apostila de gestÃo de riscos e controles internos · apostila de gestão de riscos e controles...
TRANSCRIPT
MINISTÉRIO DA DEFESAEXÉRCITO BRASILEIRO
COMANDO DO EXÉRCITO
APOSTILA DE GESTÃO DE RISCOSE CONTROLES INTERNOS
3ª VERSÃO
BRASÍLIA-DF, SETEMBRO DE 2018
Chefe do Centro de Controle Interno do Exército
General de Brigada EUGÊNIO ENEIAS CAMILO
Equipe Responsável:
Coronel ADELSON ROBBI
Major JORGE RODRIGO FARIA
Major CELSO ROSSATO SANTI
Major FABIO DE MOURA SOUSA
Confecção e diagramação:
Major FABIO DE MOURA SOUSA
Capitão ROBÉRIO DAS CHAGAS FERREIRA
LISTA DE FIGURAS
Figura 1: Esquema do Risco...............................................................................................................14Figura 2: Técnica da gravata borboleta..............................................................................................15Figura 3: Exemplo da Técnica da gravata borboleta..........................................................................17Figura 4: Avaliação de Riscos (Probabilidade e Impacto).................................................................18Figura 5: Diagrama de Verificação de Riscos....................................................................................20Figura 6: Diagrama de Verificação de Riscos Inerentes....................................................................21Figura 7:Priorização do Tratamento dos Riscos Inerentes.................................................................23Figura 8: Controles Preventivos e Detectivos....................................................................................25Figura 9: Riscos Residuais Estimados................................................................................................27Figura 10: Diagrama de Verificação de Riscos Residuais Efetivos...................................................29Figura 11: Monitoramento..................................................................................................................30
LISTA DE TABELAS
Tabela 1: Priorização dos Processos Críticos.....................................................................................13Tabela 2: Identificação dos Riscos Inerentes.....................................................................................14Tabela 3: Portfólio de Fatores de Risco.............................................................................................16Tabela 4: Avaliação qualitativa da Probabilidade..............................................................................18Tabela 5: Avaliação qualitativa do Impacto.......................................................................................19Tabela 6: Extrato da Matriz de Riscos e Controles (Avaliação de probabilidade e impacto)............19Tabela 7: Avaliação de Nível de Risco dos Processos (Riscos Inerentes).........................................22Tabela 8: Matriz de Riscos Residuais Estimados (Avaliação de probabilidade e impacto)...............26Tabela 9: Matriz de Riscos Residuais Efetivos (Avaliação de probabilidade e impacto)..................29
SUMÁRIO
1 PREMISSAS E OBJETIVOS...........................................................................................................72 CONCEITOS....................................................................................................................................73 GESTÃO DE RISCOS.....................................................................................................................94 COMPONENTES DA GESTÃO DE RISCOS..............................................................................105 AMBIENTE INTERNO.................................................................................................................116 FIXAÇÃO DE OBJETIVOS..........................................................................................................137 IDENTIFICAÇÃO DE EVENTOS................................................................................................148 AVALIAÇÃO DE RISCOS...........................................................................................................159 RESPOSTAS A RISCOS...............................................................................................................2410 ATIVIDADES DE CONTROLE.................................................................................................2411 INFORMAÇÕES E COMUNICAÇÕES.....................................................................................2812 MONITORAMENTO..................................................................................................................2813 CONCLUSÃO..............................................................................................................................31REFERÊNCIAS BIBLIOGRÁFICAS..............................................................................................33APÊNDICE A – MATRIZ DE RISCOS E CONTROLES (MODELO)..........................................35APÊNDICE B – IDENTIFICAÇÃO DE RISCOS E FATORES DE RISCO..................................36APÊNDICE C – ANÁLISE DA MATRIZ DE RISCOS E CONTROLES......................................37APÊNDICE D – PLANO DE AÇÃO 5W2H....................................................................................38APÊNDICE E – MONITORAMENTO............................................................................................39APÊNDICE F – MATRIZ DE RISCOS E CONTROLES................................................................40APÊNDICE G – ESTUDO DE CASO..............................................................................................41APÊNDICE H – PRIORIZAÇÃO DOS PROCESSOS CRÍTICOS – ESTUDO DE CASO...........43APÊNDICE I – MATRIZ DE RISCOS E CONTROLES – ESTUDO DE CASO...........................44APÊNDICE J – TÉCNICA DA GRAVATA BORBOLETA– ESTUDO DE CASO......................45APÊNDICE K – PROCESSO MAPEADO – ESTUDO DE CASO.................................................46APÊNDICE L – DIAGRAMA DE VERIFICAÇÃO DE RISCOS – ESTUDO DE CASO.............47APÊNDICE M – ANÁLISE DA MATRIZ DE RISCOS E CONTROLES – ESTUDO DE CASO48APÊNDICE N – PLANO DE AÇÃO – 5W2H – ESTUDO DE CASO...........................................49APÊNDICE O – MONITORAMENTO – ESTUDO DE CASO......................................................50APÊNDICE P – PRIORIZAÇÃO DOS PROCESSOS CRÍTICOS – GABARITO.........................51APÊNDICE Q – MATRIZ DE RISCOS E CONTROLES – GABARITO......................................52APÊNDICE R – TÉCNICA DA GRAVATA BORBOLETA – GABARITO.................................53APÊNDICE S – PROCESSO MAPEADO – GABARITO...............................................................54APÊNDICE T – DIAGRAMA DE VERIFICAÇÃO DE RISCOS – GABARITO..........................55APÊNDICE U – ANÁLISE DA MATRIZ DE RISCOS E CONTROLES – GABARITO.............56APÊNDICE V – PLANO DE AÇÃO – 5W2H – GABARITO........................................................57APÊNDICE X – MONITORAMENTO – GABARITO...................................................................58
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 6
APOSTILA DE GESTÃO DE RISCOS E CONTROLES INTERNOS
1 PREMISSAS E OBJETIVOS
A Apostila de Gestão de Riscos e Controles Internos tem como premissas o alinhamento
às estratégias, a sistematização, o comprometimento dos gestores e a integração aos processos
organizacionais e à tomada de decisões.
São objetivos da Apostila de Gestão de Riscos e Controles Internos apresentar
metodologia, critérios e técnicas para a aplicação prática da Gestão de Riscos, bem como
orientar a identificação, a análise, a avaliação, o tratamento, o monitoramento e a
comunicação dos riscos institucionais.
Esta Apostila compõe o material didático do Curso de Gestão de Riscos e Controles
Internos ministrado pelo Centro de Controle Interno do Exército.
2 CONCEITOS
Para fins desta Apostila, considera-se:
Accountability: conjunto de procedimentos adotados pelas organizações públicas e
pelos indivíduos que as integram que evidenciam sua responsabilidade por decisões tomadas e
ações implementadas, incluindo a salvaguarda de recursos públicos, a imparcialidade e o
desempenho das organizações;
Governança: combinação de processos e estruturas implantadas pela alta
administração, para informar, dirigir, administrar e monitorar as atividades da organização,
com o intuito de alcançar os seus objetivos;
Governança no setor público: compreende essencialmente os mecanismos de
liderança, estratégia e controle postos em prática para avaliar, direcionar e monitorar a
atuação da gestão, com vistas à condução de políticas públicas e à prestação de serviços de
interesse da sociedade. No âmbito do Exército, a governança é exercida pelo seu Comandante,
assessorado pelo Alto Comando do Exército;
Risco: possibilidade de ocorrência de um evento que venha a ter impacto no
cumprimento dos objetivos. O risco é medido em termos de probabilidade e de impacto;
Risco inerente: risco a que uma organização está exposta sem considerar quaisquer
ações gerenciais que possam reduzir a probabilidade de sua ocorrência ou seu impacto;
Risco residual: risco a que uma organização está exposta após a implementação de
ações gerenciais para o tratamento do risco;
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 7
Evento: ocorrência ou alteração em um conjunto específico de circunstâncias capaz de
causar impacto;
Causa ou fator de risco: condição que pode dar origem à possibilidade de um evento
acontecer. Pode ter origem no ambiente interno ou externo;
Consequência do risco: resultado de um evento sobre os objetivos;
Probabilidade: quantificação da possibilidade de ocorrência do evento;
Impacto: consequência resultante da ocorrência do evento sobre os objetivos;
Incerteza: incapacidade de saber com antecedência a real probabilidade ou impacto de
eventos futuros;
Mensuração de risco: significa estimar a importância de um risco e calcular a
probabilidade e o impacto de sua ocorrência;
Gestão de riscos: processo para identificar, avaliar, administrar e controlar potenciais
eventos ou situações, para fornecer razoável certeza quanto ao alcance dos objetivos da
organização;
Apetite a risco: nível de risco que uma organização está disposta a aceitar;
Tolerância a risco: limiar de risco, a partir do qual, certos resultados das operações da
organização podem ser comprometidos. É um indicativo da sensibilidade da organização em
relação aos riscos;
Fraude: qualquer ato ilegal caracterizado por desonestidade, dissimulação ou quebra
de confiança. Este ato não implica o uso de ameaça de violência ou de força física. Fraude é
um tipo específico de risco; e
Controles internos da gestão: conjunto de regras, procedimentos, diretrizes,
protocolos, rotinas de sistemas informatizados, conferências e trâmites de documentos e
informações, entre outros, operacionalizados de forma integrada pelo Comandante e por seus
subordinados, destinados a enfrentar os riscos e fornecer segurança razoável de que, na
consecução da missão da Organização Militar, os seguintes objetivos gerais sejam alcançados:
Execução ordenada, ética, econômica, eficiente e eficaz das operações;
Cumprimento das obrigações de accountability;
Cumprimento das leis e regulamentos; e
Salvaguarda dos recursos para evitar perdas, mau uso e danos.
O estabelecimento de controles internos no âmbito da gestão pública visa
essencialmente a aumentar a probabilidade de que os objetivos e metas estabelecidos sejam
alcançados, de forma eficaz, eficiente, efetiva e econômica.
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 8
3 GESTÃO DE RISCOS
A Gestão de Riscos é um processo conduzido pelo Exército Brasileiro, desde o Comitê
de Governança, Riscos e Controles até o Gestor de Riscos, no estabelecimento de estratégias,
formuladas para identificar em toda a Instituição eventos em potencial, capazes de afetá-la, e
administrar os riscos de modo a mantê-los compatíveis com o apetite a risco estabelecido na
Política de Gestão de Riscos do Exército e possibilitar garantia razoável do cumprimento dos
seus objetivos.
A definição da Gestão de Riscos reflete certos conceitos fundamentais. A gestão de
riscos é:
Um processo contínuo e que flui através do Exército;
Conduzida por militares e civis em todos os níveis da Instituição;
Aplicada à definição das estratégias;
Formulada para identificar eventos em potencial, cuja ocorrência poderá afetar as
Organizações Militares, e para administrar os riscos de acordo com o apetite a risco do
Exército;
Capaz de propiciar garantia razoável quanto o alcance dos objetivos; e
Orientada para a realização de objetivos em uma ou mais categorias distintas, mas
dependentes.
Com base na missão ou visão estabelecida pelo Exército, a Alta Administração do
Exército (ou Comitê de Governança, Riscos e Controles) estabelece os planos principais,
seleciona as estratégias e determina o alinhamento dos objetivos nos níveis da Instituição.
Essa estrutura de gestão de riscos é orientada a fim de alcançar os objetivos de controle,
classificados em quatro categorias:
Estratégicos: atingimento das metas gerais, alinhadas com o que suportem à sua
missão;
Operacionais: utilização eficaz e eficiente dos recursos;
De Comunicação: confiabilidade de relatórios; e
De Conformidade: cumprimento de leis e regulamentos aplicáveis.
Quando se constata que a gestão de riscos é eficaz em cada uma das quatro categorias
de objetivos, isso significa que o Comandante do Exército e a Alta Administração (ou Comitê
de Governança, Riscos e Controles) terão garantia razoável de que entenderam até que ponto,
os objetivos estratégicos e operacionais estão realmente sendo alcançados, o sistema de
comunicação da Instituição é confiável e todas as leis e regulamentos cabíveis estão sendo
observados.
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 9
A Metodologia de Gestão de Riscos adotada é baseada no referencial presente na obra
“Gerenciamento de Riscos Corporativos – Estrutura Integrada” publicada pelo Committee of
Sponsoring Organizations of The Treadway Commission (COSO), conhecida por COSO
ERM.
A fim de viabilizar uma execução simples e eficiente da Gestão de Riscos, utilizaremos
uma Matriz de Riscos e Controles (Apêndice A), cujo preenchimento seguirá a ordem de
apresentação dos componentes da estrutura de Gestão de Riscos presentes no COSO ERM.
4 COMPONENTES DA GESTÃO DE RISCOS
A Gestão de Riscos está estruturada em oito componentes inter-relacionados e
integrados com o processo de gestão das Organizações Militares. Esses componentes são:
Ambiente interno: inclui, entre outros elementos, integridade, valores éticos e
competência das pessoas, maneira pela qual a gestão delega autoridade e responsabilidades,
estrutura de governança organizacional, políticas e práticas de recursos humanos. O ambiente
interno é a base para todos os outros componentes da estrutura de gestão de riscos, provendo
disciplina e prontidão para a gestão de riscos;
Fixação de objetivos: todos os níveis do Exército Brasileiro (Alta Administração,
Departamentos, Diretorias e Organizações Militares) devem ter objetivos fixados e
comunicados. A explicitação de objetivos, alinhados à missão e à visão da organização, é
necessária para permitir a identificação de eventos que potencialmente impeçam sua
consecução;
Identificação de eventos: devem ser identificados e relacionados os riscos inerentes à
própria atividade da organização, em seus diversos níveis;
Avaliação de riscos: os eventos devem ser avaliados sob a perspectiva de
probabilidade e impacto de sua ocorrência. A avaliação de riscos deve ser feita por meio de
análises qualitativas, fazendo uso de lógica intuitiva com critérios preestabelecidos e escala de
valoração para determinar o nível do risco. Os riscos devem ser avaliados quanto à sua
condição de inerentes ou residuais;
Resposta a riscos: a Organização Militar deve identificar qual estratégia seguir (evitar,
mitigar, compartilhar ou aceitar) em relação aos riscos mapeados e avaliados. A escolha da
estratégia dependerá do nível de exposição a riscos previamente estabelecido pelo Exército
Brasileiro em confronto com a avaliação que se fez do risco;
Atividades de controles internos: são as políticas e os procedimentos estabelecidos e
executados para mitigar os riscos que a organização tenha optado por tratar. Também
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 10
denominadas de procedimentos de controle, devem estar distribuídas por toda a organização,
em todos os níveis e em todas as funções. Incluem uma gama de controles internos da gestão
preventivos e detectivos, bem como a preparação prévia de planos de contingência e resposta
à materialização dos riscos;
Informação e comunicação: informações relevantes devem ser identificadas, coletadas
e comunicadas, a tempo de permitir que as pessoas cumpram suas responsabilidades, não
apenas com dados produzidos internamente, mas, também, com informações sobre eventos,
atividades e condições externas, que possibilitem o gerenciamento de riscos e a tomada de
decisão. A comunicação das informações produzidas deve atingir todos os níveis, por meio de
canais claros e abertos que permitam que a informação flua em todos os sentidos; e
Monitoramento: tem como objetivo avaliar a qualidade da gestão de riscos e dos
controles internos da gestão, por meio de atividades gerenciais contínuas e/ou avaliações
independentes, buscando assegurar que estes funcionem como previsto e que sejam
modificados apropriadamente, de acordo com mudanças nas condições que alterem o nível de
exposição a riscos.
5 AMBIENTE INTERNO
O Ambiente Interno é a base para todos os outros componentes da Gestão de Riscos, o
que propicia disciplina e estrutura. Esse ambiente influencia o modo pelo qual as estratégias e
os objetivos são estabelecidos, os negócios são estruturados, e os riscos são identificados,
avaliados e geridos. Este influencia o desempenho e o funcionamento das atividades de
controle, dos sistemas de informação e comunicação, bem como das atividades de
monitoramento.
Sendo influenciado pela história e cultura do Exército, o Ambiente Interno compreende
muitos elementos, inclusive os valores éticos da Instituição, a competência e desenvolvimento
pessoal, a filosofia da administração para a gestão de riscos, a atribuição de alçada e
responsabilidade.
Os fatores do ambiente interno compreendem a filosofia administrativa da Instituição no
que diz respeito aos riscos; o seu apetite a risco; a supervisão do Comitê de Governança,
Riscos e Controles; a integridade, os valores éticos e a competência dos militares e civis do
Exército; e a forma pela qual a Alta Administração atribui alçadas e responsabilidades, bem
como organiza e desenvolve o seu pessoal.
A filosofia de gestão de riscos do Exército é representada pelo conjunto de convicções e
atitudes compartilhadas que caracterizam a forma pela qual a Instituição considera o risco em
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 11
tudo aquilo que faz, do desenvolvimento e da implementação de estratégias às suas atividades
do dia a dia. Sua filosofia de gestão de riscos reflete em seus valores, influencia a sua cultura
e seu estilo operacional, bem como afeta a forma que os componentes de gestão de riscos são
aplicados inclusive como os riscos são identificados, os tipos de riscos aceitáveis e a forma
pela qual são administrados.
O apetite a risco refere-se ao nível de risco que o Exército dispõe-se a aceitar na busca
de valor. O apetite a risco reflete na filosofia de gestão de riscos e, por sua vez, influencia a
cultura e o estilo operacional.
O Comitê de Governança, Riscos e Controles do Exército representa uma parte crítica
do ambiente interno e é capaz de influenciar os seus elementos de forma significativa. A
despeito do fato que, historicamente, uma instituição não tenha incorrido em prejuízos e nem
se exponha muito a riscos, os membros do Comitê não devem sucumbir à noção mítica de que
eventos que trazem sérias consequências adversas não vão ocorrer no Exército. Eles
reconhecem que, embora a Instituição possa ter uma estratégia perfeita, pessoas competentes,
processos íntegros e tecnologia confiável, ela, como qualquer outra instituição, é vulnerável a
risco e necessita de uma gestão de riscos eficaz.
A estratégia e os objetivos do Exército e o modo pelo qual são implementados baseiam-
se em preferências, julgamentos de valor e estilos gerenciais. A integridade e o compromisso
da Alta Administração com valores éticos influenciam essas preferências e esses julgamentos,
os quais são traduzidos em normas de comportamento. A boa reputação da Instituição pode
ser tão valiosa que seus padrões de comportamento devem estender-se além do mero
cumprimento de normas.
A competência profissional dos militares e civis do Exército reflete no conhecimento e
nas habilidades necessárias à execução de tarefas designadas. A Alta Administração do
Exército decide quão bem essas tarefas necessitam ser executadas, ponderando as estratégias e
os objetivos da Instituição, bem como os planos para a sua implementação e realização. A
Alta Administração do Exército estipula os níveis de competência para determinados
trabalhos e traduz esses níveis em habilidades e conhecimentos necessários, que por sua vez,
podem depender do grau de inteligência, treinamento e experiência individual. Os fatores
considerados no desenvolvimento dos níveis de conhecimentos e habilidades incluem a
natureza e o grau de julgamento utilizado em uma função específica.
A estrutura organizacional do Exército provê o arcabouço para planejar, executar,
controlar e monitorar as suas atividades. A estrutura inclui a definição de áreas fundamentais
de autoridade e responsabilidade, bem como a definição de linhas apropriadas de
comunicação.
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 12
A atribuição de alçada e responsabilidade inclui até que ponto pessoas e equipes estão
autorizadas e são incentivadas a adotar sua própria iniciativa ao abordar questões, bem como a
solucionar problemas e os limites dessa autoridade. A delegação de autoridade significa
passar o controle central de determinadas decisões aos escalões inferiores – para o pessoal que
está mais próximo das atividades cotidianas.
O desafio crucial é delegar apenas até o grau necessário ao alcance dos objetivos, a fim
de assegurar que o processo decisório esteja embasado em práticas sadias de identificação e
avaliação de riscos, inclusive o dimensionamento de riscos e a comparação entre o potencial
de prejuízo com os ganhos na determinação de quais riscos aceitar e de como serão
administrados.
Outro desafio é assegurar que todo o pessoal entenda os objetivos da Instituição. É
essencial que as pessoas entendam de que forma suas ações se inter-relacionam e contribuem
para a realização dos objetivos.
6 FIXAÇÃO DE OBJETIVOS
A fixação de objetivos é uma precondição à identificação de eventos, à avaliação de
riscos e às respostas a riscos. É necessário que os objetivos existam para que a Organização
Militar possa identificar e avaliar os riscos quanto a sua realização, bem como adotar as
medidas necessárias para administrá-los.
A definição dos processos críticos, que mais impactam no atingimento dos objetivos da
OM, poderá ser feita estabelecendo uma correlação entre os processos e os objetivos da OM.
O resultado será uma matriz que prioriza os processos mais críticos a serem analisados,
conforme Tabela 1.
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 13
Tabela 1: Priorização dos Processos Críticos
Objetivos
Total darelação
Atender asoperações
militares comprodutos eserviços
Contrataçãocom preço
competitivo
Contrataçãocom qualidadeque atenda os
requisitostécnicos
Recebimentodos produtose serviços emtempo hábil
Contrataçãoem
conformidadecom leis e
regulamentos
Processos
Oficialização da demanda 5 3 5 5 5 23
Planejamento dacontratação
3 1 3 3 3 13
Seleção do fornecedor 5 5 5 1 5 21
Gestão do contrato 3 1 5 5 3 17
Legenda:
Relação Processo x Objetivo PontosForte 5Média 3Fraca 1
Sem relação -
Fonte: Adaptado de ENAP (2016)
Após a priorização dos processos mais críticos a serem analisados, devem-se definir os
objetivos do processo em análise. Exemplo:
Processo: Oficialização da demanda
Objetivos:
Solicitar a contratação de produtos e/ou serviços para atender uma necessidade da
organização;
Descrever adequadamente o objeto da contratação;
Definir o prazo para o recebimento dos produtos e/ou prestação dos serviços em
tempo hábil para utilização dos mesmos;
Realizar pesquisa de preço; e
Solicitar a contratação em conformidade com leis e regulamentos.
7 IDENTIFICAÇÃO DE EVENTOS
Neste componente, a OM identifica os eventos em potencial que, se ocorrerem, afetarão
a organização, por possuírem efeitos adversos na sua capacidade de implementar
adequadamente a estratégia e alcançar os objetivos. Estes eventos representam riscos que
exigem avaliação e resposta da OM. A Figura 1 apresenta uma visão ampla sobre os conceitos
de risco, evento, causa, consequência, probabilidade e impacto.
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 14
Figura 1: Esquema do Risco
Fonte: CCIEx (2016)
Todo processo tem uma razão de ser que deve estar intimamente relacionado aos
objetivos estratégicos. Definimos isto como objetivos do processo que precisam ser
conhecidos. Com base nestes objetivos, identificamos os riscos inerentes ao processo, isto é, o
que pode acontecer que impacte no alcance dos objetivos do processo, conforme exemplo da
Tabela 2.
Tabela 2: Identificação dos Riscos Inerentes
Objetivos do processo Nº Obj Riscos inerentes aos objetivosNº
Risco
Solicitar a contratação de produtos e/ouserviços para atender uma necessidade daorganização
O1Não atendimento da necessidade da
organização em produtos e/ou serviçosR1
Realizar pesquisa de preço O2 Contratação com preço distorcido R2
Descrever adequadamente o objeto dacontratação
O3Contratação com qualidade inferior que não
atende os requisitos técnicosR3
Definir o prazo para o recebimento dosprodutos e/ou prestação dos serviços emtempo hábil para utilização dos mesmos
O4 Atraso na contratação R4
Solicitar a contratação em conformidadecom leis e regulamentos
O5Solicitação da contratação em
desconformidade com leis e regulamentosR5
Fonte: CCIEx (2017)
A utilização de numeradores nos objetivos, riscos, fatores de risco (causas), controles e
planos de contingências facilitará a gestão de riscos da OM.
8 AVALIAÇÃO DE RISCOS
Uma infinidade de causas internas e externas (fatores de risco) impulsiona os riscos que
afetam a implementação da estratégia e o cumprimento dos objetivos. Como parte da gestão
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 15
de riscos, a OM deve reconhecer a importância de compreender essas causas e o risco que
pode emanar delas.
A OM pode optar pela Técnica da gravata borboleta (Figura 2), para entender quais são
os fatores de risco que influenciam na concretização de cada risco e as consequências
decorrentes.
Figura 2: Técnica da gravata borboleta
Fonte: CCIEx (2016)
Os fatores de risco são compostos pela vulnerabilidade existente em uma determinada
Fonte de Risco.
A Fonte de Risco é um elemento que, individualmente ou combinado, tem o potencial
intrínseco para dar origem ao risco:
Pessoas – que podem não estar capacitadas, vir a cometer erro não-intencional ou
fraude;
Processos – que podem apresentar problemas de modelagem, transação, conformidade,
controle ou técnica apropriada;
Sistemas de gestão – que podem apresentar problemas de padronização e de inter-
relacionamento com outras atividades;
Infraestruturas física e organizacional – que podem ser departamentalizadas ou
descentralizadas;
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 16
Tecnologia de produto ou de produção – equipamentos; sistemas informatizados e
confiabilidade da informação; e
Eventos externos – que não são gerenciáveis.
A OM poderá criar um portfólio de fatores de riscos que facilitará na análise de causa e
efeito da relação entre os fatores de riscos e os riscos de um determinado processo. A Tabela
3 ilustra um exemplo de portfólio de fatores de risco.
Tabela 3: Portfólio de Fatores de Risco
FATORES DE RISCO (CAUSAS)Nº
FONTE VULNERABILIDADE
PESSOAS
PESSOAL SEM CAPACITAÇÃO FR1
PESSOAL COM PERFIL INADEQUADO PARA EXECUÇÃO DOPROCESSO
FR2
PESSOAL EM NÚMERO INSUFICIENTE FR3
PESSOAL ARDILOSO FR4
PESSOAL DESMOTIVADO FR5
PROCESSOS
FLUXO DO PROCESSO MAL CONCEBIDO FR6
AUSÊNCIA DE PROCEDIMENTOS FORMALIZADOS FR7
AUSÊNCIA DE SEGREGAÇÃO DE FUNÇÕES FR8
SISTEMASINFORMATIZADOS
AUSÊNCIA DE SISTEMA PARA GESTÃO DO PROCESSO FR9
AUSÊNCIA DE INTEGRAÇÃO COM OUTROS SISTEMAS FR10
PROBLEMA NA REDE DE DADOS FR11
ERRO NA FÓRMULA DAS PLANILHAS FR12
AUSÊNCIA DE MANUAIS DE OPERAÇÃO FR13
AUSÊNCIA DE BACKUPS FR14
ESTRUTURAORGANIZACIONAL
DEFICIÊNCIAS NOS FLUXOS DE INFORMAÇÃO E COMUNICAÇÃO FR15
FALTA DE CLAREZA QUANTO ÀS FUNÇÕES ERESPONSABILIDADES
FR16
CENTRALIZAÇÃO DE RESPONSABILIDADES FR17
DELEGAÇÕES EXORBITANTES FR18
ESTRUTURA FÍSICA
LOCALIZAÇÃO INADEQUADA FR19
INSTALAÇÕES OU LEIAUTE INADEQUADOS FR20
INEXISTÊNCIA DE CONTROLES DE ACESSO FÍSICO FR21
TECNOLOGIA DEPRODUTO OU DE
PRODUÇÃO
TÉCNICA DE PRODUÇÃO ULTRAPASSADA/PRODUTO OBSOLETO FR22
INEXISTÊNCIA DE INVESTIMENTOS EM PESQUISA EDESENVOLVIMENTO
FR23
TECNOLOGIA SEM PROTEÇÃO DE PATENTES FR24
PROCESSO PRODUTIVO (TECNOLOGIA SEM PROTEÇÃO CONTRAESPIONAGEM)
FR25
Fonte: CCIEx (2018)
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 17
A Figura 3 apresenta um exemplo da Técnica da gravata borboleta, onde se sinaliza a
relação Fator de Risco, Risco e Consequência.
Figura 3: Exemplo da Técnica da gravata borboleta
Fonte: CCIEx (2017)
A OM poderá utilizar a técnica de análise de fluxo de processo, que reúne as entradas,
as tarefas, as responsabilidades e as saídas que se combinam para formar um processo. Devem
ser considerados os fatores de risco internos e externos (red flags), que afetam as entradas ou
as atividades em um processo, ao se identificar os riscos (redflags) que podem afetar o
cumprimento dos objetivos deste processo, conforme ilustrado no Apêndice B.
Entende-se por riscos inerentes, a avaliação dos riscos sem considerar a execução de
controles para mitigá-los. Dentro desse conceito é necessário elaborar a avaliação de riscos
inerentes (probabilidade x impacto), cujo resultado será o grau de criticidade do risco
(magnitude) consolidado na Matriz de Riscos e Controles.
A avaliação de riscos visa auxiliar na definição de prioridades e opções de tratamento
aos riscos identificados. A metodologia a ser utilizada pela OM para a avaliação de riscos
possui dois parâmetros claros a serem estudados, conforme ilustrado na Figura 4:
Saber qual a chance, a probabilidade, dos riscos virem a acontecer, frente à condição
existente de cada processo e área de negócio; e
Calcular o impacto, as consequências para o processo impactado.
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 18
Figura 4: Avaliação de Riscos (Probabilidade e Impacto)
Fonte: CCIEx (2017)
O impacto sobre os objetivos de um processo poderá acontecer em uma ou mais
dimensões, tais como: prazo, orçamentário-financeiro, qualidade, escopo, imagem ou
reputação, etc.
Para determinar os níveis de risco, é preciso definir escalas para estimar a probabilidade
e o impacto, bem como estabelecer quando a combinação desses dois fatores representa um
risco baixo, médio, alto, etc.
As Tabelas 4 e 5 exemplificam as escalas qualitativas que auxiliam na estimativa de
probabilidades e impactos de eventos.
Tabela 4: Avaliação qualitativa da Probabilidade
Descritor Descrição Nível
Muito alta
Evento se reproduz muitas vezes, se repete seguidamente, de maneiraassídua, numerosa e, não raro, de modo acelerado. Interfere de modoclaro no ritmo das atividades, sendo evidente para os que conhecem oprocesso.
5
Alta
Evento usual, corriqueiro. Devido à sua ocorrência habitual ouconhecida em uma dezena ou mais de casos, aproximadamente, seuhistórico é amplamente conhecido por parte de gestores e operadores doprocesso.
4
MédiaEvento esperado, que se reproduz com frequência reduzida, porémconstante. Seu histórico de ocorrência é de conhecimento da maioria dosgestores e operadores do processo.
3
BaixaEvento casual, inesperado. Muito embora raro, há histórico conhecido desua de ocorrência por parte dos principais gestores e operadores doprocesso.
2
Muitobaixa
Evento extraordinário para os padrões conhecidos da gestão e operaçãodo processo. Embora possa assumir dimensão estratégica para amanutenção do processo, não há histórico disponível de sua ocorrência.
1
Fonte: CCIEx (2016)
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 19
Tabela 5: Avaliação qualitativa do Impacto
Descritor Descrição Nível
Muito altoInterrupção abrupta de operações, atividades, projetos, programas ouprocessos da organização, impactando fortemente outros processos,causando impactos de dificílima reversão nos objetivos.
5
AltoInterrupção de operações, atividades, projetos, programas ou processosda organização, causando impactos de reversão muito difícil nosobjetivos.
4
MédioInterrupção de operações ou atividades da organização, de projetos,programas ou processos, causando impactos significativos nos objetivos,porém recuperáveis.
3
BaixoDegradação de operações, atividades, projetos, programas ou processosda organização, causando impactos pequenos nos objetivos.
2
Muitobaixo
Degradação de operações, atividades, projetos, programas ou processosda organização, porém causando impactos mínimos nos objetivos (detempo, prazo, custo, quantidade, qualidade, acesso, escopo, imagem,etc.) relacionados ao atendimento de metas, padrões ou à capacidade deentrega de produtos/serviços às partes interessadas (clientesinternos/externos, beneficiários).
1
Fonte: CCIEx (2016)
A Tabela 6 apresenta um extrato da Matriz de Riscos e Controles, definindo níveis de
risco (magnitude) decorrentes da combinação dos fatores probabilidade e impacto.
Tabela 6: Extrato da Matriz de Riscos e Controles (Avaliação de probabilidade e impacto)
Objetivos do processoNºObj
Riscos inerentes aosobjetivos
NºRisco
P I P x I Magnitude
Solicitar a contratação deprodutos e/ou serviços paraatender uma necessidade daorganização
O1Não atendimento danecessidade da organizaçãoem produtos e/ou serviços
R1 4 5 20 Extremo
Realizar pesquisa de preço O2Contratação com preçodistorcido R2 5 4 20 Extremo
Descrever adequadamente oobjeto da contratação O3
Contratação com qualidadeinferior que não atende osrequisitos técnicos
R3 5 5 25 Extremo
Definir o prazo para orecebimento dos produtose/ou prestação dos serviçosem tempo hábil parautilização dos mesmos
O4 Atraso na contratação R4 4 4 16 Extremo
Solicitar a contratação emconformidade com leis eregulamentos
O5Solicitação da contratação emdesconformidade com leis eregulamentos
R5 3 4 12 Alto
Escala: Baixo: 1 e 2; Médio: de 3 a 6; Alto: de 8 a 12; Extremo: de 15 a 25.
Fonte: CCIEx (2017)
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 20
Com o objetivo de visualizar e, ao mesmo tempo, implementar uma forma de
tratamento de cada risco, o resultado da avaliação dos riscos será apresentado em um mapa de
riscos, chamado de Diagrama de Verificação de Riscos (DVR) permitindo o acompanhamento
da mitigação ou elevação dos riscos.
O Diagrama de Verificação de Riscos (Figura 5) demonstra os pontos de cruzamento da
probabilidade de ocorrência e do impacto dos riscos. Desta forma, pela divisão do diagrama
em quadrantes, pode-se avaliar a criticidade dos riscos. Quanto maior for a probabilidade e o
impacto de um risco, maior será seu nível de criticidade.
Figura 5: Diagrama de Verificação de Riscos
Fonte: CCIEx (2017)
Quanto à criticidade, os riscos possuem as seguintes características:
Risco no quadrante vermelho: risco inaceitável, que possui alta probabilidade de
ocorrência e poderá resultar em impacto extremamente severo; caso ocorra, exige tratamento
imediato, colocando-se em execução um plano de ação composto por controle preventivo,
para eliminar suas causas ou reduzir sua frequência; controle detectível e plano de
contingência para reduzir sua severidade;
Risco no quadrante laranja: pode ser tanto um risco provável, que possui alta
probabilidade de ocorrência e baixo impacto na consecução dos objetivos; bem como um
risco inesperado, que possui baixa probabilidade de ocorrência e alto impacto na consecução
dos objetivos. A estas ameaças, deve-se possuir respostas rápidas ao serem detectadas,
portanto, devem estar planejadas e testadas em um plano de contingência, emergência,
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 21
continuidade de negócios, além de ações preventivas. Diferem-se dos riscos do quadrante
vermelho, por terem ações de tratamento implementadas com mais planejamento e tempo.
São eventos que devem ser constantemente monitorados;
Risco no quadrante amarelo: risco que deve ser quantificado e monitorado de forma
rotineira e sistemática, porque suas consequências são gerenciáveis, podendo também possuir
planos de contingência; e
Risco no quadrante verde: risco que representa pequeno problema e causa pouco
prejuízo, portanto controlável.
A Figura 6 apresenta um exemplo de avaliação de riscos inerentes, representada num
Diagrama de Verificação de Riscos Inerentes.
Figura 6: Diagrama de Verificação de Riscos Inerentes
Fonte: CCIEx (2017)
O desafio para os Gestores de Risco é reduzir a criticidade do risco em termos de
probabilidade e impacto, colocando-o num nível aceitável.
Após a finalização da etapa de avaliação dos riscos, inicia-se o processo de avaliação do
nível de riscos dos processos, projetos, áreas ou organizações.
O Nível de Risco é um índice que deve ser calculado sempre que houver a avaliação de
riscos, possibilitando mensurar o nível de criticidade dos processos, projetos, áreas ou
organizações analisados, visando facilitar o monitoramento e acompanhamento da evolução
dos riscos. O índice é calculado pela multiplicação da média dos graus de probabilidade com
a média dos graus de impacto dos riscos presentes nos processos, projetos, áreas ou
organizações.
O Nível de Risco pode ser classificado em:
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 22
Extremo – processos, projetos, áreas ou unidades que tem alto grau de risco e poderão
resultar em impacto extremamente severo. Exigem implantação imediata das estratégias de
prevenção e proteção, ou seja, ação imediata;
Alto – processos, projetos, áreas ou unidades que devem receber tratamento em médio
ou curto prazo. Possuem baixo grau de risco e elevados impactos. São processos, projetos,
áreas ou unidades que devem ser constantemente monitorados;
Médio – processos, projetos, áreas ou unidades com alto grau de risco, mas que
causam consequências gerenciáveis à organização. Esses processos, projetos, áreas ou
unidades devem ser monitorados de forma rotineira ou sistemática; e
Baixo – processos, projetos, áreas ou unidades que estão na zona de conforto, devendo
ser gerenciados.
A Tabela 7 apresenta um exemplo de avaliação de nível de risco dos processos.
Tabela 7: Avaliação de Nível de Risco dos Processos (Riscos Inerentes)
Objetivos do processoNºObj
Riscos inerentes aosobjetivos
NºRisco
P I P x I Magnitude
Solicitar a contratação deprodutos e/ou serviços paraatender uma necessidade daorganização
O1
Não atendimento danecessidade daorganização emprodutos e/ou serviços
R1 4 5 20 Extremo
Realizar pesquisa de preço O2Contratação com preçodistorcido R2 5 4 20 Extremo
Descrever adequadamente oobjeto da contratação O3
Contratação comqualidade inferior que nãoatende os requisitostécnicos
R3 5 5 25 Extremo
Definir o prazo para orecebimento dos produtose/ou prestação dos serviçosem tempo hábil parautilização dos mesmos
O4 Atraso na contratação R4 4 4 16 Extremo
Solicitar a contratação emconformidade com leis eregulamentos
O5Solicitação da contrataçãoem desconformidade comleis e regulamentos
R5 3 4 12 Alto
Escala: Baixo – de 1 a 2,9; Médio – de 3 a7,9; Alto – de 8 a 14,9; Extremo – de 15 a25.
NÍVEL DERISCO DOPROCESSO
MÉDIA 18,6 Extremo
Fonte: CCIEx (2017)
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 23
9 RESPOSTAS A RISCOS
Após a finalização do processo relativo ao componente de Avaliação de Riscos, é
iniciado o processo do componente Respostas a Riscos.
A OM deve identificar qual estratégia seguir (evitar, transferir, aceitar ou tratar) em
relação aos riscos mapeados e avaliados. A escolha da estratégia dependerá do nível de
exposição a riscos previamente estabelecido pela organização em confronto com a avaliação
que se fez do risco.
A priorização deve estar embasada no Diagrama de Verificação de Riscos. O risco no
quadrante vermelho deve receber prioridade no tratamento (Figura 7).
Figura 7:Priorização do Tratamento dos Riscos Inerentes
Fonte: CCIEx (2017)
10 ATIVIDADES DE CONTROLE
Atividades de controles internos são estabelecidas e executadas quando a OM tenha
optado pela estratégia da mitigação no componente Respostas a risco.
Incluem uma gama de controles internos da gestão preventivos e detectivos, bem como
a preparação prévia de planos de contingência e resposta à materialização dos riscos.
São exemplos de controles internos da gestão: alçadas, autorizações, conciliações,
revisões de desempenho, segurança física, segregação de função, normas, procedimentos e
sistemas informatizados.
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 24
A fim de possibilitar ao gestor a definição dos controles a serem implementados visando
a mitigação dos riscos do processo, faz necessário alinhar os controles aos fatores de riscos e
aos riscos.
O entendimento sobre o fluxo das atividades do processo e desenho dos controles,
classificados como preventivos e detectivos permite avaliar se o dimensionamento destes
controles atendem ou não o objetivo esperado.
Para auxiliar esta avaliação e incluir os controles e planos de contingência na Matriz de
Riscos e Controles, utiliza-se as seguintes informações:
Controle: é uma ação tomada para certificar-se de que algo se cumpra. Os controles
também são meios usados para verificar que certa ação é eficiente ao seu propósito. Exemplo:
conferência de entradas manuais de dados no sistema;
Tipo de controle: manual ou automático (sem intervenção humana);
Objetivo do controle: atingimento das metas; utilização eficiente e eficaz dos recursos;
confiabilidade das informações e cumprimento de normativos aplicáveis. Exemplo: garantir
que toda e qualquer informação inserida no sistema seja íntegra e completa;
Periodicidade do uso do controle: diário, quinzenal, mensal, etc; e
Categoria do controle:
Preventivo – desenhado para prevenir eventos indesejáveis. Reduz a probabilidade
dos fatores de risco virem a contribuir para a concretização dos riscos; e
Detectivo – desenhado para detectar eventos indesejados. Detecta a manifestação/
ocorrência de um risco, sendo necessário um plano de contingência para mitigar o impacto
nos objetivos do processo.
O esquema abaixo (Figura 8) apresenta a localização dos controles preventivos,
controles detectivos e planos de contingência em relação à causa, ao evento e às
consequências.
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 25
Figura 8: Controles Preventivos e Detectivos
Fonte: CCIEx (2017)
A fim de garantir que os possíveis riscos (alinhados a cada objetivo do processo) foram
identificados, analisados e avaliados e que os controles preventivos (necessários para mitigar
a probabilidade dos fatores de risco virem a contribuir para a concretização dos riscos) e os
planos de contingência (associados a controles detectivos para mitigar o impacto nos
objetivos do processo) foram elaborados e implementados, faz-se necessário realizar uma
análise na Matriz de Riscos e Controles (Apêndice C).
Os itens abaixo são alguns exemplos de conclusão da análise na Matriz de Riscos e
Controles:
O risco ‘R1 – Não atender uma necessidade da organização com produtos e/ou
serviços’ foi avaliado como extremo (25 pontos). Entretanto, não há controle preventivo para
mitigar a alta probabilidade do fator de risco ‘FR 1 – Ausência de justificativa da necessidade
de contratação’ em contribuir para a concretização do risco R1; bem como, não há um plano
de contingência associado ao controle detectivo ‘C5 - Assessoria Jurídica verifica a existência
do Documento de Oficialização da Demanda (Requisição)’ que possa dar início a mitigação
do impacto muito alto de se gerar desperdício de recursos públicos, quando da constatação da
ocorrência do risco pelo controle C5;
A estratégia de tratamento escolhida para responder ao o risco ‘R4 – Atraso na
aquisição’ foi equivocada, pois não se pode aceitar um risco extremo; e
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 26
Todo objetivo incorre, pelo menos, em um risco. Portanto, verifica-se que não foi
identificado nenhum risco para o objetivo ‘O5 – Aquisição em conformidade com leis e
regulamentos’.
O resultado desta análise resultará em recomendações de melhorias na Gestão de
Riscos, as quais poderão ser implementadas por meio de Planos de Ação (Apêndice D).
A seguir, estão listados algumas recomendações de melhorias na Gestão de Riscos:
Elaborar e implementar um controle preventivo e um plano de contingência associado
ao controle detectivo para mitigar o risco R1;
Selecionar outra estratégia para dar uma resposta ao risco R4; e
Identificar e avaliar os riscos que poderão impactar o objetivo O5.
Após a execução dos Planos de Ação que permitiram a implementação de melhorias na
Gestão de Riscos, faz-se necessário reavaliar os riscos a fim de recalcular a probabilidade e o
impacto dos riscos inerentes, sob a ótica de que controles internos foram implementados a fim
de mitigá-los.
Neste momento, os riscos passam a ser considerados como riscos residuais estimados.
Ou seja, após a implementação de controles internos e reavaliação dos riscos, o gestor estima
um novo grau de criticidade para os riscos, bem como para o processo.
A Tabela 8 apresenta um extrato da Matriz de Riscos e Controles, definindo níveis de
risco após a avaliação dos riscos residuais estimados.
Tabela 8: Matriz de Riscos Residuais Estimados (Avaliação de probabilidade e impacto)
Objetivos do processoNºObj
Riscos inerentes aos objetivos Nº Risco P I P x I Magnitude
Solicitar a contratação deprodutos e/ou serviços paraatender uma necessidade daorganização
O1Não atendimento danecessidade da organização emprodutos e/ou serviços
R1 2 2 4 Médio
Realizar pesquisa de preço O2Contratação com preçodistorcido
R2 2 2 4 Médio
Descrever adequadamente oobjeto da contratação
O3Contratação com qualidadeinferior que não atende osrequisitos técnicos
R3 2 3 6 Médio
Definir o prazo para orecebimento dos produtos e/ouprestação dos serviços em tempohábil para utilização dos mesmos
O4 Atraso na contratação R4 2 2 4 Médio
Solicitar a contratação emconformidade com leis eregulamentos
O5Solicitação da contratação emdesconformidade com leis eregulamentos
R5 1 1 1 Baixo
Escala: Baixo – de 1 a 2,9; Médio - de 3 a 7,9;Alto - de 8 a 14,9; Extremo - de 15 a 25.
NÍVEL DE RISCODO PROCESSO
MÉDIA 3,8 Médio
Fonte: CCIEx (2017)
A Figura 9 apresenta os riscos residuais estimados após a reavaliação.
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 27
Figura 9: Riscos Residuais Estimados
Fonte: CCIEx (2017)
11 INFORMAÇÕES E COMUNICAÇÕES
As informações e comunicações estabelecem o processo e a estratégia de comunicação
com as partes interessadas. É uma fase que permeia todo o processo de gestão e análise de
riscos. É estratégica, pois sem a comunicação, não existe processo de gestão de riscos, tendo
em vista não sensibilizar os usuários do processo.
É necessário realizar palestras e treinamentos buscando a sensibilização e a capacitação
dos gestores envolvidos no processo, pois a percepção do risco pode variar em função de
diferentes conceitos e necessidades, além de questões de interesses das partes envolvidas, por
estarem relacionados ao risco ou aos assuntos em discussão.
A comunicação eficaz é importante para assegurar que os responsáveis pela
implementação dos futuros planos de ação compreendam as bases sobre as quais as decisões
são tomadas e a necessidade de determinadas ações.
A OM deve utilizar sua área de comunicação corporativa para operacionalizar o
processo de comunicação dos riscos corporativos.
12 MONITORAMENTO
O monitoramento deve ser planejado como parte do processo e deve envolver a
checagem ou vigilância regulares. Pode ser periódico ou acontecer em resposta a um fato
específico.
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 28
De forma clara e objetiva o monitoramento envolve três procedimentos:
O primeiro procedimento é verificar se o Plano de Ação proposto foi executado. Para
isso devemos utilizar os indicadores: Executado, Em Execução e Não Executado. Também
devem ser acompanhados os resultados das ações e medidas propostas. Devem ser
acompanhadas para saber se seus objetivos foram atingidos e, se não foram, quais as
dificuldades encontradas e as ações corretivas (Apêndice D); e
O segundo procedimento é acompanhar a evolução das condições dos riscos
identificados e analisados. Neste caso, deve-se verificar se as condições listadas no diagrama
de causa e efeito sofreram mudanças e/ou alterações do ambiente.
O terceiro procedimento tem como objetivo possibilitar ao gestor o conhecimento do
processo, no que tange à eficácia, ineficácia ou inexistência dos controles para que seja
realizada uma análise dos riscos residuais estimados (Apêndice E).
Esse entendimento sobre o fluxo das atividades e desenho dos controles, classificados
como preventivos ou detectivos, permite avaliar se o dimensionamento destes controles
atendem ou não o objetivo esperado.
O resultado é a verificação da eficácia do controle, medida em porcentagem de vezes
que o controle mitigou o risco. Exemplo: Para um determinado processo, foi implementado
um controle interno visando mitigar a probabilidade de manifestação de um risco (controle
preventivo). Ao realizar a avaliação da eficácia do controle, foi verificado que de cada 10
vezes que o processo foi executado, o controle preveniu que o risco se manifestasse em três
vezes, ou seja, o controle foi eficaz em apenas 30%.
O parecer é a descrição da eficácia do controle, comparando o resultado da avaliação da
eficácia do controle com o critério estabelecido. Exemplo: Foi estabelecido que o critério de
eficácia para que os controles sejam considerados eficazes é de 90%. Desta forma, de cada 10
vezes que o processo for executado, o controle deverá preveni que o risco se manifeste em, no
mínimo, nove vezes. Portanto, o controle com resultado de 30% obterá o parecer de
‘ineficaz’.
Após o monitoramento do controle, faz-se necessário reavaliar os riscos, ou seja,
recalcular a probabilidade e o impacto dos riscos residuais estimados. As notas de
probabilidade e impacto devem ser revistas neste momento, de forma coerente com a
avaliação realizada sobre os controles.
Neste momento, os riscos passam a ser considerados como riscos residuais efetivos. Ou
seja, após a avaliação dos controles e a reavaliação dos riscos, o gestor passa a verificar o real
grau de criticidade dos riscos, bem como do processo.
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 29
Este processo de monitoramento é de suma importância e deve ser acompanhado
diretamente pelo gestor de riscos.
A Tabela 9 apresenta um extrato da Matriz de Riscos e Controles, definindo níveis de
risco após a avaliação dos riscos residuais estimados.
Tabela 9: Matriz de Riscos Residuais Efetivos (Avaliação de probabilidade e impacto)
Objetivos do processoNºObj
Riscos inerentes aos objetivosNº
RiscoP I P x I Magnitude
Solicitar a contratação deprodutos e/ou serviços paraatender uma necessidade daorganização
O1Não atendimento da necessidadeda organização em produtos e/ouserviços
R1 2 5 10 Alto
Realizar pesquisa de preço O2 Contratação com preço distorcido R2 5 4 20 Extremo
Descrever adequadamente oobjeto da contratação
O3Contratação com qualidadeinferior que não atende osrequisitos técnicos
R3 2 3 6 Médio
Definir o prazo para orecebimento dos produtos e/ouprestação dos serviços em tempohábil para utilização dos mesmos
O4 Atraso na contratação R4 2 2 4 Médio
Solicitar a contratação emconformidade com leis eregulamentos
O5Solicitação da contratação emdesconformidade com leis eregulamentos
R5 3 1 3 Médio
Escala: Baixo – de 1 a 2,9; Médio - de 3 a 7,9;Alto - de 8 a 14,9; Extremo - de 15 a 25.
NÍVEL DE RISCO DOPROCESSO
MÉDIA 8,6 Alto
Fonte: CCIEx (2017)
A Figura 10 apresenta os riscos residuais estimados após a reavaliação.
Figura 10: Diagrama de Verificação de Riscos Residuais Efetivos
Fonte: CCIEx (2017)
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 30
Importante frisar que quanto maior for o monitoramento, menor será a exposição a
riscos (Figura 11).
Figura 11: Monitoramento
Fonte: Adaptado de BRASILIANO (2016)
13 CONCLUSÃO
Apresentamos nesta publicação metodologia, critérios e técnicas para a execução do
Processo de Gestão de Riscos numa organização, independente de seu porte ou autonomia
administrativa.
A metodologia apresentada foi formulada com base no referencial presente na obra
“Gerenciamento de Riscos Corporativos – Estrutura Integrada” publicada pelo Committee of
Sponsoring Organizations of The Treadway Commission (COSO).
Nesta metodologia, dividimos a Estrutura da Gestão de Riscos em oito componentes
inter-relacionados e integrados com o processo de gestão das Organizações Militares, a saber:
Ambiente Interno, Fixação de Objetivos, Identificação de Eventos, Avaliação de Riscos,
Resposta a Riscos, Atividades de Controles Internos, Informação e Comunicação, além do
Monitoramento.
A Alta Administração da organização deve valer-se do Planejamento Estratégico e/ou
Plano de Gestão para fixar os objetivos do processo, cuja Gestão de Riscos será executada,
alinhando-os aos objetivos estratégicos da sua organização. Esse alinhamento é
imprescindível para que os processos que dão suporte a organização, possam efetivamente
contribuir para o atingimento das metas e objetivos traçados no seu planejamento estratégico.
Cabe ressaltar que cada objetivo do processo incorre em, pelo menos, um risco.
Entretanto, cada risco pode ser concretizado/manifestado pela influência de um ou mais
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 31
fatores de risco (causas), bem como gerar uma ou mais consequências nos objetivos do
processo. Portanto, recomenda-se a utilização da Técnica da gravata borboleta para realizar a
análise do risco.
Os riscos sofrem evolução ao longo do Processo de Gestão de Riscos, a medida que são
analisados. Na primeira análise, isenta de qualquer ação de controle, são considerados riscos
inerentes.
Após o estudo da melhor estratégia de tratamento para dar uma resposta ao risco,
desenha-se controles preventivos, controles detectivos e planos de ação, quando a estratégia
escolhida for a mitigação do risco. Neste momento, vislumbra-se um novo grau de criticidade
do risco, passando a chamar-se de risco residual estimado.
Contudo, no Processo de Gestão de Riscos, faz-se necessário monitorar a
implementação dos diversos planos de ação propostos, nos quais incluem-se a elaboração,
aperfeiçoamento e implementação dos controles internos e dos planos de contingência. Dessa
forma, o gestor reavalia os riscos, com base nas ações de monitoramento, auferindo um grau
de criticidade mais próximo da realizada. Nesse ponto, o risco passa a ser denominado de
risco residual efetivo.
Diante da conclusão da execução das oito etapas do Processo de Gestão de Riscos, o
gestor possuirá informações mais precisas para a tomada de decisão.
Portanto, verifica-se a importância para o gestor integrar a Gestão de Riscos em todos
os níveis da Gestão dos Processos Organizacionais, bem como da Gestão de Projetos.
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 32
REFERÊNCIAS BIBLIOGRÁFICAS
BRASIL. Ministério da Defesa. Comando do Exército. Portaria nº 813-Cmt Ex, de 28 de setembro de 2012: aprova as Normas para a Realização das Atividades de Auditoria e Fiscalização pelo Controle Interno do Comando do Exército (EB10-N-13.003). Boletim do Exército. Brasília, DF, 2012.
_____. Ministério da Defesa. Comando do Exército. Portaria nº 018-Cmt Ex, de 17 de janeiro de 2013: aprova o Manual de Auditoria (EB 10-MT-13.001) e dá outras providências.Boletim do Exército. Brasília, DF, 2013.
_____. Ministério da Defesa. Comando do Exército. Portaria nº 465-Cmt Ex, de 17 de maiode 2017: aprova a Política de Gestão de Riscos do Exército Brasileiro (EB 10-P-01.004), Boletim do Exército. Brasília, DF, 2017.
_____. Ministério da Defesa. Comando do Exército. Portaria nº 222-EME, de 5 de junho de2017: aprova a Metodologia da Política de Gestão de Riscos do Exército Brasileiro (EB 20-D-07.089), Boletim do Exército. Brasília, DF, 2017.
_____. Tribunal de Contas da União. Revista do Tribunal de Contas da União número 132, janeiro/abril 2015. Metodologia de Auditoria com Foco em Processo e Risco. Brasília: TCU, 2015. p. 28. Disponível em: <http://portal.tcu.gov.br/publicacoes-institucionais/periodicos-e-series/revista-do-tcu/>.
BRASILIANO, Antônio Celso Ribeiro. GESTÃO DE RISCO DE FRAUDE: Fraud Risk Assessment – FRA. Sicurezza Editora, 2015.
COSO. Committee of Sponsoring Organizations of the Treadway Commission. Gerenciamento de riscos corporativos. Tradução Audibra e PricewaterhouseCopers. São Paulo: [s.n.], 2013, 135 p.
DE CICCO, Francesco. AUDITORIA BASEADA EM RISCOS: Como implementar a ABRnas organizações: uma abordagem inovadora. Risk Tecnologia Editora Ltda, 2007.
33APÊNDICE A – MATRIZ DE RISCOS E CONTROLES (MODELO)
Processo: Oficialização da Demanda
Fixação deObjetivos
Identificação deEventos
Avaliação de RiscosResposta a
RiscoAtividade de Controle Monitoramento
Objetivos doprocesso
NºO
Riscosinerentes
aosobjetivos
NºR
Fator de Risco (Causa)NºFR
Consequência
Avaliação de riscoinerente
Estratégiade
Tratamento dos
Riscos
Controlespreventivos
NºC
Controlesdetectivos
NºC
Planos decontingência
NºP
Avaliação de risco residualestimado
Controlespreventivos
Controlesdetectivos ePlanos de
Contingência
Avaliação de risco residualefetivo
FonteVulnerabilidad
eP I
P xI
Magnitude
P I P x IMagnitu
-deAvaliação
Eficá-cia
>90%
Avalia-ção
Eficá-cia
>90%P I
P xI
Magnitude
Nível de Risco doProcesso
Nível de Risco do Processo Nível de Risco do Processo
34APÊNDICE B – IDENTIFICAÇÃO DE RISCOS E FATORES DE RISCO
35APÊNDICE C – ANÁLISE DA MATRIZ DE RISCOS E CONTROLES
Processo: Oficialização da DemandaFixação de Objetivos Identificação de
EventosAvaliação de Riscos
Resposta aRisco
Atividade de Controle
Objetivos doprocesso
NºO
Riscosinerentes aos
objetivos
NºR
Fator de Risco (Causa)NºFR
Consequência
Avaliação de riscoinerente
Estratégiade
Tratamentodos Riscos
Controlespreventivos
NºC
Controlesdetectivos
NºC
Planos decontingência
NºP
Avaliação de riscoresidual estimado
Fonte Vulnerabilidade P I P x IMagnitud
eP I P x I
Magnitude
Solicitar acontratação deprodutos e/ouserviços paraatender uma
necessidade daorganização
O1
Nãoatendimento
danecessidade
daorganizaçãoem produtose/ou serviços
R1Processo
s
Ausência dejustificativa danecessidade de
contratação
FR1Desperdício de
recursospúblicos
4 5 20 Extremo Mitigar - -
AssessoriaJurídica verificaa existência doDocumento de
Oficialização daDemanda
(Requisição)
C5 - - 2 2 4 Médio
Realizar pesquisade preço
O2Contrataçãocom preçodistorcido
R2Processo
s
Ausência depesquisa de preço
ou pesquisa depreço malexecutada
FR2
Superfaturamento ou
incapacidade deentrega do bemou prestação doserviço quando
o preço forinexequível
5 4 20 Extremo Mitigar
Realizaçãode pesquisa
de preçoconformeIN nº 5
C2
FiscalAdministrativo
verifica se apesquisa de
preço foirealizada
conforme IN nº5
C6
FiscalAdministrativo
devolve oDocumento de
Oficialização daDemanda
(Requisição) para serretificada após umanova realização depesquisa de preço
P6
2 2 4 Médio
Descreveradequadamente o
objeto dacontratação
O3
Contrataçãocom
qualidadeinferior que
não atende osrequisitostécnicos
R3Processo
s
Descriçãoinadequada do
objeto dacontratação
FR3Comprometimento da qualidadedas atividades
5 5 25 Extremo Mitigar
Elaboraçãode Termo deReferênciaou Projeto
Básico
C3
FiscalAdministrativo
verifica se adescrição do
objeto dacontratação está
adequada
C7
FiscalAdministrativo
devolve oDocumento de
Oficialização daDemanda
(Requisição) para serretificada quanto adescrição do objeto
da contratação
P7
2 3 6 Médio
Definir o prazopara o
recebimento dosprodutos e/ouprestação dosserviços em
tempo hábil parautilização dos
mesmos
O4Atraso na
contrataçãoR4
Processos
Falta deinformação doprazo para o
recebimento deprodutos ouprestação de
serviços com basena utilização dos
mesmos
FR4Interrupção ouinexecução das
atividades4 4 16 Extremo Aceitar - - - - - - 2 2 4 Médio
Solicitar acontratação emconformidade
com leis eregulamentos
O5 - - - - - 0 - - - - - - 0
Nível de Risco doProcesso
16,2 Extremo Nível de Risco do Processo 3,6 Médio
Ausência de plano de contingência para mitigar o impacto do risco. O
controle somente detecta a ocorrência do risco.
Estratégia de tratamento equivocada. O gestor de riscos poderá escolher entre evitar, compartilhar ou mitigar.
Ausência de controle preventivo
para mitigar a probabilidade do
risco
Todo objetivo incorre, pelo
menos, em um risco.
36APÊNDICE D – PLANO DE AÇÃO 5W2H
Ação a realizar? Quem? Como? Onde? Por quê? Custos Prazos Situação
Elaborar eimplementar um
controle preventivoe um plano decontingênciaassociado ao
controle detectivo
FiscalAdministrativo
Elaborar e implementar um controlepreventivo para mitigar a alta
probabilidade do fator de risco ‘FR1 –Ausência de justificativa da
necessidade de contratação’ emcontribuir para a concretização do
risco R1 – Não atender umanecessidade da organização com
produtos e/ou serviços. Elaborar eimplementar um plano de
contingência associado ao controledetectivo ‘C5 – Assessoria Jurídica
verifica a existência do Documento deOficialização da Demanda
(Requisição)’ que possa dar início amitigação do impacto muito alto de se
gerar desperdício de recursospúblicos, quando da constatação daocorrência do risco pelo controle C5
Processo deOficialização da
Demanda
Existência de fator derisco sem tratamento que
poderá levar aconcretização de risco,bem como, ausência deplano de contingência
associado a um controledetectivo, podendo
impactar no atingimentode objetivo do processo
Nãoestimado
Nov 17 Em execução
Selecionarestratégia de
resposta a risco
FiscalAdministrativo
Selecionar outra estratégia de respostaa risco (compartilhar, evitar ou
mitigar), de acordo com o nível deexposição a riscos previamente
estabelecido pela organização (apetitee tolerância a riscos) em confrontocom a avaliação que se fez do riscoR4 – Atraso na aquisição (grau de
criticidade do risco)
Processo deOficialização da
Demanda
O apetite a risco daorganização não permiteassumir risco extremo
Nãoestimado
Nov 17 Executado
Identificar e avaliarriscos
FiscalAdministrativo
Identificar e avaliar os riscos quepoderão impactar o objetivo O5 –
Aquisiçãoem conformidade com leis e
regulamentos
Processo deOficialização da
Demanda
Existência de objetivodo processo sem
identificação de nenhumrisco
Nãoestimado
Nov 17 Não execução
37APÊNDICE E – MONITORAMENTO
NºR
NºFR
Controles preventivosNºC
Controles detectivosNºC
Planos de contingência Nº P
Avaliação de risco residualestimado
Controles preventivosControles detectivos e Planos de
Contingência
P I P x IMagnitud
eAvaliação
Eficácia>90%
AvaliaçãoEficácia>90%
R1 FR1
Alta administração públicanormativo criando obrigatoriedade
de que todas as contratações daorganização sejam iniciadas com aformalização da demanda por meio
de documento assinado pelorequisitante, no caso a IG12-02.
C1
Assessoria Jurídica verifica aexistência do Documento deOficialização da Demanda
(Requisição)
C5 Em elaboração P5 2 2 4 Médio 90% Eficaz 0% Ineficaz
R2 FR2Realização de pesquisa de preço
conforme IN nº 5C2
Fiscal Administrativo verificase a pesquisa de preço foi
realizada conforme IN nº 5C6
Fiscal Administrativo devolve oDocumento de Oficialização daDemanda (Requisição) para ser
retificada após uma nova realização depesquisa de preço
P6 2 2 4 Médio 50% Ineficaz 30% Ineficaz
R3 FR3Elaboração de Termo de Referência
ou Projeto BásicoC3
Fiscal Administrativo verificase a descrição do objeto dacontratação está adequada
C7
Fiscal Administrativo devolve oDocumento de Oficialização daDemanda (Requisição) para ser
retificada quanto a descrição do objetoda contratação
P7 2 3 6 Médio 95% Eficaz 90% Eficaz
R4 FR4Elaboração de Termo de Referência
ou Projeto BásicoC3
Fiscal Administrativo verificase a quantidade do objeto dacontratação está adequada
C8
Fiscal Administrativo devolve oDocumento de Oficialização daDemanda (Requisição) para ser
retificada quanto a quantidade do objetoda contratação
P8 2 2 4 Médio 95% Eficaz 95% Eficaz
- - Não elaborado - - - - - 0 0 0 0% Ineficaz -% Não avaliado
38APÊNDICE F – MATRIZ DE RISCOS E CONTROLES
Processo: Oficialização da Demanda
Fixação deObjetivos
Identificação deEventos
Avaliação de RiscosResposta a
RiscoAtividade de Controle Monitoramento
Objetivos doprocesso
NºO
Riscosinerentes aos
objetivos
NºR
Fator de Risco (Causa)NºFR
Consequência
Avaliação de riscoinerente
Estratégiade
Tratamento dos
Riscos
Controlespreventivos
NºC
Controlesdetectivos
NºC
Planos decontingência
NºP
Avaliação de risco residualestimado
Controlespreventivos
Controlesdetectivos ePlanos de
Contingência
Avaliação de risco residualefetivo
Fonte Vulnerabilidade P IP xI
Magnitude
P I P x IMagnitu-
deAvaliação
Eficá-cia
>90%
Avalia-ção
Eficá-cia
>90%P I P x I Magnitude
Solicitar acontratação deprodutos e/ouserviços paraatender umanecessidade
daorganização
O1
Nãoatendimento
danecessidade
daorganizaçãoem produtose/ou serviços
R1
Processos
Ausência dejustificativa danecessidade de
contratação
FR1
Desperdício derecursospúblicos
4 5 20 Extremo Mitigar
Alta administraçãopública normativo
criandoobrigatoriedade de
que todas ascontratações da
organização sejaminiciadas com aformalização da
demanda por meiode documentoassinado pelo
requisitante, no casoa IG12-02.
C1
AssessoriaJurídica
verifica aexistência do
Documento deOficializaçãoda Demanda(Requisição)
C5
Assessoria jurídicanão aprova processode contratação que
não contenhainformações claras
sobre qual anecessidade dacontratação em
termos de negócio eidentifique
precisamente o atorque declarou esta
necessidade
P5 2 2 4 Médio 90% Eficaz 70%Inefica
z2 5 10 Alto
Realizarpesquisa de
preçoO2
Contrataçãocom preçodistorcido
R2
Processos
Ausência depesquisa de
preço oupesquisa depreço malexecutada
FR2
Superfaturamento ou
incapacidadede entrega do
bem ouprestação do
serviço quandoo preço forinexequível
5 4 20 Extremo MitigarRealização de
pesquisa de preçoconforme IN nº 5
C2
FiscalAdministrativo verifica se apesquisa de
preço foirealizada
conforme INnº 5
C6
Fiscal Administrativodevolve o Documento
de Oficialização daDemanda
(Requisição) para serretificada após umanova realização depesquisa de preço
P6 2 2 4 Médio 50% Ineficaz 30%Inefica
z5 4 20 Extremo
Descreveradequadamente o objeto dacontratação
O3
Contrataçãocom
qualidadeinferior quenão atende
os requisitostécnicos
R3
Processos
Descriçãoinadequada do
objeto dacontratação
FR3
Comprometimento da
qualidade dasatividades
5 5 25 Extremo Mitigar
Elaboração deTermo de
Referência ouProjeto Básico
C3
FiscalAdministrativo verifica se adescrição do
objeto dacontratação
está adequada
C7
Fiscal Administrativodevolve o Documento
de Oficialização daDemanda
(Requisição) para serretificada quanto adescrição do objeto
da contratação
P7 2 3 6 Médio 95% Eficaz 90% Eficaz 2 3 6 Médio
Definir oprazo para orecebimentodos produtos
e/ou prestaçãodos serviçosem tempohábil para
utilização dosmesmos
O4Atraso na
contrataçãoR4
Processos
Falta deinformação doprazo para o
recebimento deprodutos ouprestação deserviços com
base nautilização dos
mesmos
FR4
Interrupção ouinexecução das
atividades4 4 16 Extremo Mitigar
Elaboração deTermo de
Referência ouProjeto Básico
C3
FiscalAdministrativo verifica se aquantidade do
objeto dacontratação
está adequada
C8
Fiscal Administrativodevolve o Documento
de Oficialização daDemanda
(Requisição) para serretificada quanto a
quantidade do objetoda contratação
P8 2 2 4 Médio 95% Eficaz 95% Eficaz 2 2 4 Médio
Solicitar acontratação
emconformidade
com leis eregulamentos
O5
Solicitaçãoda
contrataçãoem
desconformidade com
leis eregulamento
s
R5
Estruturaorganizacional
Requisiçãoconfeccionadapor quem nãonecessita de
produto/serviço
FR5
Necessidadede muitos
ajustes paraque a solução
contratadaatenda às
necessidadesou abandonoda soluçãocontratada
3 4 12 Alto Mitigar
Requisitante deveser a autora doDocumento de
Oficialização daDemanada
(Requisição)
C4
Equipe deplanejamentoda contratação
(SALC)verifica a
existência doDocumento deOficializaçãoda Demanda(Requisição)
C9
Equipe deplanejamento da
contratação (SALC)elabora o Documentode Oficialização da
Demanda(Requisição) e o
submete à aprovaçãodo requisitante para
sua ratificação formalantes de iniciar oplanejamento da
contratação
P9 1 1 1 Baixo 30% Ineficaz 90% Eficaz 3 1 3 Médio
Nível de Risco doProcesso
18,6 Extremo Nível de Risco do Processo 3,8 Médio Nível de Risco do Processo 8,6 Alto
39APÊNDICE G – ESTUDO DE CASO
Você foi designado membro da Equipe de Gestão de Riscos da Seção em que trabalha. Utilizandoos conhecimentos adquiridos no Curso de Gestão de Riscos e Controles Internos, execute o processo deGestão de Riscos em um processo crítico de sua Seção, a fim de propiciar garantia razoável quanto ao al-cance dos objetivos desse processo. Para tanto, responda aos quesitos abaixo:
1. Defina o nível de criticidade dos processos (Oficialização da demanda, Planejamento da contra-tação, Seleção do fornecedor e Gestão do contrato) que constituem o macroprocesso de Aquisi-ções Públicas, utilizando a Matriz de Priorização dos Processos Críticos (Apêndice H).
Obs: Independentemente do resultado do quesito anterior, utilize o processo “Seleção do fornece-dor” para responder aos quesitos seguintes.
2. Defina os objetivos do processo, utilizando a Matriz de Riscos e Controles (Apêndice I).
3. Identifique os riscos inerentes do processo, utilizando a Matriz de Riscos e Controles (ApêndiceI).
4. Analise os riscos inerentes do processo, relacionando-os com os fatores de risco que lhes dãoorigem e com as consequências que podem surgir, utilizando a Técnica da gravata borboleta(Apêndice J).
5. Identifique os riscos (eventos) e os fatores de riscos (causas) no fluxograma do processo “Sele-ção do fornecedor” (Apêndice K).
6. Realize a avaliação dos riscos inerentes do processo, utilizando a Matriz de Riscos e Controles(Apêndice I).
7. Confeccione o Diagrama de Verificação de Riscos (DVR) para os riscos inerentes do processo,utilizando o DVR 1 (Apêndice L).
8. Realize a avaliação do nível de risco do processo, utilizando a Matriz de Riscos e Controles(Apêndice I).
9. Defina a estratégia a ser adotada para cada risco inerente avaliado, utilizando a Matriz de Riscose Controles (Apêndice I).
40 10. Defina os controles necessários para mitigar os riscos e, sfc, os planos de contingência associa-
dos, utilizando a Matriz de Riscos e Controles (Apêndice I).
Obs: Independentemente do resultado do quesito anterior, utilize a Análise da Matriz de Riscos eControles (Apêndice M) para responder aos quesitos seguintes.
11. Analise a Matriz de Riscos e Controles no tocante aos objetivos sem riscos definidos; à estraté-gia de tratamento dos riscos selecionada; e aos riscos e fatores de risco sem controles e planos decontingência definidos, utilizando a Análise da Matriz de Riscos e Controles (Apêndice M).
12. Elabore um Plano de Ação decorrente das conclusões da análise da Matriz de Riscos e Contro-les, utilizando o Plano de Ação – 5W2H (Apêndice N).
13. Realize a avaliação dos riscos residuais estimados e do nível de risco do processo, utilizando aMatriz de Riscos e Controles (Apêndice I).
14. Confeccione o Diagrama de Verificação de Riscos (DVR) para os riscos residuais estimados,utilizando o DVR 2 (Apêndice L).
15. Realize o monitoramento do Plano de Ação elaborado no quesito 11, verificando se o mesmofoi executado, preenchendo a coluna ‘Situação’ do Plano de Ação – 5W2H (Apêndice N).
16. Considerando que o plano de contingência associado ao controle detectivo C1 ainda está emelaboração, que o controle preventivo para o risco R5 não foi elaborado e que não houve evolu-ção das condições dos riscos identificados e analisados, realize o monitoramento (Apêndice O).
17. Realize a avaliação dos riscos residuais efetivos e do nível de risco do processo, utilizando aMatriz de Riscos e Controles (Apêndice I).
18. Confeccione o Diagrama de Verificação de Riscos (DVR) para os riscos residuais estimados,utilizando o DVR 3 (Apêndice L).
19. Analise os Diagramas de Verificação de Riscos 1, 2 e 3 (Apêndice L), a fim de verificar a mag-nitude dos riscos depois da implantação dos controles internos da gestão e conclua sobre a neces-sidade de elaboração de novo Plano de Ação – 5W2H.
20. Analise a Matriz de Riscos e Controles (Apêndice I), a fim de verificar o nível de risco do pro-cesso depois da implantação dos controles internos da gestão e conclua sobre a necessidade deelaboração de novo Plano de Ação – 5W2H.
41
APÊNDICE H – PRIORIZAÇÃO DOS PROCESSOS CRÍTICOS – ESTUDO DE CASO
ObjetivosTotal darelação
Atender as operaçõesmilitares com produtos
e serviços
Contratação com preçocompetitivo
Contratação com quali-dade que atenda os re-
quisitos técnicos
Recebimento dos pro-dutos e serviços em
tempo hábil
Contratação em confor-midade com leis e regu-
lamentos
Processos
Oficialização dademanda
Planejamento dacontratação
Seleção dofornecedor
Gestão do contra-to
Legenda:Relação Processo x Objetivo Pontos
Forte 5Média 3Fraca 1
Sem relação -Fonte: Adaptado de ENAP (2016)
42APÊNDICE I – MATRIZ DE RISCOS E CONTROLES – ESTUDO DE CASO
Processo: Seleção do fornecedor
Fixação deObjetivos
Identificação deEventos
Avaliação de RiscosResposta a
RiscoAtividade de Controle Monitoramento
Objetivos doprocesso
Nº ORiscos inerentes
aos objetivosNºR
Fator de Risco (Causa)NºFR
ConsequênciaAvaliação de risco inerente Estratégia
deTratamentodos Riscos
Controlespreventivos
NºC
Controlesdetectivos
Nº CPlanos de
contingênciaNº P
Avaliação de risco residualestimado
Controlespreventivos
Controles detectivose Plano de
Contingência
Avaliação de risco residualefetivo
Fonte Vulnerabilidade P I P x I Magnitude P I P x IMagnitu-
deAvalia-
çãoEficácia>90%
Avalia-ção
Eficácia>90%
P I P x I Magnitude
Nível de Risco do Processo Nível de Risco do Processo Nível de Risco do Processo
43APÊNDICE J – TÉCNICA DA GRAVATA BORBOLETA– ESTUDO DE CASO
44
45
46APÊNDICE K – PROCESSO MAPEADO – ESTUDO DE CASO
47
APÊNDICE L – DIAGRAMA DE VERIFICAÇÃO DE RISCOS – ESTUDO DE CASO
48APÊNDICE M – ANÁLISE DA MATRIZ DE RISCOS E CONTROLES – ESTUDO DE CASO
Processo: Seleção do Fornecedor
Fixação deObjetivos
Identificação deEventos
Avaliação de RiscosResposta a
RiscoAtividade de Controle
Objetivos doprocesso
NºO
Riscosinerentes aos
objetivos
NºR
Fator de Risco (Causa)NºFR
Consequência
Avaliação de riscoinerente
Estratégiade
Tratamentodos Riscos
Controles preventivosNºC
Controles detectivosNºC
Planos de contingência Nº PFonte Vulnerabilidade P I P x I Magnitude
Selecionar aproposta
maisvantajosa
O1
Existência degrande
número depropostas
não mantidasapós a fasede lances
R1Processo
s
Ausência de instauraçãode procedimento
administrativo paraapurar condutas de
licitantes que podem sertipificadas no art. 7º da
Lei 10.520/2002
FR1
Incapacidade deentrega do bemou prestação doserviço quando
o preço forinexequível
4 5 20 Extremo Mitigar - - - - - -
Existência depoucos
fornecedorescotando
preços, anteo
desconhecimento da
contratação
R2Processo
sPouca divulgação do
certame licitatórioFR2
Falta decompetitividade
4 4 16 Extremo Mitigar - -
Pregoeiro verifica acompetitividade entreos licitantes durante a
fase de lances
C3
Realizar contrapropostaao licitante que tenha
apresentado lance maisvantajoso, para que sejaobtida melhor proposta
P3
Estar emconformidade com leis e
regulamentosque tratam de
aquisiçõespúblicas
O2
Aceitação ourecusa de
propostas emdesacordo
com o edital
R3 Pessoas
Pregoeiro e equipe deapoio não detém as
competênciasmultidisciplinares
necessárias à execuçãoda atividade
FR3Desperdício de
recursospúblicos
5 5 25 Extremo MitigarCapacitação do pregoeiro
e da equipe de apoioC4
Ordenador de Despesasverifica a adjudicação
do pregoeiroC5
Homologar somente ositens cuja propostavencedora esteja deacordo com o edital
P5
Contrataçãode licitante
comrestrições
R4 Pessoas
Não consultar todas aslistas onde constam
restrições para contratarcom a Administração
Pública
FR4Contratação
com fornecedorinidôneo
5 5 25 Extremo Mitigar
Utilizar uma relação comtodas as listas de
restrições para contratarque devem ser
consultadas na etapa dehabilitação do fornecedor.
C6 - - - -
Publicaçãode
informaçõesincompletas,
emdesacordo
com alegislação
R5Processo
s
Ausência de padrão paraa publicação dosextratos do edital
FR5
Republicaçãodo edital comabertura de
novo prazo paraelaboração das
propostas
3 1 3 Médio Mitigar - - - - - -
Nível de Risco doProcesso
17.8 Extremo
49APÊNDICE N – PLANO DE AÇÃO – 5W2H – ESTUDO DE CASO
Ação a realizar? Quem? Como? Onde? Por quê? Custos Prazos Situação
50APÊNDICE O – MONITORAMENTO – ESTUDO DE CASO
NºR
NºFR
Controles preventivosNºC
Controles detectivosNºC
Planos de contingênciaNºP
Avaliação de risco residualestimado
Controles preventivosControles detectivos e
Planos de Contingência
P I P x I Magnitude AvaliaçãoEficácia>90%
AvaliaçãoEficácia>90%
R1 FR1Cláusula em Edital
prevendo procedimentoadministrativo
C1
Pregoeiro verifica quaispropostas não foram
mantidas após a fase delances
C2 Em elaboração P1 3 2 6 Médio
R2 FR2Ampla divulgação do
certame licitatórioC3
Pregoeiro verifica acompetitividade entre oslicitantes durante a fase
de lances
C4
Realizar contrapropostaao licitante que tenha
apresentado lance maisvantajoso, para que sejaobtida melhor proposta
P2 2 2 4 Médio
R3 FR3Capacitação do
pregoeiro e da equipe deapoio
C5Ordenador de Despesasverifica a adjudicação
do pregoeiroC6
Homologar somente ositens cuja propostavencedora esteja deacordo com o edital
P3 2 2 4 Médio
R4 FR4
Utilizar uma relaçãocom todas as listas de
restrições para contratarque devem ser
consultadas na etapa dehabilitação do
fornecedor.
C7Ordenador de Despesasverifica a adjudicação
do pregoeiroC6
Homologar somente ositens cuja propostavencedora esteja deacordo com o edital
P4 1 2 2 Baixo
R5 FR5 Não elaborado - - - - - 1 1 1 Baixo
51APÊNDICE P – PRIORIZAÇÃO DOS PROCESSOS CRÍTICOS – GABARITO
ObjetivosTotal darelação
Atender as operaçõesmilitares com produtos e
serviços
Contratação com preçocompetitivo
Contratação com quali-dade que atenda os re-
quisitos técnicos
Recebimento dos produ-tos e serviços em tempo
hábil
Contratação em confor-midade com leis e regu-
lamentos
Processos
Oficialização dademanda
5 3 5 5 5 23
Planejamento dacontratação
3 1 3 3 3 13
Seleção dofornecedor
5 5 5 1 5 21
Gestão do contrato 3 1 5 5 3 17
Legenda:
Relação Processo x Objetivo PontosForte 5Média 3Fraca 1
Sem relação -Fonte: Adaptado de ENAP (2016)
52APÊNDICE Q – MATRIZ DE RISCOS E CONTROLES – GABARITO
Processo: Seleção do fornecedor
Fixação deObjetivos
Identificação deEventos
Avaliação de RiscosResposta a
RiscoAtividade de Controle Monitoramento
Objetivos doprocesso
Nº ORiscos inerentes
aos objetivosNº R
Fator de Risco (Causa)NºFR
ConsequênciaAvaliação de risco inerente Estratégia
deTratamentodos Riscos
Controlespreventivos
Nº CControlesdetectivos
Nº CPlanos de
contingênciaNº P
Avaliação de risco residualestimado
Controlespreventivos
Controles detectivose Plano de
Contingência
Avaliação de risco residualefetivo
Fonte Vulnerabilidade P I P x I Magnitude P I P x IMagnitu-
deAvalia-
çãoEficácia>90%
Avalia-ção
Eficácia>90%
P I P x I Magnitude
Selecionar aproposta mais
vantajosaO1
Existência degrande número
de propostas nãomantidas após afase de lances
R1 Processos
Ausência deinstauração deprocedimento
administrativo paraapurar condutas de
licitantes quepodem ser
tipificadas no art.7º da Lei
10.520/2002
FR1
Incapacidade deentrega do bem ou
prestação doserviço quando o
preço forinexequível
4 5 20 Extremo Mitigar
Cláusula em Editalprevendo
procedimentoadministrativo
-
Pregoeiroverifica quaispropostas não
forammantidas
após a fase delances
C1
Instaurarprocedimento
administrativo paraapurar condutas de
licitantes quepodem ser
tipificadas no art.7º da Lei
10.520/2002
P1 3 2 6 Médio 90% Eficaz 0% Ineficaz 3 5 15 Extremo
Existência depoucos
fornecedorescotando preços,
ante odesconhecimento
da contratação
R2 ProcessosPouca divulgação
do certamelicitatório
FR2Falta de
competitividade4 4 16 Extremo Mitigar
Ampla divulgaçãodo certamelicitatório
C2
Pregoeiroverifica a
competitividade entre oslicitantes
durante a fasede lances
C3
Realizarcontraproposta aolicitante que tenhaapresentado lancemais vantajoso,para que sejaobtida melhor
proposta
P3 2 2 4 Médio 90% Eficaz 90% Eficaz 2 2 4 Médio
Estar emconformidade
com leis eregulamentosque tratam de
aquisiçõespúblicas
O2
Aceitação ourecusa de
propostas emdesacordo com o
edital
R3 Pessoas
Pregoeiro e equipede apoio não detém
as competênciasmultidisciplinares
necessárias àexecução da
atividade
FR3Desperdício de
recursos públicos5 5 25 Extremo Mitigar
Capacitação dopregoeiro e da
equipe de apoioC4
Ordenador deDespesasverifica a
adjudicaçãodo pregoeiro
C5
Homologarsomente os itens
cuja propostavencedora esteja de
acordo com oedital
P5 2 2 4 Médio 95% Eficaz 95% Eficaz 2 2 4 Médio
Contratação delicitante com
restriçõesR4 Pessoas
Não consultar todasas listas onde
constam restriçõespara contratar coma Administração
Pública
FR4Contratação com
fornecedorinidôneo
5 5 25 Extremo Mitigar
Utilizar umarelação com todas
as listas derestrições paracontratar que
devem serconsultadas na
etapa de habilitaçãodo fornecedor.
C6
Ordenador deDespesasverifica a
adjudicaçãodo pregoeiro
C5
Homologarsomente os itens
cuja propostavencedora esteja de
acordo com oedital
P5 1 2 2 Baixo 50% Ineficaz 95% Eficaz 5 2 10 Alto
Publicação deinformações
incompletas, emdesacordo com a
legislação
R5 Processos
Ausência de padrãopara a publicaçãodos extratos do
edital
FR5
Republicação doedital com
abertura de novoprazo para
elaboração daspropostas
3 1 3 Médio Mitigar
Padronizar oconteúdo das
publicações dosextratos do edital
C7 - - - - 1 1 1 Baixo 95% Eficaz -%Não
avaliado1 1 1 Baixo
Nível de Risco do Processo 17.8 Extremo Nível de Risco do Processo 3.4 Médio Nível de Risco do Processo 6.8 Médio
53APÊNDICE R – TÉCNICA DA GRAVATA BORBOLETA – GABARITO
54
55APÊNDICE S – PROCESSO MAPEADO – GABARITO
APÊNDICE T – DIAGRAMA DE VERIFICAÇÃO DE RISCOS – GABARITO
56
APÊNDICE U – ANÁLISE DA MATRIZ DE RISCOS E CONTROLES – GABARITO
Processo: Seleção do Fornecedor
Fixação deObjetivos
Identificação deEventos
Avaliação de RiscosResposta a
RiscoAtividade de Controle
Objetivos doprocesso
NºO
Riscosinerentes aos
objetivos
NºR
Fator de Risco (Causa)NºFR
Consequência
Avaliação de riscoinerente
Estratégiade
Tratamentodos Riscos
Controles preventivosNºC
Controles detectivosNºC
Planos de contingência Nº PFonte Vulnerabilidade P I P x I Magnitude
Selecionar aproposta mais
vantajosaO1
Existência degrande
número depropostas não
mantidasapós a fase de
lances
R1 Processos
Ausência de instauraçãode procedimento
administrativo paraapurar condutas de
licitantes que podem sertipificadas no art. 7º da
Lei 10.520/2002
FR1
Incapacidade deentrega do bemou prestação do
serviço quando opreço for
inexequível
4 5 20
Extremo
Mitigar - - - - - -
Existência depoucos
fornecedorescotando
preços, ante odesconhecime
nto dacontratação
R2 ProcessosPouca divulgação do
certame licitatórioFR2
Falta decompetitividade
4 4 16 Extremo Mitigar - -
Pregoeiro verifica acompetitividade entre oslicitantes durante a fase
de lances
C3
Realizar contrapropostaao licitante que tenha
apresentado lance maisvantajoso, para que sejaobtida melhor proposta
P3
Estar emconformidade
com leis eregulamentosque tratam de
aquisiçõespúblicas
O2
Aceitação ourecusa de
propostas emdesacordo
com o edital
R3 Pessoas
Pregoeiro e equipe deapoio não detém as
competênciasmultidisciplinares
necessárias à execução daatividade
FR3Desperdício de
recursospúblicos
5 5 25 Extremo MitigarCapacitação do pregoeiro e
da equipe de apoioC4
Ordenador de Despesasverifica a adjudicação do
pregoeiroC5
Homologar somente ositens cuja propostavencedora esteja deacordo com o edital
P5
Contrataçãode licitante
comrestrições
R4 Pessoas
Não consultar todas aslistas onde constam
restrições para contratarcom a Administração
Pública
FR4Contratação com
fornecedorinidôneo
5 5 25 Extremo Mitigar
Utilizar uma relação comtodas as listas de restriçõespara contratar que devem
ser consultadas na etapa dehabilitação do fornecedor.
C6 - - - -
Publicação deinformaçõesincompletas,em desacordo
com alegislação
R5 ProcessosAusência de padrão paraa publicação dos extratos
do editalFR5
Republicação doedital com
abertura de novoprazo para
elaboração daspropostas
3 1 3 Médio Mitigar - - - - - -
Nível de Risco doProcesso
17.8 Extremo
57
Ausência de controle detectivo e plano de
contingência associado paramitigar o impacto
do risco.
Ausência de controle detectivo e plano de
contingência associado paramitigar o impacto
do risco.
Ausência de controle preventivo para mitigar a
probabilidade do risco
Ausência de controle preventivo para mitigr
a probabilidade do risco.
Ausência de controle preventivo para mitigr
a probabilidade do risco.
APÊNDICE V – PLANO DE AÇÃO – 5W2H – GABARITO
Ação a realizar? Quem? Como? Onde? Por quê? Custos Prazos Situação
Elaborar e implemen-tar um controle detec-tivo e um respectivo
plano de contingência
Pregoeiro e equipe deapoio
Elaborar e implementar um controle detecti-vo e um plano de contingência associado que possa dar início a mitigação do impactomuito alto de incapacidade de entrega do bem ou prestação do serviço quando o preçofor inexequível, quando da constatação da ocorrência do risco 'R1 – Existência de grande número de propostas não mantidas após a fase de lances’'
Processo de Seleçãodo Fornecedor
A ausência de controle de-tectivo e plano de contingên-cia associado, podendo ocor-rer interrupção abrupta do processo
Não estimado Nov 17 Em execução
Elaborar um controlepreventivo
Pregoeiro e equipe deapoio
Elaborar e implementar um controle preven-tivo para mitigar a alta probabilidade do fa-tor de risco ‘FR2 – Pouca divulgação do certame licitatório’ em contribuir para a concretização do risco 'R2 – Existência de poucos fornecedores cotando preços, ante o desconhecimento da contratação'
Processo de Seleçãodo Fornecedor
O controle preventivo preve-nirá que o fator de risco con-tribua para a ocorrência do risco
Não estimado Nov 17 Executado
Elaborare implementar um
controle detectivo eum respectivo plano
de contingência
Pregoeiro e equipe deapoio
Elaborar e implementar um controle detecti-vo e um plano de contingência associado que possa dar início a mitigação do impactomuito alto de contratar licitante inidôneo, quando da ocorrência do risco 'R 4 – Con-tratação de licitante com restrições'
Processo de Seleçãodo Fornecedor
A ausência de controle de-tectivo e plano de contingên-cia associado, podendo ocor-rer interrupção abrupta do processo
Não estimado Nov 17 Executado
Elaborar um controlepreventivo
Pregoeiro e equipe deapoio
Elaborar e implementar um controle preven-tivo para mitigar a probabilidade do fator derisco ‘FR5 – Ausência de padrão para a pu-blicação dos extratos do edital’ em contri-buir para a concretização do risco 'R5 – Pu-blicação de informações incompletas, em desacordo com a legislação'
Processo de Seleçãodo Fornecedor
O controle preventivo preve-nirá que o fator de risco con-tribua para a ocorrência do risco
Não estimado Nov 17 Não executado
58
APÊNDICE X – MONITORAMENTO – GABARITO
NºR
NºFR
Controles preventivosNºC
Controles detectivosNºC
Planos de contingência Nº P
Avaliação de risco residualestimado
Controles preventivosControles detectivos e
Planos de Contingência
P I P x I Magnitude AvaliaçãoEficácia>90%
AvaliaçãoEficácia>90%
R1 FR1Cláusula em Edital
prevendo procedimentoadministrativo
C1
Pregoeiro verifica quaispropostas não foram
mantidas após a fase delances
C2 Em elaboração P1 3 2 6 Médio 90% Eficaz 0% Ineficaz
R2 FR2Ampla divulgação do
certame licitatórioC3
Pregoeiro verifica acompetitividade entre oslicitantes durante a fase
de lances
C4
Realizar contraproposta aolicitante que tenha
apresentado lance maisvantajoso, para que sejaobtida melhor proposta
P2 2 2 4 Médio 90% Eficaz 90% Eficaz
R3 FR3Capacitação do pregoeiro
e da equipe de apoioC5
Ordenador de Despesasverifica a adjudicação do
pregoeiroC6
Homologar somente ositens cuja proposta
vencedora esteja de acordocom o edital
P3 2 2 4 Médio 95% Eficaz 95% Eficaz
R4 FR4
Utilizar uma relação comtodas as listas de
restrições para contratarque devem ser
consultadas na etapa dehabilitação do fornecedor.
C7Ordenador de Despesas
verifica a adjudicação dopregoeiro
C6
Homologar somente ositens cuja proposta
vencedora esteja de acordocom o edital
P4 1 2 2 Baixo 50% Ineficaz 95% Eficaz
R5 FR5 Não elaborado - - - - - 1 1 1 Baixo 0% Ineficaz -%Não
avaliado
59