curso de gestão de riscoswiki.incra.gov.br/images/e/ec/curso_de_gerenciamento_de... ·...
TRANSCRIPT
INSTRUTORA: KELLEN TENUTA RIBEIRO COELHO
SETEMBRO/2015
Curso de Gestão de Riscos Conceitos, Princípios, Estruturas e Processos
Aplicáveis ao Setor Público Brasileiro
O que é risco?
Como lidar com riscos na administração pública?
Porque gerenciar riscos?
Quem deve se responsabilizar pela gestão de riscos?
Conteúdo programático
Noções gerais sobre risco e gestão de riscos
Papel indutor do TCU no que tange à gestão de riscos no setor
público
Por que Gestão de Riscos?
Benefícios da gestão de riscos.
Evolução da gestão de riscos.
Desafios e fatores críticos de sucesso à implantação da gestão de
riscos.
Modelos para gestão de riscos.
Gestão de Riscos – Vocabulário, segundo as normas ABNT NBR
ISO 31000/2009 e ABNT NBR ISO GUIA 73/2009.
Processo de Gestão de Riscos
Definição de risco
Segundo a NBR ISO 31000:2009 “risco é o efeito
da incerteza nos objetivos”.
O Coso II conceitua risco como a “possibilidade de que
um evento ocorrerá e afetará negativamente a
realização dos objetivos”.
Conceito de risco
“Risco refere-se à incerteza que cerca eventos e
resultados futuros. É a expressão da probabilidade e do
impacto de um evento que tem potencial para
influenciar a consecução dos objetivos de uma
organização” (Secretaria do Tesouro do Canadá)
OBJETIVO
Evento – Risco e Oportunidades
Evento é uma incidente ou uma ocorrência geradasem fontes internas ou externas, que afetam arealização dos objetivos. Os eventos podem causarimpacto negativos, positivos ou ambos.
IMPACTO NEGATIVO RISCO
IMPACTO POSITIVO OPORTUNIDADE
Conceito de Risco
Riscos Típicos do Setor Público
O QUE É GESTÃO DE RISCOS?
Gestão de riscos: Atividades coordenadas para dirigir e controlar a organização no que se refere a riscos. (ISO31000/2009)
“O gerenciamento de riscos corporativos é um processo conduzido em uma
organização pelo conselho de administração, diretoria e demais
empregados, aplicado no estabelecimento de estratégias, formuladas para
identificar em toda a organização eventos em potencial, capazes de
afetá-la, e administrar os riscos de modo a mantê-los compatível com o
apetite a risco da organização e possibilitar garantia razoável do
cumprimento dos seus objetivos.” (COSO II)
Papel indutor do TCU no que tange à gestão de riscos no
setor público
Papel indutor do TCU no que tange à gestão de riscos no
setor público
Papel indutor do TCU no que tange à gestão de riscos no
setor público
- A atuação a posteriori, pouco agrega valor para a sociedade.
- A recuperação dos prejuízos são mínimas.
- Irregularidades repetitivas.
• Deslocar o foco tradicional de controle dos aspectos formais e legais para uma atuação preventiva e proativa da gestão.
Promover controles mais efetivos para melhorar a gestão, coibir fraudes e desvio de recursos e assegurar a conformidade
• Melhoria da gestão de riscos e dos controles na Administração Pública
Papel indutor do TCU no que tange à gestão de riscos no
setor público
O TCU vem desenvolvendo desde 2007 trabalhos voltados para a
avaliação da governança de tecnologia da informação no setor público. A
partir de 2010, a Secretaria de Fiscalização de Tecnologia da Informação
– SEFTI passou a calcular o Índice de Governança de TI (IGovTI) em várias
entidades da administração pública.
Em 2012, foi realizado Levantamento para avaliação da Gestão de Riscos
e Controles Internos na Administração Pública Federal. O trabalho aferiu a
maturidade da gestão de riscos dos órgãos da administração indireta
adotando critérios inspirados em modelos internacionalmente reconhecidos.
Papel indutor do TCU no que tange à gestão de riscos
no Setor Público
Em 2010 com a Instrução Normativa TCU 63/2010 que estabelece normas de organização e de apresentação da prestação de contas ao TCU, incorporou a avaliação de riscos em seu conteúdo:
Art. 1º
.................................................................................................
III. processo de contas ordinárias: processo de contas referente a exercício financeiro determinado, constituído pelo Tribunal segundo critérios de risco,materialidade e relevância;
V. risco: possibilidade de algo acontecer e ter impacto nos objetivos, sendo medido em termos de consequências e probabilidades;
IX. exame do desempenho: análise da eficácia, eficiência, efetividade e economicidade da gestão em relação a padrões administrativos e gerenciais expressos em metas e resultados negociados com a administração superior ou definidos nas leis orçamentárias, e da capacidade dos controles internos de minimizar riscos e evitar falhas e irregularidades;
Papel indutor do TCU no que tange à gestão de
riscos no setor público
Documento que reúne eorganiza boas práticas degovernança pública.
Aplicável a Órgãos eEntidades da AdministraçãoPública.
Bem observadas, as práticasdo Referencial podemincrementar a qualidade e aefetividade de políticas públicase de serviços prestados aoscidadãos.
Papel indutor do TCU no que tange à gestão de
riscos no setor público
6. Estabeleça metas e delegue podere recursos para alcançá-las;
7. Estabeleça mecanismos decoordenação de ações com outrasorganizações;
8. Gerencie riscos e institua osmecanismos de controle internonecessários;
9. Estabeleça função de auditoriainterna independente que adicionevalor à organização;
10. Estabeleça diretrizes detransparência e sistema deprestação de contas eresponsabilização
Visão estratégica do risco
Toda organização tem uma razão para existir, que é a sua
missão, e, para lhe dar cumprimento é necessário que estabeleça
objetivos e estratégias para alcançá-los.
Riscos, quando não gerenciados adequadamente, ameaçam o
atingimento dos objetivos, o cumprimento dos prazos, o
controle dos custos e da qualidade de um programa, projeto ou
entrega de serviços aos cidadãos.
Correlação entre objetivo, risco e controle
OBJETIVO
RISCO
CONTROLE
• Estratégico
• Tático
• Operacional
• Impacto
• Probabilidade
• Eventos Internos
• Eventos Externos
• Controle Interno Administrativo
• Controle Interno Avaliativo
Aplicações da gestão de riscos
Negócio da organização (estratégico)
Nas atividades cotidianas ou aos
seus processos (operacional, informacional,
conformidade)
Em projetos.
Níveis de Gerenciamento de Riscos
Objetivos estratégicos
Iniciativas
estratégicas
Ações em
planos,
projetos,
processos de
trabalho e
atividades
Benefícios da gestão de riscos para o setor público
Melhoria na entrega de serviços ao cidadão
Maior chance de entrega do produto ou serviços no prazo, no
custo e na qualidade esperada
Redução de surpresas e crises
Melhor utilização de recursos
Melhor planejamento e melhor gerenciamento de programas e
projetos
Evolução da Gestão de Riscos no Setor Público
A gestão de riscos já é prática consolidada no setor público. O Treasury BoardSecretariat (Secretaria do Tesouro) do Canadá adotou oficialmente modelo de gestão de riscos em 2001 (Integrated Risk Management Framework, abril de 2001)
O Reino Unido tem adotado gestão de riscos no seu setor público há alguns anos. Já no ano 2000, o Auditor Geral do Reino Unido publicou relatório de auditoria sobre o tema (Supporting innovation: Managing risk in government departments)
No Brasil, ainda não há um referencial que oriente a estruturação da gestão de riscos na administração pública federal. O mais próximo disso é o Gespública, que consiste em conjunto de orientações e parâmetros para avaliação da gestão, embora esse modelo de gestão não tenha enfoque específico para gerenciamento de riscos.
Desafios e fatores críticos de sucesso à implantação da
Gestão de Riscos
Princípios Norma ISO NBR 31000
A gestão de riscos cria e protege valor.
A gestão de riscos é parte integrante de todos osprocessos organizacionais.
A gestão de riscos é parte da tomada de decisões.
A gestão de riscos aborda explicitamente a incerteza.
A gestão de riscos é sistemática, estruturada eoportuna.
A gestão de riscos baseia-se nas melhores informaçõesdisponíveis.
Desafios e fatores críticos de sucesso à implantação da
Gestão de Riscos
A gestão de riscos é feita sob medida.
A gestão de riscos considera fatores humanos
e culturais.
A gestão de riscos é transparente e inclusiva.
A gestão de riscos é dinâmica, iterativa e
capaz de reagir a mudanças.
A gestão de riscos facilita a melhoria contínua
da organização.
NORMA ABNT ISO 31000
Fornece princípios e diretrizes para gerenciar qualquer
forma de risco.
Aplicável a qualquer escopo e contexto.
Tem por finalidade:
-aumentar a probabilidade de atingir os
objetivos,
- melhorar a governança e
- estabelecer base confiável para tomada de
decisões.
Relação entre os princípios, estrutura e processo de gestão de riscos
(ISO 31000)
COSO
COMITÊ DE ORGANIZAÇÕE PATROCINADORAS DA
COMISSÃO TREADWAY (The Committee of Sponsoring
Organizations - COSO - of the Treadway Commission)
COSO trata-se de uma entidade do setor privado, sem fins lucrativos,
voltada ao aperfeiçoamento da qualidade de relatórios financeiros por
meio de éticas profissionais, implementação de controles internos e
governança corporativa. Foi originalmente constituída em 1985, para
patrocinar a Comissão Nacional sobre Relatórios Financeiros Fraudulentos
[National Commission on Fraudulent Financial Reporting (Treadway
Commission)].
Modelo Coso
Em 1992 foi emitido o Relatório COSO, intitulado InternalControl – Integrated Framework (Controle Interno –Estrutura Integrada), cujas principais finalidades foram:
1. Estabelecer uma definição comum decontroles internosque atendesse necessidades de diferentes interessadose
2. Fornecer um padrão contra o qual as organizaçõespudessem avaliar seus sistemas de controles eestabelecer como poderiam aprimorá-los.
Modelo Coso
Em 2004, foi publicado modelo Enterprise Risk Management –
Integrated Framework (Gerenciamento de Riscos Corporativos –
Estrutura Integrada), também conhecida como Coso ERM ou
Coso II, que intensificou a preocupação com os riscos.
O COSO II traz mais enfoque ao gerenciamento de riscos,
incluindo os riscos relacionados aos objetivos estratégicos, que
são os que dão suporte à sobrevivência da organização,
razão por que o Coso II dicionou essa categoria de objetivo
(estratégico) às três anteriormente estabelecidas pelo Coso I
(operacional, comunicação e conformidade).
O MODELO COSO
Modelo Coso - 2013
Em 2013, a versão foi atualizada incluindo melhorias e esclarecimentos
para facilitar seu uso e sua aplicação. Uma das melhorias mais
significativas é a formalização de conceitos fundamentais introduzidos na
estrutura original. Agora, esses conceitos se transformaram em princípios,
que são associados aos cinco componentes e que proporcionam ao usuário
clareza no desenvolvimento e na implementação dos sistemas de controle
interno, além de compreensão dos requisitos de um controle interno eficaz.
A Estrutura foi aprimorada com a ampliação da categoria de objetivos de
divulgação financeira, a fim de incluir outros formatos significativos de
divulgação, como as divulgações internas e não financeiras.
Modelo Coso - 2013
Incluiu considerações sobre as muitas mudanças nos ambientes operacionais
e corporativos durante as últimas décadas, inclusive:
• Expectativas em relação à supervisão da governança.
• Globalização dos mercados e das operações.
• Mudanças nos negócios e maior complexidade.
• Demandas e complexidades nas leis, regras, regulamentações e normas.
• Uso de tecnologias em transformação e confiança nas mesmas.
• Expectativas em relação à prevenção e detecção de fraudes.
COSO – Componentes de Controles Internos
1. AMBIENTE DE CONTROLE
“Fixa o tom” de uma organização, influenciando a consciência de
controle dos empregados.
É a base para todos os demais componentes, provendo disciplina
e estrutura:
• integridade, valores éticos e competência;
• filosofia de administração e estilo operacional;
• forma que a administração designa autoridade e
responsabilidade e organiza e desenvolve as pessoas, etc.
COSO – Componentes de Controles Internos
2. AVALIAÇÃO DE RISCO
Toda organização enfrenta uma variedade de riscos de fontes
externas e internas.
Avaliação de risco é a identificação e análise dos riscos
relevantes para a consecução dos objetivos da entidade.
Devido às constantes mudanças no cenário econômico,
industrial, regulador e operacional são necessários mecanismos
para identificar e lidar com os riscos especiais inerentes.
COSO – Componentes de Controles Internos
3. ATIVIDADES DE CONTROLE
Tratam-se de políticas e procedimentos que ajudam a
assegurar a observância às diretrizes estabelecidas pela
administração.
Atividades de controle acontecem ao longo da organização,
em todos os níveis e funções.
Incluem uma gama de atividades diversas, como aprovações,
autorizações, verificações, revisões de desempenho
operacional, reconciliações, salvaguarda de ativos e
segregação de funções.
COSO – Componentes de Controles Internos
4. INFORMAÇÃO E COMUNICAÇÃO
As informações pertinentes devem ser identificadas, capturadas e
comunicadas sob forma e prazo que permitam às pessoas cumprir
suas responsabilidades.
Sistemas de informação geram relatórios com informação
operacional, financeira, compliance, que possibilita dirigir e
controlar o negócio.
Todo o pessoal deve receber uma mensagem clara “de cima” - da
cúpula da administração -, de modo que seja disseminada uma
consciência de controle por toda organização; assunto a ser levado
a sério.
COSO – Componentes de Controles Internos
5. MONITORAMENTO
Sistemas de controles internos precisam ser monitorados.
O monitoramento consiste em um processo que avalia a qualidade
do desempenho dos controles internos com o passar do tempo.
A extensão e freqüência de avaliações dependerão, principalmente,
de uma avaliação de riscos e a efetividade de monitorar
procedimentos continuamente.
Modelo Coso - Objetivos
• Operacional – Esses objetivos relacionam-se à eficácia e à eficiência dasoperações da entidade, inclusive as metas de desempenho financeiro eoperacional e a salvaguarda de perdas de ativos.
• Divulgação – Esses objetivos relacionam-se a divulgações financeiras e nãofinanceiras, internas e externas, podendo abranger os requisitos deconfiabilidade, oportunidade, transparência ou outros termos estabelecidospelas autoridades normativas, órgãos normatizadores reconhecidos, ou àspolíticas da entidade.
•Conformidade – Esses objetivos relacionam-se ao cumprimento de leis eregulamentações às quais a entidade está sujeita.
INTOSAI – Guias GOV 9100 e GOV 9130
A Organização Internacional de Entidades Fiscalizadoras
Superiores (INTOSAI) publicou, em 2004, os guia GOV 9100 –
Guidelines for Internal Control Standards for the Public Sector e ,
com o objetivo de prover um modelo de controle interno no setor
público.
Em 2007, a INTOSAI publicou o guia complementar GOV 9130 –
Guidelines for Internal Control Standards for the Public Sector –
Further Information on Entity Risk Management, com o objetivo de
estabelecer um modelo para a aplicação da gestão de riscos no
setor público.
Esses guias foram baseados, respectivamente, no modelo COSO-IC
e COSO-ERM.
ISACA/Cobit 5
O COBIT é um padrão, modelo ou framework para a governança e
gestão de Tecnologia da Informação (TI), desenvolvido pela ISACA ,
publicado inicialmente em 1996.
A edição atual, o Cobit 5, disponibilizada em 2012, propõe-se a
servir como um modelo completo para a governança e a gestão
corporativas de TI, em conformidade com as melhores práticas
internacionais, com vistas a apoiar a alta direção e demais gestores
na definição e no alcance de objetivos de negócio relacionados com
TI.
O guia “Cobit 5 for Risk” sugere a classificação dos riscos em
categorias como: entrega de valor ou estratégicos,
programas/projetos e operacionais.
MODELO BRITÂNICO – Orange book
“The Orange Book Management of Risk -Principles and
Concepts“ (Gerenciamento de Riscos – Princípios e Conceitos)
produzido e publicado pelo HM Treasury do Governo
Britânico (Orange Book).
O Orange Book tem como vantagens, além de ser compatível
com padrões internacionais de gerenciamento de riscos,
apresentar uma introdução ao tema gerenciamento de riscos,
tratando de uma forma abrangente e simples, um tema
complexo como o gerenciamento de riscos nas organizações.
Gespública – Modelo de gerenciamento de riscos
O MODELO DO INSTITUTO DE AUDITORES INTERNOS - IIA
As atividades relacionadas ao gerenciamento de riscos e
controle estão divididas departamentos e setores, porém o
trabalho deve ser coordenado com cuidado, para garantir
que sejam bem conduzidos
Sem uma abordagem coesa e coordenada, os recursos
limitados de riscos e controle podem não ser aplicados com
eficácia e os riscos significantes podem não ser identificados
e gerenciados de forma apropriada.
Necessidade de se determinar funções específicas e
coordenadas com eficiência os departamentos e setores
envolvidos, de forma que não haja “lacunas” em controles,
nem duplicações desnecessárias.
O MODELO DO INSTITUTO DE AUDITORES INTERNOS - IIA
Processo de Gestão de Riscos
Estabelecimento do Contexto
A avaliação do contexto externo da organização pode incluir mas não está limitada:
aos ambientes cultural, social, político, legal, regulamentar, financeiro, tecnológico, econômico, natural e competitivo, quer seja internacional, nacional, regional ou local;
aos fatores–chave e às tendências que tenham impacto sobre os objetivos da organização; e
às relações com partes interessadas externas e suas percepções e valores.
Estabelecimento do Contexto
A avaliação do contexto interno da organização pode incluir, mas não está limitada:
à governança, estrutura organizacional, funções e responsabilidades;
às políticas, objetivos e às estratégias implementadas para atingi–los;
às capacidades, entendidas em termos de recursos e conhecimento (por exemplo, capital, tempo, pessoas, processos, sistemas e tecnologias);
aos sistemas de informação, fluxos de informação e processos de tomada de decisão (formais e informais);
às relações com partes interessadas internas, e suas percepções e valores.
às normas, diretrizes e modelos adotados pela organização, e
à forma e extensão das relações contratuais.
IDENTIFICAÇÃO DO RISCO
Para que riscos possam ser gerenciados, a organização
precisa em primeiro lugar identificá-los e documentá-los.
Um princípio importante do gerenciamento de riscos é que a
identificação de riscos deve estar relacionada continuamente
com objetivos. Riscos só podem ser identificados e priorizados
com relação a estes objetivos.
IDENTIFICAÇÃO DE RISCOS
IDENTIFICAÇÃO DE RISCOS
Identificação de riscos
Riscos Externos: são os riscos associados ao ambiente
onde a organização opera. Em geral, a organização não
tem controle direto sobre estes eventos, mas mesmo assim
ações podem ser tomadas quando necessário.
Riscos Internos: são os riscos associados à própria estrutura
da organização, seus processos, governança, quadro de
pessoal, recursos ou ambiente de tecnologia. A organização
pode e deve agir diretamente de forma proativa.
Identificação de RISCOs
RISCOS EXTERNOS
Políticos (Nacional e Internacional) ex.: mudança de governo; mudança no cenário político; decisões sobre políticas interministeriais; mudanças na máquina do governo; terrorismo etc.
Econômico/Financeiros (Nacional e Internacional) ex.: inflação; variação cambial afetando custos nas transações internacionais; taxa de juros; efeitos da economia global na economia brasileira; ações da concorrência internacional, etc.
Socioculturais ex.: mudanças demográficas afetando a demanda por serviços; mobilidade de classes sociais; mudança de expectativa dos cidadãos e da sociedade devido à globalização; conflitos sociais etc.
Tecnológicos ex.: tecnologias emergentes; Internet; obsolescência dos sistemas atuais; mudança na competitividade estrutural com base no uso de novas tecnologias; oportunidades advindas de avanços tecnológicos; etc.
Legal/Regulatório ex.: novas leis ou mudanças de marcos regulatórios em termos de qualidade, segurança, meio ambiente, saúde, trabalhista; etc.
Ambiental ex.: desastres naturais, ecológicos, climáticos (enchentes, deslizamentos,
secas, etc...) etc.
Identificação de riscos
RISCOS INTERNOS
Recursos Financeiros ex.: incerteza em relação às fontes de financiamento e orçamento.
Recursos Humanos ex.: relacionados à disponibilidade, contratação ou capacitação das equipes.
Processos Internos ex.: relacionados à falta de definição de processos críticos específicos assim como de papéis e responsabilidades, autoridade para aprovação.
Sistemas de Informação ex.: relacionados à adequação de sistemas de informação.
Parceiros/Fornecedores ex.: forma contratual e definição de papéis e responsabilidades, capacitação de fornecedores, processo de seleção.
Outros Riscos: Outros riscos específicos da organização que não se enquadram nas categorias acima.
IDENTIFICAÇÃO DO RISCO
Identificação inicial de Riscos: Quando é efetuada pela
primeira vez, ocorre para uma organização que ainda não
tenha identificado os riscos de uma forma estruturada ou
relativa a um novo projeto ou processo;
Identificação contínua de Riscos: Necessária para a
identificação de novos riscos ou riscos que não são mais
relevantes para a organização. A identificação contínua de
riscos deve ser uma rotina do gerenciamento de riscos da
organização.
Análise de riscos
É o processo de entendimento do impacto e probabilidade de ocorrência , assim como seu efeito combinado, de um evento
de risco específico. (Gespública)
Segundo o COSO II a avaliação de riscos permite que uma organização considere até que ponto eventos em potencial
podem impactar a realização dos objetivos. A administração avalia os eventos com base em duas perspectivas –
probabilidade e impacto – e, geralmente, utiliza uma combinação de métodos qualitativos e quantitativos. Os
impactos positivos e negativos dos eventos em potencial devem ser analisados isoladamente ou por categoria em toda a organização. Os riscos são avaliados com base em suas
características inerentes e residuais.
Técnicas de Análise
Modelos Probabilísticos – Os modelos probabilísticos associam a
uma gama de eventos e seu respectivo impacto, probabilidade de
ocorrência sob determinadas premissas. A probabilidade e o
impacto são avaliados com base em dados históricos ou resultados
simulados que refletem hipóteses de comportamento futuro.
Modelos Não Probabilísticos – Os modelos não probabilísticos
empregam critérios subjetivos para estimar o impacto de eventos,
sem quantificar uma probabilidade associada. A avaliação do
impacto de eventos baseia-se em dados históricos ou simulados a
partir de hipóteses sobre o comportamento futuro.
ANÁLISE DE RISCOS
Resposta ao Risco
Resposta a Riscos
É o processo de desenvolver e determinar estratégias para
gerenciar os riscos identificados. O modelo Coso II identifica
quatro categorias de resposta a riscos: evitar, reduzir,
compartilhar e aceitar, cuja escolha dependerá do nível de
exposição a riscos previamente estabelecido pela
organização em confronto com a avaliação que se fez do
risco.
Resposta a Riscos
Evitar (ou, ainda, encerrar a atividade, segundo aIntosai): é a decisão de não iniciar ou dedescontinuar a atividade sujeita ao risco.
Reduzir (ou também tratar, segundo a Intosai): é aadoção de medidas para reduzir aprobabilidade ou a conseqüência dos riscos ou atémesmo ambos. Na maior parte dos casos, o riscodeverá ser tratado, gerando a necessidade deimplementar e manter um efetivo sistema decontrole interno.
Resposta a Riscos
Compartilhar (ou também transferir, segundo a Intosai): é mitigar a
consequência e/ou probabilidade de ocorrência do risco por meio da
transferência ou compartilhamento de uma parte do risco, mediante
contratação de seguros, operações de headging ou terceirização de
atividades nas quais a organização não tem expertise.
Aceitar (ou também tolerar, segundo a Intosai): é não tomar,
deliberadamente, nenhuma medida para alterar a probabilidade ou a
consequência do risco. Ocorre quando o risco está dentro do nível de
tolerância da organização ou a capacidade para fazer qualquer coisa
sobre o risco é limitada ou, ainda, o custo de tomar qualquer medida é
desproporcional em relação ao benefício potencial.
Resposta ao risco
TRATAMENTO DO RISCO
As atividades de controle são as políticas e os
procedimentos que contribuem para assegurar que as
respostas aos riscos sejam executadas.
Ocorrem em toda a organização, em todos os níveis
e em todas as funções, pois compreendem uma série
de atividades.
Elas incluem uma gama de controles preventivos e
detectivos.
Exemplos de atividades de controle
atribuição de autoridade e limites de alçada;
procedimentos de autorização e aprovação;
segregação de funções ou atividades;
rotatividade de funções;
revisões independentes, verificações e conciliações;
avaliações de desempenho operacional;
avaliações de operações, processos e atividades;
supervisão direta;
controles de acesso a recursos e registros.
Definição controle interno
Controle interno é um processo dinâmico e integral, que se adapta
continuamente às mudanças que a organização enfrenta.
Gerência e pessoal em todos os níveis têm que estar envolvidos
nesse processo, para lidar com riscos e para propiciar certeza
razoável quanto à consecução da missão e dos objetivos gerais da
entidade.
Controle Interno x auditoria interna
controle interno avaliativo, a cargo dos órgãos de controle interno.
controle interno administrativo, de responsabilidade dos gestores.
O termo „controle interno‟, utilizado no artigo 74, § 1º,da Constituição, refere-se aos órgãos de controleinseridos em determinado poder (Executivo, Legislativoe Judiciário), por isso o adjetivo „interno‟, utilizado paradiferenciar do controle externo exercido pelostribunais de contas
Classificação quanto ao nível de abrangência
Controles em nível de entidade
São os controles mais abrangentes da organização, também mencionados
na literatura especializada como Entity-Level Control (ELC).
Indiretos: : são os controles típicos de “governança corporativa”. Normalmente
são preventivos. Exemplo: políticas, regimentos, códigos de conduta, normas
e manuais abrangentes, processo de planejamento estratégico, de gestão
de riscos, conselhos de administração e fiscal, comitês de auditoria e outros,
auditoria interna, ouvidoria (canal de denúncia) etc.
Classificação quanto ao nível de abrangência
Controles em nível de entidade
Diretos: consistem em monitoramentos exercidos pela alta administração
com o objetivo de identificar eventuais desvios de padrões para, em
seguida, aprofundar a investigação de erros ou falhas. Incidem
diretamente sobre os processos operacionais da organização, mas não
sobre cada transação individual durante o fluxo de operação ou
processamento. Exemplo: análises de variações do tipo “previsto x
realizado”, revisões de relatórios gerais de desempenho, monitoramento
de indicadores etc. São geralmente detectivos.
Classificação quanto ao nível de abrangência
Controles em nível de atividades
São os controles que incidem direta ou indiretamente sobre
atividades, operações, processos ou sistemas específicos. Se
desdobram em dois níveis:
• Indiretos ou abrangentes: definem como fazer. Por exemplo,
manuais de processos de trabalho (manual do patrimônio,
procedimentos operacionais etc.). Tem função preventiva.
Classificação quanto ao nível de
abrangência
Controles em nível de atividades
• Diretos, de monitoramento ou de registros: controlam ou
evidenciam a execução de atividades durante o fluxo de
operação ou processamento. Incidem sobre produtos ou
serviços, atividades e tarefas. Exemplos: controles de
qualidade na produção (estatístico ou individual), registro de
horas despendidas em atividades, registros de produção,
conciliações etc.
monitoramento
“A integridade da gestão de riscos corporativos é
monitorada e são feitas as modificações necessárias.
O monitoramento é realizado através de atividades
gerenciais contínuas ou avaliações independentes
ou de ambas as formas.” (COSOII)
Limitações a eficácia da gestão de riscos
O risco está relacionado ao futuro que é incerto
Determinados eventos estão além do controle daadministração
Nenhum processo será executado conforme oprevisto
Julgamento Humano (tempo e informaçõesdisponíveis, pressão)
Colapsos
Conluio
Custo-benefício
Neutralização da direção
Estrutura de Gestão de Riscos
Política de Gestão de Riscos
ISO 31000:2009 (Seção 4.3.2)
Convém que a política contemple:
a) os objetivos e o comprometimento da organização em relação à gestão de riscos
b) a justificativa da organização para gerenciar riscos;
c) as ligações entre os objetivos e políticas da organização com a política de gestão de riscos;
d) as responsabilidades para gerenciar riscos;
e) a forma com que são tratados conflitos de interesses;
f) o comprometimento de tornar disponíveis os recursos necessários para auxiliar os responsáveis pelo gerenciamento dos riscos;
g) a forma com que o desempenho da gestão de riscos será medido e reportado; e
h) o comprometimento de analisar criticamente e melhorar periodicamente a política e a estrutura da gestão de riscos em resposta a um evento ou mudança nas circunstâncias.
Política de Gestão de Riscos
2. Atributos da política avaliados pelo TCU em levantamento (TC 011.745/2012-6)
a) Objetivos organizacionais com relação à gestão de riscos.
b) Integração da gestão de riscos a processos e políticas organizacionais.
c) Responsabilidades para gerenciar riscos.
d) Diretrizes sobre como riscos devem ser identificados, avaliados, tratados e monitorados.
e) Consultas e comunicação com partes interessadas internas e externas sobre assuntos relacionados a risco.
f) Diretrizes para a medição do desempenho da gestão de riscos.
g) Compromisso de analisar criticamente e melhorar a política e a estrutura da gestão de riscos em resposta a um evento ou mudança nas circunstâncias.
PERSPECTIVAS DA GESTÃO DE RISCOS
Processo de
GCR
Habilitadores
Escopo
(objeto)
Contexto
Processo de
GCR
Atributos-
chave
Comuni-cação e consulta
Identifi-cação
Análise e
Avaliação
Trata-mento
Monito-ramento
e Revisão
Perspectiva “Processo de GCR”
C
I
A
T
M
Organização
Organização estendida
Macroambiente
Perspectiva “Contexto”
Organização
estendida
• fornecedores
• parceiros
• conveniados
• financiadores
• etc.
Perspectiva “Objeto” / Escopo
Objetivos estratégicos
Iniciativas
estratégicas
Ações em
planos,
projetos,
processos de
trabalho e
atividades
Perspectiva “Habilitadores”
• Pessoas
• Processos
• Tecnologia
• Instalações e Equipamentos
• Informações
• Políticas e Normas
• Estruturas Organizacionais
• Cultura, ética
H
H
HH
Habilitadores como Fatores Críticos de
Sucesso da Gestão de Riscos
Habilitadores como Recursos, Vulnerabilidades ou
Controles de um objeto analisado
Habilitadores
Habilitadores
Atributos-Chave da Gestão Corporativa
Perspectiva ATRIBUTO-CHAVE
Habilitadores: mecanismos
de governança
As estruturas, papéis e responsabilidades quanto à gestão de
riscos são claramente definidas
Habilitadores: pessoas e
cultura
Considera-se a importância dos fatores humanos e culturais
Processo Consideram-se oportunidades além de riscos
Processo Riscos e oportunidades são mensurados com base em
probabilidade e impacto
Processo e Escopo/objeto Riscos e oportunidades relacionam-se com o alcance de objetivos
Contexto e Processo Consideram-se impactos financeiros e na reputação da instituição
Processo e habilitadores São definidos limites ou critérios para orientar a avaliação dos
riscos, sendo adequados a diferentes necessidades
Atributos-Chave da GCR
Perspectiva ATRIBUTO-CHAVEProcesso e Escopo/objeto A gestão de riscos agrega valor e provê razoável segurança do
alcance dos objetivos da instituição
Processo e Escopo/objeto A gestão de riscos aplica-se a todos os tipos de atividades
Processo e Escopo/objeto A gestão de riscos auxilia na tomada de decisões
Habilitadores: informação A gestão de riscos baseia-se nas melhores informações
disponíveis
Habilitadores: informação Informações sobre riscos são oportunamente disponibilizadas às
partes interessadas que tenham necessidade de conhecê-las
Processo e Habilitadores A gestão de riscos é estruturada, sistemática e adequadamente
documentada
Habilitadores: mecanismos de
governançaA propriedade sobre riscos é claramente definida
Processo e Habilitadores A relação custo-benefício é considerada nas decisões de tratar
riscos
Atributos-Chave da GCR
Perspectiva ATRIBUTO-CHAVE
Processo e Contexto Consideram-se o ambiente interno e externo e a organização
estendida
Processo e Escopo/objeto Consideram-se objetivos organizacionais e objetos de gestão
de risco nos níveis estratégico, tático e operacional
Habilitadores: mecanismos de
governançaHá adequada segregação de funções nas atividades de
gestão de riscos (“linhas de defesa”)
Habilitadores: mecanismos de
governançaBusca-se a melhoria contínua da gestão de riscos
Contexto e Habilitadores:
mecanismos de governança e
Escopo/objeto
Há adequada comunicação e consulta com as partes
interessadas, internas e externas
Habilitadores: informação e
Escopo/objetoInformações sobre riscos são estruturadas e consolidadas em
portfólios (perfis de risco) adequados às necessidades da
instituição
Habilitadores: Tecnologia e
informaçõesSistema informatizado (solução de TI) contribui para a efetiva
consolidação e uso de informações sobre riscos
Auditoria e risco
As unidades encarregadas de atividades defiscalização e auditoria não dispõem de recursoshumanos e materiais suficientes para controlar tudo otempo todo.
As estratégias de fiscalização e auditoria de caráteruniversal são, na maioria dos casos, economicamenteinjustificáveis.
As unidades de Controle Interno devem tomar decisõesquanto aos objetos de suas atividades de fiscalização.
Ferramentas de identificação de riscos
Análise Swot
Diagrama de Verificação de Riscos – DVR
Matriz de Riscos
Análise Stakeholders
Identificação dos Riscos
Análise SWOT
Strengths (forças)
Weaknesses (fraquezas)
Opportunities (oportunidades)
Threats (ameaças)
Análise SWOT
identificação de risco
Listados todos os riscos internos e externos, o passo seguinte é avaliar cada
um deles, em termos de probabilidade de ocorrência e impacto sobre os
objetivos organizacionais. Tal análise pode ser qualitativa ou quantitativa
por meio do Diagrama de Verificação de Risco (DVR).
A DVR é uma técnica da Gestão de Risco que visa, resumidamente,
gerenciar efeitos adversos que possam comprometer um processo de
gestão. Na área de controle, sua aplicabilidade foi bem difundida pelo
Committee of Sponsoring Organizations of the Treadway Commission
(COSO).
Análise Stakeholder
Stakeholder são aqueles que infuenciam de forma decisiva ou são
importantes para o sucesso da organização ou
programa/processo/projeto.
Stakeholder são pessoas, grupos ou instituições com interesse em algum
programa, processo ou projeto e inclui tanto aqueles envolvidos quanto os
excluídos do processo de tomada de decisão. Estão divididos:
> PRIMÁRIOS: são aquele mais afetados, tanto positiva (os beneficiários)
como negativamente (aqueles realocados involuntariamente);
>SECUNDÁRIOS: são os intermediários envolvidos no processo de
prestação de serviço
Análise Stakeholder
· identificar pessoas ou grupos de pessoas interessados na melhoriado desempenho de suas instituições e obter seu apoio paraintroduzir mudanças;
· identificar conflito de interesses entre as partes envolvidas,possibilitando, dessa forma diminuir os riscos envolvidos nodesenvolvimento de um programa/processo/projeto;
· obter grande quantidade de informações sobre um determinadoprograma/processo/projeto;
· desenvolver estratégias que permitam implementar efetivamente amelhoria do desempenho.
Análise Stakeholder
A análise stakeholder consiste na identificação dos
principais atores envolvidos, dos seus interesses .
Está ligada à apreciação institucional e à avaliação
social, não só utilizando as informações oriundas
destas abordagens, mas também contribuindo para
a combinação de tais dados em um único cenário.
Análise Stakeholder
Como obter informações:
· aplicação de questionários;
· participação em workshops e reuniões;
· participação de membros do grupo em grupos
focais;
· divulgação dos benefícios da melhoria do
desempenho.
Análise Stakeholder
Programa de Vacinação
Stakeholder INTERESSE ++ --
+/-
0
IMPACTO se o
programa não
atender aos
interesses do
stakeholder
PAPEL do
Stakeholder
Enfermeiras Receber bom
treinamento.
+ Enfermeiras pouco
capacitadas;
Enfermeiras
capacitadas com
excesso de
trabalho.
Aplicar vacinas
Crianças Receber vacinas bem
aplicadas e
armazenadas de
forma adequada
++ Risco de infecções
e doenças
Receber vacina
Diagrama de Verificação de Riscos
Matriz de Riscos
A elaboração da matriz de riscos destina-se a
indicar possíveis ações de controle, que visem a
contribuir para a mitigação ou eliminação dos riscos
identificados nos processos ou áreas de trabalho
detalhados.
Matriz de Riscos
Tratamento do risco
Priorização no tratamento dos riscos
Grau de risco.
Recursos financeiros.
Recursos humanos capacitados.
Escassez de equipamentos.
Tempo disponível para execução.
Capacidade dos recursos humanos
Escala de impacto em objetivos
O que é um processo de trabalho?
Processo de trabalho
O que é mapa de processo?
É um modelo simplificado do funcionamento de um processo no
mundo real.
Pode-se fazer mapa de processos descendo em níveis cada
vez mais detalhados desde de a visão geral do processo
(macroprocesso), quebrando-se em níveis hierarquicamente
organizados (subprocessos), até o detalhamento de cada
atividade.
Exemplo: Processo de compras
EXEMPLO: PROCESSO DE SOLICITAÇÃO DE FÉRIAS
Porque fazer o mapeamento do processo?
Conhecer o processo
Simplificar o processo (eliminar atividades que não
agregam valor)
Melhora o processo (mudar a forma de fazer)
Facilita o monitoramento da mudança do processo
Aspectos relevantes
Os processos de trabalho são complexos
Os processos de trabalho são dinâmicos
Os processos de trabalho são executados por
pessoas que executam papéis
Os processos de trabalho são compostos por
atividades
Os processos de trabalho buscam atingir um ou
mais objetivos
Simplificação e melhoria do processo de trabalho
Agrega valor?
É percebida pelo cliente
Não é retrabalho
Tempo excessivo de espera
Requer movimentação de pessoas e material
É tarefa requerida por lei
A tarefa reduz riscos operacionais
A tarefa é necessária para elaboração de relatório de monitoramento e controle
O processo pode parar se a tarefa for removida
Mudança no processo de trabalho
Notação PBMN
“Sistema de representação ou designação
convencional” ou o “Conjunto de sinais com que se
faz essa representação ou designação”. Enfim,
notação pode ser definida como uma escrita
simplificada ou abreviada por meio de um conjunto
de sinais convencionados.
BPMN é uma sigla para Business Process Modeling
Notation
Bizagi Process Modeler
Bizagi é a solução líder em BPM, o que abrange tanto o
mapeamento de processos de trabalho quanto a automação
de processos a partir do mapeamento. O Bizagi oferece dois
produtos complementares disponíveis para download: Process
Modeler e BPM Suite. Process Modeler é utilizado para
desenhar e documentar processos de trabalho e BPM Suite,
para executar e automatizar processos (workflows).
O exame independente e objetivo de uma
situação ou condição, em confronto com um
critério ou padrão preestabelecido, para que
se possa opinar ou comentar a respeito para
um destinatário predeterminado.
O conceito lato sensu de auditoria
Conceitos:
Controle, fiscalização e auditoria: há diferenças?
O texto constitucional no art. 71, inciso IV elenca cinco tipos de auditoria:
contábil;
financeira;
orçamentária;
operacional;
patrimonial.
No caput do artigo 70, estão especificados os grandes critérios com que essas
auditorias serão realizadas:
Legalidade
Legitimidade
Economicidade
Classificação das auditorias na Constituição Federal
Vertentes da auditoria da gestão pública:
“zelar pela boa e regular aplicação dos recursos”
Vertentes da auditoria da gestão pública
A Auditoria de desempenho é uma técnica ou atividade que presta
consultoria aos mais altos extratos de uma organização, seja de
caráter público ou privado. Procura mostrar os ponto os fracos e
fortes da organização, estabelecendo as recomendações
necessárias para melhorar o processo de tomada de decisões.
Procura avaliar, baseada nos critérios ou parâmetros de eficiência,
eficácia, efetividade e economia, o processo de tomada de
decisões e seu efeito no atingimento das metas e objetivos da
organização.
O QUE É AUDITORIA DE DESEMPENHO
(OPERACIONAL)?
Eficiência refere-se à quantidade, tipo, custo, qualidade dos
recursos utilizados para atingir os objetivos.
Economicidade concerne à consideração do custo dos recursos
utilizados no processo, confrontando o que se paga por estes
recursos com o que se deve pagar.
Eficácia refere-se ao grau de consecução dos objetivos
programados.
Efetividade refere-se ao impacto ou efeito dos resultados
produzidos (comparação dos resultados alcançados vs. O ideal)
Conceitos Importantes
Podem os administradores públicos basear a tomada de decisões nos
indicadores disponíveis?
São eficientes e efetivas as operações e processos da administração
pública?
Existe um adequado controle das operações?
São bons os produtos e serviços públicos?
Os processos satisfazem as necessidades para as quais foram criados?
Questões a serem respondidas pela Auditoria de
Desempenho
As Normas de Auditoria do TCU conceituam a
auditoria como sendo:
Processo sistemático, documentado e independente de
se avaliar objetivamente uma situação ou condição
para determinar a extensão na qual critérios são
atendidos, obter evidências quanto a esse
atendimento e relatar os resultados desta avaliação a
um destinatário predeterminado.
Processo de Auditoria
Estágio Atual:
A Auditoria encontra-se frente a um novo
paradigma, que se baseia na visão dos processos
organizacionais com enfoque nos riscos do negócio
e numa orientação global, holística e sistemática, e
não somente na verificação da conformidade legal
e normativa de atos.
CONCEITOS:
O NOVO PARADIGMA DA AUDITORIA
Definição de Auditoria interna pelo Instituto dos
Auditores Internos (IIA/AUDIBRA, 2004)
“uma atividade independente e objetiva que presta serviços
de avaliação e de consultoria e tem como objetivo adicionar
valor e melhorar as operações de uma organização. A
auditoria auxilia a organização a alcançar seus objetivos
mediante uma abordagem sistemática e disciplinada para a
avaliação e melhoria da eficácia dos processos de
gerenciamento de risco, controle e governança corporativa.”
Auditoria Governamental
Evolução da Auditoria
Enfoque de conferência
Identificação de irregularidades e fraudes
Gestão de riscos, por meio de controles, para o alcance de objetivo
Melhoria da Governança e do desempenho
Maior ênfase aos objetivos e gestão de desempenho;
Avaliação da estrutura de controles internos, gestão de riscos
e governança.
Responsabilização do gestor pelo não alcance dos objetivos;
Profissionalismo da Auditoria Interna;
Realização de auditoria de conformidade a auditoria de
desempenho e consultoria;
Mandatos e descrições de tarefas mais claras para controle e
auditoria interna.
Auditoria Interna – Visão Atual
Fontes internacionais de normas de auditoria
Federação Internacional de Contadores (International Federation of
Accountants - IFAC);
Instituto dos Auditores Internos (Institute of Internal Auditors – IIA);
Securities and Exchange Commission (SEC);
Public Company Accounting Oversight Board (PCAOB);
Government Accountability Office (GAO);
National Audit Office (NAO);
Organização Internacional de Entidades Fiscalizadoras Superiores
(Intosai).
Princípios e Normas de Auditoria
Fontes nacionais de auditoria:
Fontes de normas da auditoria privada:
Comissão de Valores Mobiliários (CVM);
Conselho Federal de Contabilidade (CFC);
Instituto dos Auditores Independentes do Brasil (Ibracon);
Fontes de normas da auditoria governamental:
Controladoria -Geral da União;
Tribunal de Contas da União;
Conselho Nacional de Justiça.
Principios e Normas de Auditoria
• Art. 70: A fiscalização contábil, financeira, orçamentária, operacional e
patrimonial, [...] será exercida pelo Congresso Nacional, mediante controle
externo, e pelo sistema de controle interno de cada Poder.
• Art. 74: Os Poderes Legislativo, Executivo e Judiciário manterão, de forma
integrada, sistema de controle interno com a finalidade de:...
• Art. 74, § 1º: Os responsáveis pelo controle interno, ao tomarem conhecimento
de qualquer irregularidade ou ilegalidade, dela darão ciência ao Tribunal de
Contas da União, sob pena de responsabilidade solidária.
Controle Interno x Auditoria Interna
controle interno avaliativo, a cargo dos órgãos de controle
interno.
controle interno administrativo, de responsabilidade dos gestores.
O termo „controle interno‟, utilizado no artigo 74, § 1º, daConstituição, refere-se aos órgãos de controle inseridos emdeterminado poder (Executivo, Legislativo e Judiciário), por isso oadjetivo „interno‟, utilizado para diferenciar do controle externoexercido pelos tribunais de contas.
Controle Interno x Auditoria Interna
Os órgãos ou unidades de controle interno e de
auditoria interna não são e não devem ser
responsáveis pelos controles administrativos. Suas
responsabilidades restringem-se a avaliar a
adequação e a eficácia do controle interno
estabelecido, implantado e mantido pela
administração organizacional, bem como a realizar
auditorias sobre a sua gestão.
Controle Interno x Auditoria Interna
A auditoria interna é uma unidade administrativa de
assessoramento da própria organização, vinculada à cúpula
da alta administração (conselho de administração, conselho
diretor, dirigente máximo), que tem sob sua responsabilidade
a avaliação das operações contábeis, financeiras,
operacionais e de outras naturezas, incluindo-se, dentre suas
atribuições, a de medir e avaliar a eficiência e eficácia de
outros controles da organização.
Auditoria Interna
Intosai (in Glossário das ISSAI):
Auditoria Interna - Meio funcional que permite aos administradores de
uma entidade receber, de fontes internas, a segurança de que os
processos pelos quais são responsáveis funcionam de modo tal que
fiquem reduzidas ao mínimo as probabilidades de que se produzam
fraudes, erros ou práticas ineficientes e antieconômicas. Possui muitas
das características da auditoria externa, mas pode, corretamente,
cumprir instruções do nível de direção a que responde.
Auditoria Interna
•Preventivos: são os controles concebidos para reduzir a frequência de
materialização eventos de risco; um controle um determinado evento,
dificultando que esse aconteça.
• Detectivos: são os controles que detectam a materialização de eventos de
risco, contudo não impedem a sua ocorrência. Alertam sobre a existência de
problemas ou desvios do padrão, com o objetivo de provocar a gestão
para adotar as ações corretivas pertinentes.
• Compensatórios: como o próprio nome sugere, são controles concebidos para
compensar a não adoção de outros controles preventivos ou detectivos, ou
para contrabalançar outras falhas na estrutura de controle da organização.
A adoção desse tipo de controle normalmente acontece por razões de
custo-benefício.
Classificações de Controles Internos por Função
Prévio: a execução dos atos é condicionada a uma
aprovação anterior a eles.
Concomitante: o controle é realizado
simultaneamente à execução dos atos
Posterior: a verificação dos fatos ocorre após a
consumação.
Classificação quanto ao momento da aplicação
Controles em nível de entidade
São os controles mais abrangentes da organização, também mencionados
na literatura especializada como Entity-Level Control (ELC).
Indiretos: : são os controles típicos de “governança corporativa”. Normalmente
são preventivos. Exemplo: políticas, regimentos, códigos de conduta, normas
e manuais abrangentes, processo de planejamento estratégico, de gestão
de riscos, conselhos de administração e fiscal, comitês de auditoria e outros,
auditoria interna, ouvidoria (canal de denúncia) etc.
Classificação quanto ao nível de abrangência
Controles em nível de entidade
Diretos: consistem em monitoramentos exercidos pela alta administração
com o objetivo de identificar eventuais desvios de padrões para, em
seguida, aprofundar a investigação de erros ou falhas. Incidem
diretamente sobre os processos operacionais da organização, mas não
sobre cada transação individual durante o fluxo de operação ou
processamento. Exemplo: análises de variações do tipo “previsto x
realizado”, revisões de relatórios gerais de desempenho, monitoramento
de indicadores etc. São geralmente detectivos.
Classificação quanto ao nível de abrangência
Controles em nível de atividades
São os controles que incidem direta ou indiretamente sobre
atividades, operações, processos ou sistemas específicos. Se
desdobram em dois níveis:
• Indiretos ou abrangentes: definem como fazer. Por exemplo,
manuais de processos de trabalho (manual do patrimônio,
procedimentos operacionais etc.). Tem função preventiva.
Classificação quanto ao nível de abrangência
Controles em nível de atividades
• Diretos, de monitoramento ou de registros: controlam ou
evidenciam a execução de atividades durante o fluxo de
operação ou processamento. Incidem sobre produtos ou
serviços, atividades e tarefas. Exemplos: controles de
qualidade na produção (estatístico ou individual), registro de
horas despendidas em atividades, registros de produção,
conciliações etc.
Classificação quanto ao nível de abrangência
Controle Interno Público se modernizou nos últimos 10-15 anos.
Em alguns países a mudança começou na década de 80, mas
aconteceram mais reformas a partir de 2000 em função de:
necessidade de reformas administrativas (decentralizando
poderes centrais)
reconhecimento da necessidade de gerenciar riscos
reduzir o déficit público causado pelas crises financeiras
contribuintes querendo ver o valor do seu dinheiro
Evolução do CI nas Instituições Públicas
Escolha de apenas um grupo de unidades jurisdicionadas para
ter os processos de contas ordinárias constituídos para fins de
julgamento, com base em critérios de materialidade,
relevância e risco.
O Relatório de gestão da unidade jurisdicionada passou a ser
considerado como a principal peça a compor o processo de
contas ordinárias.
Maior ênfase nos aspectos de desempenho e resultados.
Novo Modelo de Prestação de Contas após a
IN TCU 57/2008
Prestação Anual de Contas - TCU
Em 2010 com a Instrução Normativa TCU 63/2010 que estabelece normas de organização e de apresentação da prestação de contas ao TCU, incorporou a avaliação de riscos em seu conteúdo:
Art. 1º
.................................................................................................
III. processo de contas ordinárias: processo de contas referente a exercício financeiro determinado, constituído pelo Tribunal segundo critérios de risco, materialidade e relevância;
V. risco: possibilidade de algo acontecer e ter impacto nos objetivos, sendo medido em termos de consequências e probabilidades;
IX. exame do desempenho: análise da eficácia, eficiência, efetividade e economicidade da gestão em relação a padrões administrativos e gerenciais expressos em metas e resultados negociados com a administração superior ou definidos nas leis orçamentárias, e da capacidade dos controles internos de minimizar riscos e evitar falhas e irregularidades;
• Maior efetividade das contas ordinárias como instrumento de controle,
tanto em relação ao controle da conformidade, quanto à avaliação do
desempenho da gestão.
• Utilização das prestações de contas como instrumento para aumento da
transparência da gestão pública perante a sociedade.
• Visão global da Administração pública sem prejuízo da expectativa de
controle por parte dos jurisdicionados.
• Aumento da sinergia entre o Tribunal e os órgãos de controle interno de
forma a reforçar o caráter de complementariedade das ações desses
órgãos nas auditorias de gestão.
Benefícios do Novo Modelo
As DN-TCU que tratam dos Relatórios de Auditoria
de Gestão, desde a de nº 110/2010 (exercício
2010), vêm exigindo que os órgãos de controle
interno incluam nesses relatórios uma avaliação do
sistema de controle interno da UJ, também
contemplando os cinco componentes do modelo
Coso.
Relatório de Auditoria de Gestão
Avaliação, pelos próprios dirigentes da unidadejurisdicionada, da qualidade e suficiência dos controlesinternos administrativos instituídos para garantir aconsecução dos seus objetivos estratégicos,considerando os componentes a seguir:
ambiente de controle;
avaliação de risco;
atividades de controle;
informação e Comunicação;
monitoramento.
Relatório de Auditoria de Gestão
Decisão Normativa TCU 134/2013
Planejamento da unidade jurisdicionada, contemplando:
descrição sintética dos planos estratégico, tático e/ou
operacional que orientam sua atuação, identificando os
principais objetivos estratégicos para o exercício de
referência do relatório de gestão, as unidades técnicas
mais diretamente afetas a seu desenvolvimento, as
revisões ocorridas desde a elaboração, as estratégias
adotadas para sua realização e para o tratamento
dos riscos envolvidos;
Decisão Normativa TCU 134/2013
Estrutura de pessoal da unidade jurisdicionada,
contemplando as seguintes perspectivas:
h) descrever os principais riscos identificados na
gestão de pessoas da unidade jurisdicionada e as
providências adotadas para mitigá-los;
Conceitos de Governança
Finalidade da boa governança no setor público é
garantir que as suas organizações atuem sempre
conforme o interesse público. Com base nessa premissa,
a Federação Internacional de Contadores - IFAC entende
que governança compreende a estrutura (administrativa,
política, econômica, social, ambiental, legal e outras)
posta em prática para garantir que os resultados
pretendidos pelas partes interessadas sejam definidos
e alcançados. (IFAC, 2013).
Conceitos de Governança
- dirigir, monitorar e incentivar uma organização, ressaltando que
os seus princípios são aplicáveis ao setor público (IBGC, 2009).
- De acordo com o Banco Mundial, governança diz respeito a
estruturas, funções, processos e tradições organizacionais que
visam garantir que as ações planejadas (programas) sejam
executadas de tal maneira que atinjam seus objetivos e resultados
de forma transparente.
São funções da governança (WORLD BANK, 2013). :
(a) definir o direcionamento estratégico;
(b) supervisionar a gestão;
(c) envolver as partes interessadas;
(d) gerenciar riscos estratégicos;
(e) gerenciar conflitos internos;
(f) auditar e avaliar o sistema de gestão e controle; e
(g) promover a accountability (prestação de contas e responsabilidade) e a transparência.
Conceito de Governança
MODELO DE GOVERNANÇA PÚBLICA
Avaliação de Governança de Pessoas (Acórdão 3023/2013
– Plenário)
Avaliação da Governança de Tecnologia da Informação
Avaliação Governança das Aquisições Logísticas (em
andamento)
Levantamento da estrutura, funcionamento e projetos
prioritários voltados à modernização da governança e da
gestão no Poder Judiciário Federal (TC 020.830/2014-9 – em
andamento);
Auditorias de Governança realizadas pelo TCU
AUDITORIA DE GOVERNANÇA DE PESSOAL
Resultado
49% não aprovam plano de auditoria para avaliar os riscos;
65% não avaliam o desempenho dos gestores;
76% não desenvolvem processo sucessório;
75% escolhem gestores sem ser baseado em competência;
46% não avaliam o desempenho dos servidores;
76% não identificam lacunas de competências dos servidores;
60% não conhecem sua força de trabalho detalhadamente;
83% não reconhecem servidores de alto desempenho.
AUDITORIA DE GOVERNANÇA DE PESSOAL
Papéis das Instâncias de Governança
Alta Administração: A responsabilidade por aspectos
específicos de recursos organizacionais pode ser delegada
para os gerentes da organização. Entretanto, a prestação de
contas (accountability) pelo uso desses recursos de forma
efetiva, eficiente e aceitável na organização permanece com
a alta administração e não pode ser delegada.
Papéis da Alta Administração: ser responsável por implantar
e manter: ‐ Processo de planejamento institucional ‐ Sistema de
gestão de riscos e controles internos ‐ Função de auditoria
interna
MODELO DE AVALIAÇÃO DA MATURIDADE
:DA GESTÃO DE RISCOS
CONSTRUÇÃO DE MODELO DE AVALIAÇÃO DA
MATURIDADE DA GESTÃO DE RISCOS:
O modelo de gestão de riscos adotado pelo
governo do Reino Unido foi considerado o mais
adequado para servir de referência à elaboração
de um modelo do TCU para avaliação da
maturidade em gestão de riscos, (com adaptações
vindas dos modelos COSO e ISO 31000/2009).
MODELO DE AVALIAÇÃO DA MATURIDADE
DA GESTÃO DE RISCOS:
Porque o Orange Book?
a) é um modelo abrangente, já adaptado para o setor público;
b) deriva de um modelo maduro de excelência de gestão (EFQM, 2012) utilizado por mais de 30 mil organizações , principalmente da Europa;
c) é um referencial flexível que pode ser adaptado pelas organizações segundo suas necessidades;
d) não prescreve formas de implantar ou aprimorar a gestão de risco, mas limita-se a indicar quais características são esperadas de gestão de risco madura;
e) incorpora a dimensão parcerias, o que outros modelos estudados não fazem (parceria caracteriza-se quando o ente público se vale de outros agentes para alcançar seus resultados).
MODELO DE AVALIAÇÃO DA
MATURIDADE DA GESTÃO DE RISCOS
O Modelo proposto no trabalho aplica quatro
dimensões de avaliação:
. Ambiente de Gestão de Riscos;
. Processos de Gestão de Riscos;
. Gestão de Riscos em Parcerias;
. Resultados
Modelo de Avaliação de Riscos Criado
pelo Tesouro Britânico
MODELO DE AVALIAÇÃO DA
MATURIDADE DA GESTÃO DE RISCOS
MODELO DE AVALIAÇÃO DA
MATURIDADE DA GESTÃO DE RISCOS:
Ambiente de Gestão de Riscos
> A dimensão Ambiente, tomada do modelo COSO;
> engloba as subdimensões Liderança, Políticas e Estratégias, e Pessoas, as quais figuram explicitamente no modelo britânico.
> As perguntas desta dimensão procuram definir condições fundamentais que devem estar presentes para que a gestão de riscos possa prosperar na organização.
MODELO DE AVALIAÇÃO DA
MATURIDADE DA GESTÃO DE RISCOS:
Processos de gestão de riscos
Para lidar com os riscos que podem impactar os objetivos de uma organização, devem ser instituídos processos de trabalho voltados para:
. identificar eventos de risco;
. avaliar a probabilidade de ocorrência e o impacto dos riscos identificados sobre os resultados pretendidos (essa análise pode ser qualitativa ou quantitativa);
. escolher o tipo de resposta apropriada para cada risco, que pode consistir em aceitar, evitar, mitigar ou transferir o risco;
. desenhar e implementar respostas para os riscos priorizados na avaliação;
. comunicar assuntos relacionados a risco às partes interessadas; e monitorar a integridade da estrutura e do processo de gestão de riscos.
MODELO DE AVALIAÇÃO DA
MATURIDADE DA GESTÃO DE RISCOS:
Gestão de riscos em parcerias :
> Entende-se por parceria qualquer arranjo
estabelecido a fim de possibilitar relacionamento
colaborativo entre as partes visando o alcance de
objetivos previamente acordados. Parcerias
envolvem riscos e benefícios compartilhados.
> São considerados aspectos relativos à gestão de
riscos em parcerias estabelecidas pela organização
com entes públicos ou privados
MODELO DE AVALIAÇÃO DA MATURIDADE DA
GESTÃO DE RISCOS:
Resultados
> O pressuposto utilizado na estruturação desta
dimensão é que os efeitos produzidos pela gestão
de riscos em uma organização se dá em duas
esferas: uma de efeitos imediatos e outra de
efeitos mediatos.
MODELO DE AVALIAÇÃO DA MATURIDADE
DA GESTÃO DE RISCOS:
Efeitos imediatos, denominada Eficácia da Gestão de Riscos:
. práticas de gestão de riscos observados na qualidade do processo decisório;
. na coordenação entre unidades organizacionais, no gerenciamento de riscos com parceiros;
. no aperfeiçoamento de planos e políticas organizacionais;
. na comunicação sobre riscos com partes interessadas e no envolvimento dos servidores com avaliação e controle de riscos;
MODELO DE AVALIAÇÃO DA
MATURIDADE DA GESTÃO DE RISCOS:
Resultados mediatos: São aqueles que se caracterizam como resultados organizacionais e que surgem a partir da presença dos efeitos imediatos. Somente com a eficácia da gestão de riscos pode-se chegar a melhorar resultados organizacionais, tais como:
. eficiência das operações,
. governança
. qualidade de bens e serviços
. cumprimento de leis e normas.
Nível de Maturidade em Gestão de Riscos das
Entidades da Administração Indireta
Nível de Maturidade em Gestão de Riscos das
Entidades da Administração Indireta
Escopo da auditoria de riscos
Segundo o manual de Padrões de Levantamento do TCU, o escopo
do levantamento deve abranger os principais objetivos, as
relações externas e as definições estratégicas, que compõem o
nível estratégico do órgão/entidade, bem como o detalhamento
dos processos de trabalho relevantes para o escopo definido. Tais
processos de trabalho são os mais abrangentes da organização e
devem ter nível de agregação suficiente de forma a representar
os principais objetivos do órgão/entidade e não somente
representar fluxos operacionais de trabalho.
Escopo da auditoria baseada de riscos
É importante destacar que nem todos os processos do
órgão precisam ser detalhados, devendo ser
priorizados aqueles que suportam os objetivos
finalísticos do órgão/entidade e aqueles que envolvam
maior materialidade.
Visão geral do objeto auditado
Para identificação das informações necessárias, a equipe deve considerar que a visão geral contempla:
Panorama geral do órgão/unidade – direcionadores estratégicos; organograma geral; normativos básicos aplicáveis; contexto orçamentário; nome e objetivo dos principais processos de trabalho e descrição dos ambientes externo e interno.
Informações sobre o ambiente interno e as atividades de controle no nível do órgão/entidade.
O detalhamento dos principais processos reúne informações sobre nome e objetivo; aspecto organizacional; marco regulatório; suporte de tecnologia da informação; materialidade envolvida; diagrama de blocos (representando as principais atividades abrangidas pelo processo); principais pontos fortes e fracos, ameaças e oportunidades; e avaliação simplificada de risco dos processos examinados.
Informação sobre o ambiente interno e as atividades de controle
no nível do órgão/unidade
As informações sobre o ambiente interno (cultura de controle) e as atividades de controle devem ser feitas com base no preenchimento do Formulário de Informações de Controles Internos – Ambiente Interno e Atividades de Controle. O citado formulário traz, ainda, as orientações e definições dos itens que serão abordados.
O formulário pode ser aplicado com adaptações, selecionando-se os itens que são pertinentes ao objeto do levantamento.
É possível que o órgão/unidade tenha seus processos definidos. A equipe deve avaliar se os grandes processos, principalmente os finalísticos, da forma como estão definidos, retratam efetivamente o que o órgão/entidade faz.
Informações que devem ser consideradas no detalhamento
dos principais Macroprocesso de trabalho
organizacional – identificar a estrutura organizacional e a infraestrutura que suporta o processo:
estrutura organizacional – representar por meio de organograma e lotacionograma (representação gráfica que fornece a visão exata da disposição dos recursos humanos) as responsabilidades organizacionais (competências e atribuições) e mencionar, se for o caso, as unidades descentralizadas;
infraestrutura básica – avaliar se as condições do ambiente de trabalho são adequadas e se as principais instalações, equipamentos e serviços necessários para o funcionamento do processo estão disponíveis;
diagrama de blocos – representar graficamente o processo mostrando a sequência lógica de suas principais atividades;
Informações que devem ser consideradas no
detalhamento dos principais Macroprocesso de trabalho
marco regulatório – destacar a vinculação ao planejamento estratégico e identificar a legislação, as normas, os manuais, as publicações e as políticas de treinamento aplicáveis ao processo;
suporte de tecnologia da informação – indicar o nome e o objetivo dos sistemas que suportam o processo;
orçamentário – indicar os programas abrangidos, bem como a materialidade envolvida. Se não for possível obter o valor exato da materialidade, a equipe pode estimá-lo
Elaboração de roteiro de Entrevista
DEPARTAMENTO DE TECNOLOGIA DA INFORMAÇÃO
Descreva a estrutura, funcionamento e atribuições da unidade. Está documentado?
A unidade realiza planejamento de curto e longo prazo?
Como são planejadas as aquisições da área?
Qual a relação do departamento de TI do CJF com os departamentos/secretarias do Conselho?
Existe um comitê gestor de políticas de TI no âmbito da Justiça Federal?
Qual os principais processos de trabalho e produtos entregues pela Secretaria de TI?
Quais os pontos críticos da Secretaria de TI? O que pode atingir o seu desempenho?
A Secretaria de TI sobre cortes de orçamento? Qual o impacto nos seus principais processos de trabalho?
Quais os indicadores adotados pela Secretaria para mensurar seu desempenho?
Qual a situação da estrutura física e de pessoal da Secretaria de TI do Conselho? É adequada? Existem estudossobre isso?
Qual o principal projeto em andamento na Secretaria de TI?
Um dos objetivos do CJF é “buscar a excelência na gestão dos custos operacionais”. Quais ações têm sidoimplementadas neste sentido?
A equipe deve registrar por escrito os pontos relevantes tratados nas principais entrevistas, para posterior revisão, consolidação de informações e supervisão dos trabalhos. Para esse registro deve ser usado o extrato de entrevista
Entrevistas - observações
Em regra, as informações relativas aos processos (macroprocessos) podemser, primeiramente, obtidas junto aos seus responsáveis, visto que estespossuem uma visão sistêmica. Podem, ainda, ser realizadas entrevistas comos servidores ou funcionários que executam rotineiramente os processos detrabalho, e conhecem as atividades realizadas em detalhe.
Durante as entrevistas, a equipe deve obter a informação sobre aexistência de documentação (memorial descritivo, fluxogramas, diagramasetc.) atualizada relativa aos processos.
Sempre que necessário, pode ser realizada mais de uma entrevista com omesmo servidor com o intuito de obter esclarecimentos adicionais quantoao funcionamento dos processos.
A equipe deve avaliar a necessidade da realização de reuniões comvários servidores da unidade jurisdicionada para obter informaçõesadicionais sobre áreas ou assuntos compreendidos no escopo dos trabalhos
AVALIAÇÃO DE RISCO
“Com base nas informações e conhecimentos
adquiridos sobre o processo e sobre o
órgão/entidade, a equipe deve apontar os riscos
associados ao processo. Para tanto deve identificar
os eventos que possam impedir ou dificultar o alcance
dos objetivos do processo bem como estimar
qualitativamente suas consequências e
probabilidades”
PROCEDIMENTOS
Após a identificação das ações e projetos maisrelevantes, será realizada uma abordagem crítica dosmacroprocessos principais, buscando a identificação dosriscos e fraquezas envolvidos (Análise SWOT eDiagrama de Verificação de Risco).
Além disso, deverão ser identificados os principaisatores, por meio de uma Análise Stakeholders. Osprincipais stakeholders serão entrevistados com oobjetivo de identificar os pontos fracos e fortes dasações e dos projetos de modernização da gestão.
Execução dos trabalhos
Uma vez que nos levantamentos o órgão/unidade
auditada é uma das principais fontes de
informação, o trabalho deve basear-se em
interação com gestores e funcionários, o que exige
o desenvolvimento de atividades da fase de
planejamento nas dependências do
órgão/entidade
Elaborando o relatório de auditoria de
riscos
Introdução;
Visão Geral do Órgão/entidade;
Principais Processos;
Principais riscos e possíveis ações de controle;
Conclusão;
Proposta de Encaminhamento;
Anexos do Relatório, se houver;
Obrigado!
Tels.: (61)3316-7685
(61) 9697-1767