Anotações de aula. Curso: Gestão de Riscos com base na NBR ISO 31.000/2009

COMPANHIA IMOBILIÁRIA DE BRASÍLIA – TERRACAP

Escola de Governo do Distrito Federal – EGOV

Curso de gestão de riscos com base na Norma NBR ISO 31.000:2009

Instrutores: João Batista de Souza Machado, Lúcio Carlos de Pinho Filho, Marcos Tadeu de Andrade, Paulo Ribeiro Lemos e Rodrigo Ramos Gonçalves

DISCENTE: Juliana Capra Maia

Dia 01. A gestão de riscos fundamentada na NBR ISO 31.000:2009 aplicada ao setor público

** Contexto da implantação da gestão de riscos na Administração 

• Consultoria contratada pela administração pública 

• Avaliação da OCDE sobre o sistema de integridade da administração pública federal brasileira.

** O BACEN, desde 2006, possui gestão de riscos. Utiliza a gestão de riscos para intensificar ou suavizar a fiscalização de instituições financeiras (ranqueamento de fiscalizados).

** Recomendação do relatório da OCDE: “Integrar a gestão de riscos como elemento-chave da responsabilidade gerencial, de modo a promover a integridade e prevenir a improbidade, os desvios e a corrupção”.

** Decisão n. 3320/2015 do TCDF:

• Recomenda que a CGDF estabeleça a gestão de riscos como premissa básica para o exercício da função de executor de contratos, permitindo o fortalecimento dos controles internos e a mitigação do risco da ocorrência de erros;

• Recomenda o aprimoramento da gestão de riscos no âmbito do GDF, contribuindo para a criação de mecanismos de controle que funcionem juntamente com a execução dos contratos, fortalecendo os controles internos associados.    

** Plano Estratégico Institucional 2016/2019 da CGDF:

• Foco na gestão de riscos na Administração Pública do Distrito Federal.

• Mapeamento das 24 organizações de maior complexidade no DF, que envolvem 80% de todo o orçamento do DF.

** Acepções do termo “risco”:

• “Perigo”. Norma ISO 27.001.

• Algo que impede o atingimento de determinado objetivo.

• Chance de algo acontecer. Incerteza, possibilidades, probabilidades. Resultados positivos ou negativos de determinada atividade. Norma ISO 31.000.

** Gestão de riscos: mitigação das incertezas.

** Principais riscos na acepção das empresas brasileiras (pesquisa da KPMG):

• Ação da concorrência;

• Falta ou perda de profissionais;

• Não pagamento de dividendos;

• Dificuldade / não execução da estratégia ou do plano de negócios;

• Decisões desfavoráveis em processos judiciais;

• Estimativas incorretas das necessidades da empresa;

• Diluição dos investidores;

• Volatilidade do mercado de capitais;

• Falta de liquidez das ações;

• Riscos relacionados à legislação ambiental;

• Dificuldade de captação de recursos no mercado de capitais.

** Riscos operacionais para 2017:

• Risco cibernético;

• Riscos na gestão de riscos;

• Risco geopolítico;

• Mudanças organizacionais;

• Fracasso no atingimento de objetivos;

• Sanções governamentais;

• Ataques físicos.

** A FAO alertou que 1/3 da população da América Latina vivem em áreas de risco de desastres.

“Hoje em dia, o gerenciamento de riscos está na agenda corporativa de todos, desde uma pequena organização privada ou pública. Uma atenção especial à gestão de riscos é paga pelos governos, bolsas de valores, acionistas e reguladores. No entanto, isso nem sempre foi assim”.   

** Material de apoio:

• Gestão de riscos no STJ;

• Manual de governabilidade do TCU;

• Manual de gestão de riscos do TCU;

• Manual de gestão de riscos da Fundação Nacional de Qualidade (FNQ).

• IBCG: Gerenciamento de riscos corporativos;

• RCA/TCU. Risco e controle nas aquisições. 

** A gestão de riscos não é um conhecimento exato. Por isso, é importante realizar a gestão de riscos em grupos (comitês). Há, ainda, chance intrínseca de erro na identificação e gestão dos riscos.

OBJETO REAL  X  OBJETO PERCEBIDO

** Modelo das 3 linhas de defesa:

• 1ª Linha de defesa: Controles da gerência, medidas de controle interno. Gestores operacionais: responsáveis por gerir os riscos dentro dos limites funcionais; realizam periodicamente análise de riscos e revisão dos controles; implementam e executam os controles definidos; monitoram os riscos no seu dia-a-dia.

• 2ª Linha de defesa: Controle financeiro, segurança, gerenciamento de riscos, qualidade, inspeção, compliance. Unidades de gerenciamento de riscos especializadas.

• 3ª Linha de defesa: Auditoria Interna. Controladoria Interna.

** Normativos:

• Instrução Normativa 01/2016 – MP/CGU

• Lei 13.303/2016

• Decreto Distrital 37.302/2016

** Etapas: P-D-C-A

• Plan = Planejamento.

• Do = Execução.

• Check = Avaliação.

• Act = Modificação, ação.

** Normatização Internacional:

• COSO

• FSA

• CRAMM

• ISO 31000:2009

** ISO 31.000/2009. Melhor padronização de gestão de riscos. Metodologia global.

• Princípios.

• Estrutura.

• Processos.

** Risco é o efeito que as incertezas têm sobre os objetivos das organizações. As incertezas são geradas por influencias e fatores internos e externos, positivos ou negativos. Definição contemplada na ISO 31.000.

Riscos (demandam tratamento)

≠

Problemas (demandam soluções)

** Gestão de riscos (planejamento) ≠ Gerenciamento de riscos (execução)

** Etapas do processo de construção da política de gestão de riscos: identificar, analisar, avaliar e tratar adequadamente os riscos.

** Princípios da política de gestão de riscos:

1. Cria e protege valor;
2. Parte integrante dos processos organizacionais;
3. Parte do processo de tomada de decisões;
4. Aborda explicitamente a incerteza;
5. Sistemática, estruturada e oportuna;
6. Baseada nas melhores informações disponíveis;
7. Feita sob medida;
8. Considera fatores humanos e culturais;
9. Transparente e inclusiva;
10. Dinâmica, interativa e capaz de reagir a mudanças;
11. Facilita a melhoria contínua da organização.

** A matriz de risco das organizações não devem ser divulgadas a terceiros. Tratam-se de informações estratégicas da entidade (pública ou privada).

** Estrutura para gerenciar riscos:

Mandato e comprometimento

↓

↓

Concepção da estrutura para gerenciar riscos (comitês)

↑                                                         ↓

↑                                                         ↓

Melhoria contínua da estrutura         Executar gestão de riscos

↑                                                         ↓

↑                                                         ↓

Monitoramento e análise crítica da estrutura

** Procedimento:

• Comunicação e consulta 

>> Estabelecimento do contexto 

>> Avaliação de riscos 

-- Identificação dos riscos 

-- Análise dos riscos 

-- Avaliação dos riscos 

-- Tratamento dos riscos 

• Monitoramento e análise crítica 

** Comunicação e consulta:

• Níveis de acesso à informação. Nem todos os riscos serão informados a todas as unidades organizacionais.

• Apresentação dos riscos pertinentes às atividades de cada setor.

• Identificação dos atores que serão impactados pelos riscos e, por consequência, pelos seus respectivos tratamentos. Observação: a interpretação do risco é diferente para a empresa como um todo e para a área que será impactada.

• Faz parte de todas as etapas: do estabelecimento do contexto, da identificação dos riscos, da análise dos riscos, da avaliação dos riscos e do tratamento dos riscos.

** Referências técnicas:

• ISO 31.000/2009. Gerenciamento de risco – Princípios e diretrizes; 

• ISO 31:004/2013. Gestão de risco – Orientação para a implementação da norma ISO 31.000/2009;

• ISO 31.010/2009; 

• ISO 19.011/2012 e

• COSO/2013 (Controle interno – framework integrado)

Dia 02. Política de gerenciamento de riscos e as estruturas formais e informais de gerenciamento de riscos

** Modelo de implantação:

•  Mandato e compromisso.

-- Deve conter os objetivos da gestão de riscos, os princípios da gestão de riscos, as diretrizes da gestão de riscos, as responsabilidades e a definição do processo de gerenciamento de riscos. 

-- Instituição de um comitê de riscos, com as atribuições de fomentar as práticas de gestão de riscos, acompanhar de forma sistemática a gestão de riscos com o objetivo de garantir a sua eficácia e o cumprimento dos seus objetivos, zelar pelo cumprimento da política de gestão de riscos, monitorar a política de gestão de riscos, estimular a cultura de gestão de riscos, decidir sobre as matérias que lhe sejam submetidas bem como sobre aquelas consideradas relevantes, verificar o cumprimento das suas decisões, indicar os proprietários do risco, estabelecer o plano de gestão de riscos (“plano de ação”), retroalimentar informações para a auditoria baseada em riscos.

• Avaliação de maturidade da estrutura para a gestão de riscos. 1ª Fotografia.

• Riscos ISO 31.000/2009.

-- Identificação. Gerar uma lista abrangente dos riscos da organização. O que pode acontecer? Como e onde acontece? Por que ocorre? 

-- Análise. Estabelecimento do nível de risco. Avaliação se o risco é extremo, médio, baixo.

-- Avaliação. Hierarquização das ações, isto é, estabelecimento de planos de ação prioritários. 

-- Há controles na organização para esses riscos? Teste dos controles. 

• Consolidação das informações em planilha Excel.

Modelo de desenho da política de gestão de riscos utilizado pela Câmara Federal

Contexto	Identificação	Avaliação	Tratamento
* Definir contexto * Revisar processo de gestão de riscos	* Reunir recursos. * Identificar recursos.	* Analisar a probabilidade e impacto * Elaborar mapa de riscos	* Priorizar riscos * Traçar respostas - Designar “proprietários do risco”, isto é, responsáveis pela sua gestão. * Aprovar plano
↓ ↓	↓ ↓	↓ ↓	↓ ↓
Comunicação e monitoramento constante * Comunicar os benefícios da gestão de riscos a todas as partes interessadas. Comunicar, inclusive, o pessoal do nível tático e operacional. * Assegurar que a estrutura do gerenciamento de riscos continue adequada. Revisão permanente das prioridades de atuação. * Assegurar que os recursos necessários sejam alocados par a gestão de riscos.

** Políticas de gerenciamento de riscos

• Marinha do Brasil.

• Controladoria Geral do Distrito Federal. Portarias CGDF n. 25/2016 e n. 26/2016.

• Ministério da Segurança Institucional da Presidência da República. Portaria n. 76/2017. DOU n. 87, de 09 de maio de 2017, p. 3/4.

Dia 03. Gerenciamento de riscos: estabelecimento do contexto e identificação de riscos

** Avaliação da maturidade da gestão de riscos:

Maturidade de riscos: Grau de adoção e aplicação, pela alta direção, de uma abordagem de gestão de riscos robusta conforme planejada, em toda a organização, a fim de identificar, avaliar, decidir sobre respostas e relatar oportunidades e ameaças que afetam a consecução dos objetivos da organização.

** Graus de classificação:

• Ingênuo >> Nenhuma abordagem formal desenvolvida para a gestão de riscos.

• Consciente >> Aborgadem para a gestão de riscos dispersa em “silos”.

• Definido >> Estratégia e políticas implementadas e comunicadas. Apetite por riscos definido.

• Gerenciado >> Abordagem corporativa para a gestão de riscos desenvolvida e comunicada.

• Habilitado >> Gestão de riscos e controles internos totalmente incorporados às operações.

Dia 04. Gerenciamento de riscos: análise e avaliação de riscos

Dia 05: Gerenciamento de riscos: tratamento de riscos, comunicação e consulta, monitoramento e análise crítica

Dia 06: Tópicos avançados de gestão de riscos