Escolar Documentos
Profissional Documentos
Cultura Documentos
EXRCITO BRASILEIRO
COMANDO DO EXRCITO
1
CHEFE DO CENTRO DE CONTROLE INTERNO DO EXRCITO
General de Diviso LUIZ ARNALDO BARRETO ARAUJO
Equipe Responsvel
Coronel Adelson Robbi
Major Jorge Rodrigo Faria
Major Celso Rossato Santi
Major Fabio de Moura Sousa
Confeco e diagramao
Seo de Planejamento e Estudos
2
Sumrio
1. PREMISSAS E OBJETIVOS 4
2. CONCEITOS 4
3. GESTO DE RISCOS 6
5. AMBIENTE INTERNO 8
6. FIXAO DE OBJETIVOS 10
7. IDENTIFICAO DE EVENTOS 11
8. AVALIAO DE RISCOS 12
9. RESPOSTAS A RISCOS 20
12. MONITORAMENTO 24
3
APOSTILA DE GESTO DE RISCOS
1. PREMISSAS E OBJETIVOS
1.2. So objetivos da Apostila de Gesto de Riscos apresentar metodologia, critrios e tcnicas para
a aplicao prtica da Gesto de Riscos, bem como orientar a identificao, a anlise, a avaliao, o
tratamento, o monitoramento e a comunicao dos riscos institucionais.
1.3. Esta Apostila compe o material didtico do Curso de Controles Internos da Gesto ministrado
pelo Centro de Controle Interno do Exrcito.
2. CONCEITOS
d) Risco: possibilidade de ocorrncia de um evento que venha a ter impacto no cumprimento dos
objetivos. O risco medido em termos de probabilidade e de impacto;
e) Risco inerente: risco a que uma organizao est exposta sem considerar quaisquer aes
gerenciais que possam reduzir a probabilidade de sua ocorrncia ou seu impacto;
f) Risco residual: risco a que uma organizao est exposta aps a implementao de aes
gerenciais para o tratamento do risco;
h) Causa ou fator de risco: condio que pode dar origem possibilidade de um evento acontecer.
Pode ter origem no ambiente interno ou externo;
4
j) Probabilidade: quantificao da possibilidade de ocorrncia do evento;
n) Gesto de riscos: processo para identificar, avaliar, administrar e controlar potenciais eventos ou
situaes, para fornecer razovel certeza quanto ao alcance dos objetivos da organizao;
o) Apetite a risco: nvel de risco que uma organizao est disposta a aceitar;
p) Tolerncia a risco: limiar de risco, a partir do qual, certos resultados das operaes da
organizao podem ser comprometidos. um indicativo da sensibilidade da organizao em relao
aos riscos;
5
3. GESTO DE RISCOS
3.1. A Gesto de Riscos um processo conduzido pelo Exrcito Brasileiro, desde o Comit de
Governana, Riscos e Controles at o Gestor de Riscos, no estabelecimento de estratgias,
formuladas para identificar em toda a Instituio eventos em potencial, capazes de afet-la, e
administrar os riscos de modo a mant-los compatveis com o apetite a risco estabelecido na
Poltica de Gesto de Riscos do Exrcito e possibilitar garantia razovel do cumprimento dos seus
objetivos.
3.2. A definio da Gesto de Riscos reflete certos conceitos fundamentais. A gesto de riscos :
d) Formulada para identificar eventos em potencial, cuja ocorrncia poder afetar as Organizaes
Militares, e para administrar os riscos de acordo com o apetite a risco do Exrcito;
f) Orientada para a realizao de objetivos em uma ou mais categorias distintas, mas dependentes.
3.3. Com base na misso ou viso estabelecida pelo Exrcito, a Alta Administrao do Exrcito (ou
Comit de Governana, Riscos e Controles) estabelece os planos principais, seleciona as estratgias
e determina o alinhamento dos objetivos nos nveis da Instituio. Essa estrutura de gesto de riscos
orientada a fim de alcanar os objetivos de uma Organizao Militar, classificados em quatro
categorias:
a) Estratgicos: atingimento das metas gerais, alinhadas com o que suportem sua misso;
3.4. Quando se constata que a gesto de riscos eficaz em cada uma das quatro categorias de
objetivos, isso significa que o Comandante do Exrcito e a Alta Administrao (ou Comit de
Governana, Riscos e Controles) tero garantia razovel de que entenderam at que ponto, os
objetivos estratgicos e operacionais esto realmente sendo alcanados, o sistema de comunicao
da Instituio confivel e todas as leis e regulamentos cabveis esto sendo observados.
3.5. A Metodologia de Gesto de Riscos que o Exrcito adota a metodologia presente na obra
Gerenciamento de Riscos Corporativos Estrutura Integrada publicada pelo Committee of
Sponsoring Organizations of The Treadway Commission (COSO).
6
4. COMPONENTES DA GESTO DE RISCOS
a) Ambiente interno: inclui, entre outros elementos, integridade, valores ticos e competncia das
pessoas, maneira pela qual a gesto delega autoridade e responsabilidades, estrutura de governana
organizacional, polticas e prticas de recursos humanos. O ambiente interno a base para todos os
outros componentes da estrutura de gesto de riscos, provendo disciplina e prontido para a gesto
de riscos;
e) Resposta a riscos: a Organizao Militar deve identificar qual estratgia seguir (evitar, mitigar,
compartilhar ou aceitar) em relao aos riscos mapeados e avaliados. A escolha da estratgia
depender do nvel de exposio a riscos previamente estabelecido pelo Exrcito Brasileiro em
confronto com a avaliao que se fez do risco;
h) Monitoramento: tem como objetivo avaliar a qualidade da gesto de riscos e dos controles
internos da gesto, por meio de atividades gerenciais contnuas e/ou avaliaes independentes,
buscando assegurar que estes funcionem como previsto e que sejam modificados apropriadamente,
de acordo com mudanas nas condies que alterem o nvel de exposio a riscos.
7
5. AMBIENTE INTERNO
5.1. O Ambiente Interno a base para todos os outros componentes da Gesto de Riscos, o que
propicia disciplina e estrutura. Esse ambiente influencia o modo pelo qual as estratgias e os
objetivos so estabelecidos, os negcios so estruturados, e os riscos so identificados, avaliados e
geridos. Este influencia o desempenho e o funcionamento das atividades de controle, dos sistemas
de informao e comunicao, bem como das atividades de monitoramento.
5.2. Sendo influenciado pela histria e cultura do Exrcito, o Ambiente Interno compreende muitos
elementos, inclusive os valores ticos da Instituio, a competncia e desenvolvimento pessoal, a
filosofia da administrao para a gesto de riscos, a atribuio de alada e responsabilidade.
5.5. O apetite a risco refere-se ao nvel de risco que o Exrcito dispe-se a aceitar na busca de
valor. O apetite a risco reflete na filosofia de gesto de riscos e, por sua vez, influencia a cultura e o
estilo operacional.
5.6. O Comit de Governana, Riscos e Controles do Exrcito representa uma parte crtica do
ambiente interno e capaz de influenciar os seus elementos de forma significativa. A despeito do
fato que, historicamente, uma instituio no tenha incorrido em prejuzos e nem se exponha muito
a riscos, os membros do Comit no devem sucumbir noo mtica de que eventos que trazem
srias consequncias adversas no vo ocorrer no Exrcito. Eles reconhecem que, embora a
Instituio possa ter uma estratgia perfeita, pessoas competentes, processos ntegros e tecnologia
confivel, ela, como qualquer outra instituio, vulnervel a risco e necessita de uma gesto de
riscos eficaz.
5.8. A competncia profissional dos militares e civis do Exrcito reflete no conhecimento e nas
habilidades necessrias execuo de tarefas designadas. A Alta Administrao do Exrcito decide
quo bem essas tarefas necessitam ser executadas, ponderando as estratgias e os objetivos da
Instituio, bem como os planos para a sua implementao e realizao. A Alta Administrao do
Exrcito estipula os nveis de competncia para determinados trabalhos e traduz esses nveis em
habilidades e conhecimentos necessrios, que por sua vez, podem depender do grau de inteligncia,
8
treinamento e experincia individual. Os fatores considerados no desenvolvimento dos nveis de
conhecimentos e habilidades incluem a natureza e o grau de julgamento utilizado em uma funo
especfica.
5.9. A estrutura organizacional do Exrcito prov o arcabouo para planejar, executar, controlar e
monitorar as suas atividades. A estrutura inclui a definio de reas fundamentais de autoridade e
responsabilidade, bem como a definio de linhas apropriadas de comunicao.
5.10. A atribuio de alada e responsabilidade inclui at que ponto pessoas e equipes esto
autorizadas e so incentivadas a adotar sua prpria iniciativa ao abordar questes, bem como a
solucionar problemas e os limites dessa autoridade. A delegao de autoridade significa passar o
controle central de determinadas decises aos escales inferiores para o pessoal que est mais
prximo das atividades cotidianas.
5.11. O desafio crucial delegar apenas at o grau necessrio ao alcance dos objetivos, a fim de
assegurar que o processo decisrio esteja embasado em prticas sadias de identificao e avaliao
de riscos, inclusive o dimensionamento de riscos e a comparao entre o potencial de prejuzo com
os ganhos na determinao de quais riscos aceitar e de como sero administrados.
5.12. Outro desafio assegurar que todo o pessoal entenda os objetivos da Instituio. essencial
que as pessoas entendam de que forma suas aes se inter-relacionam e contribuem para a
realizao dos objetivos.
9
6. FIXAO DE OBJETIVOS
6.2. A definio dos processos crticos, que mais impactam no atingimento dos objetivos da OM,
poder ser feita estabelecendo uma correlao entre os processos e os objetivos da OM. O resultado
ser uma matriz que prioriza os processos mais crticos a serem analisados, conforme Tabela 1.
Objetivos Total da
O1 O2 O3 O4 O5 relao
P1 5 3 5 - 5 18
P2 3 - 5 5 3 16
Processos
P3 5 1 - 3 5 14
P4 - 1 5 5 3 14
Legenda: P=processo; O=objetivo
Forte 5
Mdia 3
Fraca 1
Sem relao -
6.3. Aps a priorizao dos processos mais crticos a serem analisados, devem-se definir os
objetivos do processo em anlise. Exemplo:
b) Objetivos:
(01) Solicitar a aquisio de produtos e servios para atender uma necessidade da requisitante com
produtos e/ou servios;
(02) Descrever adequadamente o objeto da aquisio;
(03) Levantar a quantidade necessria para atender a demanda;
(04) Informar o prazo para o recebimento de produtos e servios com base na utilizao dos
mesmos;
(05) Justificar a necessidade de aquisio;
(06) Realizar pesquisa de preo; e
(07) Solicitar a aquisio em conformidade com leis e regulamentos.
10
7. IDENTIFICAO DE EVENTOS
7.2. Todo processo tem uma razo de ser que deve estar intimamente relacionado aos objetivos
estratgicos. Definimos isto como objetivos do processo que precisam ser conhecidos. Com base
nestes objetivos, identificamos os riscos inerentes ao processo, isto , o que pode acontecer que
impacte no alcance dos objetivos do processo, de acordo com o exemplo da Tabela 2.
11
8. AVALIAO DE RISCOS
8.1. Uma infinidade de causas internas e externas (fatores de risco) impulsiona os riscos que afetam
a implementao da estratgia e o cumprimento dos objetivos. Como parte da gesto de riscos, a
OM deve reconhecer a importncia de compreender essas causas e o risco que pode emanar delas.
8.2. A OM pode optar pela tcnica do Diagrama de Causa e Efeito (Figura 2), chamada Diagrama
de Ishikawa ou de Espinha de Peixe, para poder entender quais so os fatores de risco que
influenciam a concretizao de cada risco.
8.3. Os fatores de risco so compostos pela vulnerabilidade existente em uma determinada Fonte de
Risco.
a) Pessoas que podem no estar capacitadas, ou vir a cometer erro no-intencional ou fraude;
b) Processos que podem apresentar problemas de modelagem, transao, conformidade, controle
ou tcnica apropriada;
c) Sistemas de gesto;
d) Infraestruturas fsica e organizacional que podem ser departamentalizadas ou descentralizadas;
e) Tecnologia de produto ou de produo equipamentos; sistemas informatizados e confiabilidade
da informao; e
f) Eventos externos que no so gerenciveis.
8.5. A OM poder criar um portflio de fatores de riscos que facilitar na anlise de causa e efeito
da relao entre os fatores de riscos e os riscos de um determinado processo. A Tabela 3 ilustra um
exemplo de portflio de fatores de risco.
12
Tabela 3 Portflio de Fatores de Risco
13
8.6. A Figura 3 apresenta um exemplo de um Diagrama de Causa e Efeito, onde se sinaliza a Fonte
de Risco, a Vulnerabilidade, o Fator de Risco e o Risco.
8.7. A OM poder utilizar a tcnica de anlise de fluxo de processo, que rene as entradas, as
tarefas, as responsabilidades e as sadas que se combinam para formar um processo. Devem ser
considerados os fatores de risco internos e externos (redflags), que afetam as entradas ou as
atividades em um processo, ao se identificar os riscos (redflags) que podem afetar o cumprimento
dos objetivos deste processo, conforme ilustrado no Anexo A.
8.8. Entende-se por riscos inerentes, a avaliao dos riscos sem considerar a execuo de controles
para mitig-los. Dentro desse conceito necessrio elaborar a avaliao de riscos inerentes
(probabilidade x impacto), cujo resultado ser o nvel de risco (magnitude) consolidado numa
matriz de riscos inerentes.
8.9. A anlise de riscos visa auxiliar na definio de prioridades e opes de tratamento aos riscos
identificados. A metodologia a ser utilizada pela OM para a avaliao de riscos possui dois
parmetros claros a serem estudados, conforme ilustrado na Figura 4:
a) Saber qual a chance, a probabilidade, dos riscos virem a acontecer, frente condio existente de
cada processo e rea de negcio; e
Probabilidade Impacto
Avaliao de riscos
8.10. O impacto sobre os objetivos de um processo poder acontecer em uma ou mais dimenses,
tais como: prazo, oramentrio-financeiro, qualidade, escopo, imagem ou reputao, etc.
14
8.11. Para determinar os nveis de risco, preciso definir escalas para estimar a probabilidade e o
impacto, bem como estabelecer quando a combinao desses dois fatores representa um risco baixo,
mdio, alto, etc.
15
Tabela 6 Matriz de Riscos Inerentes (Avaliao de probabilidade e impacto)
Solicitar a aquisio em
Solicitao em desconformidade
conformidade com leis e O7 R7 4 3 12 Alto
com leis e regulamentos
regulamentos
8.13. Com o objetivo de visualizar e, ao mesmo tempo, implementar uma forma de tratamento de
cada risco, o resultado da avaliao dos riscos ser apresentado em um mapa de riscos, chamado de
Diagrama de Verificao de Riscos (DVR) permitindo o acompanhamento da mitigao ou
elevao dos riscos.
16
Figura 5 Diagrama de Verificao de Riscos
a) Risco no quadrante vermelho: risco inaceitvel, que possui alta probabilidade de ocorrncia e
poder resultar em impacto extremamente severo; caso ocorra, exige tratamento imediato,
colocando-se em execuo um plano de ao composto por controle preventivo, para eliminar suas
causas ou reduzir sua frequncia; controle detectvel e plano de contingncia para reduzir sua
severidade;
b) Risco no quadrante laranja: pode ser tanto um risco provvel, que possui alta probabilidade de
ocorrncia e baixo impacto na consecuo dos objetivos; bem como um risco inesperado, que
possui baixa probabilidade de ocorrncia e alto impacto na consecuo dos objetivos. A estas
ameaas, deve-se possuir respostas rpidas ao serem detectadas, portanto, devem estar planejadas e
testadas em um plano de contingncia, emergncia, continuidade de negcios, alm de aes
preventivas. Diferem-se dos riscos do quadrante vermelho, por terem aes de tratamento
implementadas com mais planejamento e tempo. So eventos que devem ser constantemente
monitorados;
c) Risco no quadrante amarelo: risco que deve ser quantificado e monitorado de forma rotineira e
sistemtica, porque suas consequncias so gerenciveis, podendo tambm possuir planos de
contingncia; e
d) Risco no quadrante verde: risco que representa pequeno problema e causa pouco prejuzo,
portanto controlvel.
17
Figura 6 Diagrama de Verificao de Riscos Inerentes
EXTREMO
ALTO
MDIO
BAIXO
18
Tabela 7 Avaliao de Nvel de Risco dos Processos (Riscos Inerentes)
N
Objetivos do processo Riscos inerentes aos objetivos N Risco P I PxI Magnitude
Obj
Solicitar a aquisio em
Solicitao em desconformidade
conformidade com leis e O7 R7 4 3 12 Alto
com leis e regulamentos
regulamentos
8.23. Para fins ilustrativos, o exemplo abaixo apresenta a descrio de um risco conforme sintaxe
apresentada:
a) Objetivo: apresentar propostas para licitaes at as datas fixadas em editais. Contexto: depende
de cotaes de preos de fornecedores.
b) Causa/Fonte: no entrega de cotaes de preos por parte de fornecedores.
c) Evento: no participao da empresa em licitaes.
d) Consequncia: interrupo de atividades
e) Dimenso do objetivo impactada: custo e despesas fixas
f) Descrio do risco: devido a no entrega de cotaes de preos por parte de fornecedores, poder
acontecer a no participao da empresa em licitaes, o que poder levar a interrupo de
atividades, impactando no custo e nas despesas fixas.
19
9. RESPOSTAS A RISCOS
9.2. A OM deve identificar qual estratgia seguir (evitar, transferir, aceitar ou tratar) em relao aos
riscos mapeados e avaliados. A escolha da estratgia depender do nvel de exposio a riscos
previamente estabelecido pela organizao em confronto com a avaliao que se fez do risco.
20
10. ATIVIDADES DE CONTROLE
10.1. Atividades de controles internos so estabelecidas e executados para mitigar os riscos que a
OM tenha optado por tratar.
10.2. Incluem uma gama de controles internos da gesto preventivos e detectivos, bem como a
preparao prvia de planos de contingncia e resposta materializao dos riscos.
10.4. A fim de possibilitar ao gestor a definio dos controles a serem implementados visando ao
tratamento dos riscos do processo, dados sobre estes controles so adicionados matriz de riscos
inerentes, com a finalidade de alinhar os controles aos fatores de riscos (causas). Esta nova matriz
chamada de Matriz de Riscos e Controles (Anexo B).
10.5. O entendimento sobre o fluxo das atividades do processo e desenho dos controles,
classificados como preventivos e detectivos permite avaliar se o dimensionamento destes controles
atendem ou no o objetivo esperado.
a) Controle: uma ao tomada para certificar-se de que algo se cumpra. Os controles tambm so
meios usados para verificar que certa ao eficiente ao seu propsito. Exemplo: conferncia de
entradas manuais de dados no sistema;
d) Objetivo do controle: objetivo da existncia e/ou necessidade do controle. Exemplo: garantir que
toda e qualquer informao inserida no sistema seja ntegra e completa;
21
Figura 8 Controles Preventivos e Detectivos
Levantar a - - - - -
quantidade ne-
cessria para O3 - - - - - - -
atender a de- - - - - -
manda
Fonte: CCIEx (2016)
22
10.9. O resultado desta anlise resultar em recomendaes de melhorias na gesto de riscos, as
quais podero ser implementadas por meio de plano de ao (Tabela 9):
b) Verificar a necessidade de identificar e avaliar os riscos que podero impactar o objetivo O3.
Tabela 9 Plano de Ao
Ao a
Quem? Como? Onde? Por qu? Custos Prazos
realizar?
Identificar e avaliar
Processo de Existncia de objetivo do
Identificar e Ch da Seo os riscos que
Oficializao processo sem identificao de xxxx out 16
avaliar risco requisitante podero impactar o
da Demanda nenhum risco
objetivo O3
23
11. INFORMAES E COMUNICAES
11.3. A comunicao eficaz importante para assegurar que os responsveis pela implementao
dos futuros planos de ao compreendam as bases sobre as quais as decises so tomadas e a
necessidade de determinadas aes.
11.4. A OM deve utilizar sua rea de comunicao corporativa para operacionalizar o processo de
comunicao dos riscos corporativos.
12. MONITORAMENTO
12.1. O monitoramento deve ser planejado como parte do processo e deve envolver a checagem ou
vigilncia regulares. Pode ser peridico ou acontecer em resposta a um fato especfico.
a) O primeiro a verificao se o Plano de Ao proposto est sendo executado. Para isso devemos
utilizar os indicadores: Executado, Em Execuo e No Executado. Tambm devem ser
acompanhados os resultados das aes e medidas propostas. Devem ser acompanhadas para saber se
seus objetivos foram atingidos e, se no foram, quais as dificuldades encontradas e as aes
corretivas; e
b) O segundo processo de monitoramento diz respeito evoluo das condies dos riscos
identificados e analisados. Neste caso deve-se montar um processo de acompanhamento se as
condies listadas no diagrama de causa e efeito sofrem mudanas e/ou alteraes do ambiente.
12.3. Este processo de monitoramento de suma importncia e deve ser acompanhado diretamente
pelo gestor de riscos (Tabela 10).
24
Tabela 10 Monitoramento do Plano de Ao
Ao a
Quem? Como? Onde? Por qu? Custos Prazos Situao
realizar?
Identificar e
avaliar os
Identificar e Processo de Existncia de objetivo do
Ch da Seo riscos que Em
avaliar Oficializao processo sem identificao xxxx Out 16
requisitante podero execuo
risco da Demanda de nenhum risco
impactar o
objetivo O3
R1 FR6 Garantir que C4 Manual Checar a sequn- Integridade Ocasio- Preventi- 30% Ineficaz
as atividades cia lgica das ati- das infor- nalmente vo
do processo vidades previstas maes
fluam numa no fluxo do pro-
sequncia l- cesso
gica
FR19 Garantir que C8 Manual Checar a respon- Conformi- Ocasio- Preventi- 98% Eficaz
funes e res- sabilidade pela dade com nalmente vo
ponsabilida- execuo da ati- leis e regu-
des estejam vidade lamentos
bem definidas
12.5. Esse entendimento sobre o fluxo das atividades e desenho dos controles, classificados como
preventivos ou detectivos, permite avaliar se o dimensionamento destes controles atendem ou no o
objetivo esperado.
25
12.8. Aps o monitoramento do controle por meio do walktrhough, faz-se necessrio reavaliar os
riscos, ou seja, recalcular a probabilidade e o impacto dos riscos residuais. As notas de
probabilidade e impacto devem ser revistas neste momento, de forma coerente com a avaliao
realizada sobre os controles (Tabela 12).
N
Objetivos do processo Riscos inerentes aos objetivos N Risco P I P x I Magnitude
Obj
Ausncia de justificativa da
Justificar a necessidade de aquisio O5 R5 2 3 6 Mdio
necessidade de aquisio
Solicitar a aquisio em
Solicitao em desconformidade com
conformidade com leis e O7 R7 2 3 6 Mdio
leis e regulamentos
regulamentos
12.9. Entende-se por risco residual a avaliao dos riscos aps a considerao dos controles. Esses
conceitos permitem que os controles sejam avaliados e que sua efetividade seja comprovada durante
os testes das auditorias.
12.10. Aps a finalizao da etapa de avaliao dos riscos, inicia-se o processo de avaliao do
nvel de riscos dos processos, projetos, reas ou organizaes (Tabela 12).
26
Tabela 12 Avaliao de Nvel de Risco dos Processos (Riscos Residuais)
N
Objetivos do processo Riscos inerentes aos objetivos N Risco P I PxI Magnitude
Obj
Solicitar a aquisio em
Solicitao em desconformidade
conformidade com leis e O7 R7 2 3 6 Mdio
com leis e regulamentos
regulamentos
12.11. Aps a avaliao dos riscos residuais, ltima etapa do ltimo componente, a OM encerra o
ciclo da Gesto de Riscos, consolidada numa nica Matriz de Riscos e Controles e num nico
Diagrama de Verificao de Riscos Consolidados (Figura 9).
27
12.12. Importante frisar que quanto maior for o monitoramento, menor ser a exposio a riscos
(Figura 10).
13.1. O contedo programtico do Curso de Controle Internos da Gesto ser ministrado de acordo
com a metodologia apresentada nesta Apostila.
13.2. Esta Apostila de Gesto de Riscos entra em vigor na data de sua publicao.
28
REFERNCIAS BIBLIOGRFICAS
29
ANEXO A
Fluxograma de processo, Fatores de Risco e Riscos
30
31
32
33