Scribd Logo
Carregar

Bem-vindo(a) ao Scribd!

  • 29 visualizações

    Processos Da Gestão de Riscos

    Enviado por

    juliaromer12
    Este documento descreve os processos e atividades da gestão de riscos, incluindo comunicação e consulta, contextualização, identificação de riscos, análise, tratamento de riscos, monitoramento e modelos internacionais como COSO e ISO 31000.

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato DOCX, PDF, TXT ou leia online no Scribd

    Processos Da Gestão de Riscos

    Enviado por

    juliaromer12
    29 visualizações7 páginas
    Este documento descreve os processos e atividades da gestão de riscos, incluindo comunicação e consulta, contextualização, identificação de riscos, análise, tratamento de riscos, monitoramento e modelos internacionais como COSO e ISO 31000.

    Título original

    Processos da gestão de riscos

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    DOCX, PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Este documento descreve os processos e atividades da gestão de riscos, incluindo comunicação e consulta, contextualização, identificação de riscos, análise, tratamento de riscos, monitoramento e modelos internacionais como COSO e ISO 31000.

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato DOCX, PDF, TXT ou leia online no Scribd
    Fazer download em docx, pdf ou txt
    29 visualizações7 páginas

    Processos Da Gestão de Riscos

    Enviado por

    juliaromer12
    Este documento descreve os processos e atividades da gestão de riscos, incluindo comunicação e consulta, contextualização, identificação de riscos, análise, tratamento de riscos, monitoramento e modelos internacionais como COSO e ISO 31000.

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato DOCX, PDF, TXT ou leia online no Scribd
    Fazer download em docx, pdf ou txt
    Você está na página 1de 7

    Processos da gestão de riscos

    As atividades do processo de gestão de riscos são apoiadas pela cultura e a estrutura de gestão
    de riscos, e são concebidas para identificar riscos que possam afetar a capacidade da
    organização em atingir os seus objetivos e para apoiar tomadas de decisões e ações que forem
    necessárias para mantê-los em níveis compatíveis com os limites de exposição a riscos
    previamente estabelecidos, de maneira a fornecer segurança razoável do cumprimento dos
    objetivos.

     Comunicação e consulta

    A comunicação e a consulta às partes interessadas devem ocorrer durante todas as etapas e


    atividades do processo de gestão de riscos e visam assegurar que essas partes compreendam o
    fundamento das decisões, as razões das ações requeridas, além de permitir o registro de suas
    percepções e a eventual incorporação de sugestões no processo de tomada de decisão. Essa
    etapa, concomitante a todo o processo de gestão de riscos, é fundamental, pois permite
    aprimorar a definição do contexto, assegurar a transparência, identificar adequadamente os
    riscos, assegurar a incorporação das diversas percepções, garantir o apoio necessário à
    implementação do plano de tratamento de riscos.

     Contextualização

    O estabelecimento do contexto implica na articulação de objetivos, na definição de


    parâmetros internos e externos e no estabelecimento de escopo e critérios para o processo de
    gestão dos riscos. O contexto é o ambiento no qual a agência busca atingir os objetivos que
    serão observados para a gestão de riscos. Isso envolve identificar os principais fatores do
    ambiente interno e externo, analisar as partes interessadas, fixar os objetivos e determinar os
    critérios de análise e avaliação dos riscos (filosofia, apetite, tolerância etc.).

    A descrição do contexto, implica na especificação:

    i) do processo (apontando os objetivos);


    ii) da relação do processo com os objetivos estratégicos da agência;
    iii) da unidade demandante/responsável pelo processo;
    iv) da justificativa;
    v) das leis e regulamentos aplicáveis;
    vi) do ciclo do processo e dos sistemas tecnológicos de apoio;
    vii) das partes interessadas;
    viii) das informações sobre o contexto externo do processo;
    ix) das informações sobre o contexto interno do processo; e
    x) do apetite a risco da agência pública.

     Identificação dos riscos

    A identificação de riscos é o processo de busca, reconhecimento e descrição dos riscos, tendo


    por base o contexto estabelecido e apoiando-se na comunicação e consulta às partes
    interessadas. A finalidade dessa etapa é produzir uma lista abrangente de riscos baseada em
    eventos que possam criar, aumentar, evitar, reduzir, acelerar ou atrasar a realização dos
    objetivos (inclusive os riscos associados com não perseguir uma oportunidade
    A identificação de riscos pode basear-se em dados históricos, análises teóricas, opiniões de
    pessoas informadas e especialistas, assim como em necessidades das partes interessadas.

    A documentação dessa etapa geralmente inclui:

    i) o escopo do processo, projeto ou atividade coberto pela identificação;


    ii) os participantes do processo de identificação dos riscos;
    iii) a abordagem ou o método utilizado para identificação dos riscos e as fontes de
    informação consultadas; e
    iv) descrição de cada risco, pelo menos com a fonte de risco, as causas, o evento e as
    consequências.

     Análise

    A análise de riscos é o processo que permite compreender a natureza e determinar o nível de


    risco, de modo a subsidiar a sua avaliação e eventual tratamento. A análise de riscos considera
    o nível do risco que é expresso pela combinação da probabilidade de ocorrência do evento e
    das consequências resultantes no caso de materialização do evento, o impacto nos objetivos.
    O resultado final desse processo será o de atribuir a cada risco identificado uma classificação,
    tanto para a probabilidade quanto para o impacto do evento, cuja combinação determinará o
    nível do risco. A função risco é fundamentalmente um produto das variáveis probabilidade e
    impacto.

    O risco inerente é o nível de risco antes do tratamento do risco que a agência pública realiza
    para reduzir a probabilidade do evento ou os seus impactos nos objetivos, incluindo controles
    internos (é o resultado da combinação da probabilidade com o impacto).

    O risco residual é o risco que ainda permanece depois de considerado o efeito das respostas
    adotadas pela gestão para reduzir a probabilidade e o impacto dos riscos, incluindo controles
    internos e outras ações.

     Tratamento de riscos

    O tratamento de riscos é a seleção de uma ou mais opções para modificar o nível de cada risco
    que implicará em novos controles ou na modificação dos controles existentes. O processo de
    tratamento é cíclico e inclui:

    i) avaliação do tratamento já realizado;


    ii) avaliação se os níveis de risco residual são toleráveis;
    iii) se não forem, definição e implementação de tratamento adicional; e
    iv) avaliação da eficácia desse tratamento.
    Por isso, para assegurar que o tratamento seja observado é necessário instituir atividades de
    controle – políticas e procedimentos que ocorrem em toda a organização para autorizar,
    verificar, reconciliar e revisar o desempenho. Os controles são qualquer processo, política,
    dispositivo, prática ou ação e medida adotada pela gestão com o objetivo de modificar o nível
    de risco (ocorrência ou impacto).

     Monitoramento e retroalimentação

    O monitoramento e análise crítica é etapa essencial da gestão de riscos e tem por finalidade:

    i) detectar mudanças no contexto externo e interno, incluindo alterações nos


    critérios de risco e no próprio risco, que podem requerer revisão dos tratamentos
    de riscos e suas prioridades, assim como identificar riscos emergentes;
    ii) obter informações adicionais para melhorar a política, a estrutura e o processo de
    gestão de riscos;
    iii) analisar eventos (incluindo os “quase incidentes”), mudanças, tendências,
    sucessos e fracassos e aprender com eles;
    iv) garantir que os controles sejam eficazes e eficientes no projeto e na operação; e
    v) identificar os riscos emergentes. As atividades de monitoramento podem ser
    conduzidas de duas maneiras: mediante atividades contínuas de monitoramento
    ou de avaliações independentes.

    Boas práticas na gestão de riscos

    Convém que a Alta Direção e os órgãos de supervisão, onde aplicável, assegurem que a gestão
    de riscos esteja integrada em todas as atividades da organização, e convém que demonstrem
    liderança e comprometimento por:

    Personalizar e implementar todos os componentes da estrutura;

    Emitir uma declaração ou política que estabeleça uma abordagem, plano ou curso de ação da
    gestão de riscos;

    Atribuir autoridades, responsabilidades e responsabilização nos níveis apropriados dentro da


    organização;

    Cultura e processos orientados a risco;

    Separação entre execução e controle;


    Quantificação econômico – financeira do risco — assegurar que os recursos necessários sejam
    alocados para gerenciar riscos;

    Integridade e governança dos dados e processos;

    Comunicação adequada e coerente do risco;

    Modelos internacionais da gestão de risco

    A adoção de um padrão internacional de gestão de riscos traz consigo algumas vantagens,


    como estabelecer um referencial com base nas melhores práticas (benchmark), compartilhar
    do aprendizado de outros usuários e associar a imagem da agência ao padrão das melhores
    práticas e procedimentos de qualidade reconhecida

    Modelos: COSO I, Comitê Cadbury, Risk management standard, AS/NZS 4360:1995, The orange
    book, o COSO-ERM, a AS/NZS 4360:2004, o OGC/M_o_R, ISO 31000:2009 e normas
    internacionais como a Lei Sarbanes-Oxley e o Acordo de Basileia II.

    Mais importantes: ISO 31000:2009 e o COSO-ERM/GRC.

     COSO II ERM COSO - GRC

    O modelo COSO II estabelece que as entidades (agências públicas ou corporativas) devem


    implementar o gerenciamento de riscos corporativos (ERM) para supervisionar melhor os
    riscos e assegurar a criação e proteção de valor para as partes interessadas.

    De acordo com o modelo COSO-ERM, a estrutura de gerenciamento de riscos é


    multidimensional e relaciona objetivos (estratégico, operacional, comunicação e
    conformidade), estrutura organizacional (subsidiária, unidade de negócio, divisão, nível da
    organização) e componentes (ambiente interno, definição de objetivos, identificação de
    evento, avaliação de riscos, resposta ao risco, atividades de controle, informação e
    comunicação, monitoramento).

    GRC - A gestão de riscos integra cinco componentes: 1) governança e cultura; 2) estratégia e


    definição de objetivos; 3) desempenho; 4) revisão e correção; e 5) informação, comunicação e
    reporte, relacionando-os a vinte princípios de gerenciamento de risco (COSO, 2017). O COSO
    GRC revisa e atualiza os componentes do COSO II, adota princípios, simplifica suas definições,
    enfatiza o papel da cultura e melhora o foco no valor, relacionando a gestão de riscos às três
    dimensões fundamentais da gestão: i) missão, visão e valores; ii) objetivos estratégicos e de
    negócios; e iii) desempenho organizacional.

    Promove o alinhamento da gestão de riscos com a gestão do desempenho permitindo que os


    órgãos de governança e gestão tenham uma expectativa razoável de que serão capazes de
    gerenciar os riscos associados com a estratégia e os objetivos, enfatizando a necessidade de
    definir as variações aceitáveis no desempenho (tolerâncias a riscos).

     ISO 310000:2009

    Gestão de riscos integra três partes fundamentais: princípios, estrutura e processos. A partir
    de um conjunto de onze princípios é desenhada a estrutura organizacional para sustentar a
    implantação do processo de gestão de riscos visando a sua melhoria contínua. O processo de
    gestão de riscos é parte integrante da gestão, incorporada à sua cultura e práticas e adaptada
    aos seus processos. Os componentes do processo de gestão de riscos são: i) estabelecer o
    contexto; ii) identificar os riscos; iii) analisar os riscos; iv) avaliar os riscos; v) tratar os riscos; e,
    ao longo do processo, vi) comunicar e consultar; e vii) monitorar e analisar.

    O modelo referencial ISO 3100:2009 foca nas ações de identificação dos riscos para
    efetivamente aprimorar o desempenho da organização. O modelo visa estabelecer uma
    mudança de comportamento, orientada ao risco, na condução das atividades estratégicas e
    operacionais que permita superar um padrão reativo de gestão (proteger o valor) para um
    padrão proativo (criar e capturar valor), de acordo com os objetivos da organização.

    De forma complementar ao ISO 3100:2009 foi publicado o ISO/ IEC 31010:2009 (Gestão de
    riscos – técnicas de avaliação de riscos) que fornece orientações detalhadas sobre a seleção e
    aplicação de técnicas sistemáticas de identificação e avaliação de riscos

     Modelo de três linhas de defesa

    Uma forma de estabelecer os papéis e responsabilidades essenciais de cada gestor dentro da


    organização para protegê-la dos riscos por meio de uma estrutura adequada de governança.
    De acordo com esse modelo, a primeira linha de defesa é a execução, a segunda linha de
    defesa é a supervisão e o monitoramento e a terceira é a avaliação. Na primeira linha ocorre a
    gestão do risco por meio das atividades cotidianas dos gestores de identificar, avaliar, gerir e
    comunicar os riscos.

    Na segunda linha ocorre a supervisão dos riscos pela alta administração, observando as
    tradicionais funções de gestão de riscos, conformidade e controladoria.

    Na terceira linha ocorre a avaliação (assurance) por meio do processo de auditoria


    independente vinculada ao órgão superior de governança.

     Observação: Em comum, os principais referenciais de gestão de riscos enfatizam


    elementos como:
    i) atingir ou superar os objetivos organizacionais;
    ii) aderir a um controle com base em objetivos;
    iii) estar em conformidade com os requisitos regulatórios, gerenciais e de princípios.

    Padrões nacionais de gestão de riscos

     Guia de orientação para o gerenciamento de riscos do Programa Gespública.


     Política de Gestão de Riscos do Superior Tribunal de Justiça (STJ).
     Política de Gestão de Riscos da Secretaria do Tribunal Superior do Trabalho (TST) em 2015.
     Política de Gestão de Riscos do Tribunal Superior Eleitoral, em 2017.
     Senado Federal instituiu a Política de Gestão de Riscos Organizacionais em 2013 e a
    Câmara dos Deputados instituiu a sua política de gestão de riscos em 2018.
     Manual de gestão de riscos do TCU em 2018.
     Instrução Normativa Conjunta MP/CGU no 1/2016 que dispõe sobre controles internos,
    gestão de riscos e governança no âmbito do Poder Executivo Federal (MP/CGU, 2016).
     Referencial de Gestão de Integridade Riscos e Controles Internos (GIRC) do Ministério do
    Planejamento, Desenvolvimento e Gestão.

    É um exemplo de como as boas práticas de gestão de riscos estão sendo implementadas nas
    agências públicas brasileiras. O GIRC é um conjunto de instrumentos que asseguram o alcance
    dos objetivos estratégicos, subsidiando a tomada de decisão, contribuindo para o
    aprimoramento dos processos e mitigando a ocorrência de possíveis desvios por meio de uma
    gestão de integridade, riscos e controles internos. São instrumentos desse modelo: i) a Política
    de Gestão de Integridade, Riscos e Controles Internos da Gestão; ii) as Instâncias de
    Supervisão; iii) a Metodologia de Gerenciamento de Integridade, Riscos e Controles Internos
    da Gestão Solução Tecnológica.

    A Política de Gestão de Integridade, Riscos e Controles Internos da Gestão (PGIRC) foi


    instituída por meio da Portaria no 426/2016 e tem por finalidade estabelecer os princípios,
    diretrizes e responsabilidades a serem observados e seguidos na gestão de integridade, riscos
    e controles internos da gestão.

    A metodologia GIRC é composta por cinco etapas, precedidas pela priorização de processos
    (Método de Priorização de Processos – MPP) e uma classificação da natureza dos riscos
    (orçamentário-financeiro ou não orçamentário-financeiro). O método observa as
    regulamentações prévias do órgão, o modelo referencial COSO ERM e as boas práticas.

    O gerenciamento do risco é orientado pela metodologia COSO ERM, organizada em cinco


    etapas: i) análise de ambiente e de fixação de objetivos; ii) identificação de eventos de riscos;
    iii) avaliação de eventos de riscos e controles; iv) resposta a risco; v) informação, comunicação
    e monitoramento.

    A metodologia GIRC incorpora as melhores boas práticas de gestão de riscos e sua


    implementação é facilitada por meio da utilização do sistema eletrônico de gestão de riscos
    Agatha, disponível em domínio público.

     Modelo de avaliação da maturidade organizacional em gestão de riscos – TCU

    De forma a contribuir com o monitoramento, a revisão e a melhoria contínua dos modelos de


    gestão de riscos adotados pelas agências públicas, o Tribunal de Contas da União desenvolveu
    esse modelo com base na IN Conjunta – MP/CGU no 1/2016 e nas boas práticas preconizadas
    pelo COSO ERM/GRC, ISO 31000:2009 e The orange book.

    O modelo é composto por quatro dimensões (ambiente, processos, resultados e parcerias) e


    sua aferição é realizada por meio de indicadores de maturidade em gestão de riscos pré-
    definidos. O modelo assume a premissa de que a maturidade do processo de gestão de riscos
    de uma agência pública é determinada pelas capacidades existentes em termos de liderança,
    políticas e estratégias e de preparo das pessoas para gestão de riscos, bem como pelo
    emprego dessas capacidades aos processos e parcerias e pelos resultados obtidos na melhoria
    do desempenho no cumprimento de sua missão institucional de gerar valor para as partes
    interessadas com eficiência e eficácia, transparência e accountability, em conformidade com
    leis e regulamentos.

    Você também pode gostar