Você está na página 1de 45

[Digite aqui]

MANUAL DE GESTÃO INTEGRADA DE


RISCOS CORPORATIVOS
FRENTE GESTÃO DE RISCOS
SGE/SE-MF – AECI/GMF-MF

2ª EDIÇÃO - DEZEMBRO/2016
Manual de Gestão Integrada de Riscos Corporativos - MF

Ministério da Fazenda
Gabinete do Ministério da Fazenda/Secretaria Executiva do Ministério da Fazenda
Programa de Modernização Integrada do Ministério da Fazenda – PMIMF
Frente Gestão de Riscos Corporativos - MF
Assessor Especial de Controle Interno - MF

Ministro de Estado da Fazenda


Henrique de Campos Meirelles

Secretário-Executivo
Eduardo Refinetti Guardia

Chefe de Gabinete
Rogério Antônio Lucca

Líder da Frente Gestão de Riscos Corporativos/Assessor Especial de Controle


Interno
Francisco Eduardo de Holanda Bessa

Elaboração
José Luiz de Albuquerque Melo Filho

Colaboradores
Representantes dos seguintes órgãos:
Procuradoria-Geral da Fazenda Nacional - PGFN
Secretaria da Receita Federal do Brasil – RFB
Secretaria de Acompanhamento Econômico – SEAE
Secretaria de Assuntos Internacionais – SAIN
Secretaria de Política Econômica - SPE
Secretaria do Tesouro Nacional – STN
Subsecretaria de Planejamento, Orçamento e Administração - SPOA

2
Assessoria
Especial de
Controle Interno
Manual de Gestão Integrada de Riscos Corporativos - MF

APRESENTAÇÃO

O Programa de Modernização Integrada do Ministério da Fazenda (PMIMF),


concebido em 2011, consiste em um conjunto de ações estruturadas, ano a ano,
voltadas à construção de soluções coletivas e desafios gerenciais comuns a
diversos órgãos da estrutura do Ministério, à modernização da gestão e à busca por
maior eficiência e eficácia das ações do Ministério da Fazenda no exercício de suas
funções regimentais, sempre em prol da sociedade.

O PMIMF está estruturado em frentes de trabalho paralelas e simultâneas que


alcança sete Órgãos Específicos Singulares (ESAF, PGFN, RFB, SAIN, SEAE, SPE
e STN), cinco Órgãos Colegiados (CARF, COAF, CONFAZ, CRSFN E CRSNSP) e
duas entidades vinculadas (CVM e Susep) componentes da estrutura organizacional
do Ministério da Fazenda.

A Frente Gestão de Riscos constitui-se na sexta frente do PMIMF. Foi criada em


agosto de 2013 motivada especialmente pela busca de eficiência organizacional,
pela necessidade de adoção e disseminação das melhores práticas de gestão, pelo
zelo com a coisa pública e, também, pela mudança de foco de atuação dos órgãos
de controle interno e externo.

A atuação da Frente de Riscos tem por finalidade, juntamente com outras Frentes do
PMIMF (Custos, Infraestrutura, Pessoas, Planejamento Estratégico, Projetos e
Processos e Tecnologia), contribuir com a melhoria contínua de processos de
trabalho, por meio de ações de desenvolvimento, disseminação e implementação de
metodologia de gerenciamento de riscos e assegurar o cumprimento da missão do
Ministério da Fazenda: “Formular e implementar políticas econômicas para o
desenvolvimento sustentável, com justiça fiscal e equilíbrio das contas públicas”. A
Frente Gestão de Riscos conta com o apoio de Grupo Técnico, formado por
representantes das unidades vinculadas ao PMIMF e do Banco Central do
Brasil.

O modelo de Gestão Integrada de Riscos Corporativos do Ministério da Fazenda,


desenvolvido pela Frente Gestão de Riscos, sugere o alinhamento com indutores
internos e externos. Como indutor interno visa atender à necessidade de
informações e indicadores de risco que sirvam de subsídio à tomada de decisão,
necessária à preservação da condução de políticas públicas e que assegure a
entrega de valor à sociedade e, como indutor externo, visa o atendimento das atuais
demandas dos órgãos de controle, que têm recomendado melhoria nos processos
acerca do mapeamento de riscos e riscos e controles, das unidades auditadas, em
função da mudança de foco de suas atuações que passaram a privilegiar a visão
preventiva.

O modelo de Gestão de Riscos, tem por objetivos: (i) incluir a abordagem de Gestão
Integrada de Riscos Corporativos (Governança, Políticas e Metodologia) no modelo
de Governança do Ministério da Fazenda; (ii) definir os requisitos mínimos de uma
metodologia de identificação e medição de riscos associados aos processos de
negócio, a ser observada pelos órgãos alcançados pelo PMIMF; (iii) definir políticas

3
Assessoria
Especial de
Controle Interno
Manual de Gestão Integrada de Riscos Corporativos - MF

de gestão de riscos no contexto do MF; e (iv) institucionalizar um Modelo de Gestão


Integrada de Riscos Corporativos para o MF.

O objetivo deste Manual é orientar e padronizar os procedimentos que viabilizarão a


institucionalização deste Modelo de Gestão Integrada de Riscos Corporativos. Para
tanto, estrutura-se o manual da seguinte maneira: uma pequena introdução e uma
visão geral da gestão de riscos corporativos no Ministério da Fazenda e os principais
conceitos, em seguida o modelo conceitual e, por fim, o modelo de
operacionalização do gerenciamento do riscos no âmbito do PMIMF.

4
Assessoria
Especial de
Controle Interno
Manual de Gestão Integrada de Riscos Corporativos - MF

Sumário

APRESENTAÇÃO................................................................................................................. 3

1. INTRODUÇÃO ............................................................................................................... 7

2. GESTÃO DE RISCOS .................................................................................................... 8

2.1 Modelo de Gestão Integrada de Riscos Corporativos do MF ............................................... 9

2.2 Contextualização ..................................................................................................................... 10

2.3. Gestão Integrada de Riscos Corporativos do Ministério da Fazenda ............................... 12

2.4. Política de Gestão de Risco do Ministério da Fazenda ....................................................... 13

2.5 Visão Geral dos Conceitos ..................................................................................................... 13

3. MODELO CONCEITUAL DO GERENCIAMENTO DE RISCOS DO MF ...................... 15

3.1 Dimensão Funcional ............................................................................................................... 15


3.1.1 Risco Operacional ........................................................................................................... 15

3.2 Dimensão Estratégica ............................................................................................................. 17


3.2.1 Risco Estratégico ............................................................................................................. 17

3.2.2 Risco Projeto ................................................................................................................... 17

3.2.3 Risco de Conjuntura ........................................................................................................ 18

3.3 Dimensão Econômica ............................................................................................................. 18


3.3.1 Risco de Mercado ............................................................................................................ 18

3.3.2 Risco de Crédito .............................................................................................................. 19

3.3.3 Risco de Liquidez ............................................................................................................ 19

3.3.4 Risco de Conjuntura ........................................................................................................ 20

4. MODELO OPERACIONAL DO GERENCIAMENTO DE RISCOS DO MF ................... 21

4.1 Análise de Contexto ................................................................................................................ 22

4.2 Identificação de Risco ............................................................................................................ 22

4.3 Mensuração de Risco ............................................................................................................. 23


4.3.1 Avaliação de Riscos e Controles ..................................................................................... 24

4.3.1.1 Verificação do controle quanto ao desenho ............................................................ 24

4.3.1.2 Verificação do controle quanto à operação ............................................................. 24

5
Assessoria
Especial de
Controle Interno
Manual de Gestão Integrada de Riscos Corporativos - MF

4.3.2 Matriz de Riscos .............................................................................................................. 25

4.3.2.1 Cálculo da nota de rating ......................................................................................... 25

4.3.2.2 Descrição das notas de rating ................................................................................. 27

4.4. Tratamento de Risco ............................................................................................................... 28


4.4.1 Plano de Implementação de Controles ........................................................................... 28

4.4.2 Mapa de Risco ................................................................................................................. 30

4.5. Monitoramento......................................................................................................................... 31

4.6. Reporte Gerencial.................................................................................................................... 32

REFERÊNCIAS ................................................................................................................... 33

ANEXO 1A – ANÁLISE DE CONTEXTO/1ª PARTE ........................................................... 34

ANEXO 1B – ANÁLISE DE CONTEXTO/2ª PARTE ........................................................... 35

ANEXO 2A – IDENTIFICAÇÃO DE RISCO/DIMENSÃO E TIPO DE RISCO ...................... 36

ANEXO 2B – IDENTIFICAÇÃO DE RISCO/PERGUNTAS ORIENTADORAS .................... 36

ANEXO 2C – IDENTIFICAÇÃO DE RISCO/TAXONOMIA DE RISCOS.............................. 39

ANEXO 3A – MENSURAÇÃO DE RISCO/AVALIAÇÃO DE RISCOS E CONTROLES ...... 41

ANEXO 3B – MENSURAÇÃO DE RISCO/MATRIZ DE RISCOS ........................................ 42

ANEXO 4A – TRATAMENTO DE RISCO/PL. DE IMPLEMENTAÇÃO DE CONTROLES .. 43

ANEXO 4B – CONTROLES BÁSICOS ............................................................................... 44

ANEXO 4C – MONITORAMENTO/MAPA DE RISCO ......................................................... 45

6
Assessoria
Especial de
Controle Interno
Manual de Gestão Integrada de Riscos Corporativos - MF

1. INTRODUÇÃO

Gerenciar riscos é atividade crítica para qualquer organização. O desenvolvimento


acelerado da economia mundial, o avanço tecnológico, o fluxo internacional de
capitais e o aumento da competição e da complexidade das transações entre as
organizações fazem com que a gestão de riscos corporativos seja uma atividade
cada vez mais complexa, contudo extremamente necessária.

As crises costumam chamar mais a atenção para a importância da gestão de riscos,


porém, ela deve ser tratada como componente essencial do sistema de gestão de
qualquer entidade e sugere uma ampliação do entendimento e da importância dessa
gestão nas organizações.

A premissa inerente à gestão de riscos corporativos é que toda organização existe


para gerar valor às partes interessadas e, no caso do poder executivo federal, à
sociedade. Nesse sentido, a gestão de riscos corporativos auxilia os órgãos na
tomada de decisão, no alcance de seus objetivos, e a evitar que perigos e surpresas
ocorram em seu percurso, maximizando assim o valor entregue à sociedade.

No Brasil a gestão de riscos tem sido considerada mais uma prática da governança
corporativa, por força do legislador ou em função da maturidade da organização. A
gestão de riscos tem se expandido para setores não financeiros, inclusive para
organizações públicas, sendo uma abordagem complementar de gestão.

Para o setor público, o Tribunal de Contas da União incluiu, na versão mais recente
do seu planejamento estratégico, um objetivo voltado para “intensificar ações que
promovam a melhoria da gestão de riscos e de controles internos da Administração
Pública”.

No âmbito do Poder Executivo Federal o processo de gestão de riscos iniciou-se em


2002 por iniciativa do Ministério da Previdência Social.

Já no Ministério da Fazenda, também em 2002, a Secretaria do Tesouro Nacional –


STN iniciou as atividades de Risco Operacional e em 2006 foi criada área
independente para tratar do tema, em cumprimento a uma recomendação do
Tribunal de Contas da União - TCU. Em 2007, com a criação da Secretaria da
Receita Federal – RFB, a competência da gestão de riscos foi atribuída em seu
regimento interno. E finalmente, em 2013, a criação da Frente Gestão de Riscos,
vinculada ao PMIMF.

Este Manual é uma ferramenta que auxilia na visão dos conceitos, técnicas e
métodos buscando torná-los mais simples para o mapeamento de riscos dos
processos de trabalho no dia a dia da unidade. Por fim, este Manual não tem a
pretensão de esgotar o assunto e não deve ser considerado um documento
acabado.

7
Assessoria
Especial de
Controle Interno
Manual de Gestão Integrada de Riscos Corporativos - MF

2. GESTÃO DE RISCOS

A gestão de riscos deve ser capaz de identificar os eventos de riscos em potencial,


capazes de afetar a organização, permitir o gerenciamento dos riscos de modo
compatível com o tamanho e complexidade da organização e, ainda, possibilitar um
nível razoável de garantia em relação ao cumprimento dos seus objetivos, e, no
caso do setor público, aumentar benefícios e reduzir o custo do valor a ser entregue
à sociedade, protegendo os direitos públicos, criando condições para a prosperidade
econômica, melhorando a prestação dos serviços governamentais, entre outros.

Assumir riscos é uma precondição essencial para o desenvolvimento


humano; se parássemos de assumir riscos, inovações técnicas e sociais
necessárias para solucionar muitos dos problemas mundiais desapareceriam.
De fato, muitos dos riscos existentes na sociedade moderna resultam de
benefícios gerados por inovações sociais e tecnológicas. Por outro lado, a
imprudência insensata também não é uma boa ideia. Em vez disso,
precisamos definir um caminho intermediário no qual o acaso – com suas
incertezas e ambiguidades inerentes – seja levado em consideração de
maneira objetiva, racional e eficiente (Wildavsky, 1979).

A gestão de riscos pode ser aplicada a toda organização, em suas várias áreas e
níveis, a qualquer momento, bem como a função, atividades e projetos específicos.

A adoção de uma abordagem ativa, sistemática, holística e integrada permite


gerenciar os riscos, modificando tanto a natureza de suas consequências como a
probabilidade de que determinado efeito ocorra, por meio da identificação,
compreensão, atuação objetiva e comunicação de questões que envolvam riscos.

De acordo com ABNT ISO 31000/2009, são utilizadas as expressões “gestão de


riscos” e “gerenciamento de riscos”. Em termos gerais, “gestão de riscos” refere-se à
arquitetura (princípios, estrutura e processo) para gerenciar riscos eficazmente,
enquanto que “gerenciar riscos” refere-se à aplicação dessa arquitetura para riscos
específicos.

8
Assessoria
Especial de
Controle Interno
Manual de Gestão Integrada de Riscos Corporativos - MF

2.1 Modelo de Gestão Integrada de Riscos Corporativos do MF

A visão geral do modelo organiza-se da seguinte maneira:

Concluído
Em andamento

Relativamente à visão estratégica:

a. O CEG e CGRCI: órgãos colegiados que têm competências específicas,


dentre outras, para elaborar, propor e aprovar política e metodologias
relativas à Gestão de Integrada de Riscos Corporativos para o MF;
b. A Política de Gestão de Riscos: normas que estabelecem princípios, diretrizes
e responsabilidades a serem observados no processo de gestão de riscos do
MF;
c. Os Órgãos alcançados pelo PMIMF: referem-se as unidades que deverão
observar os requisitos mínimos sugeridos para a gestão de riscos no MF; e
d. O Modelo de Relacionamento: descreve os atores e suas atribuições no
processo de gestão de risco (responsabilidades, fluxo de informações, etc).
Quanto ao gerenciamento riscos:

a. A Metodologia: estabelece o regramento para a identificação, mensuração,


tratamento, monitoramento e reporte gerencial do gerenciamento de riscos do
MF;
b. O Sistema do MF: refere-se a ferramenta eletrônica utilizada no
gerenciamento de risco;

9
Assessoria
Especial de
Controle Interno
Manual de Gestão Integrada de Riscos Corporativos - MF

c. A Cadeia de Valor Integrada do MF: é o conjunto de atividades criadoras de


valor, base para aplicação da metodologia;
d. O Plano de Implementação: registra as prioridades e o cronograma para
aplicação da metodologia.

2.2 Contextualização

As organizações, sejam públicas ou privadas, devem entender quais são os riscos


associados às suas operações, processos e atividades, no intuito de identificar e
priorizar as falhas que devem ser corrigidas, e, por conseguinte, implantar as
melhorias necessárias ao aprimoramento do sistema de gestão de riscos.

Segundo definição do COSO (Committee of Sponsoring Organizations of The


Treadway Commission ou Comitê das Organizações Patrocinadoras), o
gerenciamento de riscos corporativos é o processo conduzido pelo conselho de
administração, pela diretoria executiva e pelos demais funcionários. Trata-se do
processo onde são estabelecidas as estratégias formuladas para identificar riscos
potenciais capazes de afetar a organização. Essas estratégias visam minimizar
possíveis ocorrências de riscos, a fim de mantê-los compatíveis com o apetite da
organização, possibilitando garantir o cumprimento de seus objetivos (COSO
Executive Report - 2012).

De acordo INTOSAI (2004), faz-se necessária a adoção de ferramentas apropriadas


para a identificação de risco. O normativo indica duas categorias de ferramentas
como as mais utilizadas: avaliação de risco e autoavaliação de risco.

Ainda de acordo com INTOSAI (2004), a avaliação de riscos é um procedimento do


tipo top-down, que utiliza equipe constituída para identificar os riscos associados a
todas as atividades da organização que possam impactar o alcance de seus
objetivos. Nesse procedimento, são realizadas entrevistas com membros-chave da
organização, em seus diversos níveis, no intuito de construir um perfil de risco para
todas as atividades, funções, processos ou atividades que estão particularmente
vulneráveis a riscos.

Já a autoavaliação, é uma abordagem bottom-up, na qual cada nível da organização


é convidado a rever suas atividades e alimentar o diagnóstico de riscos, podendo ser
realizada por meio da utilização de uma série de instrumentos, tais como
documentos, questionários, formulários ou mesmo por meio de workshop.

A norma ISO 31000, publicada em 2009, como padrão internacional “prevê um


conjunto de princípios que devem ser atendidos na gestão eficaz dos riscos”. O
normativo recomenda que as “organizações devem desenvolver, implementar e
melhorar continuamente um quadro que visa integrar o processo de gestão de riscos
na gestão global da organização, planejamento e estratégia, gestão, processos de
informação, políticas, valores e cultura” (ISO 31000, 2009).

A ISO 31000/2009 apresenta princípios e diretrizes para o gerenciamento de risco

10
Assessoria
Especial de
Controle Interno
Manual de Gestão Integrada de Riscos Corporativos - MF

genérico, destacando que na concepção e implementação de planos de gestão de


riscos é preciso considerar as “diferentes necessidades de uma organização
específica, nomeadamente os seus objetivos, contexto, estrutura, operações,
processos, funções, projetos, produtos, serviços ou bens específicos e práticas
empregadas”.

Assim, a referida norma menciona que para a gestão de riscos ser eficaz, convém
que uma organização, em todos os níveis, atenda a três perspectivas: princípios,
estrutura e processo.

Na perspectiva princípios, o item 3, da ABNT ISO 31000/2009, prevê que a gestão


de riscos: (a) cria e protege valor; (b) é parte integrante dos processos
organizacionais; (c) é parte da tomada de decisão; (d) aborda explicitamente a
incerteza; (e) é sistemática, estruturada e oportuna; (f) baseia-se nas melhores
informações disponíveis; (g) é feita sob medida; (h) considera fatores humanos e
culturais; (i) é transparente e inclusiva; (j) é dinâmica, interativa e capaz de reagir a
mudanças; e (k) facilita a melhoria contínua da organização.

Na perspectiva estrutura, o item 4, da ABNT ISO 31000/2009, prevê que o sucesso


da gestão de riscos irá depender da eficácia da estrutura da gestão que fornece os
fundamentos e os arranjos que irão incorporá-la através de toda a organização e em
todos os níveis e, ainda, assegura que a informação sobre risco proveniente desse
processo seja adequadamente reportada e utilizada como base para a tomada de
decisões e a responsabilização em todos os níveis organizacionais aplicáveis.

Na perspectiva processo, o item 5, da ABNT ISO 31000/2009, prevê que convém


que o processo de gestão de riscos seja: parte integrante da gestão; incorporado na
cultura e nas práticas; e adaptado aos processos de negócios da organização.

A figura abaixo demonstra o relacionamento entre os princípios da gestão de riscos,


estrutura e processo:

11
Assessoria
Especial de
Controle Interno
Manual de Gestão Integrada de Riscos Corporativos - MF

O Modelo proposto pela Frente Gestão de Riscos do PMIMF observa, em parte, os


princípios, a estrutura e o processo divulgados na norma ISO 31000, por ser menos
complexo e mais customizável.

2.3. Gestão Integrada de Riscos Corporativos do Ministério da Fazenda

Tanto o processo de Gestão Integrada de Riscos Corporativos como o modelo de


Gerenciamento de Riscos Corporativos do MF estão em desenvolvimento. Em 28 de
julho de 2014, o Comitê Estratégico de Gestão do Ministério da Fazenda – CEG
aprovou a criação do Comitê de Gestão de Riscos, Controle e Integridade - CGRCI,
por meio da Resolução nº 05/CEG. Na resolução o CEG aprova os representantes
de cada um dos órgãos do Ministério da Fazenda que compõe o CGRCI.

O CGRCI, em reunião de 22/08/2014, por meio da Resolução nº 01/CGRCI, aprovou


o seu regimento interno, que define, entre outros, sua competência e finalidade.
Cabe, neste momento, ressaltar as seguintes competências: (i) art. 3º, item “i”:
“elaborar e propor ao CEG, para fins de análise e aprovação, políticas e diretrizes
relativas à Gestão Integrada de Riscos Corporativos, no âmbito do Ministério da
Fazenda; e “ix” avaliar e aprovar tecnicamente metodologias e métodos aplicados à
Gestão Integrada de Riscos Corporativos no contexto do Ministério da Fazenda,
bem como suas alterações e aprimoramentos, encaminhando posteriormente ao
CEG para ser referendado.

Com relação às competências destacadas, registra-se que a proposta de política de


gestão de riscos encontra-se em fase de elaboração. Já o presente manual faz parte
da entrega prevista no item “ix”, art. 3º da Resolução nº 01/CGRCI, de 22/08/2015.

Definiu-se também no art. 2º da referida resolução que, no contexto de Ministério da


Fazenda, Gestão Integrada de Riscos Corporativos é o processo de gestão aplicado
a toda organização, em todos seus níveis e unidades, incluindo a formulação de
uma visão de portfólio de todos os riscos a que a organização está exposta, visando
identificar, mensurar, tratar, monitorar e reportar aos gestores a exposição a riscos
que podem afetar a geração dos valores organizacionais.

Nesse contexto, a gestão integrada no âmbito do Ministério Fazenda, deve ser


abrangente e consolidada, considerando todos os riscos relevantes aos quais esteja
exposto.

Alinhado com o Planejamento Estratégico do Ministério da Fazenda, o


gerenciamento de riscos tem como ponto de partida os processos organizacionais
registrados na Cadeia de Valor Integrada do MF. O valor é o ativo a ser protegido e,
por isso, serão tratados, prioritariamente, os riscos que afetam a entrega do valor
declarado nesta Cadeia.

12
Assessoria
Especial de
Controle Interno
Manual de Gestão Integrada de Riscos Corporativos - MF

2.4. Política de Gestão de Risco do Ministério da Fazenda

A norma NBR ISO 31000/2009 conceitua política de gestão de riscos como a


“declaração das intenções e diretrizes gerais de uma organização relacionadas à
gestão de riscos”.

A política tem por objetivo estabelecer princípios, diretrizes e responsabilidades a


serem observadas no processo de gestão de riscos, de forma a possibilitar a
identificação, avaliação, tratamento, monitoramento e comunicação de riscos os
quais a organização possa incorrer.

Conforme estabelecido pelo item 4.2 da ISO 31000/2009, é necessário forte


comprometimento da administração da organização para que ocorra a introdução da
gestão de riscos e sua contínua eficácia. Além disso, faz-se necessário um
planejamento rigoroso e estratégico para que se alcance um comprometimento em
todos os níveis da organização.

A mencionada norma traz o seguinte destaque no item 4.3.4 - “convém que a gestão
de riscos seja incorporada em todas as práticas e processos da organização, de
forma que seja pertinente, eficaz e eficiente”. Da mesma forma, dispõe que o
processo de gestão de riscos deve ser parte integrante dos processos
organizacionais, sendo esse processo de gestão incorporado ao desenvolvimento de
políticas, na análise crítica, no planejamento estratégico e de negócios, bem como
nos processos de gestão de mudanças.

O Ministério da Fazenda não possui, atualmente, uma política de gestão de riscos


estruturada e formalizada. No entanto, verifica-se a presença de práticas
relacionadas à gestão de riscos. A elaboração de uma proposta de Política de
Gestão de Riscos para o Ministério da Fazenda caberá à Frente de Gestão de
Riscos (art. 3º, item “i”, da Resolução nº 01/CGRCI, de 22/08/2014).

2.5 Visão Geral dos Conceitos

A seguir são descritos alguns conceitos de termos adotados pela Frente Gestão de
Riscos do PMIMF. Dos termos adotados, alguns são consagrados na literatura
relativa à gestão de riscos e outros foram adaptados/customizados para atender as
características dos negócios fazendários.

Risco: evento com possibilidade de afetar a entrega dos valores organizacionais,


declarados na Cadeia de Valor Integrada do Ministério da Fazenda.

Evento de Risco: é a materialização do risco que gera algum impacto para a


organização.

Risco Inerente: risco sem levar em conta os controles existentes.

Risco Residual: risco remanescente após a adoção de controles.

13
Assessoria
Especial de
Controle Interno
Manual de Gestão Integrada de Riscos Corporativos - MF

Tipos de Controles: controle preventivo e controle corretivo.

Controle Preventivo: são os controles implantados, previstos ou propostos; têm a


função de diminuir o nível de risco atuando na redução da probabilidade de
ocorrência do risco.

Controle Corretivo: são os procedimentos de acompanhamento implantados,


previstos ou propostos; têm a função de possibilitar a diminuição do nível de risco
atuando na redução do impacto provocado pela ocorrência do risco.

Natureza dos Controles: controle manual ou automatizado.

Controle Manual: são controles realizados por pessoas cujas regras não estão em
um dispositivo ou sistema.

Controle Automatizado: são controles cujas regras estão em dispositivo ou sistema.

Valor: valor declarado na Cadeia de Valor Integrada do Ministério da Fazenda a ser


entregue à sociedade.

Cadeia de Valor Integrada Ministério da Fazenda: é o conjunto de atividades


criadoras de valor desde as fontes de matérias-primas básicas, passando por
fornecedores de componentes, até o produto final entregue nas mãos do
consumidor.

Foco da Análise: direcionador da análise dos processos dentro de um conjunto de


valores definidos para a Cadeia de Valor do MF.

Dimensão: agrupamento de alto nível de abstração, que abriga um conjunto de tipos


de riscos semelhantes, mas de forma geral.

Dimensão Funcional: o foco da análise são os processos organizacionais


associados à geração de valor.

Dimensão Econômica: o foco da análise são as transações financeiras (captação,


tributos, orçamento, fluxo de pagamento).

Dimensão Estratégica: o foco da análise são os Projetos Estratégicos Corporativos –


PEC e os Objetivos Estratégicos.

Tipo de Risco: um grupamento de fatores de riscos semelhantes, segundo um ou


mais critérios, que facilita o entendimento da natureza dos riscos.

Fator de Risco: categorização de riscos mais específica que permite classificar os


riscos por temas bem peculiares.

14
Assessoria
Especial de
Controle Interno
Manual de Gestão Integrada de Riscos Corporativos - MF

3. Modelo Conceitual do Gerenciamento de Riscos do MF

O Modelo Conceitual de Gerenciamento de Riscos aprovado pelo Comitê de Gestão


Integrada de Riscos – CGRCI, em 17/11/2015, foi desenvolvido considerando o foco
da análise nas três Dimensões: Funcional, Estratégica e Econômica, detalhadas a
seguir:

Organização

Estratégica

3.1 Dimensão Funcional

Representada pelo Risco Operacional, seus fatores e subfatores.

3.1.1 Risco Operacional

Conceito: é o risco associado à possibilidade de perda resultante da ocorrência de


falha, deficiência ou inadequação de processos internos, pessoas e ambiente
tecnológico, ou de eventos externos (Resolução CMN 3380/2006).

O conceito adotado para o No que se refere ao risco operacional foram


considerados os seguintes fatores e subfatores:

a) Processos:

 Comunicação Interna: comunicação apropriada, clara, objetiva e de fácil

15
Assessoria
Especial de
Controle Interno
Manual de Gestão Integrada de Riscos Corporativos - MF

acesso para consulta.

 Modelagem: desenho, redesenho e documentação de processos com seus


controles e instrumentos de mitigação.

 Segurança Física: segurança de pessoas e equipamentos.

 Adequação à legislação: leis e jurisprudências vigentes no país – compliance.

b) Pessoas:

 Carga de Trabalho: compatibilização das demandas de trabalho à capacidade


operacional e à jornada de trabalho.

 Competência: autoridade, habilidade e conhecimento para execução do


processo.

 Ambiente Organizacional: clima organizacional e infraestrutura adequada para


execução do processo.

 Conduta: postura ética nos relacionamentos interpessoais, atenção e zelo,


imparcialidade, confidencialidade e comprometimento para a execução do
processo.

c) Ambiente Tecnológico:

 Segurança Lógica: acesso aos sistemas de TI pelos servidores, usuários


externos, contratados, fornecedores e parceiros para a execução do
processo.

 Infraestrutura Tecnológica: disponibilidade de hardware e software para a


execução do processo.

 Solução de TI: especificação, desenvolvimento, manutenção, homologação e


implantação de soluções de TI em consonância à necessidade de execução
do processo.

 Comunicação: disponibilidade de rede física e lógica com acesso aos


usuários internos e externos para a execução do processo.

d) Eventos Externos:

 Desastres Naturais e Catástrofes: eventos naturais ou catástrofes que


provoque dano à continuidade das operações.

 Ambiente Regulatório: mudanças políticas, legislação e regulamentação que


interfira na execução do processo, inclui o risco de imagem.

 Ambiente Social: situação econômico-social que interfira na execução do

16
Assessoria
Especial de
Controle Interno
Manual de Gestão Integrada de Riscos Corporativos - MF

processo, inclui o risco de imagem.

 Fornecedores: desempenho e qualidade dos fornecedores de produtos e


serviços que interfira na execução do processo.

3.2 Dimensão Estratégica

Representada pelo Risco Estratégico, Risco de Projeto e Risco de Conjuntura.

Para a dimensão estratégica foram adotados termos e definições e considerados os


fatores e subfatores a seguir:

3.2.1 Risco Estratégico

Conceito: é o risco associado à possibilidade de perda resultante do insucesso das


estratégias adotadas, levando-se em conta a dinâmica dos negócios (concorrência,
clientes, fornecedores e investimentos) e as alterações políticas e econômicas no
País e fora dele, ou seja, qualquer incerteza que afeta a realização das diretrizes
estratégicas.

Fatores e subfatores do risco estratégico:

a) Descontinuidade:

 Desempenho inadequado do processo em função de tomada de decisão do


gestor que afete a realização das diretrizes estratégicas.

b) Indisponibilidade de Recursos:

 Alteração de recursos previstos que afetem a realização dos objetivos dos


processos estratégicos.

3.2.2 Risco Projeto

Conceito: é o risco associado à possibilidade de perda resultante da ocorrência de


um conjunto de eventos sob a forma de ameaças que, caso se concretizem, afetem
a realização dos objetivos do projeto.

Fatores e subfatores do risco de projeto:

a) Atraso:

 Não cumprimento das entregas de produtos previstas nos projetos


estratégicos, que, ocasionando atrasos, afetem a realização dos objetivos do
projeto.

b) Indisponibilidade de Recursos:

17
Assessoria
Especial de
Controle Interno
Manual de Gestão Integrada de Riscos Corporativos - MF

 Alteração de recursos previstos que afetem a realização dos objetivos dos


processos estratégicos.

c) Perda de Patrocínio:

 Falta de apoio político à realização do projeto estratégico que afete o alcance


dos seus objetivos.

3.2.3 Risco de Conjuntura

Conceito: é o risco associado à possibilidade de perda resultante de mudanças


verificadas nas condições políticas, culturais, sociais, econômicas ou financeiras do
Brasil ou de outros países.

Fatores e subfatores do risco de conjuntura:

a) Mudanças Internas:

 Condições políticas, culturais, sociais, econômicas ou financeiras do Brasil.

b) Mudanças Externas:

 Condições políticas, culturais, sociais, econômicas ou financeiras de outros


países.

3.3 Dimensão Econômica

Representada pelo Risco de Mercado, Risco de Crédito, Risco de Liquidez e Risco


de Conjuntura.

Para a dimensão econômica foram adotados termos e definições e considerados os


fatores e subfatores detalhados a seguir:

3.3.1 Risco de Mercado

Conceito: é o risco associado à possibilidade de perda resultante de movimentação


de preços de mercado, notadamente de flutuações de taxas de juros, câmbio,
preços de ações e commodities ou indicadores econômicos que impactem a
captação/desembolso de recursos.

Fatores e subfatores do risco de mercado:

a) Taxa de Juros:

 Mudanças adversas nas taxas de juros e/ou em seus derivativos.

b) Taxa de Câmbio:

18
Assessoria
Especial de
Controle Interno
Manual de Gestão Integrada de Riscos Corporativos - MF

 Mudanças adversas nas taxas de câmbio e/ou em seus derivativos.

c) Títulos Públicos:

 Mudanças adversas na precificação dos títulos públicos.

d) Participações Societárias:

 Efeitos dos preços das ações da união sobre a posição financeira,


desempenho financeiro e fluxos de caixa.

e) Indicadores Econômicos:

 Flutuações nos preços dos ativos indexados por índices de preços, índices de
bolsas.

3.3.2 Risco de Crédito

Conceito: é o risco associado à possibilidade de perda resultante da incerteza


quanto ao recebimento de valores pactuados com tomadores de financiamentos e
tributos inscritos na dívida ativa.

Fatores e subfatores do risco de crédito:

a) Inadimplência:

 Incerteza no recebimento por incapacidade de pagamento do tomador de


empréstimo, contraparte de um contrato ou de um emissor de título.

b) Garantias Associadas:

 Suficiência e liquidez das garantias associadas aos débitos e ações de


execução.

c) Litígio:

 Atrasos ou não recebimento de créditos concedidos em função de


contestação judicial.

3.3.3 Risco de Liquidez

Conceito: é o risco associado à possibilidade de perda resultante do descasamento


entre a entrada de recursos (captação no mercado, arrecadação de tributos/outras
receitas e obtenção de crédito junto a organismos) para atender às exigências de
caixa que impactem o cumprimento de obrigações/compromissos programados.

Fatores e subfatores do risco de liquidez:

19
Assessoria
Especial de
Controle Interno
Manual de Gestão Integrada de Riscos Corporativos - MF

a) Entrada de Recursos:

 Captação no mercado, arrecadação de tributos e outras receitas, obtenção de


crédito junto a organismos.

b) Exigência de Caixa:

 Atendimento/cumprimento de obrigações/compromissos programados.

c) Desvalorização de Ativos:

 Condições em que o valor contábil do ativo excede seu valor recuperável.

3.3.4 Risco de Conjuntura

Conceito: é o risco associado à possibilidade de perda resultante de mudanças


verificadas nas condições políticas, culturais, sociais, econômicas ou financeiras do
Brasil ou de outros países.

Fatores e subfatores de risco de conjuntura:

a) Mudanças Internas:

 Condições políticas, culturais, sociais, econômicas ou financeiras do Brasil.

b) Mudanças Externas:

 Condições políticas, culturais, sociais, econômicas ou financeiras de outros


países.

20
Assessoria
Especial de
Controle Interno
Manual de Gestão Integrada de Riscos Corporativos - MF

4. Modelo Operacional do Gerenciamento de Riscos do MF

O propósito deste item é fornecer a visão do ciclo do gerenciamento de riscos


desenvolvido para o Ministério da Fazenda, assegurar que este modelo atenda aos
requisitos mínimos para um gerenciamento de riscos eficaz, bem como contribuir
para a uniformidade de procedimentos na execução dos trabalhos de mapeamento
de riscos nos diversos órgãos alcançados pelo PMIMF.

A aplicação do modelo de gerenciamento de riscos tem por base os processos da


Cadeia de Valor Integrada do MF. Assim, os processos priorizados serão
submetidos ao ciclo de gerenciamento de riscos.

O ciclo foi programado para ser realizado em seis etapas, conforme figura abaixo.
Registra-se que este manual contempla apenas as quatro primeiras, as duas
últimas, Monitoramento e Reporte Gerencial, estão em desenvolvimento.

A seguir, estão detalhadas as finalidades de cada etapa do ciclo de gerenciamento


de riscos, sugestões de técnicas a serem utilizadas e o sistema operativo.

21
Assessoria
Especial de
Controle Interno
Manual de Gestão Integrada de Riscos Corporativos - MF

4.1 Análise de Contexto

Para iniciar o mapeamento de riscos é desejável que o processo esteja mapeado,


nesse caso, as informações do mapeamento serão utilizadas. Para os casos em que
o processo não esteja mapeado deverá ser realizada a etapa Análise de Contexto,
desenvolvida com a finalidade de colher as informações macro que contribuirão para
o entendimento e permitir o mapeamento de riscos do processo.

A Análise de Contexto é suportada por um formulário que foi desenvolvido para


registrar as informações coletadas sobre o processo e sobre o resultado da análise
de SWOT, uma vez que as informações obtidas sobre o ambiente interno e externo,
além de contribuir para o entendimento do processo, ajudarão na identificação dos
riscos e na escolha das ações para mitigá-los.

Ressalta-se que esta etapa não é obrigatória nos casos em que os processos
estiverem mapeados, mas é fundamental para os processos sem mapeamento. O
Protótipo de Sistema do MF, possui o referido formulário, inserido na aba Análise de
Contexto (Anexos 1A e 1B) e o seu preenchimento não é condição para passar para
a etapa seguinte.

4.2 Identificação de Risco

Esta etapa tem por finalidade identificar e registrar os riscos relevantes que
comprometem o alcance do objetivo do processo e que afetem a entrega do valor à
sociedade, registrado na Cadeia de Valor Integrada do MF.

Para auxiliar na condução desta etapa foram elaboradas algumas perguntas, aqui
chamadas de “perguntas orientadoras”. Na elaboração dessas perguntas foram
considerados os termos e as definições do modelo conceitual adotado pelo Frente
Gestão de Riscos do MF (Anexo 2B).

As perguntas orientadoras estão dispostas na mesma sequência dos termos e


definições contidos no modelo conceitual, ou seja, por dimensão, tipo, fatores e
subfatores de riscos e ajudarão o gestor ou os especialistas a refletirem sobre os
possíveis riscos que podem comprometer o alcance do objetivo do processo em
análise e, consequentemente, a entrega do valor.

Dessa forma, aplicando-se a técnica Entrevista com Especialistas ou outra mais


apropriada para o processo em análise, faz-se as perguntas de forma a identificar os
possíveis riscos que afetem a entrega do valor.

Visando ajudar no momento da identificação dos riscos, elaborou-se uma lista de


prováveis riscos, considerando os termos e as definições contidos no modelo
conceitual (Anexo 2C). Esta lista não esgota os possíveis riscos, tendo a finalidade
de contribuir com a padronização na descrição dos riscos identificados.

Os riscos identificados deverão ser registrados no formulário eletrônico, constante

22
Assessoria
Especial de
Controle Interno
Manual de Gestão Integrada de Riscos Corporativos - MF

da aba Identificação de Risco do Sistema do MF (Anexo 2A).

Observação 1: no mapeamento de risco de projeto, identificar se há algum projeto


vinculado ao processo em análise. Caso haja, obter da área responsável pelo
monitoramento do projeto se há alguma possibilidade de ocorrer um dos seguintes
fatores/origem: atraso; indisponibilidade de recursos ou perda de patrocínio, capazes
de comprometer o cumprimento dos objetivos do processo e a entrega do valor,
previsto na Cadeia de Valor do MF.

Observação 2: no mapeamento de riscos da Dimensão Econômica, identificar a


existência ou não de riscos atrelados aos fatores/subfatores definidos no modelo
conceitual (Risco de Mercado, Risco de Crédito, Risco de Liquidez e Risco de
Conjuntura). Quanto as etapas de mensuração, tratamento, monitoramento e o
reporte gerencial, serão desenvolvidas e a presentadas oportunamente.

4.3 Mensuração de Risco

Uma vez identificados e registrados, faz-se necessário analisar os riscos sem levar
em conta os controles porventura existentes (Anexo 3A). O processo de
compreender a natureza dos riscos fornece base para a sua avaliação e para as
decisões sobre o tratamento.

Em seguida, é importante que se identifique os controles existentes e que se faça a


verificação da qualidade desses controles quanto ao desenho e quanto à sua
aplicação.

A realização desta etapa tem por finalidade mensurar os riscos identificados,


incluindo o levantamento das causas, a existência de controles e, ainda, obter a
magnitude do risco (probabilidade x impacto).

Assim, para cada risco deverá ser identificada e registrada as possíveis causas e os
controles existentes, em seguida, para cada controle identificado deverá ser
informando se trata de controle preventivo ou corretivo. Esses registros auxiliarão na
avaliação dos riscos e dos controles e permitirá, mais à frente, a mensuração do
risco, obtendo-se o risco residual e a nota de rating.

Temos que a causa do risco é o fato gerador que motiva a possibilidade da


ocorrência do risco e que o controle são procedimentos ou atividades que visam
mitigar a possibilidade da ocorrência do risco. O controle reduz o risco inerente.
Assim, são exemplos de atividades de controles: aprovações, conferências,
autorizações, verificações, validações, conciliações, monitoramento, travas em
sistemas, segregação de funções, dentre outras.

Ressalta-se que poderão existir mais de uma causa e mais de um controle


relacionado a um mesmo risco. Nesse caso descrever o que for relevante para a
análise do risco identificado e, consequentemente, para o processo.

23
Assessoria
Especial de
Controle Interno
Manual de Gestão Integrada de Riscos Corporativos - MF

Posteriormente, com as causas e os controles listados, aplica-se o questionário para


a verificação da qualidade dos controles. O resultado dessa verificação é de extrema
importância para atribuir as notas relacionadas à probabilidade e impacto, na
aplicação da Matriz de Risco.

4.3.1 Avaliação de Riscos e Controles

4.3.1.1 Verificação do controle quanto ao desenho

Os controles serão verificados quanto ao desenho nas seguintes perspectivas:

Desenho do Controle

(1) O Controle não é sistematizado

(2) Há procedimento de controle para algumas atividades, porém informais

(3) Controles não foram planejados formalmente, mas são executados de acordo com a
experiência dos servidores

(4) É desenhado um sistema de controle integrado adequadamente planejado,


discutido e documentado. O sistema de controle vigente é eficaz, mas não prevê
revisões periódicas;

(5) O sistema de controle é eficaz na gestão de riscos. Foi adequadamente planejado,


discutido, testado e documentado com correções ou aperfeiçoamentos planejados
de forma tempestiva.

4.3.1.2 Verificação do controle quanto à operação

Os controles serão verificados quanto à operação nas seguintes perspectivas:

Operação do Controle

(1) Controle não executado

(2) Controle parcialmente executado e com deficiências

(3) Controle parcialmente executado

(4) Controle implantado e executado de maneira periódica e quase sempre uniforme.


Avaliação dos controles é feita com alguma periodicidade

(5) Controle implantado e executado de maneira uniforme pela equipe e na frequência


desejada. Periodicamente os controles são testados e aperfeiçoados.

24
Assessoria
Especial de
Controle Interno
Manual de Gestão Integrada de Riscos Corporativos - MF

A aba Mitigação de Risco, no Sistema do MF, traz o formulário eletrônico para a


registro da realização desta etapa (Anexos 3A e 3B).

Ressalta-se que a avaliação da eficácia do controle cabe à Auditoria Interna. No


mapeamento de riscos a verificação da qualidade do desenho e da aplicação do
controle tem a finalidade de subsidiar a mensuração do risco, no momento em que
está sendo analisado (risco residual).

4.3.2 Matriz de Riscos

4.3.2.1 Cálculo da nota de rating

Para auxiliar o gestor na tomada de decisão com base nos resultados da análise dos
riscos e definir quais riscos são objeto de tratamento e prioridade para a
implementação de ações foi criada a nota de rating.

No modelo desenvolvido pela Frente Gestão de Riscos do MF, o cálculo da nota de


rating leva em consideração a agregação da severidade (nível de risco – aplicação
da Matriz de Risco), o volume de ocorrência e a frequência de execução do
processo.

Cada risco avaliado, considerando a apreciação das causas e a qualidade do


desenho e da operação do controle, é submetido à Matriz de Risco (probabilidade x
impacto).

Outro aspecto importante a ser observado no momento da aplicação da Matriz de


Risco é quanto à atuação do controle, preventiva ou corretiva, fator preponderante
na atribuição da probabilidade e do impacto.

25
Assessoria
Especial de
Controle Interno
Manual de Gestão Integrada de Riscos Corporativos - MF

Assim, o 1º componente da nota de rating obtém-se com a aplicação da Matriz de


Riscos. Já a agregação do 2º e do 3º componente é realizada a partir das
informações registradas no sistema quanto ao volume de ocorrências e a frequência
de execução do processo.

A Matriz de Riscos considera as seguintes possibilidades:

Escala Probabilidade

RARA Pode ocorrer em circunstâncias excepcionais


POUCO PROVÁVEL Pequena possibilidade de ocorrer
PROVÁVEL Provável que ocorra em várias circunstâncias
ALTA Deve ocorrer em algum momento

Escala Impacto

GRANDE Poderá comprometer o alcance total do objetivo do processo


MODERADO Poderá comprometer o alcance de parte relevante do objetivo do
processo
PEQUENO Poderá comprometer o alcance de parte não relevante do objetivo do
processo
INSIGNIFICANTE Poderá comprometer de forma insignificante o objetivo do processo

Probabilidade RARA POUCO PROVÁVEL ALTA


PROVÁVEL
Impacto 2 3 4 5
GRANDE 6 12 18 24 30
MODERADO 4 8 12 16 20
PEQUENO 3 6 9 12 15
INSIGNIFICANTE 2 4 6 8 10

Resultado da Aplicação da Matriz de Risco


(Nível de Risco)

A De 4 a 9 Baixo

B De 10 a16 Médio

C De 18 a 30 Alto

O volume de ocorrências poderá ser obtido por meio de dados históricos, se houver,
e/ou com conhecimento do gestor, e a frequência de execução do processo poderá
ser obtida com os dados do mapeamento e/ou com o conhecimento dos

26
Assessoria
Especial de
Controle Interno
Manual de Gestão Integrada de Riscos Corporativos - MF

responsáveis pela execução do processo.

Desta forma, primeiro aplica-se a Matriz de Risco para se obter o nível de risco: A, B
ou C (1º componente do rating), em seguida identifica-se o Volume de Ocorrências:
a, b ou c (2º componente do rating) e, por fim, as informações sobre a frequência de
execução do processo: “++”, “+” ou “-” (3º componente do rating), chegando-se a
Nota de Rating, instrumento que auxilia o gestor na tomada de decisão quanto ao
tratamento a ser dado ao risco identificado.

4.3.2.2 Descrição das notas de rating

Nota Descrição

Aa++ Baixo nível de risco, baixo volume de ocorrências risco e baixa frequência de execução do processo
Aa+ Baixo nível de risco, baixo volume de ocorrências risco e média frequência de execução do processo
Aa- Baixo nível de risco, baixo volume de ocorrências risco e alta frequência de execução do processo

Ab++ Baixo nível de risco, médio volume de ocorrências risco e baixa frequência de execução do processo
Ab+ Baixo nível de risco, médio volume de ocorrências risco e média frequência de execução do processo
Ab- Baixo nível de risco, médio volume de ocorrências risco e alta frequência de execução do processo

Ac++ Baixo nível de risco, alto volume de ocorrências risco e baixa frequência de execução do processo
Ac+ Baixo nível de risco, alto volume de ocorrências risco e média frequência de execução do processo
Ac- Baixo nível de risco, alto volume de ocorrências risco e alta frequência de execução do processo

Ba++ Médio nível de risco, baixo volume de ocorrências risco e baixa frequência de execução do processo
Ba+ Médio nível de risco, baixo volume de ocorrências risco e média frequência de execução do processo
Ba- Médio nível de risco, baixo volume de ocorrências risco e alta frequência de execução do processo

Bb++ Médio nível de risco, médio volume de ocorrências risco e baixa frequência de execução do processo
Bb+ Médio nível de risco, médio volume de ocorrências risco e média frequência de execução do processo
Bb- Médio nível de risco, médio volume de ocorrências risco e alta frequência de execução do processo

Bc++ Médio nível de risco, alto volume de ocorrências risco e baixa frequência de execução do processo
Bc+ Médio nível de risco, alto volume de ocorrências risco e média frequência de execução do processo
Bc- Médio nível de risco, alto volume de ocorrências risco e alta frequência de execução do processo

Ca++ Alto nível de risco, baixo volume de ocorrências risco e baixa frequência de execução do processo
Ca+ Alto nível de risco, baixo volume de ocorrências risco e média frequência de execução do processo
Ca- Alto nível de risco, baixo volume de ocorrências risco e alta frequência de execução do processo

Cb++ Alto nível de risco, médio volume de ocorrências risco e baixa frequência de execução do processo
Cb+ Alto nível de risco, médio volume de ocorrências risco e média frequência de execução do processo
Cb- Alto nível de risco, médio volume de ocorrências risco e alta frequência de execução do processo

Cc++ Alto nível de risco, alto volume de ocorrências risco e baixa frequência de execução do processo
Cc+ Alto nível de risco, alto volume de ocorrências risco e média frequência de execução do processo
Cc- Alto nível de risco, alto volume de ocorrências risco e alta frequência de execução do processo

27
Assessoria
Especial de
Controle Interno
Manual de Gestão Integrada de Riscos Corporativos - MF

4.4. Tratamento de Risco

Segundo o item 2.251 da ABNT NBR ISO 31000/2009, o tratamento de riscos é o


processo para modificar o risco, e pode envolver: a ação de evitar o risco pela
decisão de não se iniciar ou descontinuar a atividade que dá origem ao risco;
assumir o risco; a remoção da fonte de risco; a alteração da probabilidade; a
alteração da consequência; o compartilhamento do risco com outra parte ou partes
(incluindo contrato e financiamento do risco); e a retenção do risco por uma escolha
consciente.

O modelo desenvolvido pela Frente de Gestão de Riscos sugere três ações


(Aceitar, Mitigar e Evitar) para responder aos riscos, em função da nota de rating
obtida, conforme figura abaixo:

4.4.1 Plano de Implementação de Controles

Depois de identificados e mensurados, deve-se definir qual o tratamento a ser dado


aos riscos. De acordo com o item 5.5.1 da ABNT NBR ISO 31000/2009, o

1
ABNT - Tratamento de riscos – Processo para modificar o risco – Análise de Riscos
(2.1)

28
Assessoria
Especial de
Controle Interno
Manual de Gestão Integrada de Riscos Corporativos - MF

tratamento de riscos envolve a seleção de uma ou mais opções para modificar os


riscos.

As opções previstas no Modelo de Gerenciamento de Riscos do MF (Aceitar,


Mitigar ou Evitar), oriundas das notas de rating, servem de base para a tomada de
decisão do gestor nas ações a serem adotadas. Entretanto, nos casos em que o
gestor decidir por não promover ação ou adotar alguma providência para as notas
de rating que apontam para a ação de Mitigar ou Evitar, essa decisão deverá ser
formalmente justificada.

A finalidade da elaboração do Plano de Implementação de Controles é documentar


as opções de tratamento que serão adotadas, para tanto, o gestor deverá levar em
consideração:

O gestor deverá adotar ações (controle novo ou melhorar controle existente) e


registrá-las em formulário eletrônico disponibilizado no Sistema de Gestão Integrada
de Riscos Corporativos do MF, aba Tratamento de Risco (Anexo 4A).

O formulário permitirá ao gestor informar o tipo de plano (adotar um controle novo ou


melhorar um controle existente); descrever a ação; informar o responsável pela
implementação da ação; como se dará a implementação da ação, início e fim, bem
como estabelecer sua Meta de Rating.

Visando auxiliar o gestor na proposição das ações de tratamento, que irão compor o
Plano de Implementação de Controles, foi disponibilizada uma lista de controles
básicos (Anexo 4B), vinculados aos fatores e subfatores do risco operacional.

É importante que os gestores, tomadores de decisão, estejam cientes da natureza e

29
Assessoria
Especial de
Controle Interno
Manual de Gestão Integrada de Riscos Corporativos - MF

da extensão do risco após seu tratamento. Desta forma, o modelo prevê o registro
da Meta de Rating. Esta Meta representa a nota que o gestor espera atingir com as
ações propostas em seu Plano.

4.4.2 Mapa de Risco

Para permitir ao gestor e as partes interessadas conhecerem o resultado do


mapeamento de riscos foi desenvolvido o Mapa de Risco, que é uma planilha
eletrônica disponibilizada no Sistema do MF. Atualmente o Mapa de Risco apresenta
o resultado das quatro primeiras etapas do ciclo de gerenciamento de riscos, ou
seja, até a etapa Tratamento de Risco.

A sequência dos dados no Mapa de Risco é a seguinte: (i) os riscos são vinculados
ao processo/macroprocesso/valor da Cadeia de Valor integrada do MF; (ii) o foco da
análise (dimensão, tipo e fator de risco); (iii) o resultado da avaliação dos riscos e
controles (causas e controles); (iv) o resultado da mensuração dos riscos (Nota de
Rating); (v) as ações para tratamento; (vi) a meta de rating estabelecida pelo gestor.

O Mapa de Risco consta da aba Monitoramento do Sistema do MF e é gerado em


planilha Excel (Anexo 4B).

Conforme mencionado anteriormente, as duas últimas etapas do Ciclo de Gestão de


Riscos do MF, Monitoramento e Reporte Gerencial, estão em desenvolvimento e tão
logo concluídas farão parte deste manual.

30
Assessoria
Especial de
Controle Interno
Manual de Gestão Integrada de Riscos Corporativos - MF

4.5. Monitoramento

Em desenvolvimento.

Tipo de
O que Monitorar O que Acompanhar Como Quando
Monitoramento

Atribuindo sinalizadores: Bandeira Verde = implantado, Bandeira Amarela = no prazo e


Melhoria do Controle Contínuo Bimestral
Bandeira Vermelha = em atraso, para o estágio de desenvolvimento das ações

Plano de Ação de
Implementação de Atribuindo sinalizadores: Bandeira Verde = implantado, Bandeira Amarela = no prazo e
Adoção de Controle Novo Contínuo Bimestral
Controles Bandeira Vermelha = em atraso, para o estágio de desenvolvimento das ações

Projeto (quando necessário


Obtendo da área de projetos informações sobre o projeto elaborado para tratar um
elaborar um projeto para Contínuo Semestral
determinado risco
mitigar um risco)

1 - cruzamento da nota de rating do 2º ciclo X com a mota do 1º ciclo, e


Eficácia do controle Nota de rating Contínuo Semestral
2 - comparação entre a nota de rating do 2º ciclo X a meta de rating atribuida pelo gestor

1 - Riscos (materializados)
1 - sempre que
registrados no sistema de 1 - Emissão de alerta do sistema de risco para o gestor do processo e para o representante
houver registro no
riscos de risco da área;
Eventos de Riscos sistema
2 - Riscos (constatações) Contínuo 2 - Verificação dos registros nos relatórios da ouvidoria (nesse caso, verificar a possibilidade
(riscos materializados) 2 - a cada emissão
registrados nos relatórios de de o gestor fazer uma marcação no registro de forma que gera um relatório específico para
de relatório de
auditoria e registros na cada gestor com os riscos de sua área).
auditoria
ouvidoria

Processo de Gestão de Avaliações


Resultado das Autoavaliações Aplicação de questionário de autoavaliação acompanhado de roteiro auxilar Anual
Riscos Independente

31
Assessoria
Especial de
Controle Interno
Manual de Gestão Integrada de Riscos Corporativos - MF

4.6. Reporte Gerencial

Em desenvolvimento.

Reporte
Informação em diferentes níveis
CADEIA DE VALOR
MACROPROCESSOS
N UNIDADE ORGANIZACIONAL
Í PROCESSOS
V DIMENSÃO DE RISCO
E TIPO DE RISCO
E O
L S E G P FATOR DE RISCO

T X E E TAXIONOMIA DE RISCO

D R E R R EVENTO DE RISCO
A C E A
E RISCO
T U N C
RATING
É T C I
> SEVERIDADE
R G I I O
> VOLUME DE OCORRÊNCIAS
E I V A N
> FREQUENCIA DE EXECUÇÃO DO PROCESSO
C O L A
P O L PLANO DE MITIGAÇÃO DE RISCOS
O META DE RATING
R MAPA DE RISCO
T Gestor de riscos do processo (visão processo interno)

E Gestores intermediários e escritório de apoio à gestão de risco ou representante de riscos nos órgãos
Principais gestores dos órgãos
Conselho e alta administração (visão MF - sala de situação)

32
Assessoria
Especial de
Controle Interno
Manual de Gestão Integrada de Riscos Corporativos - MF

REFERÊNCIAS

IBGC, Guia de Orientação para Gerenciamento de Riscos Corporativos.

COSO. Gerenciamento de Riscos Corporativos – Estrutura Integrada. 2007.


Tradução: Instituto dos Auditores Internos do Brasil (Audibra) e Pricewaterhouse
Coopers Governance, Risk and Compliance, Estados Unidos da América, 2007.

INTOSAI GOV 9100. Guidelines for Internal Controls Standards for the Public Sector.
2004. Disponível em: < http://www.intosai.org/en/issai-executive-summaries/intosai-
guidance-for-good-governance-intosai-gov.html >. Acesso em 28 out. 2015.

ISO (ISO - International Organization for Standardization). ISO 31000 – Risk


Management System – Principles and Guidelines. Tradução: Associação Brasileira
de Normas Técnicas (ABNT) Projeto 63:000.01- 001. Agosto, 2009.

ISO (ISO - International Organization for Standardization). ISO Guide 73, Vocabulary
for Risk Management, 2009.

TCU. Avaliação de controles internos na administração pública federal. 2012.


Disponível em http://portal2.tcu.gov.br/portal/pls/portal/docs/2436815.PDF. Acesso
em 14.set.2013.

Manual de GERENCIAMENTO DE RISCOS, Secretaria da Receita Federal do


Brasil, novembro de 2012.

Relatório de Gestão de Riscos e Principais Modelos Conceituais, Programa de


Modernização integrada do Ministério da Fazenda/PMIMF, janeiro de 2014.

33
Assessoria
Especial de
Controle Interno
Manual de Gestão Integrada de Riscos Corporativos - MF

ANEXO 1A – Análise de Contexto/1ª Parte

34
Assessoria
Especial de
Controle Interno
Manual de Gestão Integrada de Riscos Corporativos - MF

ANEXO 1B – Análise de Contexto/2ª Parte

35
Assessoria
Especial de
Controle Interno
Manual de Gestão Integrada de Riscos Corporativos - MF

ANEXO 2A – Identificação de Risco/Dimensão e Tipo de Risco

ANEXO 2B – Identificação de Risco/Perguntas Orientadoras

Dimensão Tipo de Risco Fator de Risco Perguntas Orientadoras


Existem ameaças associadas à possibilidade de perda
Processos resultante da ocorrência de falha, deficiência ou
inadequação de processos?
Risco
Funcional Existem ameaças associadas à possibilidade de perda
Operacional
Pessoas resultante da ocorrência de falha, deficiência ou
inadequação de pessoas?
Ambiente Existem ameaças associadas à possibilidade de perda

36
Assessoria
Especial de
Controle Interno
Manual de Gestão Integrada de Riscos Corporativos - MF

Dimensão Tipo de Risco Fator de Risco Perguntas Orientadoras


Tecnológico resultante da ocorrência de falha, deficiência ou
inadequação de ambiente tecnológico?
Existem ameaças associadas à possibilidade de perda
Eventos
resultante da ocorrência de falha, deficiência ou
Externos
inadequação de eventos externos?
Existe o risco de descontinuidade neste processo ao
Descontinuidade
ponto de comprometer o alcance deste valor?
Risco
Estratégico Existe o risco de indisponibilidade de recursos neste
Indisponibilidade
processo ao ponto de comprometer o alcance deste
de Recursos
valor?
Existe o risco de atraso no PROJETO vinculado a este
Risco de Atraso processo ao ponto de comprometer o alcance deste
Projeto (Existe valor?
PROJETO Existe o risco de indisponibilidade de recursos no
Indisponibilidade
Estratégica vinculado a este PROJETO vinculado a este processo ao ponto de
de Recursos
processo para comprometer o alcance deste valor?
atingimento do Perda de Existe o risco de perda de patrocínio no PROJETO
valor?) Patrocínio vinculado a este processo ao ponto de comprometer o
alcance deste valor?
Mudanças Existe risco de mudanças internas neste processo ao
Risco de Internas ponto de comprometer o alcance deste valor?
Conjuntura Mudanças Existe risco de mudanças externas neste processo ao
Externas ponto de comprometer o alcance deste valor?
Existe o risco de flutuações de mercado na taxa de juros
Taxa de Juros neste processo ao ponto de comprometer o alcance
deste valor?
Existe o risco de flutuações de mercado na taxa de
Taxa de Câmbio câmbio neste processo ao ponto de comprometer o
alcance deste valor?

Risco de Existe o risco de flutuações de mercado nos preços dos


Títulos Públicos títulos públicos neste processo ao ponto de
Mercado
comprometer o alcance deste valor?
Existe o risco de flutuações de mercado no preço das
Participações
ações da união neste processo ao ponto de
Societárias
comprometer o alcance deste valor?
Existe o risco de variações nos indicadores
Indicadores
econômicos neste processo ao ponto de comprometer o
Econômicos
alcance deste valor?
Econômica Existe risco de default neste processo ao ponto de
Inadimplência
comprometer o alcance deste valor?
Existe risco de default na execução das garantias
Garantias
Risco de associadas neste processo ao ponto de comprometer o
Associadas
Crédito alcance deste valor?
Existe risco de litígio de créditos neste processo ao
Litígio ponto de comprometer o alcance deste valor?

Existe risco de descasamento entre a entrada de


Entrada de recursos e obrigações a pagar originado pela incerteza
Recursos acerca da entrada de recursos ao ponto de comprometer
o alcance deste valor?
Risco de Existe risco de descasamento entre a entrada de
Liquidez Exigência de recursos e obrigações a pagar originado pela incerteza
Caixa de caixa ao ponto de comprometer o alcance deste
valor?

37
Assessoria
Especial de
Controle Interno
Manual de Gestão Integrada de Riscos Corporativos - MF

Dimensão Tipo de Risco Fator de Risco Perguntas Orientadoras


Existe risco de descasamento entre a entrada de
Desvalorização recursos e obrigações a pagar originado pela
de Ativos desvalorização de ativos ao ponto de comprometer o
alcance deste valor?
Mudanças Existe risco de mudanças internas neste processo ao
Risco de Internas ponto de comprometer o alcance deste valor?
Conjuntura Mudanças Existe risco de mudanças externas neste processo ao
Externas ponto de comprometer o alcance deste valor?

38
Assessoria
Especial de
Controle Interno
Manual de Gestão Integrada de Riscos Corporativos - MF

ANEXO 2C – Identificação de Risco/Taxonomia de Riscos

Risco Operacional
Fator Subfator e Exemplos de Riscos (Taxonomia)
COMUNICAÇÃO INTERNA:
 Os insumos e as informações não são recebidos em tempo adequado para a
execução do processo
 Ausência de padrões mínimos definidos para a execução do processo
 Erros e falhas de informações que afetam a execução do processo
MODELAGEM:
 Fluxo desatualizado e não reflete a prática atual utilizada na execução do processo
 Ausência de avaliações periódica sobre a adequabilidade do desenho do processo
 Ausência ferramenta para análise e melhoria contínua do processo
PROCESSOS  Falha ou falta de metodologia que auxilie no mapeamento do processo
SEGURANÇA FÍSICA:
 Falha ou falta de segurança no ambiente de trabalho que afeta a execução do
processo
 Acesso a áreas consideradas como críticas sem que as pessoas estejam devidamente
credenciadas e identificadas
ADEQUAÇÃO À LEGISLAÇÃO:
 Descumprimento de prazos legais na execução do processo
 Ausência de compilação e distribuição de legislação pertinente ao processo em
execução
 Execução do processo em desacordo com o regimento interno/normas
 Descumprimento de prazo judicial na execução do processo
 Descumprimento de obrigação regulatória na execução do processo
CARGA DE TRABALHO:
 Rotatividade (turnover) de pessoal acima do esperado que afeta a execução do
processo
 Capacidade operacional insuficiente para a execução do processo
 Falha ou falta de dimensionamento da capacidade operacional com impacto na
execução do processo
COMPETÊNCIAS:
 Capacitação da equipe é insatisfatória para a execução do processo
 Concentração de conhecimentos em determinados servidores afetando a execução do
processo
 Falha ou falta de disseminação de conhecimento afetando a execução do processo
PESSOAS  Falha ou falta de capacitação que afeta a execução do processo
AMBIENTE ORGANIZACIONAL:
 Ausência de satisfação e/ou de bem-estar do servidor na execução de sua tarefa
 Desconhecimento dos objetivos do processo por parte dos Servidores
 Servidores desconhecem as suas responsabilidades individuais na execução do
processo
 Ausência de recursos necessários para execução das tarefas
 Resistência de Servidores em promover alterações nas condições de trabalho
CONDUTA:
 Ausência de postura ética nas atividades e nos relacionamentos interpessoais
 Falta de atenção e zelo na execução do processo
 Ausência de imparcialidade, cumprimento das leis e normas/regulamentares,
confidencialidade e comprometimento na execução do processo
 Quebra de sigilo e confidencialidade
SEGURANÇA LÓGICA:
 Ausência de estrutura de perfis de acesso aos sistemas para execução do processo
 Ausência de controle de acesso lógico
 Ausência de logon próprio na rede institucional
 Falha ou falta de meios seguros de acesso aos sistemas
 Inexistência de registro nos sistemas (log) das transações críticas
 Ausência de formalização que defina as responsabilidades do usuário externo do

39
Assessoria
Especial de
Controle Interno
Manual de Gestão Integrada de Riscos Corporativos - MF

Risco Operacional
Fator Subfator e Exemplos de Riscos (Taxonomia)
sistema
 Incapacidade do sistema de prover informações confiáveis e suficientes sobre o
processo em execução
INFRAESTRUTURA TECNOLÓGICA:
 Grau de informatização do processo inadequado para execução do processo
 Informações e dados armazenados em diretórios não protegidos e sem controle de
AMBIENTE acesso
TECNOLÓGICO  Ausência de backup de arquivos, planilhas e bancos de dados essenciais à execução
do processo
 A estação de trabalho não possui acionado dispositivo de time-out
 Descarte de mídias sem antes terem apagados os com conteúdo reservado
 Sobrecarga de sistemas de processamento de dados no momento da execução do
processo
 Inadequação de sistemas operacionais/aplicativos para execução do processo
 Falhas de hardware, faltas de backup e de legalização do software afetando a
execução do processo
 Obsolescência dos sistemas e equipamentos afetando a execução do processo
 Ataques lógicos à rede de computadores afetando a execução do processo
SOLUÇÃO DE TI:
 Inexistência de controle nas requisições e nas melhorias requeridas nos sistemas cuja
falta de implementação afeta a execução do processo
 Falha ou falta de homologação de sistema impedindo a execução do processo de
forma automatizada
COMUNICAÇÃO:
 Instabilidade nos sistemas operacionais que afeta a execução do processo
 Incompatibilidade e/ou indisponibilidade de informações afetando a execução do
processo
DESASTRES NATURAIS E CATASTROFE:
 Ação Humana: ações intencionais executadas por terceiros para lesar o órgão, como
por exemplo:
(i) roubos, falsificações, furtos, atos de vandalismos, fraudes externas; (ii) degradação
do meio ambiente; e (iii) alterações no ambiente econômico, político e social
EVENTOS  Força Maior:
EXTERNOS (i) enchentes, terremotos, catástrofes (queda de prédio) e outros desastres naturais
AMBIENTE REGULATÓRIO:
 Alterações inesperadas na legislação ou em marcos regulatórios pelos órgãos
fiscalizadores e reguladores
AMBIENTE SOCIAL:
 Cenário socioeconômico interfere na execução do processo
 Retrações ou não-aproveitamento de oportunidades de mercado provocadas por
eventos relacionados a segurança patrimonial que impede a execução do processo
FORNECEDORES:
 Indisponibilidade de recursos em virtude de concentração em um único fornecedor
que impede a execução do processo
 Falhas ou indisponibilidade de serviços públicos que afeta a execução do processo

40
Assessoria
Especial de
Controle Interno
Manual de Gestão Integrada de Riscos Corporativos - MF

ANEXO 3A – Mensuração de Risco/Avaliação de Riscos e Controles

41
Assessoria
Especial de
Controle Interno
Manual de Gestão Integrada de Riscos Corporativos - MF

ANEXO 3B – Mensuração de Risco/Matriz de Riscos

42
Assessoria
Especial de
Controle Interno
Manual de Gestão Integrada de Riscos Corporativos - MF

ANEXO 4A – Tratamento de Risco/Plano de Implementação de Controles

43
Assessoria
Especial de
Controle Interno
Manual de Gestão Integrada de Riscos Corporativos - MF

ANEXO 4B – Controles Básicos

Fator Subfator Controles Básicos


Pessoas Planejamentos de longo, médio e curto prazos
Acordo de Trabalho
Carga de Trabalho
Pesquisa de Clima Organizacional
Reuniões Participativas
Identificação da Necessidade de Conhecimento / Habilidades
Atividades de Treinamento
Competência
Normas e Procedimentos Internos
Ferramentas de autoavaliação de Conhecimento / Habilidades
Pesquisa de Clima Organizacional
Ambiente Condições Ambientais
Organizacional Comunicação com a Administração
Processo de Gerenciamento de Equipes
Valores Éticos e Normas de Conduta da Empresa
Alçadas e Limites
Mecanismos de Motivação/Recompensa /Punição – Práticas de Disciplina e
Demissão
Reconhecimento de Responsabilidade por Escrito
Conduta
Conferências e Autorizações
Rodízio de Funcionários
Segregação de Funções
Testes de Conformidade
Canais de Comunicação – Com clientes
Processos Comunicação Canais de Comunicação – Com funcionários
Interna Normas e Procedimentos Internos
Ferramentas para Análise e Melhoria Contínua de Processos
Metodologia de Autoavaliação de Riscos e Controles
Metodologia de Desenvolvimento de Produtos e Serviços – CARPIS
Modelagem Validações – Backtesting
Normas e Procedimentos Internos
Metodologia de Autoavaliação de Riscos e Controles
Mecanismos de Monitoramento e Reporte
Mecanismos de Segurança Física
Segurança Física Controles de Acesso Físico
Manutenção de Equipamentos
Adequação à Testes de Conformidade
Legislação Normas e Procedimentos Internos
Ambiente Políticas e Diretrizes
Tecnológico Segurança Lógica Controles de Acesso Lógico
Arquivo e Preservação de Registros
Manutenção de Equipamentos
Layout de formulários e Sistemas
Infraestrutura e Planos de Contingência
Tecnologia Layout de Formulários e Sistemas
Validações - Backtesting
Atividades de Treinamento
Planos de Contingência
Comunicação
Manutenção de Equipamentos
Eventos Desastres Naturais Planos de Contingência
Externos e Catástrofe Atividades de Treinamento
Ambiente
Análise da Conjuntura Política e Econômica Nacional e Internacional
Regulatório
Ambiente Social Análise da Conjuntura Política e Econômica Nacional e Internacional
Fornecedores Controles de Serviços Terceirizados

44
Assessoria
Especial de
Controle Interno
Manual de Gestão Integrada de Riscos Corporativos - MF

ANEXO 4C – Monitoramento/Mapa de Risco

Meta de Rating: corresponde à expectativa


de rating que se espera alcançar após a
implementação dos controles necessários.

45
Assessoria
Especial de
Controle Interno