modelo de gestão de riscos em instituições federais de ... 06.06_modelo de gestao de... · em...
TRANSCRIPT
Modelo de Gestão de Riscos em Instituições Federais
de Ensino Superior (IFES)
Bruno Silva
Auditor Interno
Estrutura da Apresentação
I. Introdução
II. Por que propor um modelo de gestão de riscos para IFES?
III. Modelo de “Gestão de Riscos” em IFES
IV. Considerações Finais
Estrutura
Processo
Proposta de módulo para um sistema de informação
Gerenciando riscos na área de pessoal
Objetivos
Definições
O papel da Auditoria Interna no gerenciamento de riscos
Abordagens da Auditoria Interna no que se refere à ABR
Benefícios decorrentes da adoção do modelo proposto
Objetivos
• Apresentar um modelo de gestão de riscos concebido especificamente para IFES,
com base em dois modelos reconhecidos mundialmente (Enterprise Risk
Management1 e Management of Risk – Principles and Concepts2) e uma norma
brasileira, editada pela Associação Brasileira de Normas Técnicas (ISO 31.000);
• Compartilhar um módulo proposto para o sistema de informação da Universidade
Federal do Rio Grande do Norte (UFRN), capaz de registrar os componentes de
gestão de riscos, em consonância com o modelo apresentado;
• Demonstrar como um auditor pode agregar valor à gestão ao atuar como
facilitador em oficinas realizadas com o propósito de gerenciar riscos, utilizando
como exemplo um subprocesso da área de pessoal (Concessão de Retribuição por
Titulação – RT).
1 Gerenciamento de Riscos Corporativos, conhecido como COSO II.2 Gestão de Riscos – Princípios e Conceitos, conhecido também como Orange Book (Livro Laranja).
Definições
A auditoria interna é uma atividade independente e objetiva de
avaliação e de consultoria, desenhada para adicionar valor e
melhorar as operações de uma organização. Auxilia na realização
dos objetivos organizacionais a partir da aplicação de uma
abordagem sistemática e disciplinada para avaliar e melhorar a
eficácia dos processos de gerenciamento de riscos, controle e
governança (IIA Brasil).
O gerenciamento de risco é um processo necessário, lógico e
sistemático para organizações identificarem e avaliarem riscos e
oportunidades, visando melhorar a tomada de decisões e a avaliação
de desempenhos (CARVALHO NETO e SILVA, 2009).
Por que propor um modelo de gestão de riscos para
Instituições Federais de Ensino Superior (IFES)?
O Papel da Auditoria Interna no
Gerenciamento de Riscos
Em 2009 o Instituto dos Auditores Internos do Reino Unidade publicou
um comunicado intitulado The role of Internal Auditing in Enterprise-
wide Risk Management1.
Segundo o IIA (2009, p. 3), o papel da auditoria interna é dar garantia
ao conselho de administração ou órgão equivalente sobre a eficácia da
gestão de riscos. Acrescentou ainda que a auditoria interna agrega valor
à organização quando assegura que: i. os riscos chave estão sendo
gerenciados adequadamente; e ii. que a organização possui uma
estrutura efetiva de gestão de riscos e controle interno.
1 O papel da Auditoria Interna no gerenciamento de riscos.
Abordagens da Auditoria Interna no que
refere à Auditoria Baseada em Riscos
Segundo De Cicco1 e Griffiths2, a ABR pode ser abordada de duas formas
distintas pela unidade de Auditoria Interna:
Abordagem da Auditoria Interna segundo De Cicco:
1 Implemente a Auditoria Baseada em Riscos em sua Organização (2007, p. 5)
2 Risk Based Internal Auditing: An Introduction (2006, pg. 24)
Cenário Abordagem
1. Quando uma organização já
apresenta um grau de maturidade de
gestão de riscos mais avançado;
Basear-se na avaliação de riscos da
própria organização, definida pelos
gestores.
2. Quando a organização não
apresenta estrutura e processo de
gestão de riscos definidos, ou seja,
não adota nenhum modelo.
Basear-se na avaliação de riscos da
própria auditoria interna.
Abordagens da Auditoria Interna no que
refere à Auditoria Baseada em Riscos
Segundo De Cicco1 e Griffiths2, a ABR pode ser abordada de duas formas
distintas pela unidade de Auditoria Interna:
Abordagem da Auditoria Interna segundo Griffiths:
1 Implemente a Auditoria Baseada em Riscos em sua Organização (2007, p. 5)
2 Risk Based Internal Auditing: An Introduction (2006, pg. 24)
Cenário Abordagem
1. Quando uma organização já
apresenta um grau de maturidade de
gestão de riscos mais avançado;
Basear-se na avaliação de riscos da
própria organização, definida pelos
gestores.
2. Quando a organização não
apresenta estrutura e processo de
gestão de riscos definidos, ou seja,
não adota nenhum modelo.
Realizar atividades de assessoria e
consultoria visando aprimorar a
estrutura e o processo de gestão de
riscos da organização.
Atividades de consultoria prestadas pela
Auditoria Interna
i. Colocar à disposição da gestão ferramentas e técnicas utilizadas pela
auditoria interna para analisar riscos e controles de gestão;
ii. Encorajar a implementação da gestão de riscos corporativos,
aproveitando sua expertise em gestão de risco e controle, além do seu
conhecimento global da organização;
iii. Agir como facilitador em oficinas, promovendo o desenvolvimento de
uma linguagem comum;
iv. Agir como o ponto central para a coordenação, acompanhamento e
elaboração de relatórios de riscos; e
v. Apoiar os gestores na identificação das melhores formas de mitigar o
risco.
Fonte: Instituto dos Auditores internos do Reino Unido, 2009
Modelo de Gestão de Riscos em IFES
(GERIFES)
Estrutura de Gestão de Riscos
1.1 Ambiente Interno
1.1.1. Filosofia de Gestão de Riscos
1.1.2 Integridade e Valores Éticos
1.1.3 Estrutura Organizacional
1.1.4 Delegação de Autoridade e Responsabilidade
1.1.5 Capacitação e Reconhecimento de Servidores
1.2. Arcabouço para Definição dos Objetivos Passíveis de Gerenciamento
1.2.1 Definição dos Macroprocessos
1.2.2 Definição dos Processos ou Macro Objetivos
1.3 Política de Gestão de Riscos
1.4 Comitê de Gestão de Riscos
1.5 Sistema de Informação
Níveis dos Objetivos Organizacionais
Missão da UFRN
“Educar, produzir e disseminar o saber universal, preservar e
difundir as artes e a cultura, e contribuir para o desenvolvimento
humano, comprometendo-se com a justiça social, a
sustentabilidade socioambiental, a democracia e a cidadania”.
Macroprocessos
Processos ou Macro Objetivos
Estrutura de Gestão de Riscos
1.1 Ambiente Interno
1.1.1. Filosofia de Gestão de Riscos
1.1.2 Integridade e Valores Éticos
1.1.3 Estrutura Organizacional
1.1.4 Delegação de Autoridade e Responsabilidade
1.1.5 Capacitação e Reconhecimento de Servidores
1.2. Arcabouço para Definição dos Objetivos Passíveis de Gerenciamento
1.2.1 Definição dos Macroprocessos
1.2.2 Definição dos Processos ou Macro Objetivos
1.3 Política de Gestão de Riscos
1.4 Comitê de Gestão de Riscos
1.5 Sistema de Informação
Processo de Gestão de Riscos
2.1 Definição do Objetivos Organizacionais
2.1.1. Objetivos Estratégicos
2.1.2 Objetivos Operacionais
2.2 Identificação de Eventos
2.2.1 Origem dos Eventos
2.2.2 Tipos de Risco
2.2.3 Proprietário do Risco
2.2.4 Técnicas de Identificação de Eventos
2.2.4.1 Análise de Fluxo de Subprocesso
2.2.4.2 Realização de Oficinas com Facilitadores
2.3 Classificação do Risco
2.3.1 Matriz de Risco
2.3.2 Graus de Risco
2.3.2.1 Risco Baixo
2.3.2.2 Risco Moderado
2.3.2.3 Risco Alto
2.3.2.4 Risco Muito Alto
Processo de Gestão de Riscos
2.1 Definição do Objetivos Organizacionais
2.1.1. Objetivos Estratégicos
2.1.2 Objetivos Operacionais
2.2 Identificação de Eventos
2.2.1 Origem dos Eventos
2.2.2 Tipos de Risco
2.2.3 Proprietário do Risco
2.2.4 Técnicas de Identificação de Eventos
2.2.4.1 Análise de Fluxo de Subprocesso
2.2.4.2 Realização de Oficinas com Facilitadores
2.3 Classificação do Risco
2.3.1 Matriz de Risco
2.3.2 Graus de Risco
2.3.2.1 Risco Baixo
2.3.2.2 Risco Moderado
2.3.2.3 Risco Alto
2.3.2.4 Risco Muito Alto
Processo de Gestão de Riscos
2.1 Definição do Objetivos Organizacionais
2.1.1. Objetivos Estratégicos
2.1.2 Objetivos Operacionais
2.2 Identificação de Eventos
2.2.1 Origem dos Eventos
2.2.2 Tipos de Risco
2.2.3 Proprietário do Risco
2.2.4 Técnicas de Identificação de Eventos
2.2.4.1 Análise de Fluxo de Subprocesso
2.2.4.2 Realização de Oficinas com Facilitadores
2.3 Classificação do Risco
2.3.1 Matriz de Risco
2.3.2 Graus de Risco
2.3.2.1 Risco Baixo
2.3.2.2 Risco Moderado
2.3.2.3 Risco Alto
2.3.2.4 Risco Muito Alto
Processo de Gestão de Riscos
2.1 Definição do Objetivos Organizacionais
2.1.1. Objetivos Estratégicos
2.1.2 Objetivos Operacionais
2.2 Identificação de Eventos
2.2.1 Origem dos Eventos
2.2.2 Tipos de Risco
2.2.3 Proprietário do Risco
2.2.4 Técnicas de Identificação de Eventos
2.2.4.1 Análise de Fluxo de Subprocesso
2.2.4.2 Realização de Oficinas com Facilitadores
2.3 Classificação do Risco
2.3.1 Matriz de Risco
2.3.2 Graus de Risco
2.3.2.1 Risco Baixo
2.3.2.2 Risco Moderado
2.3.2.3 Risco Alto
2.3.2.4 Risco Muito Alto
Processo de Gestão de Riscos
2.1 Definição do Objetivos Organizacionais
2.1.1. Objetivos Estratégicos
2.1.2 Objetivos Operacionais
2.2 Identificação de Eventos
2.2.1 Origem dos Eventos
2.2.2 Tipos de Risco
2.2.3 Proprietário do Risco
2.2.4 Técnicas de Identificação de Eventos
2.2.4.1 Análise de Fluxo de Subprocesso
2.2.4.2 Realização de Oficinas com Facilitadores
2.3 Classificação do Risco
2.3.1 Matriz de Risco
2.3.2 Graus de Risco
2.3.2.1 Risco Baixo
2.3.2.2 Risco Moderado
2.3.2.3 Risco Alto
2.3.2.4 Risco Muito Alto
Processo de Gestão de Riscos
2.1 Definição do Objetivos Organizacionais
2.1.1. Objetivos Estratégicos
2.1.2 Objetivos Operacionais
2.2 Identificação de Eventos
2.2.1 Origem dos Eventos
2.2.2 Tipos de Risco
2.2.3 Proprietário do Risco
2.2.4 Técnicas de Identificação de Eventos
2.2.4.1 Análise de Fluxo de Subprocesso
2.2.4.2 Realização de Oficinas com Facilitadores
2.3 Classificação do Risco
2.3.1 Matriz de Risco
2.3.2 Graus de Risco
2.3.2.1 Risco Baixo
2.3.2.2 Risco Moderado
2.3.2.3 Risco Alto
2.3.2.4 Risco Muito Alto
Processo de Gestão de Riscos
2.1 Definição do Objetivos Organizacionais
2.1.1. Objetivos Estratégicos
2.1.2 Objetivos Operacionais
2.2 Identificação de Eventos
2.2.1 Origem dos Eventos
2.2.2 Tipos de Risco
2.2.3 Proprietário do Risco
2.2.4 Técnicas de Identificação de Eventos
2.2.4.1 Análise de Fluxo de Subprocesso
2.2.4.2 Realização de Oficinas com Facilitadores
2.3 Classificação do Risco
2.3.1 Matriz de Risco
2.3.2 Graus de Risco
2.3.2.1 Risco Baixo
2.3.2.2 Risco Moderado
2.3.2.3 Risco Alto
2.3.2.4 Risco Muito Alto
01. Implantar RT com
insuficiência de documentos;
02. Deixar de submeter o
Termo de Compromisso
quando não for apresentada a
documentação definitiva
(diploma);
03. Implantar RT sem sua
respectiva publicação;
04. Implantar RT com
titulação em
desconformidade com o
processo;
05. Continuar pagando a RT
decorridos 180 dias da sua
concessão sem a entrega do
certificado ou justificativa
plausível, nos casos em que
forem concedidas sem a
entrega definitiva do título.
Análise de Fluxo de Subprocesso
Processo de Gestão de Riscos
2.1 Definição do Objetivos Organizacionais
2.1.1. Objetivos Estratégicos
2.1.2 Objetivos Operacionais
2.2 Identificação de Eventos
2.2.1 Origem dos Eventos
2.2.2 Tipos de Risco
2.2.3 Proprietário do Risco
2.2.4 Técnicas de Identificação de Eventos
2.2.4.1 Análise de Fluxo de Subprocesso
2.2.4.2 Realização de Oficinas com Facilitadores
2.3 Classificação do Risco
2.3.1 Matriz de Risco
2.3.2 Graus de Risco
2.3.2.1 Risco Baixo
2.3.2.2 Risco Moderado
2.3.2.3 Risco Alto
2.3.2.4 Risco Muito Alto
Risco Baixo
Risco Moderado
Risco Alto
Risco Muito Alto
Graus de Risco
Processo de Gestão de Riscos
2.1 Definição do Objetivos Organizacionais
2.1.1. Objetivos Estratégicos
2.1.2 Objetivos Operacionais
2.2 Identificação de Eventos
2.2.1 Origem dos Eventos
2.2.2 Tipos de Risco
2.2.3 Proprietário do Risco
2.2.4 Técnicas de Identificação de Eventos
2.2.4.1 Análise de Fluxo de Subprocesso
2.2.4.2 Realização de Oficinas com Facilitadores
2.3 Classificação do Risco
2.3.1 Matriz de Risco
2.3.2 Graus de Risco
2.3.2.1 Risco Baixo
2.3.2.2 Risco Moderado
2.3.2.3 Risco Alto
2.3.2.4 Risco Muito Alto
Processo de Gestão de Riscos
2.4 Definição da Resposta ao Risco
2.4.1 Aceitar
2.4.2 Mitigar
2.4.3 Transferir
2.4.4 Evitar
2.5 Estabelecimento de Planos de Ação e de Contingência
2.5.1 Plano de Ação
2.5.2 Plano de Contingência
2.6 Gestão de Risco
2.6.1 Risco Inerente x Risco Residual
2.6.2 Monitoramento do Risco
2.6.2.1 Atividade de Monitoramento Contínuo
2.6.2.2 Avaliações Independentes
2.6.3 Periodicidade do Monitoramento
2.7 Informação e Comunicação
Para alcançar certo objetivo relacionado a um curso técnico, por exemplo, um
instituto federal precisa lecionar aulas de informática em determinado
laboratório. Ao identificar os eventos que poderiam comprometer o resultado
desse objetivo, verifica-se que um deles seria a possibilidade de contaminação
dos computadores por vírus.
Atitudes do Gestor perante o Risco
Aceitar: O gestor abre mão de qualquer plano de ação para combatê-lo e, a
depender da situação, de eventuais planos de contingência.
Mitigar: Significa diminuir a probabilidade de eventos indesejados ocorrerem
(planos de ação) ou reduzir o impacto causado (planos de contingência).
Transferir: Atribuir a outrem sua responsabilidade. Geralmente ocorre por meio
da terceirização ou contratação de seguro.
Evitar: Ao decidir evitar, não está se falando em evitar o risco, mas sim a
atividade relacionada com o objetivo que se pretende alcançar.
Processo de Gestão de Riscos
2.4 Definição da Resposta ao Risco
2.4.1 Aceitar
2.4.2 Mitigar
2.4.3 Transferir
2.4.4 Evitar
2.5 Estabelecimento de Planos de Ação e de Contingência
2.5.1 Plano de Ação
2.5.2 Plano de Contingência
2.6 Gestão de Risco
2.6.1 Risco Inerente x Risco Residual
2.6.2 Monitoramento do Risco
2.6.2.1 Atividade de Monitoramento Contínuo
2.6.2.2 Avaliações Independentes
2.6.3 Periodicidade do Monitoramento
2.7 Informação e Comunicação
Módulo “Gestão de Riscos” proposto para o Sistema
Integrado de Patrimônio, Administração e Contratos
(SIPAC)
Gerenciando Riscos na Área de Pessoal
Concessão de Retribuição por Titulação - RT
Concessão de Retribuição por Titulação - RT
Evento Tipo de Risco Classificação
do Risco
Resposta
ao Risco Plano de Ação Status Plano de Contingência
Gestão do
Risco
Implantar RT com insuficiência
de documentos; Conformidade Moderado Mitigar
Verificar documentação em dois
setores: PROGESP1 e CPCC2; Finalizado -
Baixo Controlar o prazo de entrega da
documentação por meio do SIPAC3. Finalizado -
Deixar de submeter o Termo de
Compromisso quando não for
apresentada a documentação
definitiva (diploma);
Conformidade Baixo Mitigar Verificar documentação em dois
setores: PROGESP1 e CPCC2. Finalizado - Baixo
Implantar RT com titulação em
desconformidade com o
processo;
Processo Moderado Mitigar
Comparar as informações do
SIAPE4 com os dados do processo
após sua implantação. Iniciado - ?
Implantar RT sem sua respectiva
publicação; Conformidade Muito Alto Mitigar
Automatizar as portarias de
concessão. Não iniciado - ?
Continuar pagando a RT
decorridos 180 dias da sua
concessão sem a entrega do
certificado ou apresentação de
justificativa plausível;
Conformidade Baixo Mitigar Controlar o prazo de entrega da
documentação via SIPAC. Finalizado
Suspender o pagamento da
concessão até a entrega
definitiva da documentação.
Baixo
Implantar RT sem revalidar
diploma oriundo de instituições
estrangeiras
Conformidade Baixo Mitigar Verificar documentação em dois
setores: PROGESP e CPCC. Finalizado - Baixo
Deixar de realizar os ajustes
financeiros. Processo Moderado Mitigar
Utilizar check list do fluxo no
próprio processo. Iniciado - ?
1 Pró-reitoria de Gestão de Pessoas 2 Coordenadoria de Provimentos e Controle de Cargos 3 Sistema Integrado de Patrimônio, Administração e Contratos 4 Sistema Integrado de Administração de Recursos Humanos
Considerações Finais
Benefícios para a gestão
• Possibilidade de cadastrar em sistema de informação todos os objetivos
organizacionais da IFES;
• Criação de banco de dados com os eventos que podem influenciar no
alcance de seus objetivos;
• Registro dos planos de ação/contingência referentes a cada um dos
eventos identificados;
• Visualização dos riscos que exigem maior atenção por parte dos
gestores;
• Padronização da gestão de riscos em toda a instituição;
• Fortalecimento da governança corporativa.
Benefício para a unidade de auditoria interna
• Possibilidade de planejar as atividades de auditoria com base nas áreas
mais críticas, ou seja, aquelas que representam maior ameaça à
organização;
• Maior receptividade dos trabalhos de auditoria por parte dos gestores,
principalmente pelo fato de haver uma gradativa substituição dos
trabalhos de auditoria convencionais, que têm como base fatos
pretéritos, por trabalhos de auditoria baseada em riscos, cujo objetivo
principal é dar garantia ao gestor máximo de que suas unidades
estratégicas estão gerenciando os ricos de forma adequada.
Considerações Finais
Fim
https://www.dropbox.com/s/66z63m48txg3p29/Relat%C3%B3rio%20T%C3%A9cnico
%20%28Vers%C3%A3o%20Final%20Consolidada%29.pdf?oref=e&n=281704290