proposta de modelo de gestão de riscos para a ufrn com o ... · dos objetivos organizacionais a...
TRANSCRIPT
Modelo de Gestão de Riscos para Instituições Federais de Ensino
Superior visando a realização de Auditoria Baseada em Riscos
Bruno Silva
Auditor Interno
Estrutura da Apresentação
I. Definições
II. Por que Propor um Modelo de Gestão de Riscos para IFES?
III. O papel da Auditoria Interna no Gerenciamento de Riscos
IV. Abordagens da Auditoria Interna no que se refere à Auditoria
Baseada em Riscos
V. Modelo de Gestão de Riscos em IFES
VI. Considerações Finais
Relatório Técnico
Guia de Gestão de Riscos em IFES
Módulo para o Sistema de Informação
I. Definições
A auditoria interna é uma atividade independente e objetiva de
avaliação e de consultoria, desenhada para adicionar valor e
melhorar as operações de uma organização. Auxilia na realização
dos objetivos organizacionais a partir da aplicação de uma
abordagem sistemática e disciplinada para avaliar e melhorar a
eficácia dos processos de gerenciamento de riscos, controle e
governança (IIA Brasil).
O gerenciamento de risco é um processo necessário, lógico e
sistemático para organizações identificarem e avaliarem riscos e
oportunidades, visando melhorar a tomada de decisões e a avaliação
de desempenhos (CARVALHO NETO e SILVA, 2009).
Auditoria baseada em riscos é uma metodologia que associa a
auditoria interna ao arcabouço global de gestão de riscos de uma
organização. Possibilita que uma auditoria interna dê garantia ao
conselho diretivo de que os processos de gestão de riscos estão
gerenciando os riscos de maneira eficaz em relação ao apetite por
riscos (IIA Brasil).
I. Definições
II. Por que propor um modelo de gestão
de riscos para Instituições Federais de
Ensino Superior (IFES)?
III. O Papel da Auditoria Interna no
Gerenciamento de Riscos
Em 2009 o Instituto dos Auditores Internos do Reino Unidade publicou
um comunicado intitulado The role of Internal Auditing in Enterprise-
wide Risk Management.
Segundo o IIA (2009, p. 3), o papel da auditoria interna é dar garantia
ao conselho de administração ou órgão equivalente sobre a eficácia da
gestão de riscos. Acrescentou ainda que a auditoria interna agrega valor
à organização quando assegura que: i. os riscos chave estão sendo
gerenciados adequadamente; e ii. que a organização possui uma
estrutura efetiva de gestão de riscos e controle interno.
IV. Abordagens da Auditoria Interna no que
refere à Auditoria Baseada em Riscos
Segundo De Cicco1 e Griffiths2, a ABR pode ser abordada de duas forma
distintas pela unidade de Auditoria Interna:
Abordagem da Auditoria Interna segundo De Cicco:
1 Implemente a Auditoria Baseada em Riscos em sua Organização (2007, p. 5)
2 Risk Based Internal Auditing: An Introduction (2006, pg. 24)
Cenário Abordagem
1. Quando a organização não
apresenta estrutura e processo de
gestão de riscos definidos, ou seja,
não adota nenhum modelo;
Basear-se na avaliação de riscos da
própria auditoria interna.
2. Quando uma organização já
apresenta um grau de maturidade de
gestão de riscos mais avançado.
Basear-se na avaliação de riscos da
própria organização, definida pelos
gestores.
IV. Abordagens da Auditoria Interna no que
refere à Auditoria Baseada em Riscos
Segundo De Cicco1 e Griffiths2, a ABR pode ser abordada de duas forma
distintas pela unidade de Auditoria Interna:
Abordagem da Auditoria Interna segundo Griffiths:
1 Implemente a Auditoria Baseada em Riscos em sua Organização (2007, p. 5)
2 Risk Based Internal Auditing: An Introduction (2006, pg. 24)
Cenário Abordagem
1. Quando a organização não
apresenta estrutura e processo de
gestão de riscos definidos, ou seja,
não adota nenhum modelo;
Realizar atividades de assessoria e
consultoria visando aprimorar a
estrutura e gestão de riscos da
organização.
2. Quando uma organização já
apresenta um grau de maturidade de
gestão de riscos mais avançado.
Basear-se na avaliação de riscos da
própria organização, definida pelos
gestores.
V. Modelo de Gestão de Riscos em IFES
Relatório Técnico
Guia de Gestão de Riscos em Instituições Federais
de Ensino Superior (GERIFES)
Módulo para o Sistema de Informação
Relatório Técnico
• Apresenta aspectos relacionados à pesquisa (contextualização
e problemática, problema da pesquisa, objetivos,
metodologia etc.);
• Situa a auditoria interna no âmbito do controle da
Administração Pública;
• Dispõe sobre gestão de riscos (conceitos e definições, o papel
do gestor e do auditor no processo de implantação,
maturidade, principais modelos e seus ponto fortes e fracos);
• Traz algumas considerações finais.
1 Enterprise Risk Management
2 Gestão de Riscos – Princípios e Diretrizes
3 Management of Risk – Principles and Concepts
Modelo Pontos Fortes Pontos Fracos
ERM1
(COSO)
Ambiente Interno;
Fixação de objetivos;
Técnicas de identificação de riscos;
Respostas ao risco;
Monitoramento do risco.
Não faz distinção entre a
estrutura e o processo de
gestão de riscos.
ISO 310002
(ABNT)
Princípios;
Política de gestão de riscos;
Distinção entre a estrutura e o processo.
Não detalha as respostas ao
risco.
Orange Book3
(Tesouro Britânico)
Conceito de proprietário do risco;
Metodologia para classificação do risco;
Comitê de gestão de riscos.
Foco governamental.
Relatório Técnico
Guia de Gestão de Riscos em IFES
1. ESTRUTURA DE GESTÃO DE RISCOS
1.1 AMBIENTE INTERNO
1.1.1. Filosofia de Gestão de Riscos
1.1.2 Integridade e Valores Éticos
1.1.3 Estrutura Organizacional
1.1.4 Delegação de Autoridade e Responsabilidade
1.1.5 Capacitação e Reconhecimento de Servidores
1.2. ARCABOUÇO PARA DEFINIÇÃO DOS OBJETIVOS PASSÍVEIS DE
GERENCIAMENTO
1.2.1 Definição dos Macroprocessos
1.2.2 Definição dos Processos ou Macro Objetivos
1.3 POLÍTICA DE GESTÃO DE RISCOS
1.4 COMITÊ DE GESTÃO DE RISCOS
1.5 SISTEMA DE INFORMAÇÃO
Guia de Gestão de Riscos em IFES
1. ESTRUTURA DE GESTÃO DE RISCOS
1.1 AMBIENTE INTERNO
1.1.1. Filosofia de Gestão de Riscos
1.1.2 Integridade e Valores Éticos
1.1.3 Estrutura Organizacional
1.1.4 Delegação de Autoridade e Responsabilidade
1.1.5 Capacitação e Reconhecimento de Servidores
1.2. ARCABOUÇO PARA DEFINIÇÃO DOS OBJETIVOS PASSÍVEIS DE
GERENCIAMENTO
1.2.1 Definição dos Macroprocessos
1.2.2 Definição dos Processos ou Macro Objetivos
1.3 POLÍTICA DE GESTÃO DE RISCOS
1.4 COMITÊ DE GESTÃO DE RISCOS
1.5 SISTEMA DE INFORMAÇÃO
2. PROCESSO DE GESTÃO DE RISCOS
2.1 DEFINIÇÃO DOS OBJETIVOS ORGANIZACIONAIS
2.1.1. Objetivos Estratégicos
2.1.2 Objetivos Operacionais
2.2 IDENTIFICAÇÃO DE EVENTOS
2.2.1 Origem dos Eventos
2.2.2 Tipos de Risco
2.2.3 Proprietário do Risco
2.2.4 Técnicas de Identificação de Eventos
2.2.4.1 Análise de Fluxo de Subprocesso
2.2.4.2 Realização de Oficinas com facilitadores
2.3 CLASSIFICAÇÃO DO RISCO
2.3.1 Matriz de Risco
2.3.2 Graus de Risco
2.3.2.1 Risco Baixo
2.3.2.2 Risco Moderado
2.3.2.3 Risco Alto
2.3.2.4 Risco Muito Alto
2. PROCESSO DE GESTÃO DE RISCOS
2.1 DEFINIÇÃO DOS OBJETIVOS ORGANIZACIONAIS
2.1.1. Objetivos Estratégicos
2.1.2 Objetivos Operacionais
2.2 IDENTIFICAÇÃO DE EVENTOS
2.2.1 Origem dos Eventos
2.2.2 Tipos de Risco
2.2.3 Proprietário do Risco
2.2.4 Técnicas de Identificação de Eventos
2.2.4.1 Análise de Fluxo de Subprocesso
2.2.4.2 Realização de Oficinas com facilitadores
2.3 CLASSIFICAÇÃO DO RISCO
2.3.1 Matriz de Risco
2.3.2 Graus de Risco
2.3.2.1 Risco Baixo
2.3.2.2 Risco Moderado
2.3.2.3 Risco Alto
2.3.2.4 Risco Muito Alto
2. PROCESSO DE GESTÃO DE RISCOS
2.1 DEFINIÇÃO DOS OBJETIVOS ORGANIZACIONAIS
2.1.1. Objetivos Estratégicos
2.1.2 Objetivos Operacionais
2.2 IDENTIFICAÇÃO DE EVENTOS
2.2.1 Origem dos Eventos
2.2.2 Tipos de Risco
2.2.3 Proprietário do Risco
2.2.4 Técnicas de Identificação de Eventos
2.2.4.1 Análise de Fluxo de Subprocesso
2.2.4.2 Realização de Oficinas com facilitadores
2.3 CLASSIFICAÇÃO DO RISCO
2.3.1 Matriz de Risco
2.3.2 Graus de Risco
2.3.2.1 Risco Baixo
2.3.2.2 Risco Moderado
2.3.2.3 Risco Alto
2.3.2.4 Risco Muito Alto
2.4 DEFINIÇÃO DA RESPOSTA AO RISCO
2.4.1 Aceitar
2.4.2 Mitigar
2.4.3 Transferir
2.4.4 Evitar
2.5 ESTABELECIMENTO DE PLANOS DE AÇÃO E DE CONTINGÊNCIA
2.5.1 Plano de Ação
2.5.2 Plano de Contingência
2.6 GESTÃO DE RISCO
2.6.1 Risco Inerente x Risco Residual
2.6.2 Monitoramento do Risco
2.6.2.1 Atividade de Monitoramento Contínuo
2.6.2.2 Avaliações Independentes
2.6.3 Periodicidade do Monitoramento
2.7 INFORMAÇÃO E COMUNICAÇÃO
Manual de Utilização do Módulo “Gestão de Riscos” do
Sistema Integrado de Patrimônio, Administração e
Contratos (SIPAC)
VI. Considerações Finais
Benefícios para a gestão
• Possibilidade de cadastrar em sistema de informação todos os objetivos
organizacionais das IFES;
• Criação de banco de dados com os eventos que podem influenciar no
alcance de seus objetivos;
• Registro dos planos de ação/contingência referentes a cada um dos
eventos identificados;
• Visualização dos riscos que exigem maior atenção por parte dos
gestores;
• Padronização da gestão de riscos em toda a instituição;
• Fortalecimento da governança corporativa.
Benefício para a unidade de auditoria interna
• Possibilidade de planejar as atividades de auditoria com base nas
áreas mais críticas, ou seja, aquelas que representarem maior ameaça
à organização;
• Maior receptividade dos trabalhos de auditoria por parte dos
gestores, principalmente pelo fato de haver uma gradativa
substituição dos trabalhos de auditoria convencionais, que têm como
base fatos pretéritos, por trabalhos de auditoria baseada em riscos,
cujo objetivo principal é dar garantia ao gestor máximo de que suas
unidades estratégicas estão gerenciando os ricos de forma adequada.