtos e/ouserviços para atender uma necessidade daorganização

O1Não atendimento da necessidade da

organização em produtos e/ou serviçosR1

Realizar pesquisa de preço O2 Contratação com preço distorcido R2

Descrever adequadamente o objeto dacontratação

O3Contratação com qualidade inferior que não

atende os requisitos técnicosR3

Definir o prazo para o recebimento dosprodutos e/ou prestação dos serviços emtempo hábil para utilização dos mesmos

O4 Atraso na contratação R4

Solicitar a contratação em conformidadecom leis e regulamentos

O5Solicitação da contratação em

desconformidade com leis e regulamentosR5

Fonte: CCIEx (2017)

A utilização de numeradores nos objetivos, riscos, fatores de risco (causas), controles e

planos de contingências facilitará a gestão de riscos da OM.

8 AVALIAÇÃO DE RISCOS

Uma infinidade de causas internas e externas (fatores de risco) impulsiona os riscos que

afetam a implementação da estratégia e o cumprimento dos objetivos. Como parte da gestão


de riscos, a OM deve reconhecer a importância de compreender essas causas e o risco que

pode emanar delas.

A OM pode optar pela Técnica da gravata borboleta (Figura 2), para entender quais são

os fatores de risco que influenciam na concretização de cada risco e as consequências

decorrentes.

Figura 2: Técnica da gravata borboleta

Fonte: CCIEx (2016)

Os fatores de risco são compostos pela vulnerabilidade existente em uma determinada

Fonte de Risco.

A Fonte de Risco é um elemento que, individualmente ou combinado, tem o potencial

intrínseco para dar origem ao risco:

Pessoas – que podem não estar capacitadas, vir a cometer erro não-intencional ou

fraude;

Processos – que podem apresentar problemas de modelagem, transação, conformidade,

controle ou técnica apropriada;

Sistemas de gestão – que podem apresentar problemas de padronização e de inter-

relacionamento com outras atividades;

Infraestruturas física e organizacional – que podem ser departamentalizadas ou

descentralizadas;


Tecnologia de produto ou de produção – equipamentos; sistemas informatizados e

confiabilidade da informação; e

Eventos externos – que não são gerenciáveis.

A OM poderá criar um portfólio de fatores de riscos que facilitará na análise de causa e

efeito da relação entre os fatores de riscos e os riscos de um determinado processo. A Tabela

3 ilustra um exemplo de portfólio de fatores de risco.

Tabela 3: Portfólio de Fatores de Risco

FATORES DE RISCO (CAUSAS)Nº

FONTE VULNERABILIDADE

PESSOAS

PESSOAL SEM CAPACITAÇÃO FR1

PESSOAL COM PERFIL INADEQUADO PARA EXECUÇÃO DOPROCESSO

FR2

PESSOAL EM NÚMERO INSUFICIENTE FR3

PESSOAL ARDILOSO FR4

PESSOAL DESMOTIVADO FR5

PROCESSOS

FLUXO DO PROCESSO MAL CONCEBIDO FR6

AUSÊNCIA DE PROCEDIMENTOS FORMALIZADOS FR7

AUSÊNCIA DE SEGREGAÇÃO DE FUNÇÕES FR8

SISTEMASINFORMATIZADOS

AUSÊNCIA DE SISTEMA PARA GESTÃO DO PROCESSO FR9

AUSÊNCIA DE INTEGRAÇÃO COM OUTROS SISTEMAS FR10

PROBLEMA NA REDE DE DADOS FR11

ERRO NA FÓRMULA DAS PLANILHAS FR12

AUSÊNCIA DE MANUAIS DE OPERAÇÃO FR13

AUSÊNCIA DE BACKUPS FR14

ESTRUTURAORGANIZACIONAL

DEFICIÊNCIAS NOS FLUXOS DE INFORMAÇÃO E COMUNICAÇÃO FR15

FALTA DE CLAREZA QUANTO ÀS FUNÇÕES ERESPONSABILIDADES

FR16

CENTRALIZAÇÃO DE RESPONSABILIDADES FR17

DELEGAÇÕES EXORBITANTES FR18

ESTRUTURA FÍSICA

LOCALIZAÇÃO INADEQUADA FR19

INSTALAÇÕES OU LEIAUTE INADEQUADOS FR20

INEXISTÊNCIA DE CONTROLES DE ACESSO FÍSICO FR21

TECNOLOGIA DEPRODUTO OU DE

PRODUÇÃO

TÉCNICA DE PRODUÇÃO ULTRAPASSADA/PRODUTO OBSOLETO FR22

INEXISTÊNCIA DE INVESTIMENTOS EM PESQUISA EDESENVOLVIMENTO

FR23

TECNOLOGIA SEM PROTEÇÃO DE PATENTES FR24

PROCESSO PRODUTIVO (TECNOLOGIA SEM PROTEÇÃO CONTRAESPIONAGEM)

FR25

Fonte: CCIEx (2018)


A Figura 3 apresenta um exemplo da Técnica da gravata borboleta, onde se sinaliza a

relação Fator de Risco, Risco e Consequência.

Figura 3: Exemplo da Técnica da gravata borboleta

Fonte: CCIEx (2017)

A OM poderá utilizar a técnica de análise de fluxo de processo, que reúne as entradas,

as tarefas, as responsabilidades e as saídas que se combinam para formar um processo. Devem

ser considerados os fatores de risco internos e externos (red flags), que afetam as entradas ou

as atividades em um processo, ao se identificar os riscos (redflags) que podem afetar o

cumprimento dos objetivos deste processo, conforme ilustrado no Apêndice B.

Entende-se por riscos inerentes, a avaliação dos riscos sem considerar a execução de

controles para mitigá-los. Dentro desse conceito é necessário elaborar a avaliação de riscos

inerentes (probabilidade x impacto), cujo resultado será o grau de criticidade do risco

(magnitude) consolidado na Matriz de Riscos e Controles.

A avaliação de riscos visa auxiliar na definição de prioridades e opções de tratamento

aos riscos identificados. A metodologia a ser utilizada pela OM para a avaliação de riscos

possui dois parâmetros claros a serem estudados, conforme ilustrado na Figura 4:

Saber qual a chance, a probabilidade, dos riscos virem a acontecer, frente à condição

existente de cada processo e área de negócio; e

Calcular o impacto, as consequências para o processo impactado.


Figura 4: Avaliação de Riscos (Probabilidade e Impacto)

Fonte: CCIEx (2017)

O impacto sobre os objetivos de um processo poderá acontecer em uma ou mais

dimensões, tais como: prazo, orçamentário-financeiro, qualidade, escopo, imagem ou

reputação, etc.

Para determinar os níveis de risco, é preciso definir escalas para estimar a probabilidade

e o impacto, bem como estabelecer quando a combinação desses dois fatores representa um

risco baixo, médio, alto, etc.

As Tabelas 4 e 5 exemplificam as escalas qualitativas que auxiliam na estimativa de

probabilidades e impactos de eventos.

Tabela 4: Avaliação qualitativa da Probabilidade

Descritor Descrição Nível

Muito alta

Evento se reproduz muitas vezes, se repete seguidamente, de maneiraassídua, numerosa e, não raro, de modo acelerado. Interfere de modoclaro no ritmo das atividades, sendo evidente para os que conhecem oprocesso.

5

Alta

Evento usual, corriqueiro. Devido à sua ocorrência habitual ouconhecida em uma dezena ou mais de casos, aproximadamente, seuhistórico é amplamente conhecido por parte de gestores e operadores doprocesso.

4

MédiaEvento esperado, que se reproduz com frequência reduzida, porémconstante. Seu histórico de ocorrência é de conhecimento da maioria dosgestores e operadores do processo.

3

BaixaEvento casual, inesperado. Muito embora raro, há histórico conhecido desua de ocorrência por parte dos principais gestores e operadores doprocesso.

2

Muitobaixa

Evento extraordinário para os padrões conhecidos da gestão e operaçãodo processo. Embora possa assumir dimensão estratégica para amanutenção do processo, não há histórico disponível de sua ocorrência.

1

Fonte: CCIEx (2016)


Tabela 5: Avaliação qualitativa do Impacto

Descritor Descrição Nível

Muito altoInterrupção abrupta de operações, atividades, projetos, programas ouprocessos da organização, impactando fortemente outros processos,causando impactos de dificílima reversão nos objetivos.

5

AltoInterrupção de operações, atividades, projetos, programas ou processosda organização, causando impactos de reversão muito difícil nosobjetivos.

4

MédioInterrupção de operações ou atividades da organização, de projetos,programas ou processos, causando impactos significativos nos objetivos,porém recuperáveis.

3

BaixoDegradação de operações, atividades, projetos, programas ou processosda organização, causando impactos pequenos nos objetivos.

2

Muitobaixo

Degradação de operações, atividades, projetos, programas ou processosda organização, porém causando impactos mínimos nos objetivos (detempo, prazo, custo, quantidade, qualidade, acesso, escopo, imagem,etc.) relacionados ao atendimento de metas, padrões ou à capacidade deentrega de produtos/serviços às partes interessadas (clientesinternos/externos, beneficiários).

1

Fonte: CCIEx (2016)

A Tabela 6 apresenta um extrato da Matriz de Riscos e Controles, definindo níveis de

risco (magnitude) decorrentes da combinação dos fatores probabilidade e impacto.

Tabela 6: Extrato da Matriz de Riscos e Controles (Avaliação de probabilidade e impacto)

Objetivos do processoNºObj

Riscos inerentes aosobjetivos

NºRisco

P I P x I Magnitude

Solicitar a contratação deprodutos e/ou serviços paraatender uma necessidade daorganização

O1Não atendimento danecessidade da organizaçãoem produtos e/ou serviços

R1 4 5 20 Extremo

Realizar pesquisa de preço O2Contratação com preçodistorcido R2 5 4 20 Extremo

Descrever adequadamente oobjeto da contratação O3

Contratação com qualidadeinferior que não atende osrequisitos técnicos

R3 5 5 25 Extremo

Definir o prazo para orecebimento dos produtose/ou prestação dos serviçosem tempo hábil parautilização dos mesmos

O4 Atraso na contratação R4 4 4 16 Extremo

Solicitar a contratação emconformidade com leis eregulamentos

O5Solicitação da contratação emdesconformidade com leis eregulamentos

R5 3 4 12 Alto

Escala: Baixo: 1 e 2; Médio: de 3 a 6; Alto: de 8 a 12; Extremo: de 15 a 25.

Fonte: CCIEx (2017)


Com o objetivo de visualizar e, ao mesmo tempo, implementar uma forma de

tratamento de cada risco, o resultado da avaliação dos riscos será apresentado em um mapa de

riscos, chamado de Diagrama de Verificação de Riscos (DVR) permitindo o acompanhamento

da mitigação ou elevação dos riscos.

O Diagrama de Verificação de Riscos (Figura 5) demonstra os pontos de cruzamento da

probabilidade de ocorrência e do impacto dos riscos. Desta forma, pela divisão do diagrama

em quadrantes, pode-se avaliar a criticidade dos riscos. Quanto maior for a probabilidade e o

impacto de um risco, maior será seu nível de criticidade.

Figura 5: Diagrama de Verificação de Riscos

Fonte: CCIEx (2017)

Quanto à criticidade, os riscos possuem as seguintes características:

Risco no quadrante vermelho: risco inaceitável, que possui alta probabilidade de

ocorrência e poderá resultar em impacto extremamente severo; caso ocorra, exige tratamento

imediato, colocando-se em execução um plano de ação composto por controle preventivo,

para eliminar suas causas ou reduzir sua frequência; controle detectível e plano de

contingência para reduzir sua severidade;

Risco no quadrante laranja: pode ser tanto um risco provável, que possui alta

probabilidade de ocorrência e baixo impacto na consecução dos objetivos; bem como um

risco inesperado, que possui baixa probabilidade de ocorrência e alto impacto na consecução

dos objetivos. A estas ameaças, deve-se possuir respostas rápidas ao serem detectadas,

portanto, devem estar planejadas e testadas em um plano de contingência, emergência,


continuidade de negócios, além de ações preventivas. Diferem-se dos riscos do quadrante

vermelho, por terem ações de tratamento implementadas com mais planejamento e tempo.

São eventos que devem ser constantemente monitorados;

Risco no quadrante amarelo: risco que deve ser quantificado e monitorado de forma

rotineira e sistemática, porque suas consequências são gerenciáveis, podendo também possuir

planos de contingência; e

Risco no quadrante verde: risco que representa pequeno problema e causa pouco

prejuízo, portanto controlável.

A Figura 6 apresenta um exemplo de avaliação de riscos inerentes, representada num

Diagrama de Verificação de Riscos Inerentes.

Figura 6: Diagrama de Verificação de Riscos Inerentes

Fonte: CCIEx (2017)

O desafio para os Gestores de Risco é reduzir a criticidade do risco em termos de

probabilidade e impacto, colocando-o num nível aceitável.

Após a finalização da etapa de avaliação dos riscos, inicia-se o processo de avaliação do

nível de riscos dos processos, projetos, áreas ou organizações.

O Nível de Risco é um índice que deve ser calculado sempre que houver a avaliação de

riscos, possibilitando mensurar o nível de criticidade dos processos, projetos, áreas ou

organizações analisados, visando facilitar o monitoramento e acompanhamento da evolução

dos riscos. O índice é calculado pela multiplicação da média dos graus de probabilidade com

a média dos graus de impacto dos riscos presentes nos processos, projetos, áreas ou

organizações.

O Nível de Risco pode ser classificado em:


Extremo – processos, projetos, áreas ou unidades que tem alto grau de risco e poderão

resultar em impacto extremamente severo. Exigem implantação imediata das estratégias de

prevenção e proteção, ou seja, ação imediata;

Alto – processos, projetos, áreas ou unidades que devem receber tratamento em médio

ou curto prazo. Possuem baixo grau de risco e elevados impactos. São processos, projetos,

áreas ou unidades que devem ser constantemente monitorados;

Médio – processos, projetos, áreas ou unidades com alto grau de risco, mas que

causam consequências gerenciáveis à organização. Esses processos, projetos, áreas ou

unidades devem ser monitorados de forma rotineira ou sistemática; e

Baixo – processos, projetos, áreas ou unidades que estão na zona de conforto, devendo

ser gerenciados.

A Tabela 7 apresenta um exemplo de avaliação de nível de risco dos processos.

Tabela 7: Avaliação de Nível de Risco dos Processos (Riscos Inerentes)


Riscos inerentes aosobjetivos

NºRisco

P I P x I Magnitude


O1

Não atendimento danecessidade daorganização emprodutos e/ou serviços

R1 4 5 20 Extremo

Realizar pesquisa de preço O2Contratação com preçodistorcido R2 5 4 20 Extremo

Descrever adequadamente oobjeto da contratação O3

Contratação comqualidade inferior que nãoatende os requisitostécnicos

R3 5 5 25 Extremo

Definir o prazo para orecebimento dos produtose/ou prestação dos serviçosem tempo hábil parautilização dos mesmos

O4 Atraso na contratação R4 4 4 16 Extremo


O5Solicitação da contrataçãoem desconformidade comleis e regulamentos

R5 3 4 12 Alto

Escala: Baixo – de 1 a 2,9; Médio – de 3 a7,9; Alto – de 8 a 14,9; Extremo – de 15 a25.

NÍVEL DERISCO DOPROCESSO

MÉDIA 18,6 Extremo

Fonte: CCIEx (2017)


9 RESPOSTAS A RISCOS

Após a finalização do processo relativo ao componente de Avaliação de Riscos, é

iniciado o processo do componente Respostas a Riscos.

A OM deve identificar qual estratégia seguir (evitar, transferir, aceitar ou tratar) em

relação aos riscos mapeados e avaliados. A escolha da estratégia dependerá do nível de

exposição a riscos previamente estabelecido pela organização em confronto com a avaliação

que se fez do risco.

A priorização deve estar embasada no Diagrama de Verificação de Riscos. O risco no

quadrante vermelho deve receber prioridade no tratamento (Figura 7).

Figura 7:Priorização do Tratamento dos Riscos Inerentes

Fonte: CCIEx (2017)

10 ATIVIDADES DE CONTROLE

Atividades de controles internos são estabelecidas e executadas quando a OM tenha

optado pela estratégia da mitigação no componente Respostas a risco.

Incluem uma gama de controles internos da gestão preventivos e detectivos, bem como

a preparação prévia de planos de contingência e resposta à materialização dos riscos.

São exemplos de controles internos da gestão: alçadas, autorizações, conciliações,

revisões de desempenho, segurança física, segregação de função, normas, procedimentos e

sistemas informatizados.


A fim de possibilitar ao gestor a definição dos controles a serem implementados visando

a mitigação dos riscos do processo, faz necessário alinhar os controles aos fatores de riscos e

aos riscos.

O entendimento sobre o fluxo das atividades do processo e desenho dos controles,

classificados como preventivos e detectivos permite avaliar se o dimensionamento destes

controles atendem ou não o objetivo esperado.

Para auxiliar esta avaliação e incluir os controles e planos de contingência na Matriz de

Riscos e Controles, utiliza-se as seguintes informações:

Controle: é uma ação tomada para certificar-se de que algo se cumpra. Os controles

também são meios usados para verificar que certa ação é eficiente ao seu propósito. Exemplo:

conferência de entradas manuais de dados no sistema;

Tipo de controle: manual ou automático (sem intervenção humana);

Objetivo do controle: atingimento das metas; utilização eficiente e eficaz dos recursos;

confiabilidade das informações e cumprimento de normativos aplicáveis. Exemplo: garantir

que toda e qualquer informação inserida no sistema seja íntegra e completa;

Periodicidade do uso do controle: diário, quinzenal, mensal, etc; e

Categoria do controle:

Preventivo – desenhado para prevenir eventos indesejáveis. Reduz a probabilidade

dos fatores de risco virem a contribuir para a concretização dos riscos; e

Detectivo – desenhado para detectar eventos indesejados. Detecta a manifestação/

ocorrência de um risco, sendo necessário um plano de contingência para mitigar o impacto

nos objetivos do processo.

O esquema abaixo (Figura 8) apresenta a localização dos controles preventivos,

controles detectivos e planos de contingência em relação à causa, ao evento e às

consequências.


Figura 8: Controles Preventivos e Detectivos

Fonte: CCIEx (2017)

A fim de garantir que os possíveis riscos (alinhados a cada objetivo do processo) foram

identificados, analisados e avaliados e que os controles preventivos (necessários para mitigar

a probabilidade dos fatores de risco virem a contribuir para a concretização dos riscos) e os

planos de contingência (associados a controles detectivos para mitigar o impacto nos

objetivos do processo) foram elaborados e implementados, faz-se necessário realizar uma

análise na Matriz de Riscos e Controles (Apêndice C).

Os itens abaixo são alguns exemplos de conclusão da análise na Matriz de Riscos e

Controles:

O risco ‘R1 – Não atender uma necessidade da organização com produtos e/ou

serviços’ foi avaliado como extremo (25 pontos). Entretanto, não há controle preventivo para

mitigar a alta probabilidade do fator de risco ‘FR 1 – Ausência de justificativa da necessidade

de contratação’ em contribuir para a concretização do risco R1; bem como, não há um plano

de contingência associado ao controle detectivo ‘C5 - Assessoria Jurídica verifica a existência

do Documento de Oficialização da Demanda (Requisição)’ que possa dar início a mitigação

do impacto muito alto de se gerar desperdício de recursos públicos, quando da constatação da

ocorrência do risco pelo controle C5;

A estratégia de tratamento escolhida para responder ao o risco ‘R4 – Atraso na

aquisição’ foi equivocada, pois não se pode aceitar um risco extremo; e


Todo objetivo incorre, pelo menos, em um risco. Portanto, verifica-se que não foi

identificado nenhum risco para o objetivo ‘O5 – Aquisição em conformidade com leis e

regulamentos’.

O resultado desta análise resultará em recomendações de melhorias na Gestão de

Riscos, as quais poderão ser implementadas por meio de Planos de Ação (Apêndice D).

A seguir, estão listados algumas recomendações de melhorias na Gestão de Riscos:

Elaborar e implementar um controle preventivo e um plano de contingência associado

ao controle detectivo para mitigar o risco R1;

Selecionar outra estratégia para dar uma resposta ao risco R4; e

Identificar e avaliar os riscos que poderão impactar o objetivo O5.

Após a execução dos Planos de Ação que permitiram a implementação de melhorias na

Gestão de Riscos, faz-se necessário reavaliar os riscos a fim de recalcular a probabilidade e o

impacto dos riscos inerentes, sob a ótica de que controles internos foram implementados a fim

de mitigá-los.

Neste momento, os riscos passam a ser considerados como riscos residuais estimados.

Ou seja, após a implementação de controles internos e reavaliação dos riscos, o gestor estima

um novo grau de criticidade para os riscos, bem como para o processo.


risco após a avaliação dos riscos residuais estimados.

Tabela 8: Matriz de Riscos Residuais Estimados (Avaliação de probabilidade e impacto)


Riscos inerentes aos objetivos Nº Risco P I P x I Magnitude


O1Não atendimento danecessidade da organização emprodutos e/ou serviços

R1 2 2 4 Médio

Realizar pesquisa de preço O2Contratação com preçodistorcido

R2 2 2 4 Médio

Descrever adequadamente oobjeto da contratação

O3Contratação com qualidadeinferior que não atende osrequisitos técnicos

R3 2 3 6 Médio

Definir o prazo para orecebimento dos produtos e/ouprestação dos serviços em tempohábil para utilização dos mesmos

O4 Atraso na contratação R4 2 2 4 Médio



R5 1 1 1 Baixo

Escala: Baixo – de 1 a 2,9; Médio - de 3 a 7,9;Alto - de 8 a 14,9; Extremo - de 15 a 25.

NÍVEL DE RISCODO PROCESSO

MÉDIA 3,8 Médio

Fonte: CCIEx (2017)

A Figura 9 apresenta os riscos residuais estimados após a reavaliação.


Figura 9: Riscos Residuais Estimados

Fonte: CCIEx (2017)

11 INFORMAÇÕES E COMUNICAÇÕES

As informações e comunicações estabelecem o processo e a estratégia de comunicação

com as partes interessadas. É uma fase que permeia todo o processo de gestão e análise de

riscos. É estratégica, pois sem a comunicação, não existe processo de gestão de riscos, tendo

em vista não sensibilizar os usuários do processo.

É necessário realizar palestras e treinamentos buscando a sensibilização e a capacitação

dos gestores envolvidos no processo, pois a percepção do risco pode variar em função de

diferentes conceitos e necessidades, além de questões de interesses das partes envolvidas, por

estarem relacionados ao risco ou aos assuntos em discussão.

A comunicação eficaz é importante para assegurar que os responsáveis pela

implementação dos futuros planos de ação compreendam as bases sobre as quais as decisões

são tomadas e a necessidade de determinadas ações.

A OM deve utilizar sua área de comunicação corporativa para operacionalizar o

processo de comunicação dos riscos corporativos.

12 MONITORAMENTO

O monitoramento deve ser planejado como parte do processo e deve envolver a

checagem ou vigilância regulares. Pode ser periódico ou acontecer em resposta a um fato

específico.


De forma clara e objetiva o monitoramento envolve três procedimentos:

O primeiro procedimento é verificar se o Plano de Ação proposto foi executado. Para

isso devemos utilizar os indicadores: Executado, Em Execução e Não Executado. Também

devem ser acompanhados os resultados das ações e medidas propostas. Devem ser

acompanhadas para saber se seus objetivos foram atingidos e, se não foram, quais as

dificuldades encontradas e as ações corretivas (Apêndice D); e

O segundo procedimento é acompanhar a evolução das condições dos riscos

identificados e analisados. Neste caso, deve-se verificar se as condições listadas no diagrama

de causa e efeito sofreram mudanças e/ou alterações do ambiente.

O terceiro procedimento tem como objetivo possibilitar ao gestor o conhecimento do

processo, no que tange à eficácia, ineficácia ou inexistência dos controles para que seja

realizada uma análise dos riscos residuais estimados (Apêndice E).

Esse entendimento sobre o fluxo das atividades e desenho dos controles, classificados

como preventivos ou detectivos, permite avaliar se o dimensionamento destes controles

atendem ou não o objetivo esperado.

O resultado é a verificação da eficácia do controle, medida em porcentagem de vezes

que o controle mitigou o risco. Exemplo: Para um determinado processo, foi implementado

um controle interno visando mitigar a probabilidade de manifestação de um risco (controle

preventivo). Ao realizar a avaliação da eficácia do controle, foi verificado que de cada 10

vezes que o processo foi executado, o controle preveniu que o risco se manifestasse em três

vezes, ou seja, o controle foi eficaz em apenas 30%.

O parecer é a descrição da eficácia do controle, comparando o resultado da avaliação da

eficácia do controle com o critério estabelecido. Exemplo: Foi estabelecido que o critério de

eficácia para que os controles sejam considerados eficazes é de 90%. Desta forma, de cada 10

vezes que o processo for executado, o controle deverá preveni que o risco se manifeste em, no

mínimo, nove vezes. Portanto, o controle com resultado de 30% obterá o parecer de

‘ineficaz’.

Após o monitoramento do controle, faz-se necessário reavaliar os riscos, ou seja,

recalcular a probabilidade e o impacto dos riscos residuais estimados. As notas de

probabilidade e impacto devem ser revistas neste momento, de forma coerente com a

avaliação realizada sobre os controles.

Neste momento, os riscos passam a ser considerados como riscos residuais efetivos. Ou

seja, após a avaliação dos controles e a reavaliação dos riscos, o gestor passa a verificar o real

grau de criticidade dos riscos, bem como do processo.


Este processo de monitoramento é de suma importância e deve ser acompanhado

diretamente pelo gestor de riscos.


risco após a avaliação dos riscos residuais estimados.

Tabela 9: Matriz de Riscos Residuais Efetivos (Avaliação de probabilidade e impacto)


Riscos inerentes aos objetivosNº

RiscoP I P x I Magnitude


O1Não atendimento da necessidadeda organização em produtos e/ouserviços

R1 2 5 10 Alto

Realizar pesquisa de preço O2 Contratação com preço distorcido R2 5 4 20 Extremo

Descrever adequadamente oobjeto da contratação

O3Contratação com qualidadeinferior que não atende osrequisitos técnicos

R3 2 3 6 Médio

Definir o prazo para orecebimento dos produtos e/ouprestação dos serviços em tempohábil para utilização dos mesmos

O4 Atraso na contratação R4 2 2 4 Médio



R5 3 1 3 Médio

Escala: Baixo – de 1 a 2,9; Médio - de 3 a 7,9;Alto - de 8 a 14,9; Extremo - de 15 a 25.

NÍVEL DE RISCO DOPROCESSO

MÉDIA 8,6 Alto

Fonte: CCIEx (2017)

A Figura 10 apresenta os riscos residuais estimados após a reavaliação.

Figura 10: Diagrama de Verificação de Riscos Residuais Efetivos

Fonte: CCIEx (2017)


Importante frisar que quanto maior for o monitoramento, menor será a exposição a

riscos (Figura 11).

Figura 11: Monitoramento

Fonte: Adaptado de BRASILIANO (2016)

13 CONCLUSÃO

Apresentamos nesta publicação metodologia, critérios e técnicas para a execução do

Processo de Gestão de Riscos numa organização, independente de seu porte ou autonomia

administrativa.

A metodologia apresentada foi formulada com base no referencial presente na obra

“Gerenciamento de Riscos Corporativos – Estrutura Integrada” publicada pelo Committee of

Sponsoring Organizations of The Treadway Commission (COSO).

Nesta metodologia, dividimos a Estrutura da Gestão de Riscos em oito componentes

inter-relacionados e integrados com o processo de gestão das Organizações Militares, a saber:

Ambiente Interno, Fixação de Objetivos, Identificação de Eventos, Avaliação de Riscos,

Resposta a Riscos, Atividades de Controles Internos, Informação e Comunicação, além do

Monitoramento.

A Alta Administração da organização deve valer-se do Planejamento Estratégico e/ou

Plano de Gestão para fixar os objetivos do processo, cuja Gestão de Riscos será executada,

alinhando-os aos objetivos estratégicos da sua organização. Esse alinhamento é

imprescindível para que os processos que dão suporte a organização, possam efetivamente

contribuir para o atingimento das metas e objetivos traçados no seu planejamento estratégico.

Cabe ressaltar que cada objetivo do processo incorre em, pelo menos, um risco.

Entretanto, cada risco pode ser concretizado/manifestado pela influência de um ou mais


fatores de risco (causas), bem como gerar uma ou mais consequências nos objetivos do

processo. Portanto, recomenda-se a utilização da Técnica da gravata borboleta para realizar a

análise do risco.

Os riscos sofrem evolução ao longo do Processo de Gestão de Riscos, a medida que são

analisados. Na primeira análise, isenta de qualquer ação de controle, são considerados riscos

inerentes.

Após o estudo da melhor estratégia de tratamento para dar uma resposta ao risco,

desenha-se controles preventivos, controles detectivos e planos de ação, quando a estratégia

escolhida for a mitigação do risco. Neste momento, vislumbra-se um novo grau de criticidade

do risco, passando a chamar-se de risco residual estimado.

Contudo, no Processo de Gestão de Riscos, faz-se necessário monitorar a

implementação dos diversos planos de ação propostos, nos quais incluem-se a elaboração,

aperfeiçoamento e implementação dos controles internos e dos planos de contingência. Dessa

forma, o gestor reavalia os riscos, com base nas ações de monitoramento, auferindo um grau

de criticidade mais próximo da realizada. Nesse ponto, o risco passa a ser denominado de

risco residual efetivo.

Diante da conclusão da execução das oito etapas do Processo de Gestão de Riscos, o

gestor possuirá informações mais precisas para a tomada de decisão.

Portanto, verifica-se a importância para o gestor integrar a Gestão de Riscos em todos

os níveis da Gestão dos Processos Organizacionais, bem como da Gestão de Projetos.


REFERÊNCIAS BIBLIOGRÁFICAS

BRASIL. Ministério da Defesa. Comando do Exército. Portaria nº 813-Cmt Ex, de 28 de setembro de 2012: aprova as Normas para a Realização das Atividades de Auditoria e Fiscalização pelo Controle Interno do Comando do Exército (EB10-N-13.003). Boletim do Exército. Brasília, DF, 2012.

_____. Ministério da Defesa. Comando do Exército. Portaria nº 018-Cmt Ex, de 17 de janeiro de 2013: aprova o Manual de Auditoria (EB 10-MT-13.001) e dá outras providências.Boletim do Exército. Brasília, DF, 2013.

_____. Ministério da Defesa. Comando do Exército. Portaria nº 465-Cmt Ex, de 17 de maiode 2017: aprova a Política de Gestão de Riscos do Exército Brasileiro (EB 10-P-01.004), Boletim do Exército. Brasília, DF, 2017.

_____. Ministério da Defesa. Comando do Exército. Portaria nº 222-EME, de 5 de junho de2017: aprova a Metodologia da Política de Gestão de Riscos do Exército Brasileiro (EB 20-D-07.089), Boletim do Exército. Brasília, DF, 2017.

_____. Tribunal de Contas da União. Revista do Tribunal de Contas da União número 132, janeiro/abril 2015. Metodologia de Auditoria com Foco em Processo e Risco. Brasília: TCU, 2015. p. 28. Disponível em: <http://portal.tcu.gov.br/publicacoes-institucionais/periodicos-e-series/revista-do-tcu/>.

BRASILIANO, Antônio Celso Ribeiro. GESTÃO DE RISCO DE FRAUDE: Fraud Risk Assessment – FRA. Sicurezza Editora, 2015.

COSO. Committee of Sponsoring Organizations of the Treadway Commission. Gerenciamento de riscos corporativos. Tradução Audibra e PricewaterhouseCopers. São Paulo: [s.n.], 2013, 135 p.

DE CICCO, Francesco. AUDITORIA BASEADA EM RISCOS: Como implementar a ABRnas organizações: uma abordagem inovadora. Risk Tecnologia Editora Ltda, 2007.

33APÊNDICE A – MATRIZ DE RISCOS E CONTROLES (MODELO)

Processo: Oficialização da Demanda

Fixação deObjetivos

Identificação deEventos

Avaliação de RiscosResposta a

RiscoAtividade de Controle Monitoramento

Objetivos doprocesso

NºO

Riscosinerentes

aosobjetivos

NºR

Fator de Risco (Causa)NºFR

Consequência

Avaliação de riscoinerente

Estratégiade

Tratamento dos

Riscos

Controlespreventivos

NºC

Controlesdetectivos

NºC

Planos decontingência

NºP

Avaliação de risco residualestimado


Controlesdetectivos ePlanos de

Contingência

Avaliação de risco residualefetivo

FonteVulnerabilidad

eP I

P xI

Magnitude

P I P x IMagnitu

-deAvaliação

Eficá-cia

>90%

Avalia-ção

Eficá-cia

>90%P I

P xI

Magnitude

Nível de Risco doProcesso

Nível de Risco do Processo Nível de Risco do Processo

34APÊNDICE B – IDENTIFICAÇÃO DE RISCOS E FATORES DE RISCO

35APÊNDICE C – ANÁLISE DA MATRIZ DE RISCOS E CONTROLES

Processo: Oficialização da DemandaFixação de Objetivos Identificação de

EventosAvaliação de Riscos

Resposta aRisco

Atividade de Controle


NºO

Riscosinerentes aos

objetivos

NºR


Consequência


Estratégiade

Tratamentodos Riscos


NºC

Controlesdetectivos

NºC


NºP

Avaliação de riscoresidual estimado

Fonte Vulnerabilidade P I P x IMagnitud

eP I P x I

Magnitude

Solicitar acontratação deprodutos e/ouserviços paraatender uma

necessidade daorganização

O1

Nãoatendimento

danecessidade

daorganizaçãoem produtose/ou serviços

R1Processo

s

Ausência dejustificativa danecessidade de

contratação

FR1Desperdício de

recursospúblicos

4 5 20 Extremo Mitigar - -

AssessoriaJurídica verificaa existência doDocumento de

Oficialização daDemanda

(Requisição)

C5 - - 2 2 4 Médio

Realizar pesquisade preço

O2Contrataçãocom preçodistorcido

R2Processo

s

Ausência depesquisa de preço

ou pesquisa depreço malexecutada

FR2

Superfaturamento ou

incapacidade deentrega do bemou prestação doserviço quando

o preço forinexequível

5 4 20 Extremo Mitigar

Realizaçãode pesquisa

de preçoconformeIN nº 5

C2

FiscalAdministrativo

verifica se apesquisa de

preço foirealizada

conforme IN nº5

C6


devolve oDocumento de


(Requisição) para serretificada após umanova realização depesquisa de preço

P6

2 2 4 Médio

Descreveradequadamente o

objeto dacontratação

O3

Contrataçãocom

qualidadeinferior que

não atende osrequisitostécnicos

R3Processo

s

Descriçãoinadequada do


FR3Comprometimento da qualidadedas atividades


Elaboraçãode Termo deReferênciaou Projeto

Básico

C3


verifica se adescrição do

objeto dacontratação está

adequada

C7


devolve oDocumento de


(Requisição) para serretificada quanto adescrição do objeto

da contratação

P7

2 3 6 Médio

Definir o prazopara o

recebimento dosprodutos e/ouprestação dosserviços em

tempo hábil parautilização dos

mesmos

O4Atraso na

contrataçãoR4

Processos

Falta deinformação doprazo para o

recebimento deprodutos ouprestação de

serviços com basena utilização dos

mesmos

FR4Interrupção ouinexecução das

atividades4 4 16 Extremo Aceitar - - - - - - 2 2 4 Médio

Solicitar acontratação emconformidade

com leis eregulamentos

O5 - - - - - 0 - - - - - - 0


16,2 Extremo Nível de Risco do Processo 3,6 Médio

Ausência de plano de contingência para mitigar o impacto do risco. O

controle somente detecta a ocorrência do risco.

Estratégia de tratamento equivocada. O gestor de riscos poderá escolher entre evitar, compartilhar ou mitigar.

Ausência de controle preventivo

para mitigar a probabilidade do

risco

Todo objetivo incorre, pelo

menos, em um risco.

36APÊNDICE D – PLANO DE AÇÃO 5W2H

Ação a realizar? Quem? Como? Onde? Por quê? Custos Prazos Situação

Elaborar eimplementar um

controle preventivoe um plano decontingênciaassociado ao

controle detectivo


Elaborar e implementar um controlepreventivo para mitigar a alta

probabilidade do fator de risco ‘FR1 –Ausência de justificativa da

necessidade de contratação’ emcontribuir para a concretização do

risco R1 – Não atender umanecessidade da organização com

produtos e/ou serviços. Elaborar eimplementar um plano de

contingência associado ao controledetectivo ‘C5 – Assessoria Jurídica

verifica a existência do Documento deOficialização da Demanda

(Requisição)’ que possa dar início amitigação do impacto muito alto de se

gerar desperdício de recursospúblicos, quando da constatação daocorrência do risco pelo controle C5

Processo deOficialização da

Demanda

Existência de fator derisco sem tratamento que

poderá levar aconcretização de risco,bem como, ausência deplano de contingência

associado a um controledetectivo, podendo

impactar no atingimentode objetivo do processo

Nãoestimado

Nov 17 Em execução

Selecionarestratégia de

resposta a risco


Selecionar outra estratégia de respostaa risco (compartilhar, evitar ou

mitigar), de acordo com o nível deexposição a riscos previamente

estabelecido pela organização (apetitee tolerância a riscos) em confrontocom a avaliação que se fez do riscoR4 – Atraso na aquisição (grau de

criticidade do risco)


Demanda

O apetite a risco daorganização não permiteassumir risco extremo

Nãoestimado

Nov 17 Executado

Identificar e avaliarriscos


Identificar e avaliar os riscos quepoderão impactar o objetivo O5 –

Aquisiçãoem conformidade com leis e

regulamentos


Demanda

Existência de objetivodo processo sem

identificação de nenhumrisco

Nãoestimado

Nov 17 Não execução

37APÊNDICE E – MONITORAMENTO

NºR

NºFR

Controles preventivosNºC

Controles detectivosNºC

Planos de contingência Nº P


Controles preventivosControles detectivos e Planos de

Contingência

P I P x IMagnitud

eAvaliação

Eficácia>90%

AvaliaçãoEficácia>90%

R1 FR1

Alta administração públicanormativo criando obrigatoriedade

de que todas as contratações daorganização sejam iniciadas com aformalização da demanda por meio

de documento assinado pelorequisitante, no caso a IG12-02.

C1

Assessoria Jurídica verifica aexistência do Documento deOficialização da Demanda

(Requisição)

C5 Em elaboração P5 2 2 4 Médio 90% Eficaz 0% Ineficaz

R2 FR2Realização de pesquisa de preço

conforme IN nº 5C2

Fiscal Administrativo verificase a pesquisa de preço foi

realizada conforme IN nº 5C6

Fiscal Administrativo devolve oDocumento de Oficialização daDemanda (Requisição) para ser

retificada após uma nova realização depesquisa de preço

P6 2 2 4 Médio 50% Ineficaz 30% Ineficaz

R3 FR3Elaboração de Termo de Referência

ou Projeto BásicoC3

Fiscal Administrativo verificase a descrição do objeto dacontratação está adequada

C7


retificada quanto a descrição do objetoda contratação

P7 2 3 6 Médio 95% Eficaz 90% Eficaz

R4 FR4Elaboração de Termo de Referência

ou Projeto BásicoC3

Fiscal Administrativo verificase a quantidade do objeto dacontratação está adequada

C8


retificada quanto a quantidade do objetoda contratação


- - Não elaborado - - - - - 0 0 0 0% Ineficaz -% Não avaliado

38APÊNDICE F – MATRIZ DE RISCOS E CONTROLES

Processo: Oficialização da Demanda






NºO

Riscosinerentes aos

objetivos

NºR


Consequência


Estratégiade

Tratamento dos

Riscos


NºC

Controlesdetectivos

NºC


NºP



Controlesdetectivos ePlanos de

Contingência


Fonte Vulnerabilidade P IP xI

Magnitude

P I P x IMagnitu-

deAvaliação

Eficá-cia

>90%

Avalia-ção

Eficá-cia

>90%P I P x I Magnitude

Solicitar acontratação deprodutos e/ouserviços paraatender umanecessidade

daorganização

O1

Nãoatendimento

danecessidade

daorganizaçãoem produtose/ou serviços

R1

Processos

Ausência dejustificativa danecessidade de

contratação

FR1

Desperdício derecursospúblicos


Alta administraçãopública normativo

criandoobrigatoriedade de

que todas ascontratações da

organização sejaminiciadas com aformalização da

demanda por meiode documentoassinado pelo

requisitante, no casoa IG12-02.

C1

AssessoriaJurídica

verifica aexistência do

Documento deOficializaçãoda Demanda(Requisição)

C5

Assessoria jurídicanão aprova processode contratação que

não contenhainformações claras

sobre qual anecessidade dacontratação em

termos de negócio eidentifique

precisamente o atorque declarou esta

necessidade

P5 2 2 4 Médio 90% Eficaz 70%Inefica

z2 5 10 Alto

Realizarpesquisa de

preçoO2

Contrataçãocom preçodistorcido

R2

Processos

Ausência depesquisa de

preço oupesquisa depreço malexecutada

FR2

Superfaturamento ou

incapacidadede entrega do

bem ouprestação do

serviço quandoo preço forinexequível

5 4 20 Extremo MitigarRealização de

pesquisa de preçoconforme IN nº 5

C2

FiscalAdministrativo verifica se apesquisa de

preço foirealizada

conforme INnº 5

C6

Fiscal Administrativodevolve o Documento

de Oficialização daDemanda

(Requisição) para serretificada após umanova realização depesquisa de preço

P6 2 2 4 Médio 50% Ineficaz 30%Inefica

z5 4 20 Extremo

Descreveradequadamente o objeto dacontratação

O3

Contrataçãocom

qualidadeinferior quenão atende

os requisitostécnicos

R3

Processos

Descriçãoinadequada do


FR3

Comprometimento da

qualidade dasatividades


Elaboração deTermo de

Referência ouProjeto Básico

C3

FiscalAdministrativo verifica se adescrição do


está adequada

C7



(Requisição) para serretificada quanto adescrição do objeto

da contratação

P7 2 3 6 Médio 95% Eficaz 90% Eficaz 2 3 6 Médio

Definir oprazo para orecebimentodos produtos

e/ou prestaçãodos serviçosem tempohábil para

utilização dosmesmos

O4Atraso na

contrataçãoR4

Processos

Falta deinformação doprazo para o

recebimento deprodutos ouprestação deserviços com

base nautilização dos

mesmos

FR4

Interrupção ouinexecução das

atividades4 4 16 Extremo Mitigar

Elaboração deTermo de

Referência ouProjeto Básico

C3

FiscalAdministrativo verifica se aquantidade do


está adequada

C8



(Requisição) para serretificada quanto a

quantidade do objetoda contratação


Solicitar acontratação

emconformidade

com leis eregulamentos

O5

Solicitaçãoda

contrataçãoem

desconformidade com

leis eregulamento

s

R5

Estruturaorganizacional

Requisiçãoconfeccionadapor quem nãonecessita de

produto/serviço

FR5

Necessidadede muitos

ajustes paraque a solução

contratadaatenda às

necessidadesou abandonoda soluçãocontratada

3 4 12 Alto Mitigar

Requisitante deveser a autora doDocumento de

Oficialização daDemanada

(Requisição)

C4

Equipe deplanejamentoda contratação

(SALC)verifica a

existência doDocumento deOficializaçãoda Demanda(Requisição)

C9

Equipe deplanejamento da

contratação (SALC)elabora o Documentode Oficialização da

Demanda(Requisição) e o

submete à aprovaçãodo requisitante para

sua ratificação formalantes de iniciar oplanejamento da

contratação

P9 1 1 1 Baixo 30% Ineficaz 90% Eficaz 3 1 3 Médio


18,6 Extremo Nível de Risco do Processo 3,8 Médio Nível de Risco do Processo 8,6 Alto

39APÊNDICE G – ESTUDO DE CASO

Você foi designado membro da Equipe de Gestão de Riscos da Seção em que trabalha. Utilizandoos conhecimentos adquiridos no Curso de Gestão de Riscos e Controles Internos, execute o processo deGestão de Riscos em um processo crítico de sua Seção, a fim de propiciar garantia razoável quanto ao al-cance dos objetivos desse processo. Para tanto, responda aos quesitos abaixo:

1. Defina o nível de criticidade dos processos (Oficialização da demanda, Planejamento da contra-tação, Seleção do fornecedor e Gestão do contrato) que constituem o macroprocesso de Aquisi-ções Públicas, utilizando a Matriz de Priorização dos Processos Críticos (Apêndice H).

Obs: Independentemente do resultado do quesito anterior, utilize o processo “Seleção do fornece-dor” para responder aos quesitos seguintes.

2. Defina os objetivos do processo, utilizando a Matriz de Riscos e Controles (Apêndice I).

3. Identifique os riscos inerentes do processo, utilizando a Matriz de Riscos e Controles (ApêndiceI).

4. Analise os riscos inerentes do processo, relacionando-os com os fatores de risco que lhes dãoorigem e com as consequências que podem surgir, utilizando a Técnica da gravata borboleta(Apêndice J).

5. Identifique os riscos (eventos) e os fatores de riscos (causas) no fluxograma do processo “Sele-ção do fornecedor” (Apêndice K).

6. Realize a avaliação dos riscos inerentes do processo, utilizando a Matriz de Riscos e Controles(Apêndice I).

7. Confeccione o Diagrama de Verificação de Riscos (DVR) para os riscos inerentes do processo,utilizando o DVR 1 (Apêndice L).

8. Realize a avaliação do nível de risco do processo, utilizando a Matriz de Riscos e Controles(Apêndice I).

9. Defina a estratégia a ser adotada para cada risco inerente avaliado, utilizando a Matriz de Riscose Controles (Apêndice I).

40 10. Defina os controles necessários para mitigar os riscos e, sfc, os planos de contingência associa-

dos, utilizando a Matriz de Riscos e Controles (Apêndice I).

Obs: Independentemente do resultado do quesito anterior, utilize a Análise da Matriz de Riscos eControles (Apêndice M) para responder aos quesitos seguintes.

11. Analise a Matriz de Riscos e Controles no tocante aos objetivos sem riscos definidos; à estraté-gia de tratamento dos riscos selecionada; e aos riscos e fatores de risco sem controles e planos decontingência definidos, utilizando a Análise da Matriz de Riscos e Controles (Apêndice M).

12. Elabore um Plano de Ação decorrente das conclusões da análise da Matriz de Riscos e Contro-les, utilizando o Plano de Ação – 5W2H (Apêndice N).

13. Realize a avaliação dos riscos residuais estimados e do nível de risco do processo, utilizando aMatriz de Riscos e Controles (Apêndice I).

14. Confeccione o Diagrama de Verificação de Riscos (DVR) para os riscos residuais estimados,utilizando o DVR 2 (Apêndice L).

15. Realize o monitoramento do Plano de Ação elaborado no quesito 11, verificando se o mesmofoi executado, preenchendo a coluna ‘Situação’ do Plano de Ação – 5W2H (Apêndice N).

16. Considerando que o plano de contingência associado ao controle detectivo C1 ainda está emelaboração, que o controle preventivo para o risco R5 não foi elaborado e que não houve evolu-ção das condições dos riscos identificados e analisados, realize o monitoramento (Apêndice O).

17. Realize a avaliação dos riscos residuais efetivos e do nível de risco do processo, utilizando aMatriz de Riscos e Controles (Apêndice I).

18. Confeccione o Diagrama de Verificação de Riscos (DVR) para os riscos residuais estimados,utilizando o DVR 3 (Apêndice L).

19. Analise os Diagramas de Verificação de Riscos 1, 2 e 3 (Apêndice L), a fim de verificar a mag-nitude dos riscos depois da implantação dos controles internos da gestão e conclua sobre a neces-sidade de elaboração de novo Plano de Ação – 5W2H.

20. Analise a Matriz de Riscos e Controles (Apêndice I), a fim de verificar o nível de risco do pro-cesso depois da implantação dos controles internos da gestão e conclua sobre a necessidade deelaboração de novo Plano de Ação – 5W2H.

41

APÊNDICE H – PRIORIZAÇÃO DOS PROCESSOS CRÍTICOS – ESTUDO DE CASO

ObjetivosTotal darelação

Atender as operaçõesmilitares com produtos

e serviços

Contratação com preçocompetitivo

Contratação com quali-dade que atenda os re-

quisitos técnicos

Recebimento dos pro-dutos e serviços em

tempo hábil

Contratação em confor-midade com leis e regu-

lamentos

Processos

Oficialização dademanda


Seleção dofornecedor

Gestão do contra-to

Legenda:Relação Processo x Objetivo Pontos

Forte 5Média 3Fraca 1

Sem relação -Fonte: Adaptado de ENAP (2016)

42APÊNDICE I – MATRIZ DE RISCOS E CONTROLES – ESTUDO DE CASO

Processo: Seleção do fornecedor






Nº ORiscos inerentes

aos objetivosNºR


ConsequênciaAvaliação de risco inerente Estratégia

deTratamentodos Riscos


NºC

Controlesdetectivos

Nº CPlanos de

contingênciaNº P



Controles detectivose Plano de

Contingência


Fonte Vulnerabilidade P I P x I Magnitude P I P x IMagnitu-

deAvalia-

çãoEficácia>90%

Avalia-ção

Eficácia>90%

P I P x I Magnitude

Nível de Risco do Processo Nível de Risco do Processo Nível de Risco do Processo

43APÊNDICE J – TÉCNICA DA GRAVATA BORBOLETA– ESTUDO DE CASO

46APÊNDICE K – PROCESSO MAPEADO – ESTUDO DE CASO

47

APÊNDICE L – DIAGRAMA DE VERIFICAÇÃO DE RISCOS – ESTUDO DE CASO

48APÊNDICE M – ANÁLISE DA MATRIZ DE RISCOS E CONTROLES – ESTUDO DE CASO

Processo: Seleção do Fornecedor




RiscoAtividade de Controle


NºO

Riscosinerentes aos

objetivos

NºR


Consequência


Estratégiade




Planos de contingência Nº PFonte Vulnerabilidade P I P x I Magnitude

Selecionar aproposta

maisvantajosa

O1

Existência degrande

número depropostas

não mantidasapós a fasede lances

R1Processo

s

Ausência de instauraçãode procedimento

administrativo paraapurar condutas de

licitantes que podem sertipificadas no art. 7º da

Lei 10.520/2002

FR1

Incapacidade deentrega do bemou prestação doserviço quando

o preço forinexequível

4 5 20 Extremo Mitigar - - - - - -

Existência depoucos

fornecedorescotando

preços, anteo

desconhecimento da

contratação

R2Processo

sPouca divulgação do

certame licitatórioFR2

Falta decompetitividade


Pregoeiro verifica acompetitividade entreos licitantes durante a

fase de lances

C3

Realizar contrapropostaao licitante que tenha

apresentado lance maisvantajoso, para que sejaobtida melhor proposta

P3

Estar emconformidade com leis e

regulamentosque tratam de

aquisiçõespúblicas

O2

Aceitação ourecusa de

propostas emdesacordo

com o edital

R3 Pessoas

Pregoeiro e equipe deapoio não detém as

competênciasmultidisciplinares

necessárias à execuçãoda atividade

FR3Desperdício de

recursospúblicos

5 5 25 Extremo MitigarCapacitação do pregoeiro

e da equipe de apoioC4

Ordenador de Despesasverifica a adjudicação

do pregoeiroC5

Homologar somente ositens cuja propostavencedora esteja deacordo com o edital

P5

Contrataçãode licitante

comrestrições

R4 Pessoas

Não consultar todas aslistas onde constam

restrições para contratarcom a Administração

Pública

FR4Contratação

com fornecedorinidôneo


Utilizar uma relação comtodas as listas de

restrições para contratarque devem ser

consultadas na etapa dehabilitação do fornecedor.

C6 - - - -

Publicaçãode

informaçõesincompletas,

emdesacordo

com alegislação

R5Processo

s

Ausência de padrão paraa publicação dosextratos do edital

FR5

Republicaçãodo edital comabertura de

novo prazo paraelaboração das

propostas

3 1 3 Médio Mitigar - - - - - -


17.8 Extremo

49APÊNDICE N – PLANO DE AÇÃO – 5W2H – ESTUDO DE CASO


50APÊNDICE O – MONITORAMENTO – ESTUDO DE CASO

NºR

NºFR



Planos de contingênciaNºP


Controles preventivosControles detectivos e

Planos de Contingência

P I P x I Magnitude AvaliaçãoEficácia>90%


R1 FR1Cláusula em Edital

prevendo procedimentoadministrativo

C1

Pregoeiro verifica quaispropostas não foram

mantidas após a fase delances

C2 Em elaboração P1 3 2 6 Médio

R2 FR2Ampla divulgação do

certame licitatórioC3

Pregoeiro verifica acompetitividade entre oslicitantes durante a fase

de lances

C4



P2 2 2 4 Médio

R3 FR3Capacitação do

pregoeiro e da equipe deapoio

C5Ordenador de Despesasverifica a adjudicação

do pregoeiroC6


P3 2 2 4 Médio

R4 FR4

Utilizar uma relaçãocom todas as listas de


consultadas na etapa dehabilitação do

fornecedor.

C7Ordenador de Despesasverifica a adjudicação

do pregoeiroC6


P4 1 2 2 Baixo

R5 FR5 Não elaborado - - - - - 1 1 1 Baixo

51APÊNDICE P – PRIORIZAÇÃO DOS PROCESSOS CRÍTICOS – GABARITO

ObjetivosTotal darelação

Atender as operaçõesmilitares com produtos e

serviços

Contratação com preçocompetitivo

Contratação com quali-dade que atenda os re-

quisitos técnicos

Recebimento dos produ-tos e serviços em tempo

hábil

Contratação em confor-midade com leis e regu-

lamentos

Processos

Oficialização dademanda

5 3 5 5 5 23


3 1 3 3 3 13

Seleção dofornecedor

5 5 5 1 5 21

Gestão do contrato 3 1 5 5 3 17

Legenda:

Relação Processo x Objetivo PontosForte 5Média 3Fraca 1

Sem relação -Fonte: Adaptado de ENAP (2016)

52APÊNDICE Q – MATRIZ DE RISCOS E CONTROLES – GABARITO

Processo: Seleção do fornecedor






Nº ORiscos inerentes

aos objetivosNº R


ConsequênciaAvaliação de risco inerente Estratégia

deTratamentodos Riscos


Nº CControlesdetectivos

Nº CPlanos de

contingênciaNº P



Controles detectivose Plano de

Contingência


Fonte Vulnerabilidade P I P x I Magnitude P I P x IMagnitu-

deAvalia-

çãoEficácia>90%

Avalia-ção

Eficácia>90%

P I P x I Magnitude

Selecionar aproposta mais

vantajosaO1

Existência degrande número

de propostas nãomantidas após afase de lances

R1 Processos

Ausência deinstauração deprocedimento


licitantes quepodem ser

tipificadas no art.7º da Lei

10.520/2002

FR1

Incapacidade deentrega do bem ou

prestação doserviço quando o

preço forinexequível


Cláusula em Editalprevendo

procedimentoadministrativo

-

Pregoeiroverifica quaispropostas não

forammantidas

após a fase delances

C1

Instaurarprocedimento


licitantes quepodem ser

tipificadas no art.7º da Lei

10.520/2002

P1 3 2 6 Médio 90% Eficaz 0% Ineficaz 3 5 15 Extremo


fornecedorescotando preços,

ante odesconhecimento

da contratação

R2 ProcessosPouca divulgação

do certamelicitatório

FR2Falta de

competitividade4 4 16 Extremo Mitigar

Ampla divulgaçãodo certamelicitatório

C2

Pregoeiroverifica a

competitividade entre oslicitantes

durante a fasede lances

C3

Realizarcontraproposta aolicitante que tenhaapresentado lancemais vantajoso,para que sejaobtida melhor

proposta


Estar emconformidade

com leis eregulamentosque tratam de


O2


propostas emdesacordo com o

edital

R3 Pessoas

Pregoeiro e equipede apoio não detém

as competênciasmultidisciplinares

necessárias àexecução da

atividade

FR3Desperdício de

recursos públicos5 5 25 Extremo Mitigar

Capacitação dopregoeiro e da

equipe de apoioC4

Ordenador deDespesasverifica a

adjudicaçãodo pregoeiro

C5

Homologarsomente os itens

cuja propostavencedora esteja de

acordo com oedital


Contratação delicitante com

restriçõesR4 Pessoas

Não consultar todasas listas onde

constam restriçõespara contratar coma Administração

Pública

FR4Contratação com

fornecedorinidôneo


Utilizar umarelação com todas

as listas derestrições paracontratar que

devem serconsultadas na

etapa de habilitaçãodo fornecedor.

C6

Ordenador deDespesasverifica a

adjudicaçãodo pregoeiro

C5

Homologarsomente os itens

cuja propostavencedora esteja de

acordo com oedital

P5 1 2 2 Baixo 50% Ineficaz 95% Eficaz 5 2 10 Alto

Publicação deinformações

incompletas, emdesacordo com a

legislação

R5 Processos

Ausência de padrãopara a publicaçãodos extratos do

edital

FR5

Republicação doedital com

abertura de novoprazo para

elaboração daspropostas

3 1 3 Médio Mitigar

Padronizar oconteúdo das

publicações dosextratos do edital

C7 - - - - 1 1 1 Baixo 95% Eficaz -%Não

avaliado1 1 1 Baixo

Nível de Risco do Processo 17.8 Extremo Nível de Risco do Processo 3.4 Médio Nível de Risco do Processo 6.8 Médio

53APÊNDICE R – TÉCNICA DA GRAVATA BORBOLETA – GABARITO

55APÊNDICE S – PROCESSO MAPEADO – GABARITO

APÊNDICE T – DIAGRAMA DE VERIFICAÇÃO DE RISCOS – GABARITO

56

APÊNDICE U – ANÁLISE DA MATRIZ DE RISCOS E CONTROLES – GABARITO

Processo: Seleção do Fornecedor




RiscoAtividade de Controle


NºO

Riscosinerentes aos

objetivos

NºR


Consequência


Estratégiade




Planos de contingência Nº PFonte Vulnerabilidade P I P x I Magnitude

Selecionar aproposta mais

vantajosaO1

Existência degrande

número depropostas não

mantidasapós a fase de

lances

R1 Processos

Ausência de instauraçãode procedimento


licitantes que podem sertipificadas no art. 7º da

Lei 10.520/2002

FR1

Incapacidade deentrega do bemou prestação do

serviço quando opreço for

inexequível

4 5 20

Extremo

Mitigar - - - - - -


fornecedorescotando

preços, ante odesconhecime

nto dacontratação

R2 ProcessosPouca divulgação do

certame licitatórioFR2

Falta decompetitividade



de lances

C3



P3

Estar emconformidade

com leis eregulamentosque tratam de


O2


propostas emdesacordo

com o edital

R3 Pessoas

Pregoeiro e equipe deapoio não detém as

competênciasmultidisciplinares

necessárias à execução daatividade

FR3Desperdício de

recursospúblicos

5 5 25 Extremo MitigarCapacitação do pregoeiro e

da equipe de apoioC4

Ordenador de Despesasverifica a adjudicação do

pregoeiroC5


P5

Contrataçãode licitante

comrestrições

R4 Pessoas

Não consultar todas aslistas onde constam

restrições para contratarcom a Administração

Pública

FR4Contratação com

fornecedorinidôneo


Utilizar uma relação comtodas as listas de restriçõespara contratar que devem

ser consultadas na etapa dehabilitação do fornecedor.

C6 - - - -

Publicação deinformaçõesincompletas,em desacordo

com alegislação

R5 ProcessosAusência de padrão paraa publicação dos extratos

do editalFR5

Republicação doedital com

abertura de novoprazo para

elaboração daspropostas

3 1 3 Médio Mitigar - - - - - -


17.8 Extremo

57

Ausência de controle detectivo e plano de

contingência associado paramitigar o impacto

do risco.

Ausência de controle detectivo e plano de

contingência associado paramitigar o impacto

do risco.

Ausência de controle preventivo para mitigar a

probabilidade do risco

Ausência de controle preventivo para mitigr

a probabilidade do risco.

Ausência de controle preventivo para mitigr

a probabilidade do risco.

APÊNDICE V – PLANO DE AÇÃO – 5W2H – GABARITO


Elaborar e implemen-tar um controle detec-tivo e um respectivo

plano de contingência

Pregoeiro e equipe deapoio

Elaborar e implementar um controle detecti-vo e um plano de contingência associado que possa dar início a mitigação do impactomuito alto de incapacidade de entrega do bem ou prestação do serviço quando o preçofor inexequível, quando da constatação da ocorrência do risco 'R1 – Existência de grande número de propostas não mantidas após a fase de lances’'

Processo de Seleçãodo Fornecedor

A ausência de controle de-tectivo e plano de contingên-cia associado, podendo ocor-rer interrupção abrupta do processo

Não estimado Nov 17 Em execução

Elaborar um controlepreventivo


Elaborar e implementar um controle preven-tivo para mitigar a alta probabilidade do fa-tor de risco ‘FR2 – Pouca divulgação do certame licitatório’ em contribuir para a concretização do risco 'R2 – Existência de poucos fornecedores cotando preços, ante o desconhecimento da contratação'


O controle preventivo preve-nirá que o fator de risco con-tribua para a ocorrência do risco

Não estimado Nov 17 Executado

Elaborare implementar um

controle detectivo eum respectivo plano

de contingência


Elaborar e implementar um controle detecti-vo e um plano de contingência associado que possa dar início a mitigação do impactomuito alto de contratar licitante inidôneo, quando da ocorrência do risco 'R 4 – Con-tratação de licitante com restrições'


A ausência de controle de-tectivo e plano de contingên-cia associado, podendo ocor-rer interrupção abrupta do processo

Não estimado Nov 17 Executado

Elaborar um controlepreventivo


Elaborar e implementar um controle preven-tivo para mitigar a probabilidade do fator derisco ‘FR5 – Ausência de padrão para a pu-blicação dos extratos do edital’ em contri-buir para a concretização do risco 'R5 – Pu-blicação de informações incompletas, em desacordo com a legislação'


O controle preventivo preve-nirá que o fator de risco con-tribua para a ocorrência do risco

Não estimado Nov 17 Não executado

58

APÊNDICE X – MONITORAMENTO – GABARITO

NºR

NºFR



Planos de contingência Nº P


Controles preventivosControles detectivos e

Planos de Contingência

P I P x I Magnitude AvaliaçãoEficácia>90%


R1 FR1Cláusula em Edital

prevendo procedimentoadministrativo

C1

Pregoeiro verifica quaispropostas não foram

mantidas após a fase delances

C2 Em elaboração P1 3 2 6 Médio 90% Eficaz 0% Ineficaz

R2 FR2Ampla divulgação do

certame licitatórioC3


de lances

C4

Realizar contraproposta aolicitante que tenha



R3 FR3Capacitação do pregoeiro

e da equipe de apoioC5

Ordenador de Despesasverifica a adjudicação do

pregoeiroC6

Homologar somente ositens cuja proposta

vencedora esteja de acordocom o edital


R4 FR4

Utilizar uma relação comtodas as listas de


consultadas na etapa dehabilitação do fornecedor.

C7Ordenador de Despesas

verifica a adjudicação dopregoeiro

C6

Homologar somente ositens cuja proposta

vencedora esteja de acordocom o edital

P4 1 2 2 Baixo 50% Ineficaz 95% Eficaz

R5 FR5 Não elaborado - - - - - 1 1 1 Baixo 0% Ineficaz -%Não

avaliado

59

apostila de gestÃo de riscos e controles internos · apostila de gestão de riscos e controles...

Documents