Escolar Documentos
Profissional Documentos
Cultura Documentos
Sumário 2
Siglas 7
Glossário 8
1 Introdução 13
1.1 Objetivo 14
1.2 Escopo e abrangência 14
1.3 Frequência 15
2 Sistema de Gestão de Riscos Estratégicos do MCTIC 16
2.1 Instâncias, Papéis, Atores e Competências 16
2.1.1 Governança Estratégica 16
2.2.1.1 Conselho de Governança Ministerial 16
2.2.1.1.1 Comitê de Governança, Integridade, Gestão de Riscos e
Controles Internos do MCTIC 16
2.2.1.1.2 Secretaria Executiva do COGIR-MCTIC 17
2.2.2 Direção Executiva 17
2.2.2.1 Gabinentes de Secretários de Estado 18
2.2.2.2 Gabinentes dos Dirigentes de Unidades Organizacionais Externas 18
2.2.2.3 Secretarias Executivas dos Arranjos Executivos Específicos 18
2.2.3 Linhas de Defesa 18
2.2.3.1 3º Linha de Defesa 18
2.2.3.1.1 Assessoria Especial de Controle Interno 18
2.2.3.2 2º Linha de Defesa 19
2.2.3.2.1 Núcleo de Gestão de Riscos Estratégicos 19
2.2.3.3 1º Linha de Defesa 19
2.2.3.3.1 Unidades Setoriais de Governança e Gestão de Riscos (USGs)
20
2.2.5 Auditoria Externa 20
2.1 Artefatos do Framework 21
2.1.1 Planos 21
2.1.1.1 Plano de Gestão de Riscos Estratégicos do MCTIC 21
2.1.1.3 Plano de Respostas aos Riscos Estratégicos 22
2.1.2 Relatórios 22
2
2.1.2.1 Relatório de Avaliação da Gestão de Riscos Estratégicos do
MCTIC 22
2.1.2.2 Relatório de Avaliação da Gestão de Riscos Estratégicos Setorial
22
3. Processo 23
3.1 Entendimento do Contexto 27
3.2 Identificação de Riscos 28
3.3 Análise de Riscos 30
3.4 Avaliação de Riscos 32
3.5 Definição de Respostas aos Riscos 34
3.6 Controle de Riscos 35
3.7 Comunicação 37
3.8 Monitoramento 38
4. Integrações 39
4.1 Gestão de Riscos Estratégicos e Planejamentos Estratégicos Institucionais 40
4.1.1 Ministério 40
4.1.1.1 Mapa Estratégico 40
4.1.1.1.1 Integração em tempo de Elaboração 41
4.1.1.1.2 Integração em tempo de Monitoramento 43
4.1.1.1.3 Integração em tempo de Avaliação e Revisão 44
4.1.1.2 Painéis de Contribuição 44
4.1.1.2.1 Integração em tempo de Elaboração 44
4.1.1.2.2 Integração em tempo de Monitoramento 46
4.1.1.2.3 Integração em tempo de Avaliação e Revisão 47
4.1.1.3 Esforços e Potfólios de Esforços Estratégicos 47
4.1.1.2.2 Integração em tempo de Monitoramento 49
4.1.1.2.3 Integração em tempo de Avaliação e Revisão 50
4.1.2 Unidades Vinculadas 50
4.2 Gestão de Riscos Estratégicos e Planejamentos Estratégicos Setoriais 51
4.1.1.2.1 Integração em tempo de Elaboração 51
4.1.1.2.2 Integração em tempo de Monitoramento 53
4.1.1.2.3 Integração em tempo de Avaliação e Revisão 54
4.3 Gestão de Riscos Estratégicos e Planejamentos Estratégicos Temáticos 54
4.1.1.2.1 Integração em tempo de Elaboração 54
4.1.1.2.2 Integração em tempo de Monitoramento 56
4.1.1.2.3 Integração em tempo de Avaliação e Revisão 57
5. Anexos 57
3
5.1 Fundamentos 57
5.1.1 Doutrina de Gestão de Riscos 57
5.1.1.1 Committee of Sponsoring Organizations of the Treadway Commission
(COSO) 57
COSO IC (COSO I) 57
COSO ERM (COSO II) 58
COSO ERM (COSO 2017) 60
5.1.1.2 ABNT NBR ISO 31000 62
Figura 18: Perspectiva de sistema (ISO, 2009). 62
5.1.2 Referencial do Governo Federal para a Gestão de Riscos 66
5.1.2.1 Política de Governança do Governo Federal (Decreto nº 9.203/17) 66
5.1.2.2 Controle Interno, Gestão de Riscos e Governança no âmbito do Poder
Executivo Federal (Instrução Normativa Conjunta Ministério do Planejamento
e Controladoria-Geral da União - MP/CGU Nº 01/16) 68
5.1.2.3 Política de Gestão de Integridade, de Riscos e Controles Internos no
Ministério da Ciência, Tecnologia, Inovações e Comunicações (Portaria
MCTIC Nº 1.740/18) 71
5.1.3 Benchmarks 75
5.1.3.1 Tribunal de Contas da União - TCU 75
5.1.3.2 Controladoria-Geral da União - CGU 76
5.1.3.3 Ministério da Economia - ME 77
5.1.4 Tendências em Gestão de Riscos e Riscos Estratégicos 77
5.1.4.1 Harvard Business School 78
Managing Risks: A New Framework 78
5.1.4.2 Strategic Risk Management Lab, Kellstadt Graduate School of Business,
DePaul University, Chicago 78
What Is Strategic Risk Management? 78
5.1.4.3 Edinburgh Business School, Heriot-Watt University 78
Module 4 - Strategic Risk, Strategic Risk Management 78
5.1.4.4 Banco Central do Brasil 78
Integration of Risk Management Into Strategic Planning: A New
Comprehensive Approach 78
6. Referências 79
4
Siglas
APF: Administração Pública Federal.
CGGR: Coordenação Geral de Gestão de Riscos Corporativos.
CIG: Comitê Interministerial de Governança.
CIG-ORGÃO: Comitê interno de Governança do órgão.
COGRC: Comitê de Governança, Riscos e Controle.
COGIR-MCTIC: Comitê de Governança, Integridade, Gestão de Riscos e Controles Internos do
Ministério da Ciência, Tecnologia, Inovações e Comunicações.
CTIC: Ciência, Tecnologia, Inovação e Comunicações.
DEPLE: Departamento de Planejamento Estratégico.
ENDES: Estratégia Nacional de Desenvolvimento Econômico e Social.
FGRE-MCTIC: Framework de Gestão de Riscos Estratégicos do Ministério da Ciência, Tecnologia,
Inovações e Comunicações.
GR: Gestão de Riscos.
GRC: Gestão de Riscos Corporativos.
GRE: Gestão de Riscos Estratégicos.
MCTIC: Ministério da Ciência, Tecnologia, Inovações e Comunicações.
NGRE-MCTIC: Núcleo de Gestão de Riscos do Ministério da Ciência, Tecnologia, Inovações e
Comunicações.
ODS: Objetivos de Desenvolvimento Sustentável.
PEI: Planejamento estratégico institucional.
PEI-MCTIC: Planejamento estratégico institucional do Ministério da Ciência, Tecnologia, Inovações e
Comunicações.
PGIRC-MCTIC: Política de Integridade, Riscos e Controles Internos do Ministério da Ciência,
Tecnologia, Inovações e Comunicações.
PLANO DE GRE DO MCTIC: Plano de Gestão de Riscos Estratégicos do Ministério da Ciência,
Tecnologia, Inovações e Comunicações.
PLANO DE RESPOSTAS: Plano de Respostas aos Riscos Estratégicos.
PG-APF: Política de Governança da Administração Pública Federal Direta, Autárquica e Fundacional.
RELATÓRIO DE ACOMPANHAMENTO: Relatório de Acompanhamento da Gestão de Riscos
Estratégicos do Ministério da Ciência, Tecnologia, Inovações e Comunicações ou Setorial.
RELATÓRIO DE ACOMPANHAMENTO DO MCTIC: Relatório de Acompanhamento da Gestão de Riscos
Estratégicos do Ministério da Ciência, Tecnologia, Inovações e Comunicações.
RELATÓRIO DE ACOMPANHAMENTO SETORIAL: Relatório de Acompanhamento da Gestão de Riscos
Estratégicos Setorial.
SEPLA: Secretaria de Planejamento, Cooperação, Projetos e Controle
SGRCI: Sistema de Gestão de Riscos e Controles Internos.
SGIRC-MCTIC: Sistema de Governança, Integridade, Gestão de Riscos e Controles Internos do
Ministério da Ciência, Tecnologia, Inovações e Comunicações.
PPA: Plano Plurianual.
USG: Unidade Setorial de Governança.
5
Glossário
Análise de Cenários: técnica utilizada como suporte a processos de planejamento de longo prazo,
centrada na construção de imagens de futuro condicionadas e fundamentadas em jogos coerentes de
hipóteses sobre os prováveis comportamentos das variáveis determinantes do objeto de
planejamento (GODET, 1983).
Apetite ao risco: quantidade de riscos em nível amplo que uma organização está disposta a aceitar
na busca de seus objetivos (INTOSAI, 2007); quantidade e tipos de riscos que uma organização está
preparada para buscar, reter ou assumir (ABNT, 2009).
Categoria de riscos: conjunto de riscos que possuem determinado atributo comum, que pode dizer
respeito: às funções, princípios ou responsabilidades afetadas pelas potenciais consequências dos
riscos - operações, comunicação, integridade, conformidade e proteção de ativos (COSO, 2004); aos
contextos de execução onde se originam as causas dos riscos - atividades, processos e projetos
(ABNT, 2018); ou qual perspectiva do(s) objetivo( s) da organização pode ser impactada pelos riscos -
validade estratégica ou capacidade de execução da estratégia pela organização (COSO, 2017).
Compromisso de gestão de riscos estratégicos: meta definida no plano de gestão de riscos
estratégicos do MCTIC quanto a aplicação do processo de GRE a um planejamento estratégico de uma
unidade organizacional da Rede MCTIC.
Consequência: resultado de um evento que afeta positiva ou negativamente os objetivos da
organização (TCU, 2018).
Controles internos: estruturas, normas, processos e outros mecanismos aplicados no âmbito de uma
organização para tratar os riscos que podem impactar um ou mais dos seus objetivos (COUTINHO,
2014).
Esforço: processo, programa ou projeto necessário para o alcance de um ou mais objetivos de uma
organização.
Esforço estratégico: esforço que suporta um ou mais objetivos estratégicos de uma organização, seja
diretamente ou por meio de um portfólio de esforços estratégicos.
Esforço operacional: esforço que não suporta nenhum objetivo estratégico de uma organização, seja
diretamente ou por meio de um portfólio de esforços estratégicos.
Estratégia do Ministério da Ciência, Tecnologia, Inovações e Comunicações: integração dos
planejamentos estratégicos existentes no âmbito da Rede MCTIC, que determina como o ministério
pretende cumprir as competências e missões atribuídas a si pela Constituição Federal e por outros
normativos federais, garantindo o alinhamento de sua atuação com as diretrizes e prioridades do
governo federal, definidas na Estratégia Nacional de Desenvolvimento Econômico e Social e no Plano
Plurianual.
6
Evento: um incidente ou uma ocorrência de fontes internas ou externas à organização, que podem
impactar a implementação da estratégia e a realização de objetivos de modo negativo, positivo ou
ambos (INTOSAI, 2007).
Framework: estrutura de suporte teórico, conceitual e metodológico em torno da qual um
assunto/temática pode ser construído/desenvolvido.
Gestão de integridade: medidas adotadas por uma organização para prevenir possíveis desvios de
conduta de seus membros no âmbito das atividades envolvidas na realização dos seus objetivos (PR,
2017).
Gestão de riscos: processo que compreende a identificação, análise, avaliação e controle das
ameaças e oportunidades que podem impactar os objetivos de uma organização.
Gestão de riscos estratégicos: processo de gestão de riscos a plicado aos riscos estratégicos.
Governança: estruturas, papéis e processos implantados e atribuídos para dirigir, administrar,
monitorar e informar as atividades da organização com o intuito de garantir que seus objetivos sejam
realizados (PR, 2017).
Instância de execução de processo de gestão de riscos estratégicos: aplicação do processo de gestão
de riscos estratégicos a um planejamento estratégico n
o âmbito de uma unidade organizacional da
Rede MCTIC.
Limite de tolerância aos riscos: representa o nível de criticidade limite a ser considerado na avaliação
dos riscos - superior ou inferior, a depender do viés do risco.
Limite de tolerância aos riscos estratégicos: representa o nível de criticidade limite a ser considerado
na avaliação dos riscos estratégicos - superior ou inferior, a depender do viés do risco estratégico
envolvido.
Meta de resultado: uma quantificação para um determinado intervalo de tempo, dos resultados
esperados como consequência direta da realização bem sucedida de um o bjetivo, portfólio ou
esforço.
Nível de criticidade: magnitude de um risco, expressa em termos da combinação da probabilidade de
ocorrência e do impacto estimado (ABNT, 2009).
Objetivo: uma posição a ser alcançada por uma organização em um intervalo de tempo, observável e
mensurável por meio de uma ou mais metas de resultado. No âmbito de uma organização pode ser
desdobrado diretamente em um ou mais portfólios de esforços, esforços e/ou outros objetivos e
assim sucessivamente.
Objetivo estratégico: uma posição estratégica a ser alcançada por uma organização em um intervalo
de tempo, ou seja, um objetivo que configura a estratégia da organização, que p
ode ser desdobrado
diretamente em um ou mais objetivos operacionais, portfólios de esforços estratégicos, esforços
estratégicos e/ou outros objetivos estratégicos, e assim sucessivamente.
7
Objetivo Operacional: uma posição a ser alcançada por uma organização em um intervalo de tempo.
Pode ser desdobrado diretamente em um ou mais portfólios de esforços operacionais, esforços
operacionais e/ou outros objetivos operacionais, e assim sucessivamente.
Objetivo estratégico de suporte: objetivo estratégico que é desdobrado a partir de outro objetivo
estratégico e portanto suporta a sua realização.
Objetivo estratégico objeto: objetivo estratégico alvo de uma instância de execução do processo de
gestão de riscos estratégicos no âmbito de uma unidade setorial de governança.
Oportunidade: possibilidade de que um evento afete positivamente o alcance de objetivos (TCU,
2018).
Organização: órgão público, setor ou rede.
Planejamento estratégico: produto do processo decisório que a partir da missão, visão de futuro
e/ou valores - institucionais, setoriais ou temáticas -, previamente estabelecidas por colegiado,
dirigente máximo ou legislação, estabelece e desdobra diretamente este referencial estratégico em
um ou mais objetivos operacionais, portfólios de esforços estratégicos, esforços estratégicos e/ou
objetivos estratégicos, e assim sucessivamente até alcançar seu último nível.
Plano de Gestão de Riscos Estratégicos do Ministério da Ciência, Tecnologia, Inovações e
Comunicações: artefato do framework que orienta a implantação, execução, desenvolvimento e
aprimoramento da gestão de riscos estratégicos em toda sua Rede.
Plano de Respostas aos Riscos Estratégicos: artefato do framework que orienta os esforços de
respostas aos riscos estratégicos de um planejamento estratégico.
Política: curso geral ou princípio de ação adotado ou proposto em relação a determinada questão ou
problema a ser enfrentado por uma organização.
Portfólio de Esforços: esforços selecionados e planejados pela organização para em conjunto
suportarem um ou mais objetivos.
Portfólio de Esforços Estratégicos: esforços selecionados e planejados pela organização para em
conjunto suportarem um ou mais objetivos estratégicos.
Portfólio de Esforços Operacionais: esforços selecionados e planejados pela organização para em
conjunto suportarem um ou mais objetivos operacionais.
Processo: conjunto de atividades inter-relacionadas ou interativas que transformam insumos
(entradas) em produtos/serviços (saídas) com valor agregado. São geralmente planejados e
realizados de maneira contínua para agregar valor na geração de produtos e serviços. Podem ser
agrupados em macroprocessos e subdivididos em subprocessos (TCU, 2018).
o âmbito de uma
Processo de gestão de riscos: processo especializado na gestão de riscos n
organização.
8
Processo de gestão de riscos estratégicos: processo de gestão de riscos adaptado e aplicado ao
subconjunto de riscos estratégicos.
Proprietário do risco: pessoa ou entidade com a responsabilidade e a autoridade para gerenciar o
risco no âmbito de uma organização.
Relacionamento de suporte: relacionamento entre um objetivo estratégico, objetivo operacional,
u esforço estratégico e um objetivo estratégico, em que o objetivo,
portfólio de esforços estratégicos o
portfólio ou esforço suporta a realização do objetivo estratégico, ou seja, em que o alcance de ao
menos uma meta de resultado do objetivo, portfólio ou esforço suporta o alcance de ao menos uma
meta de resultado do objetivo estratégico.
Micro-relacionamento de suporte: relacionamento entre uma meta de resultado de um objetivo
estratégico, objetivo operacional, portfólio de esforços estratégicos o u esforço estratégico e uma
meta de resultado de um objetivo estratégico, em que a meta de resultado do objetivo, portfólio ou
esforço suporta a realização da meta de resultado do objetivo estratégico.
Relatório de acompanhamento da gestão de riscos estratégicos do Ministério da Ciência,
Tecnologia, Inovações e Comunicações: artefato do framework que registra e relata o andamento da
implantação e da execução da gestão de riscos estratégicos no âmbito da Rede MCTIC, tendo como
referência o Plano de Gestão de Riscos Estratégicos do MCTIC.
Relatório de acompanhamento da gestão de riscos estratégicos setorial: artefato do framework que
registra e relata o andamento da implantação e da execução da gestão de riscos estratégicos no
âmbito da unidade organizacional, tendo como referência seus compromissos de GRE, estabelecidos
no Plano de Gestão de Riscos Estratégicos do MCTIC.
Risco: incerteza, de origem interna ou externa, no âmbito da área de atuação de uma organização
que, caso se concretize, pode impactar um ou mais de seus objetivos.
Risco-chave: são riscos que, em função do impacto potencial, devem ser conhecidos pela alta
administração (TCU, 2018).
Riscos estratégicos: riscos relacionados às incertezas inerentes às escolhas envolvidas na construção
dos planejamentos estratégicos de uma organização, que se dão nos ciclos sucessivos de definição e
desdobramento de objetivos estratégicos em um ou mais objetivos estratégicos, objetivos
operacionais, portfólios de esforços estratégicos e /ou esforços estratégicos, até alcançar seus últimos
níveis.
Risco inerente: risco a que uma organização está exposta sem considerar quaisquer ações gerenciais
que poderiam reduzir a sua probabilidade ou impacto (TCU, 2018).
Risco residual: risco a que uma organização está exposta após a implementação de ações gerenciais
para o tratamento do(s) risco(s) inerente(s) correspondentes (TCU, 2018).
9
Unidade organizacional: Secretaria, unidade de pesquisa ou outro tipo de unidade vinculada ao
MCTIC.
Unidade vinculada: agências, empresas públicas, institutos nacionais de ciência e tecnologia (INCT’s),
organizações sociais e unidades de pesquisa que, juntamente com as secretarias, compõem a Rede
MCTIC.
Validade estratégica: avaliação de um objetivo estratégico, grafo estratégico, planejamento
estratégico ou estratégia de uma organização quanto a seu alinhamento, pertinência e equilíbrio
estratégico, visando detectar e comunicar a necessidade de revisão do mesmo sob pena de sua
execução bem sucedida pela organização não levar a mesma ao destino desejado.
10
1. Introdução
O presente documento apresenta o Framework de Gestão de Riscos Estratégicos do
Ministério da Ciência, Tecnologia, Inovações e Comunicações (FGRE-MCTIC).
O MCTIC coordena a Rede MCTIC, que tem como membros as suas unidades organizacionais.
Esta rede possui um direcionamento para o cumprimento das competências e missões atribuídas ao
ministério pela Constituição Federal e por outros normativos federais, que deve ser refletido nos
planejamentos estratégicos existentes no âmbito desta Rede, que configuram a estratégia do MCTIC,
garantindo o alinhamento das atuações dos seus membros com as diretrizes e prioridades do
governo federal, definidas na ENDES e no PPA.
A estratégia do MCTIC depende de fatores internos e externos que são fontes de incertezas.
Algumas destas incertezas são classificadas como riscos que podem impactar o alcance das metas de
resultado dos objetivos estratégicos estabelecidos na estratégia do MCTIC. Estes riscos podem estar
relacionados a validade da estratégia ou a capacidade da organização para executá-la.
Os riscos estratégicos, foco deste framework, são aqueles que podem impactar a validade de
um ou mais objetivos estratégicos no âmbito da Rede MCTIC. Eles estão relacionados às incertezas
1
inerentes às escolhas que definem a estratégia do MCTIC , que se dão pela definição e integração2
dos planejamentos estratégicos existentes na Rede MCTIC. O processo de gestão dos riscos
estratégicos deve estar integrado aos processos de planejamento e gestão estratégica do MCTIC e
todos os membros de sua Rede.
Os demais riscos — operacionais, conformidade, comunicação, proteção de ativos, entre
outros —, são aqueles que podem potencializar ou comprometer a execução bem sucedida pela
organização da estratégia do MCTIC, no entanto, não são foco deste framework. Eles estão
relacionados às incertezas inerentes ao alcance das metas de resultado operacionais, de
conformidade, de comunicação, de proteção de ativos, entre outras, no âmbito dos objetivos e
esforços correspondentes. Estes riscos deverão ser foco de futuras expansões da GR no MCTIC.
Neste contexto, a Coordenação Geral de Gestão de Riscos Corporativos (CGGR) do
Departamento de Planejamento Estratégico (DEPLE) da Secretaria de Planejamento, Cooperação,
Projetos e Controle (SEPLA) deste Ministério apresenta o FGRE-MCTIC como documento de
referência para implantação, execução e melhoria contínua do Sistema de Gestão de Riscos
Estratégicos do MCTIC (SGRE-MCTIC) e do respectivo Processo de Gestão de Riscos Estratégicos em
toda a Rede MCTIC.
1
São exemplos de planejamentos estratégicos no âmbito do MCTIC e sua Rede: planejamento estratégico institucional do
ministério, planejamentos estratégicos institucionais das suas unidades de pesquisa e demais unidades vinculadas, política
nacional de inovação, estratégia nacional de ciência, tecnologia e inovação, estratégia nacional de transformação digital,
plano nacional de IoT, entre outros.
2
A relação de causa e efeito entre um objetivo estratégico, objetivo operacional, portfólio de esforços estratégicos ou
esforço estratégico e um objetivo estratégico é chamada de relacionamentos de suporte.
11
1.1 Objetivo
O FRGE-MCTIC tem como objetivo estabelecer um modelo referencial e orientar o
planejamento e implantação da gestão de riscos estratégicos (GRE) nas unidades organizacionais do
3
MCTIC que formam a sua Rede. Este modelo visa propor um sistema e processo de gestão integrada
de riscos estratégicos, que são aqueles que podem potencializar ou comprometer a validade da
estratégia do MCTIC, de modo a fortalecer a gestão estratégica institucional, setorial e temática,
contribuindo assim para que o ministério cumpra de forma otimizada às competências e missões
atribuídas a si pela Constituição Federal e por outros normativos federais, garantindo o alinhamento
de sua atuação, e dos membros de sua rede, com as diretrizes e prioridades do governo federal.
1.3 Justificativa
Riscos estratégicos são uma categoria muito específica, em relação às demais, pois, são
complexos e pouco previsíveis e preveníveis, geralmente associados a eventos externos à
organização e que, portanto, estão fora de sua área de influência ou controle. Nem sempre são
indesejados, pois, a decisão de se conviver ou não com estes riscos pode estar diretamente
relacionada com as decisões envolvidas no desenho da estratégia e, consequemente, na escolha dos
caminhos para a criação ou manutenção de valor pela organização. Os riscos estratégicos podem
impactar as relações de causa e efeito adotadas como premissas em tempo de desenho da estratégia
da organização (KAPLAN and MIKES, 2012).
Por serem complexos e pouco previsíveis e preveníveis, os riscos estratégicos usualmente se
materializam lentamente e silenciosamente, dificultando a detecção dos eventos de origem e,
eventualmente, limitando a janela de tempo para reação. Devido a relação com as decisões
3
Que permita uma integração tanto horizontal, entre os riscos estratégicos identificados nas unidades organizacionais,
como vertical, entre os riscos estratégicos e demais categorias de riscos corporativos.
12
estratégicas de longo prazo da organização, os riscos estratégicos podem gerar consequências de
longa duração e difícil reversão. Finalmente, por estarem diretamente relacionados com as premissas
de causa e efeito embutidas no desenho da estratégia da organização, os riscos estratégicos podem
se desencadear em cascata, sucessivamente, por todos as camadas, elementos e níveis da estratégia
da organização, com potencial de inviabilizá-la como um todo, no limite, ameaçando a própria
existência da organização.
Um estudo de Deloitte (2012) em relação às maiores organizações globais, no período de
2003 a 2012, aponta que 73% das causas principais de perdas drásticas foram derivadas de riscos
estratégicos, seguidos por riscos financeiros (17%) e operacionais (10%). Entretanto, o que vemos na
maioria das organizações é um modelo de GR mais focado nos riscos financeiros, operacionais, legais
e de conformidade.
O MCTIC é o órgão do governo federal responsável pelas políticas públicas de CTIC, que
usualmente são expressadas por meio de ciclos sucessivos de definição e desdobramento de
objetivos estratégicos e m outros objetivos estratégicos, objetivos operacionais, portfólios de esforços
estratégicos e/ou esforços estratégicos, que são cercados de múltiplas fontes e fatores de incertezas,
no âmbito dos diversos planejamentos estratégicos existentes na sua Rede, que podem se
materializar ao longo do tempo gerando impactos positivos ou negativos.
Dessa forma, o desenho de um framework e a implantação de um sistema de gestão de riscos
estratégico (SGRE) e do processo de gestão de riscos estratégicos no âmbito da Rede MCTIC faz-se
oportuna e necessária, pois dará mais coesão, robustez e adaptabilidade à estratégia do MCTIC, por
meio da gestão do riscos estratégicos r elacionados aos seus objetivos estratégicos, considerando os
relacionamentos de suporte inter e intra planejamentos estratégicos, aumentando as chances de que
o ministério cumpra de forma otimizada as competências e missões atribuídas a si pela Constituição
Federal e por outros normativos federais, garantindo o alinhamento de sua atuação, e dos membros
de sua rede, com as diretrizes e prioridades do governo federal, definidas na ENDES e PPA.
A longo prazo, a GRE deve contribuir para o aumento da resiliência do MCTIC, aumentando
gradativamente suas capacidades para antecipar e responder às mudanças externas, que podem
afetar o desempenho da organização e exigir mudanças na sua estratégia (COSO, 2017).
1.3 Frequência
A frequência de execução do processo de GRE, e de suas atividades, n o âmbito de cada
unidade organizacional e seus planejamentos estratégicos, deve ser suficiente para atender os ciclos
de avaliação dos planejamentos estratégicos correspondentes, de modo que as atividades de GRE
possam se integrar e contribuir harmonicamente com as atividades de elaboração, monitoramento,
avaliação e revisão destes planejamentos.
O ritmo de expansão do SGRE-MCTIC e consequentemente da sua cobertura aos
planejamentos estratégicos que compõem a estratégia do MCTIC será estabelecido no plano que
orientará a implementação da GRE no MCTIC e sua Rede. Este plano deverá ter a sua execução
13
monitorada continuamente e relatada semestralmente e ser avaliado, e eventualmente revisado,
anualmente.
14
2. Sistema de Gestão de Riscos Estratégicos do MCTIC
O Sistema de Gestão de Riscos Estratégicos do MCTIC (SGRE-MCTIC) estrutura, coordena e
disciplina a gestão de riscos estratégicos (GRE) no âmbito do MCTIC e sua Rede, de modo que a GRE
funcione de forma integrada, consistente e harmônica.
O SGRE-MCTIC é parte do Sistema de Governança, Integridade, Gestão de Riscos e Controles
Internos do MCTIC (SGIRC-MCTIC), definido pela Política de Integridade, Riscos e Controles Internos
do MCTIC. (PGIRC-MCTIC), institucionalizada pela Portaria MCTIC n° 1.740/18.
Dessa forma, os papéis e responsabilidades do SGRE-MCTIC são aqueles já existentes no
SGIRC-MCTIC, com eventuais extensões para o atendimento de questões específicas da GRE.
15
● Aprovar o FGRE-MCTIC e determinar a sua implementação e execução do SGRE-MCTIC;
● CTIC
Aprovar e determinar a execução do Plano de Gestão de Riscos Estratégicos do M
(PLANO DE GRE DO MCTIC);
● Aprovar a autorizar a divulgação das publicações do Relatório de Acompanhamento da
Gestão de Riscos Estratégicos do M CTIC (RELATÓRIO DE ACOMPANHAMENTO DO
MCTIC);
● Acompanhar o portfólio de riscos estratégicos chaves do MCTIC e tomar decisões
considerando as informações produzidas pelo SGRE-MCTIC;
2.2.1.1.1.1 Secretaria Executiva do COGIR-MCTIC
As responsabilidades da Secretaria Executiva do COGIR-MCTIC no SGRE-MCTIC são
especializações das suas responsabilidades originais (ver item 5.1.2) definidas pela PGIRC-MCTIC, com
os seguintes destaques:
● Avaliar, emitir parecer para o COGIR-MCTIC e divulgar o FGRE-MCTIC;
● Avaliar, emitir parecer para o COGIR-MCTIC, divulgar e garantir a execução do Plano de
Gestão de Riscos Estratégicos do M CTIC (PLANO DE GRE DO MCTIC) e dos Planos de
Respostas aos Riscos Estratégicos (PLANOS DE RESPOSTAS);
● Avaliar, emitir parecer para o COGIR-MCTIC, divulgar e garantir os encaminhamentos dos
achados das publicações dos Relatórios de Acompanhamento da Gestão de Riscos
Estratégicos (RELATÓRIOS DE ACOMPANHAMENTO) do M CTIC e de suas unidades
organizacionais;
● Emitir parecer para o COGIR-MCTIC sobre a situação do portfólio de riscos estratégicos
chaves do MCTIC.
2.2.2 Direção Executiva
É a instância composta pelos papéis e respectivos atores responsáveis pelo desdobramento e
implementação das políticas estabelecidas pelo Conselho de Governança. A Alta Gestão do MCTIC é
composta por 3 papéis: gabinetes de secretários de estado, gabinetes de dirigentes de unidades
organizacionais externas e as secretarias executivas de arranjos executivos específicos.
16
● Patrocinar a construção e analisar as publicações do Relatório de Acompanhamento da
Gestão de Riscos Estratégicos Setorial (RELATÓRIO DE ACOMPANHAMENTO SETORIAL) da
unidade organizacional;
2.2.2.1 Gabinentes de Secretários de Estado
São os gabinetes dos secretários responsáveis pelas Secretarias do MCTIC, ou seja, os
gabinetes dos titulares das SECEX, SEMPI, SEFAE, entre outros titulares.
2.2.2.2 Gabinentes dos Dirigentes de Unidades Organizacionais Externas
São os gabinetes dos dirigentes máximos das unidades de pesquisa, autarquias, agências,
empresas e demais tipos de unidades vinculadas em âmbito federal que são membros da Rede
MCTIC, ou seja, os gabinetes dos titulares do CEMADEN, INSA, Correios, CNPQ, CGEE, entre outros
titulares.
2.2.2.3 Secretarias Executivas dos Arranjos Executivos Específicos
São as secretarias executivas dos comitês, conselhos, grupos de trabalho ou outros tipos de
arranjos executivos criados e formalizados institucionalmente pelo MCTIC, internamente ou no
âmbito federal, competentes para desdobrar e implementar uma ou mais das políticas estabelecidas
pelo conselho de governança, ou parte de um delas.
17
como referência os seus compromissos de GRE, estabelecidos no PLANO DE GRE DO
MCTIC vigente;
● Determinar às unidades organizacionais a construção, analisar e aprovar as publicações
do Relatório de Acompanhamento da Gestão de Riscos Estratégicos Setorial (RELATÓRIO
DE ACOMPANHAMENTO SETORIAL) das unidades organizacionais;
18
2.2.3.3 1º Linha de Defesa
É a instância do SGRE-MCTIC composta pelos papéis e respectivos atores responsáveis pela
implementação e execução do sistema e das respostas aos riscos estratégicos no âmbito de suas
unidades organizacionais. No MCTIC este instância é composta pelo papel de unidade setorial de
governança (USG), exercido por grupos formados no âmbito de cada uma das unidades
organizacionais do MCTIC, sejam elas secretarias, unidades organizacionais externas ou arranjos
executivos específicos.
2.2.3.3.1 Unidades Setoriais de Governança e Gestão de Riscos (USGs)
As responsabilidades das USGs na G RE no M CTIC são especializações das suas
responsabilidades originais (ver item 5.1.2), definidas pelo PGIRC-MCTIC, com os seguintes
destaques:
● Definir ou revisar no PLANO DE GRE DO MCTIC, supervisionado pela AECI e com o suporte
técnico do NGRE-MCTIC, os seus compromissos com o SGRE-MCTIC;
● Construir ou revisar, supervisionado pela AECI e com o suporte técnico do NGRE-MCTIC,
os PLANO DE RESPOSTAS dos planejamentos estratégicos sob a responsabilidade da sua
unidade organizacional, em alinhamento com o P LANO DE GRE DO MCTIC;
● Liderar a produção e submeter a AECI para avaliação, periodicamente, com o suporte
técnico do NGRE-MCTIC, as suas publicações do RELATÓRIO DE ACOMPANHAMENTO
SETORIAL, tendo como referência os seus compromissos com o SGRE-MCTIC
estabelecidos no PLANO DE GRE DO MCTIC vigente;
● Liderar e executar as etapas do processo de GRE, incluindo a implementação e operação
dos controles internos, para os planejamentos estratégicos sob sua responsabilidade, com
o suporte técnico do NGRE-MCTIC;
● Produzir as publicações do RELATÓRIO DE ACOMPANHAMENTO SETORIAL da sua unidade
organizacional, supervisionado pela AECI e com o suporte técnico do NGRE-MCTIC, tendo
como referência os compromissos da unidade organizacional estabelecidos no PLANO
DE GRE DO MCTIC;
2.2.5 Auditoria Externa
Esta instância é compostas pelos papéis e respectivos atores responsáveis pela auditoria
externa do sistema de gestão de riscos (SGR). No MCTIC estes papéis correspondem aos orgãos de
controle externo federal e o orgão de controle interno do governo federal, exercidos pelo TCU e pela
CGU, respectivamente, responsáveis pela auditoria externa do SGRE-MCTIC.
19
Figura 1: Estrutura de governança da GRE no MCTIC (elaboração CGGR, 2020).
2.1.1 Planos
Os planos são artefatos que definem, institucionalizam e comunicam “como”, “o que” e
“quando” a GRE será implementada e executada no âmbito do MCTIC e sua Rede como um todo e de
cada unidade organizacional individualmente, como também quanto a implementação e execução
das respostas aos riscos estratégicos no âmbito cada planejamento estratégico.
20
● Indicadores de desempenho globais e setoriais do SGRE-MCTIC;
● Responsáveis setoriais pela GRE;
● entre outras.
2.1.2 Relatórios
Os relatórios são artefatos do framework que tem como objetivo registrar e relatar
periodicamente, por meio de publicações distintas, o progresso, tanto da implementação e execução
do GRE, como da implementação e execução das respostas aos riscos estratégicos, tanto no âmbito
do MCTIC e sua Rede como também de cada uma de suas unidades organizacionais.
21
de avaliação, tendo como referência os compromissos de GRE da unidade correspondente,
estabelecidos no PLANO DE GRE DO MCTIC vigente, com destaque para as seguintes informações:
22
3. Processo
23
Figura 2: Processo de GRE no âmbito de cada USG no MCTIC ( elaboração CGGR, 2020).
24
Figura 3: Objetivos estratégicos, micro-relacionamentos de suporte e riscos estratégicos (elaboração CGGR,
2020).
25
A responsabilidade pela gestão dos riscos estratégicos dos objetivos estratégicos deste
planejamento estratégico poderá, em casos específicos, ser designada diretamente pelo
COGIR-MCTIC a uma USG Específica.
26
3.1 Entendimento do Contexto
A primeira etapa do processo de GRE consiste em selecionar o planejamento estratégico, e
seus objetivos estratégicos, que serão objetos do processo; designar os responsáveis pela sua
execução; compreender o ambiente interno e externo no qual o planejamento estratégico
selecionado, e os seus objetivos estratégicos, encontram-se inseridos; definir os critérios de avaliação
de riscos estratégicos a serem adotados; e estabelecer os prazos e as frequências de execução do
processo e de suas atividades; tendo como referência o PLANO DE GRE DO MCTIC vigente, incluindo
os compromissos de GRE desta unidade organizacional, estabelecidos neste plano.
RE:
O time de G
● Para cada objetivo estratégico objeto do planejamento estratégico:
● Identifica as metas de resultado do o
bjetivo estratégico objeto;
● Identifica as metas de resultado dos o
bjetivos estratégicos, objetivos operacionais,
portfólios de esforços estratégicos e ou esforços estratégicos que s uportam o
objetivo estratégico objeto;
● Identifica os micro-relacionamentos de suporte entre as metas de resultado dos
objetivos estratégicos, objetivos operacionais, portfólios de esforços estratégicos e
27
ou esforços estratégicos que suportam o objetivo estratégico objeto as metas de
resultado do o
bjetivo estratégico objeto (como ilustra a Figura 5).
● Para cada micro-relacionamento de suporte identificado, o time deverá:
○ Mapear os principais fatores internos e externos que podem influenciar a
capacidade de suporte da meta de resultado do objetivo estratégico,
objetivo operacional, portfólio de esforços estratégicos ou esforço
estratégico, que suporta o objetivo estratégico objeto, à meta de resultado
do objetivo estratégico objeto.
Figura 5: Relacionamentos entre objetivos estratégicos de suporte e objetivo estratégico objeto (elaboração
CGGR, 2020).
28
envolvendo a identificação de possíveis fontes de riscos, tendo como referência o PLANO DE GRE DO
MCTIC vigente.
A identificação dos riscos estratégicos deve seguir os seguintes passos (como ilustrado na Figura
6):
● Para cada objetivo estratégico do planejamento estratégico:
○ A partir das metas de resultado identificadas para o objetivo estratégico objeto, para cada
uma destas metas de resultado, o time deverá:
■ A partir dos micro-relacionamentos de suporte à esta meta de resultado, para cada
um destes, o time deverá:
● Descrever com clareza o micro-relacionamento de suporte, incluindo a
intensidade esperada do suporte do mesmo à meta de resultado do
objetivo estratégico objeto;
● Identificar as possíveis fontes e fatores de incerteza que podem impactar a
efetividade do micro-relacionamento de suporte;
● Listar os eventos que possam vir a ter impacto, negativo ou positivo, na
efetividade do micro-relacionamento de suporte e consequentemente na
validade do o
bjetivo estratégico objeto;
● Descrever como cada risco estratégico pode impactar a meta de resultado
do objetivo estratégico objeto, caso se materialize.
29
Figura 6: Metas de resultado x micro-relacionamentos de suporte x riscos estratégicos (elaboração
CGGR, 2020).
30
● Considerar as principais fontes de riscos estratégicos que podem impactar a efetividade do
relacionamento de suporte - exemplos: política nacional e internacional, economia
nacional e internacional, ciência e tecnologia nacional e internacional, entre outros.
31
Escala de probabilidade (1 a 5):
1 - Raro: acontece apenas em situações excepcionais, não há histórico conhecido do evento ou
indícios que sinalizem sua ocorrência.;
2 - Pouco provável: o histórico conhecido aponta para baixa frequência de ocorrência no prazo
associado ao objetivo estratégico;
3 - Provável: repete-se com frequência razoável no prazo associado ao objetivo estratégico ou há
indícios que possa ocorrer nesse horizonte;
4 - Muito provável: repete-se com elevada frequência no prazo associado ao objetivo estratégico
ou há muitos indícios que ocorrerá nesse horizonte;
5 - Praticamente certo: ocorrência quase garantida no prazo associado ao objetivo estratégico.
32
Figura 7: Matriz probabilidade x impacto (TCU, 2018).
A avaliação de riscos estratégicos envolve a comparação dos níveis de criticidade dos riscos
estratégicos identificados e analisados com o limite de tolerância aos riscos estratégicos aplicável aos
objetivos estratégicos do planejamento estratégico selecionados, objetos do processo de GRE, com
base nos critérios de avaliação de riscos estratégicos estabelecidos previamente no PLANO DE GRE
DO MCTIC, a fim de determinar se estes riscos estratégicos são aceitáveis.
33
Figura 8: Matriz de tolerância aos riscos estratégicos (TCU, 2018).
34
3.5 Definição de Respostas aos Riscos
os
Compreende o planejamento e a realização de ações para modificar4 os níveis criticidade d
riscos estratégicos identificados, analisados e avaliados previamente com base nos critérios de
respostas aos riscos estratégicos definidos no PLANO DE GRE DO MCTIC.
4
Os níveis de criticidade dos riscos estratégicos podem ser modificados por meio de medidas de resposta que
mitiguem, transfiram ou evitem os mesmo.
35
Figura 9: Matriz de respostas aos riscos estratégicos (TCU, 2018).
36
○ Para cada medida de resposta definida para o risco estratégico:
■ Identificar os controles candidatos;
■ Avaliar a viabilidade da implantação dos controles candidatos
(custo-benefício, viabilidade técnica, tempestividade, efeitos
colaterais do tratamento, etc.);
■ Selecionar os controles candidatos eleitos;
■ Planejar a implantação e operação dos controles candidatos
eleitos;
■ Operar os controles candidatos.
37
3.7 Comunicação
Esta etapa ocorre paralelamente, transversalmente e continuamente às outras etapas do
processo de G RE. A comunicação busca garantir a informação, integração, colaboração e
alinhamento entre todas as instâncias e atores envolvidos com a GRE na Rede MCTIC, e é suportada
pelos artefatos do FGRE-MCTIC.
5
Informações relativas aos risco estratégicos e sua estratégia de tratamento para todos aqueles que possam
influenciar ou ser influenciados por esse risco estratégico. Podemos dividir esse fluxo de comunicação em duas
direções: vertical e horizontal. A comunicação vertical pode ser no sentido da base para a cúpula ou vice-versa,
proporcionando que à alta administração da organização seja informada sobre o S GRE e os riscos estratégicos
dos objetivos estratégicos que permeiam a organização, e que os servidores tenham ciência dos principais riscos
estratégicos que afetam os objetivos estratégicos da sua organização. Por sua vez, a comunicação horizontal é
importante para que os riscos estratégicos de um planejamento estratégico que envolva diferentes unidades
organizacionais sejam conhecidos igualmente por todos os que trabalham para a realização deste planejamento
estratégico.
38
Comunicar a realização da G RE n
o âmbito de uma unidade organizacional do MCTIC
envolve a consulta e a disponibilização de informações contínuas à todas as partes interessadas, ao
longo das etapas da execução do processo de G RE em alinhamento com o PLANO DE GRE DO
MCTIC e o PLANO DE RESPOSTAS c orrespondente, e deve seguir os seguintes passos:
● Identificar todas as partes interessadas;
● Organizar as partes interessadas em grupos;
● Para cada grupo de partes interessadas, com base no PLANO DE GRE DO MCTICL e
no PLANO DE RESPOSTAS c orrespondente, seguir os seguintes passos:
○ planejar as interações de consulta e disponibilização de informações;
○ executar as interações de consulta e disponibilização de informações,
sempre que possível por meio dos artefatos de G RE da unidade
organizacional correspondente;
○ processar os feedbacks das interações de consulta e disponibilização de
informações.
3.8 Monitoramento
Esta etapa, assim como a etapa comunicação, ocorre paralelamente, transversalmente e
continuamente às outras etapas do processo de G RE, e m cada USG, e busca garantir a bom
funcionamento do SGRE-MCTIC e das respostas aos riscos estratégicos estabelecidas em cada
unidade, com base no PLANO DE GRE do MCTICL e no PLANO DE RESPOSTAS correspondente; a
identificação e execução de oportunidades de melhoria contínua, tanto no SGRE-MCTIC como nas
respostas ao riscos estabelecidas no âmbito da unidade; e a geração tempestiva das informações que
irão compor o RELATÓRIO DE ACOMPANHAMENTO SETORIAL da unidade e consequentemente o
RELATÓRIO DE ACOMPANHAMENTO DO MCTIC.
O monitoramento do SGRE-MCTIC é coordenado pela AECI, com o suporte técnico do
NGRE-MCTIC e com o apoio da alta gestão, tendo como referência o PLANO DE GRE DO MCTIC
vigente. O Monitoramento é executado continuamente e relatado periodicamente pelas unidades
39
organizacionais da Rede MCTIC, p
or meio de suas respectivas USGs, e avaliado estrategicamente
periodicamente pelo COGIR-MCTIC.
Garantir o bom funcionamento das respostas aos riscos estratégicos, já estabelecidas, para
os riscos estratégicos do planejamento estratégico selecionado compreende monitorar tanto a
implementação e a execução das respostas aos riscos estratégicos como dos respectivos controles
internos de gestão e deve seguir os seguintes passos:
● Para cada risco estratégico
○ Atualizar no RELATÓRIO DE ACOMPANHAMENTO SETORIAL a situação
atual e o histórico do risco estratégico, incluindo eventuais eventos e
impactos detectados e as medidas de resposta eventualmente acionadas;
○ Para cada medida de resposta selecionada
■ Comparar o progresso da implantação da medida de resposta com
o planejamento definido no PLANO DE RESPOSTAS
correspondente;
■ Registrar o progresso da implantação da medida de resposta no
RELATÓRIO DE ACOMPANHAMENTO SETORIAL;
■ Caso a medida de resposta tenha sido implementada e esteja em
execução
● Atualizar no RELATÓRIO DE ACOMPANHAMENTO
SETORIAL a situação atual e o histórico da medida de
resposta, incluindo eventuais eventos e impactos
detectados no seu âmbito e os controles internos de
gestão que foram eventualmente acionados;
40
4. Integrações
Devido a natureza dos riscos estratégicos, que são aqueles que podem impactar a validade d
a
estratégia de uma organização, o êxito da implantação e execução da gestão de riscos estratégicos
(GRE) no âmbito da Rede MCTIC dependerá da boa integração deste processo com as atividades de
elaboração, monitoramento e avaliação e revisão dos planejamentos estratégicos que compõem a
estratégia do MCTIC. Quanto antes no ciclo de vida de determinado planejamento estratégico a GRE
for integrada, mais esta poderá agregar ao mesmo.
Inicialmente, é necessário que o líder de GRE da unidade setorial de governança (USG) da
unidade organizacional esteja definido e que este atribua à responsabilidade pela gestão dos riscos
estratégicos relacionados aos objetivos estratégicos que configuram o planejamento estratégico em
questão a um dos seus membros.
Ao longo da etapa de elaboração de um planejamento estratégico é fundamental que ao
menos o gestor de riscos estratégicos designado esteja completamente envolvido para que os riscos
estratégicos possam ser identificados e pré-avaliados em paralelo com a definição e o
desdobramento dos objetivos estratégicos, permitindo que estas informações sejam consideradas
nas decisões necessárias neste etapa a serem tomadas pelos responsáveis pela elaboração do
planejamento estratégico.
Tomadas todas às decisões quanto à definição e desdobramento dos objetivos estratégicos
do planejamento estratégico cabe ao gestor de riscos estratégicos designado, eventualmente já
acompanhado de um time de GRE, refinar a lista de riscos estratégicos identificados e suas
respectivas avaliações, avançando para a definição das respostas a estes riscos estratégicos. Estas
informações farão parte do conjunto de artefatos que configuram o planejamento estratégico em
questão. Antes do início da execução do planejamento estratégico é importante que estejam
definidos no âmbito do time de GRE os responsáveis pelo implementação e operação de todas as
medidas de resposta estabelecidas e seus respectivos controles internos de gestão. Estas pessoas
serão responsáveis pelo monitoramento dos riscos estratégicos correspondentes.
41
4.1.1 Ministério
O PEI-MCTIC é o principal planejamento estratégico da Rede MCTIC. Este planejamento é
baseado na metodologia Balanced Scorecard – BSC e tem como artefatos principais: a missão, visão e
valores do ministério; o mapa estratégico do ministério; os painéis de contribuição das suas unidades
organizacionais; os portfólios de esforços estratégicos das suas unidades organizacionais; e seu plano
de respostas aos riscos estratégicos (PLANO DE RESPOSTAS).
42
Figura 12: Mapa Estratégico 2020-20130, resultante de uma das etapas do Planejamento Estratégico
Institucional (PEI) do MCTIC.
43
Figura 11: Grafo Estratégico (elaboração CGGR, 2020).
Cada objetivo estratégico do grafo estratégico, partindo do objetivo estratégico raiz, deve ser
objeto do processo de GRE, até ao menos a sua etapa de avaliação de riscos, paralelamente a
definição dos vértices e respectivas arestas da camada imediatamente inferior do grafo estratégico.
Estas informações sobre os riscos estratégicos deverão apoiar os responsáveis na definição e ou
seleção dos objetivos estratégicos que suportarão o objetivo estratégico objeto e os respectivos
relacionamentos de suporte.
Os riscos estratégicos deverão ser (re) identificados, (re) analisados e (re) avaliados,
considerando as decisões tomadas pelos responsáveis pelo desenho do mapa estratégico. Na
sequência, antes da conclusão da elaboração do mapa estratégico, as instâncias do processo de GRE
deverão concluir todos os passos das demais etapas do processo p ertinentes neste momento, para
o mapa estratégico.
todos os objetivos estratégicos d
44
4.1.1.1.2 Integração em tempo de Monitoramento
O monitoramento dos riscos estratégicos relacionados aos objetivos estratégicos do mapa
estratégico complementa o monitoramento de desempenho destes objetivos estratégicos.
O monitoramento de desempenho dos objetivos estratégicos do mapa estratégico ocorre
continuamente, de acordo com os ciclos de apuração estabelecidos para seus indicadores e as
projeções no tempo das metas correspondentes, para que ao alcançar o próximo momento de
avaliação do planejamento estratégico este seja subsidiado pelas informações de desempenho dos
objetivos estratégicos produzidas neste último ciclo de monitoramento.
Embora muito preciso para monitorar o desempenho da organização na execução dos
objetivos estratégicos do mapa estratégico o monitoramento do planejamento estratégico é mais
limitado para o monitoramento da continuidade da validade destes objetivos estratégicos, e seus
respectivos relacionamentos de suporte, embora também possa produzir algumas pistas neste
sentido. O desempenho da organização na realização dos objetivos estratégicos do mapa estratégico
pode estar ocorrendo de acordo com o planejado, mas a validade corrente de um ou mais destes
objetivos estratégicos pode já ter sido impactada ou podem potencialmente, devido a sinais
detectados neste último período de monitoramento, serem impactadas no futuro, em última
instância podendo impactar o realização do objetivo estratégico raiz do mapa estratégico, ou seja,
ameaçando o cumprimento e alcance otimizados da missão e da visão da organização, em
alinhamento com seus valores.
O monitoramento dos riscos estratégicos relacionados a estes objetivos estratégicos a tua ao
longo deste período de tempo em três dimensões: a evolução dos riscos estratégicos previamente
identificados (1), a efetividade das medidas de resposta e dos respectivos controles internos de
gestão vigentes dos riscos estratégicos já identificados (2) e a identificação de novos riscos
estratégicos e a reavaliação de riscos estratégicos previamente identificados (3).
As informações produzidas pela dimensão (1), especialmente aquelas relacionadas com
possíveis riscos estratégicos já materializados que produziram consequências relevantes de longa
duração e difícil reversão, apesar das medidas de resposta estabelecidas previamente para tratar os
impactos correspondentes produzidos. Por exemplo, uma consequência inesperada associada a um
risco estratégico previamente identificado pode ter impactado fortemente e definitivamente um
relacionamento de suporte, sugerindo a necessidade ou oportunidade de reavaliação e possível
revisão dos objetivos estratégicos, e respectivos relacionamentos de suporte, envolvidos.
As informações produzidas pela dimensão (2) são mais relevantes para a melhoria contínua
do próprio sistema de gestão de riscos estratégicos (SGRE) e das respostas aos riscos estratégicos já
estabelecidas, embora em caso de detecção de grande incapacidade do SGRE, não endereçável em
tempo hábil, que poderá permitir a deflagração de impactos inesperados nos objetivos estratégicos
do mapa estratégico no futuro, estas possam também sugerir a necessidade ou oportunidade de
reavaliação e possível revisão dos objetivos estratégicos, e respectivos relacionamentos de suporte,
envolvidos.
As informações produzidas pela dimensão (3) podem apresentar novos riscos estratégicos
não identificados previamente que podem potencialmente impactar de forma relevante a validade
do mapa estratégico no futuro ou a reavaliação de riscos estratégicos identificados previamente que
podem mudar às premissas ou expectativas iniciais quanto aos mesmos e seus respectivos potenciais
impactos na validade do mapa estratégico. Ambos os cenários podem sugerir a necessidade ou
45
oportunidade de reavaliação e possível revisão dos objetivos estratégicos, e respectivos
relacionamentos de suporte, envolvidos.
4.1.1.1.3 Integração em tempo de Avaliação e Revisão
As informações produzidas ao longo do último ciclo de monitoramento dos riscos
estratégicos relacionados ao mapa estratégico deverão ser cuidadosamente analisadas pelos
responsáveis pelos objetivos estratégicos do mapa estratégico. Estas informações poderão sugerir a
necessidade ou oportunidade de reavaliação e possível revisão dos um ou mais objetivos
estratégicos, e respectivos relacionamentos de suporte, do mapa estratégico, de modo a mantê-lo
equilibrado frente ao cenário atual dos riscos estratégicos relacionados a ao apetite a riscos da
organização.
4.1.1.2 Painéis de Contribuição
ue os suportam
Todos os objetivos setoriais, incluindo os portfólios de esforços e os esforços q
diretamente, que compõem o painel de contribuição de uma unidade organizacional do MCTIC são
considerados no âmbito deste framework objetivos estratégicos e portanto são objetos do sistema de
gestão de riscos estratégicos do MCTIC (SGRE-MCTIC).
46
Figura 11: Grafo Estratégico (elaboração CGGR, 2020).
Cada objetivo estratégico do grafo estratégico, partindo dos objetivos estratégicos da sua 1°
camada do grafo, deve ser objeto do processo de GRE, até ao menos a sua etapa de avaliação de
riscos, paralelamente a definição dos vértices e respectivas arestas da camada imediatamente
inferior do grafo estratégico (2°, 3°, …). Estas informações sobre os riscos estratégicos deverão apoiar
os responsáveis na definição e ou seleção dos objetivos estratégicos que suportarão o objetivo
estratégico objeto e os respectivos relacionamentos de suporte.
Os riscos estratégicos deverão ser (re) identificados, (re) analisados e (re) avaliados,
considerando as decisões tomadas pelos responsáveis pelo desenho do painel de contribuição. Na
sequência, antes da conclusão da elaboração do painel de contribuição, as instâncias do processo de
GRE deverão concluir todos os passos das demais etapas do processo p ertinentes neste momento,
para todos os objetivos estratégicos do painel de contribuição.
47
4.1.1.2.2 Integração em tempo de Monitoramento
O monitoramento dos riscos estratégicos relacionados aos objetivos estratégicos do painel de
contribuição c omplementa o monitoramento de desempenho destes objetivos estratégicos.
O monitoramento de desempenho dos objetivos estratégicos do painel de contribuição
ocorre continuamente, de acordo com os ciclos de apuração estabelecidos para seus indicadores e as
projeções no tempo das metas correspondentes, para que ao alcançar o próximo momento de
avaliação do planejamento estratégico este seja subsidiado pelas informações de desempenho dos
objetivos estratégicos produzidas neste último ciclo de monitoramento.
Embora muito preciso para monitorar o desempenho da organização na execução dos
objetivos estratégicos do painel de contribuição o monitoramento do planejamento estratégico é
mais limitado para o monitoramento da continuidade da validade destes objetivos estratégicos, e
seus respectivos relacionamentos de suporte, embora também possa produzir algumas pistas neste
sentido. O desempenho da organização na realização dos objetivos estratégicos do painel de
contribuição pode estar ocorrendo de acordo com o planejado, mas a validade corrente de um ou
mais destes objetivos estratégicos pode já ter sido impactada ou podem potencialmente, devido a
sinais detectados neste último período de monitoramento, serem impactadas no futuro, em última
instância podendo impactar o realização dos objetivo estratégicos do mapa estratégico suportados
por este painel de contribuição, ou seja, ameaçando indiretamente o cumprimento e alcance
otimizados da missão e da visão do ministério, em alinhamento com seus valores.
O monitoramento dos riscos estratégicos relacionados a estes objetivos estratégicos a tua ao
longo deste período de tempo em três dimensões: a evolução dos riscos estratégicos previamente
identificados (1), a efetividade das medidas de resposta e dos respectivos controles internos de
gestão vigentes dos riscos estratégicos já identificados (2) e a identificação de novos riscos
estratégicos e a reavaliação de riscos estratégicos previamente identificados (3).
As informações produzidas pela dimensão (1), especialmente aquelas relacionadas com
possíveis riscos estratégicos já materializados que produziram consequências relevantes de longa
duração e difícil reversão, apesar das medidas de resposta estabelecidas previamente para tratar os
impactos correspondentes produzidos. Por exemplo, uma consequência inesperada associada a um
risco estratégico previamente identificado pode ter impactado fortemente e definitivamente um
relacionamento de suporte, sugerindo a necessidade ou oportunidade de reavaliação e possível
revisão dos objetivos estratégicos, e respectivos relacionamentos de suporte, envolvidos.
As informações produzidas pela dimensão (2) são mais relevantes para a melhoria contínua
do próprio sistema de gestão de riscos estratégicos (SGRE) e das respostas aos riscos estratégicos já
estabelecidas, embora em caso de detecção de grande incapacidade do SGRE, não endereçável em
tempo hábil, que poderá permitir a deflagração de impactos inesperados nos objetivos estratégicos
do painel de contribuição no futuro, estas possam também sugerir a necessidade ou oportunidade de
reavaliação e possível revisão dos objetivos estratégicos, e respectivos relacionamentos de suporte,
envolvidos.
As informações produzidas pela dimensão (3) podem apresentar novos riscos estratégicos
não identificados previamente que podem potencialmente impactar de forma relevante a validade
do painel de contribuição quanto a seu suporte ao mapa estratégico no futuro ou a reavaliação de
riscos estratégicos identificados previamente que podem mudar às premissas ou expectativas iniciais
quanto aos mesmos e seus respectivos potenciais impactos na validade do painel de contribuição.
48
Ambos os cenários podem sugerir a necessidade ou oportunidade de reavaliação e possível revisão
dos objetivos estratégicos, e respectivos relacionamentos de suporte, envolvidos.
4.1.1.2.3 Integração em tempo de Avaliação e Revisão
As informações produzidas ao longo do último ciclo de monitoramento dos riscos
estratégicos relacionados ao painel de contribuição deverão ser cuidadosamente analisadas pelos
responsáveis pelos seus objetivos estratégicos. Estas informações poderão sugerir a necessidade ou
oportunidade de reavaliação e possível revisão dos um ou mais objetivos estratégicos, e respectivos
relacionamentos de suporte, do painel de contribuição, de modo a mantê-lo equilibrado frente ao
cenário atual dos riscos estratégicos relacionados a ao apetite a riscos da organização.
49
Figura 11: Grafo Estratégico (elaboração CGGR, 2020).
Cada objetivo estratégico do grafo estratégico, partindo dos objetivos estratégicos da sua 1°
camada do grafo, deve ser objeto do processo de GRE, até ao menos a sua etapa de avaliação de
riscos, paralelamente a definição dos vértices e respectivas arestas da camada imediatamente
inferior do grafo estratégico (2°, 3°, …). Estas informações sobre os riscos estratégicos deverão apoiar
os responsáveis na definição e ou seleção dos objetivos estratégicos que suportarão o objetivo
estratégico objeto e os respectivos relacionamentos de suporte.
Os riscos estratégicos deverão ser (re) identificados, (re) analisados e (re) avaliados,
considerando as decisões tomadas pelos responsáveis pelo desenho do painel de contribuição. Na
sequência, antes da conclusão da elaboração do painel de contribuição, as instâncias do processo de
GRE deverão concluir todos os passos das demais etapas do processo p ertinentes neste momento,
para todos os objetivos estratégicos desta camada estratégica.
50
4.1.1.2.2 Integração em tempo de Monitoramento
O monitoramento dos riscos estratégicos relacionados aos objetivos estratégicos dos esforços
estratégicos complementa o monitoramento de desempenho destes objetivos estratégicos.
O monitoramento de desempenho dos objetivos estratégicos dos esforços estratégicos
ocorre continuamente, de acordo com os ciclos de apuração estabelecidos para seus indicadores e as
projeções no tempo das metas correspondentes, para que ao alcançar o próximo momento de
avaliação do planejamento estratégico este seja subsidiado pelas informações de desempenho dos
objetivos estratégicos produzidas neste último ciclo de monitoramento.
Embora muito preciso para monitorar o desempenho da organização na execução dos
objetivos estratégicos dos esforços estratégicos o monitoramento do planejamento estratégico é
mais limitado para o monitoramento da continuidade da validade destes objetivos estratégicos, e
seus respectivos relacionamentos de suporte, embora também possa produzir algumas pistas neste
sentido. O desempenho da organização na realização dos objetivos estratégicos dos esforços
estratégicos pode estar ocorrendo de acordo com o planejado, mas a validade corrente de um ou
mais destes objetivos estratégicos pode já ter sido impactada ou podem potencialmente, devido a
sinais detectados neste último período de monitoramento, serem impactadas no futuro, em última
instância podendo impactar o realização dos objetivo estratégicos do mapa estratégico suportados
por este painel de contribuição, ou seja, ameaçando indiretamente o cumprimento e alcance
otimizados da missão e da visão do ministério, em alinhamento com seus valores.
O monitoramento dos riscos estratégicos relacionados a estes objetivos estratégicos a tua ao
longo deste período de tempo em três dimensões: a evolução dos riscos estratégicos previamente
identificados (1), a efetividade das medidas de resposta e dos respectivos controles internos de
gestão vigentes dos riscos estratégicos já identificados (2) e a identificação de novos riscos
estratégicos e a reavaliação de riscos estratégicos previamente identificados (3).
As informações produzidas pela dimensão (1), especialmente aquelas relacionadas com
possíveis riscos estratégicos já materializados que produziram consequências relevantes de longa
duração e difícil reversão, apesar das medidas de resposta estabelecidas previamente para tratar os
impactos correspondentes produzidos. Por exemplo, uma consequência inesperada associada a um
risco estratégico previamente identificado pode ter impactado fortemente e definitivamente um
relacionamento de suporte, sugerindo a necessidade ou oportunidade de reavaliação e possível
revisão dos objetivos estratégicos, e respectivos relacionamentos de suporte, envolvidos.
As informações produzidas pela dimensão (2) são mais relevantes para a melhoria contínua
do próprio sistema de gestão de riscos estratégicos (SGRE) e das respostas aos riscos estratégicos já
estabelecidas, embora em caso de detecção de grande incapacidade do SGRE, não endereçável em
tempo hábil, que poderá permitir a deflagração de impactos inesperados nos objetivos estratégicos
dos esforços estratégicos no futuro, estas possam também sugerir a necessidade ou oportunidade de
reavaliação e possível revisão dos objetivos estratégicos, e respectivos relacionamentos de suporte,
envolvidos.
As informações produzidas pela dimensão (3) podem apresentar novos riscos estratégicos
não identificados previamente que podem potencialmente impactar de forma relevante a validade
dos esforços estratégicos quanto a seu suporte ao mapa estratégico no futuro ou a reavaliação de
riscos estratégicos identificados previamente que podem mudar às premissas ou expectativas iniciais
quanto aos mesmos e seus respectivos potenciais impactos na validade dos esforços estratégicos.
51
Ambos os cenários podem sugerir a necessidade ou oportunidade de reavaliação e possível revisão
dos objetivos estratégicos, e respectivos relacionamentos de suporte, envolvidos.
4.1.1.2.3 Integração em tempo de Avaliação e Revisão
As informações produzidas ao longo do último ciclo de monitoramento dos riscos
estratégicos relacionados ao painel de contribuição deverão ser cuidadosamente analisadas pelos
responsáveis pelos seus objetivos estratégicos. Estas informações poderão sugerir a necessidade ou
oportunidade de reavaliação e possível revisão dos um ou mais objetivos estratégicos, e respectivos
relacionamentos de suporte, dos esforços estratégicos, de modo a mantê-lo equilibrado frente ao
cenário atual dos riscos estratégicos relacionados a ao apetite a riscos da organização.
4.1.2 Unidades Vinculadas
O Decreto nº 9.203/17, que dispõe sobre a Política de Governança da Administração Pública
Federal (PG-APF), citado anteriormente, regulamenta que haja integração da GRE ao processo de
planejamento estratégico para a execução da estratégia e o alcance dos objetivos institucionais.
Dessa forma, o FGRE-MCTIC se insere no contexto do processo de planejamento estratégico
institucional (PEI) do MCTIC.
É senso comum que o nível de incerteza e a velocidade das mudanças no ambiente que
rodeiam as organizações vêm aumentando e, como consequência, a GRE torna-se uma etapa crítica
dentro do processo de planejamento e gestão da estratégia. Ao analisar-se o relacionamento de
suporte entre um objetivo estratégico objeto e um objetivo estratégico de suporte, através de suas
metas de resultado, buscando entender o andamento do objetivo estratégico objeto, pode-se
levantar vários riscos associados ao mesmo. Os riscos estratégicos identificados e avaliados
retroalimentam o processo de planejamento estratégico institucional, influenciando diretamente as
tomadas de decisão envolvidas, especialmente aquelas de definição, planejamento de metas,
desdobramento estratégico ou alocação de recursos para execução, dos objetivos estratégicos.
Assim, o conjunto do processo de gestão de risco (Capítulo 2), pode ocorrer tanto no início do
processo de estabelecimento dos objetivos estratégicos (por meio da elaboração do mapa
estratégico), quanto no processo de revisão da estratégia. Esta revisão pode ocorrer a qualquer
momento por necessidade da instituição (por exemplo, identificação de que há algum problema
crítico em relação ao alvo estratégico e os riscos estratégicos) e dessa forma provocar uma revisão do
PEI ou pode ocorrer ainda de forma programada após o processo de avaliação dos dados dos
indicadores como resultado do processo de monitoramento. Portanto, o framework de riscos
estratégicos pode “rodar” de forma independente e eventualmente provocar mudanças no PEI não
programadas. Ou de forma ideal é realizado no momento da elaboração da estratégia da instituição e
nos momentos de avaliação e revisão da estratégia. De qualquer forma, o procedimento de aplicação
do framework se dá por painéis de contribuição de toda a instituição no processo de revisão da
estratégia.
É necessário ressaltar que, como a GRE pode ensejar em modificações na estratégia instituída
no PEI, é fundamental para um planejamento mais perene e assertivo que o FGRE-MCTIC ocorra nos
52
momentos da elaboração inicial da estratégia e nos momentos programados de revisão. Por outro
lado, a GRE deixa claro para a instituição qualquer erro de formulação da estratégia, frentes aos
riscos identificáveis no processo do framework.
53
Figura 11: Grafo Estratégico (elaboração CGGR, 2020).
Cada objetivo estratégico do grafo estratégico, partindo dos objetivos estratégicos da sua 1°
camada do grafo, deve ser objeto do processo de GRE, até ao menos a sua etapa de avaliação de
riscos, paralelamente a definição dos vértices e respectivas arestas da camada imediatamente
inferior do grafo estratégico (2°, 3°, …). Estas informações sobre os riscos estratégicos deverão apoiar
os responsáveis na definição e ou seleção dos objetivos estratégicos que suportarão o objetivo
estratégico objeto e os respectivos relacionamentos de suporte.
Os riscos estratégicos deverão ser (re) identificados, (re) analisados e (re) avaliados,
considerando as decisões tomadas pelos responsáveis pelo desenho do painel de contribuição. Na
sequência, antes da conclusão da elaboração do painel de contribuição, as instâncias do processo de
GRE deverão concluir todos os passos das demais etapas do processo p ertinentes neste momento,
para todos os objetivos estratégicos do painel de contribuição.
54
4.1.1.2.2 Integração em tempo de Monitoramento
O monitoramento dos riscos estratégicos relacionados aos objetivos estratégicos do painel de
contribuição c omplementa o monitoramento de desempenho destes objetivos estratégicos.
O monitoramento de desempenho dos objetivos estratégicos do painel de contribuição
ocorre continuamente, de acordo com os ciclos de apuração estabelecidos para seus indicadores e as
projeções no tempo das metas correspondentes, para que ao alcançar o próximo momento de
avaliação do planejamento estratégico este seja subsidiado pelas informações de desempenho dos
objetivos estratégicos produzidas neste último ciclo de monitoramento.
Embora muito preciso para monitorar o desempenho da organização na execução dos
objetivos estratégicos do painel de contribuição o monitoramento do planejamento estratégico é
mais limitado para o monitoramento da continuidade da validade destes objetivos estratégicos, e
seus respectivos relacionamentos de suporte, embora também possa produzir algumas pistas neste
sentido. O desempenho da organização na realização dos objetivos estratégicos do painel de
contribuição pode estar ocorrendo de acordo com o planejado, mas a validade corrente de um ou
mais destes objetivos estratégicos pode já ter sido impactada ou podem potencialmente, devido a
sinais detectados neste último período de monitoramento, serem impactadas no futuro, em última
instância podendo impactar o realização dos objetivo estratégicos do mapa estratégico suportados
por este painel de contribuição, ou seja, ameaçando indiretamente o cumprimento e alcance
otimizados da missão e da visão do ministério, em alinhamento com seus valores.
O monitoramento dos riscos estratégicos relacionados a estes objetivos estratégicos a tua ao
longo deste período de tempo em três dimensões: a evolução dos riscos estratégicos previamente
identificados (1), a efetividade das medidas de resposta e dos respectivos controles internos de
gestão vigentes dos riscos estratégicos já identificados (2) e a identificação de novos riscos
estratégicos e a reavaliação de riscos estratégicos previamente identificados (3).
As informações produzidas pela dimensão (1), especialmente aquelas relacionadas com
possíveis riscos estratégicos já materializados que produziram consequências relevantes de longa
duração e difícil reversão, apesar das medidas de resposta estabelecidas previamente para tratar os
impactos correspondentes produzidos. Por exemplo, uma consequência inesperada associada a um
risco estratégico previamente identificado pode ter impactado fortemente e definitivamente um
relacionamento de suporte, sugerindo a necessidade ou oportunidade de reavaliação e possível
revisão dos objetivos estratégicos, e respectivos relacionamentos de suporte, envolvidos.
As informações produzidas pela dimensão (2) são mais relevantes para a melhoria contínua
do próprio sistema de gestão de riscos estratégicos (SGRE) e das respostas aos riscos estratégicos já
estabelecidas, embora em caso de detecção de grande incapacidade do SGRE, não endereçável em
tempo hábil, que poderá permitir a deflagração de impactos inesperados nos objetivos estratégicos
do painel de contribuição no futuro, estas possam também sugerir a necessidade ou oportunidade de
reavaliação e possível revisão dos objetivos estratégicos, e respectivos relacionamentos de suporte,
envolvidos.
As informações produzidas pela dimensão (3) podem apresentar novos riscos estratégicos
não identificados previamente que podem potencialmente impactar de forma relevante a validade
do painel de contribuição quanto a seu suporte ao mapa estratégico no futuro ou a reavaliação de
riscos estratégicos identificados previamente que podem mudar às premissas ou expectativas iniciais
quanto aos mesmos e seus respectivos potenciais impactos na validade do painel de contribuição.
55
Ambos os cenários podem sugerir a necessidade ou oportunidade de reavaliação e possível revisão
dos objetivos estratégicos, e respectivos relacionamentos de suporte, envolvidos.
4.1.1.2.3 Integração em tempo de Avaliação e Revisão
As informações produzidas ao longo do último ciclo de monitoramento dos riscos
estratégicos relacionados ao painel de contribuição deverão ser cuidadosamente analisadas pelos
responsáveis pelos seus objetivos estratégicos. Estas informações poderão sugerir a necessidade ou
oportunidade de reavaliação e possível revisão dos um ou mais objetivos estratégicos, e respectivos
relacionamentos de suporte, do painel de contribuição, de modo a mantê-lo equilibrado frente ao
cenário atual dos riscos estratégicos relacionados a ao apetite a riscos da organização.
56
Figura 11: Grafo Estratégico (elaboração CGGR, 2020).
Cada objetivo estratégico do grafo estratégico, partindo dos objetivos estratégicos da sua 1°
camada do grafo, deve ser objeto do processo de GRE, até ao menos a sua etapa de avaliação de
riscos, paralelamente a definição dos vértices e respectivas arestas da camada imediatamente
inferior do grafo estratégico (2°, 3°, …). Estas informações sobre os riscos estratégicos deverão apoiar
os responsáveis na definição e ou seleção dos objetivos estratégicos que suportarão o objetivo
estratégico objeto e os respectivos relacionamentos de suporte.
Os riscos estratégicos deverão ser (re) identificados, (re) analisados e (re) avaliados,
considerando as decisões tomadas pelos responsáveis pelo desenho do painel de contribuição. Na
sequência, antes da conclusão da elaboração do painel de contribuição, as instâncias do processo de
GRE deverão concluir todos os passos das demais etapas do processo p ertinentes neste momento,
para todos os objetivos estratégicos do painel de contribuição.
57
4.1.1.2.2 Integração em tempo de Monitoramento
O monitoramento dos riscos estratégicos relacionados aos objetivos estratégicos do painel de
contribuição c omplementa o monitoramento de desempenho destes objetivos estratégicos.
O monitoramento de desempenho dos objetivos estratégicos do painel de contribuição
ocorre continuamente, de acordo com os ciclos de apuração estabelecidos para seus indicadores e as
projeções no tempo das metas correspondentes, para que ao alcançar o próximo momento de
avaliação do planejamento estratégico este seja subsidiado pelas informações de desempenho dos
objetivos estratégicos produzidas neste último ciclo de monitoramento.
Embora muito preciso para monitorar o desempenho da organização na execução dos
objetivos estratégicos do painel de contribuição o monitoramento do planejamento estratégico é
mais limitado para o monitoramento da continuidade da validade destes objetivos estratégicos, e
seus respectivos relacionamentos de suporte, embora também possa produzir algumas pistas neste
sentido. O desempenho da organização na realização dos objetivos estratégicos do painel de
contribuição pode estar ocorrendo de acordo com o planejado, mas a validade corrente de um ou
mais destes objetivos estratégicos pode já ter sido impactada ou podem potencialmente, devido a
sinais detectados neste último período de monitoramento, serem impactadas no futuro, em última
instância podendo impactar o realização dos objetivo estratégicos do mapa estratégico suportados
por este painel de contribuição, ou seja, ameaçando indiretamente o cumprimento e alcance
otimizados da missão e da visão do ministério, em alinhamento com seus valores.
O monitoramento dos riscos estratégicos relacionados a estes objetivos estratégicos a tua ao
longo deste período de tempo em três dimensões: a evolução dos riscos estratégicos previamente
identificados (1), a efetividade das medidas de resposta e dos respectivos controles internos de
gestão vigentes dos riscos estratégicos já identificados (2) e a identificação de novos riscos
estratégicos e a reavaliação de riscos estratégicos previamente identificados (3).
As informações produzidas pela dimensão (1), especialmente aquelas relacionadas com
possíveis riscos estratégicos já materializados que produziram consequências relevantes de longa
duração e difícil reversão, apesar das medidas de resposta estabelecidas previamente para tratar os
impactos correspondentes produzidos. Por exemplo, uma consequência inesperada associada a um
risco estratégico previamente identificado pode ter impactado fortemente e definitivamente um
relacionamento de suporte, sugerindo a necessidade ou oportunidade de reavaliação e possível
revisão dos objetivos estratégicos, e respectivos relacionamentos de suporte, envolvidos.
As informações produzidas pela dimensão (2) são mais relevantes para a melhoria contínua
do próprio sistema de gestão de riscos estratégicos (SGRE) e das respostas aos riscos estratégicos já
estabelecidas, embora em caso de detecção de grande incapacidade do SGRE, não endereçável em
tempo hábil, que poderá permitir a deflagração de impactos inesperados nos objetivos estratégicos
do painel de contribuição no futuro, estas possam também sugerir a necessidade ou oportunidade de
reavaliação e possível revisão dos objetivos estratégicos, e respectivos relacionamentos de suporte,
envolvidos.
As informações produzidas pela dimensão (3) podem apresentar novos riscos estratégicos
não identificados previamente que podem potencialmente impactar de forma relevante a validade
do painel de contribuição quanto a seu suporte ao mapa estratégico no futuro ou a reavaliação de
riscos estratégicos identificados previamente que podem mudar às premissas ou expectativas iniciais
quanto aos mesmos e seus respectivos potenciais impactos na validade do painel de contribuição.
58
Ambos os cenários podem sugerir a necessidade ou oportunidade de reavaliação e possível revisão
dos objetivos estratégicos, e respectivos relacionamentos de suporte, envolvidos.
4.1.1.2.3 Integração em tempo de Avaliação e Revisão
As informações produzidas ao longo do último ciclo de monitoramento dos riscos
estratégicos relacionados ao painel de contribuição deverão ser cuidadosamente analisadas pelos
responsáveis pelos seus objetivos estratégicos. Estas informações poderão sugerir a necessidade ou
oportunidade de reavaliação e possível revisão dos um ou mais objetivos estratégicos, e respectivos
relacionamentos de suporte, do painel de contribuição, de modo a mantê-lo equilibrado frente ao
cenário atual dos riscos estratégicos relacionados a ao apetite a riscos da organização.
59
5. Anexos
5.1 Fundamentos
Nessa seção serão apresentados os fundamentos que orientam o desenho e a construção do
Framework de Gestão de Riscos Estratégicos do Ministério da Ciência, Tecnologia (FGRE-MCTIC): as
referências teóricas selecionadas da doutrina de gestão de riscos (GR), as normas que tratam da GR
no âmbito da administração pública federal (APF) e os casos de implementação de GR selecionados
para análise no âmbito do governo federal.
COSO IC (COSO I)
Em 1992, o COSO publicou a obra Controle Interno – Estrutura Integrada (Internal Control –
Integrated Framework) com o objetivo de orientar as organizações quanto a princípios e melhores
práticas de controle interno, em especial para assegurar a produção de relatórios financeiros
confiáveis e prevenir fraudes.
Nesse modelo, controle interno é definido como um “processo projetado e implementado
pelos gestores para mitigar riscos e alcançar objetivos”. Por sua vez, risco é definido como “a
possibilidade de ocorrência de um evento que possa afetar o alcance dos objetivos” (COSO, 1992). Ou
seja, para o COSO-IC, o controle interno é um processo que tem por objetivo mitigar riscos, com
vistas ao alcance dos objetivos.
Essa primeira versão obteve grande aceitação e foi amplamente aplicada em todo o mundo. É
reconhecida como uma estrutura modelo para desenvolvimento, implementação e condução do
controle interno, bem como para a avaliação de sua eficácia.
60
COSO ERM (COSO II)
Em 2004 o COSO publicou o manual Gerenciamento de Riscos Corporativos – Estrutura
Integrada (Enterprise Risk Management — Integrated Framework), que fornece princípios, diretrizes,
uma linguagem comum e propõe um modelo conceitual que integra as perspectivas de sistema e de
6
processo para o desenho e implantação da GR nas organizações, com o intuito de aumentar as
probabilidades de realização de seus objetivos organizacionais.
7
Segundo o COSO esses objetivos organizacionais são classificados em quatro categorias
(COSO, 2004) explicados abaixo e ilustrados na Figura 14:
● Estratégicos – objetivos gerais que suportam a missão da organização;
● Operações – objetivos de utilização eficaz e eficiente dos recursos;
● Comunicação – objetivos relacionados com a confiabilidade de relatórios;
● Conformidade – objetivos associados ao cumprimento de leis e regulamentos
aplicáveis.
6
O manual COSO define a GR como um processo contínuo que pode ser aplicado em toda organização, em suas várias
áreas, níveis, funções, atividades, projetos e processos específicos, a qualquer momento, por meio de estratégias
formuladas para identificar eventos com potencial impacto, negativo ou positivo, capazes de afetá-la e administrar os riscos
de modo a mantê-los compatíveis com o cumprimento dos seus objetivos (COSO, 2004).
7
Esta categorização possibilita um enfoque nos aspectos distintos do gerenciamento de riscos. Apesar de essas categorias
de objetivos serem distintas, elas se inter-relacionam uma vez que determinado objetivo pode ser classificado em mais de
uma categoria, tratam de necessidades diferentes da organização e podem permanecer sob a responsabilidade direta de
diferentes executivos. Essa classificação também permite diferenciar o que pode ser esperado de cada categoria de
objetivos (COSO, 2004).
61
O objeto de aplicação do FGRE-MCTIC são os objetivos estratégicos, segundo categorização do COSO
(2004). Esta aplicação se faz gerindo as incertezas inerentes à definição destes objetivos estratégicos, em
diferentes níveis, e às expectativas quanto aos relacionamentos de suporte entre outros objetivos estratégicos,
objetivos operacionais, portfólios de esforços estratégicos e ou esforços estratégicos e estes objetivos estratégicos.
Sua abrangência de aplicação é delimitada pelos processos de planejamento e gestão estratégica, no âmbito das
unidades organizacionais responsáveis pela gestão dos riscos estratégicos relacionadas a um ou mais objetivos
estratégicos do MCTIC.
62
Figura 16: Relacionamento entre objetivos e componentes da estrutura de GR (COSO, 2004).
63
O GRC, como costuma ser praticado, ajudou muitas organizações a identificar, avaliar e
gerenciar riscos para a estratégia, que são aqueles relacionados à capacidade da organização para
executá-la. Mas as causas mais significativas de destruição de valor estão embutidas na possibilidade
de a estratégia não apoiar a missão e a visão da entidade e as implicações da estratégia.
Dessa forma, este documento aprimorou o conteúdo e a relevância da estrutura em um
ambiente de negócios cada vez mais complexo para que as organizações possam obter um melhor
valor do GRC. Esta nova estrutura é focada em menos componentes, cinco, como mostra a Figura 17
abaixo.
64
5.1.1.2 ABNT NBR ISO 31000
A Norma ABNT NBR ISO 31000 (2009) fornece princípios, diretrizes, conceitos e propõe um
modelo conceitual que aborda separadamente as perspectivas de sistema (veja Figura 18) e de
processo (veja Figura 19), para o desenho e implantação da GR nas organizações. A perspectiva de
8
sistema deste modelo conceitual proposto engloba 5 fases ou componentes:
● Mandato e comprometimento;
● Concepção de estrutura para gerenciar riscos;
● Implementação da GR;
● Monitoramento e análise crítica da estrutura;
● Melhoria contínua da estrutura.
8
A NBR ISO 31000 (2009) recomenda que as organizações desenvolvam, implementem e melhorem continuamente um sistema para
gerenciar riscos na governança, estratégia e planejamento, gestão, processos de reportar dados e resultados, políticas, valores e cultura em
toda a organização.
65
A GRE no MCTIC adotará um modelo conceitual híbrido, com influências dos manuais COSO (2004 e 2017)
e da norma ISO 31000 (2009 e 2018).
A perspectiva de processo deste modelo conceitual proposto pela ISO 31000 (2009) é
composta pelas seguintes etapas:
● Comunicação e consulta;
● Estabelecimento do contexto;
● Identificação de riscos;
● Análise de riscos;
● Avaliação de riscos;
● Tratamento de riscos;
● Monitoramento e análise crítica.
66
Figura 19: Perspectiva de processo (ISO, 2009).
Em 2018 a norma ISO 31000 sofreu uma revisão, que cancela e substitui a anterior, e fornece
uma visão mais holística e estratégica, além de detalhar as metodologias a serem utilizadas em cada
disciplina de risco. Sua revisão foi estrutural e ampliou sua visão oficialmente para o nível estratégico.
Gerenciar riscos baseia-se nos princípios, estrutura e processos delineados neste documento. Estes
componentes podem já existir total ou parcialmente na organização; contudo, podem necessitar ser
adaptados ou melhorados, de forma que gerenciar riscos seja eficiente, eficaz e consistente.
Os princípios da ISO 31000 (2018) fornecem orientações sobre as características da GR eficaz
e eficiente, comunicando seu valor e explicando sua intenção e propósito. Os princípios são a base
para gerenciar riscos e convém que sejam considerados quando se estabelecerem a estrutura e os
processo de GR da organização. Convém que estes princípios possibilitem uma organização a
gerenciar os efeitos da incerteza nos seus objetivos. A Figura 20 abaixo ilustra os princípios da GR
segundo a revisão da ISO 31000 (2018).
67
e aborde estas lacunas no âmbito do sistema. Convém que os componentes do sistema e o modo
como funcionam em conjunto sejam personalizados para as necessidades da organização.
68
Figura 22: Processo de GR (ISO, 2018).
69
Figura 23: Normas Federais de GR.
9
No mínimo: formas de acompanhamento de resultados; soluções para melhoria do desempenho das organizações; e instrumentos de
promoção do processo decisório fundamentado em evidências.
70
Segundo o Decreto que instituiu a PG-APF, a alta administração dos órgãos da APF deverá
estabelecer Sistema de Gestão de Riscos e Controles Internos (SGRCI), com vistas à gestão dos riscos
que possam impactar a implementação da estratégia e a consecução dos objetivos da organização.
No MCTIC a PGIRC-MCTIC definiu e instituiu o SGIRC-MCIC, que exerce, no âmbito do Ministério, o papel
de SGRCI, como definido na PG-APF.
71
10
estabelecer instâncias de segunda linha (ou camada) de defesa , para supervisão e monitoramento
desses controles.
A GRE endereça somente os controles que atuam como medidas de resposta aos riscos estratégicos.
Segundo a IN MP/CGU Nº 01/16, na implementação e atualização do modelo de GR a alta
administração, bem como seus servidores ou funcionários, deverão observar os seguintes
componentes da estrutura de GR:
● Ambiente interno;
● Fixação de objetivos;
● Identificação de evento;
● Avaliação de riscos;
● Resposta a riscos;
● Atividades de controles internos;
● Informação e comunicação;
● Monitoramento.
Comitês, diretorias ou assessorias específicas para tratar de riscos, controles, integridade e compliance, por exemplo,
10
72
A estrutura de GR adotada e recomendada pela IN MP/CGU Nº 01/16 coincide com a
estrutura de referência para GR definida e preconizada pelo manual COSO ERM (2004), como ilustra a
Figura 25, a seguir.
Os gestores são os responsáveis pela avaliação dos riscos no âmbito das unidades, processos
e atividades que lhes são afetos. A alta administração deve avaliar os riscos no âmbito da
organização, desenvolvendo uma visão de riscos de forma consolidada.
Segundo esta instrução normativa a PGR, a ser instituída pelos órgãos e entidades do Poder
Executivo Federal, deve especificar ao menos:
● Princípios e objetivos organizacionais da GR;
11
● Diretrizes sobre os aspectos de funcionamento da GR ;
● Competências e responsabilidades para a efetivação da GR.
11
Integração aos planejamentos estratégicos, aos processos e às políticas da organização; periodicidade e processo operacional; medição
de desempenho da GR; integração entre as instâncias do órgão ou entidade responsáveis; metodologia e ferramentas de apoio;
desenvolvimento contínuo dos agentes públicos.
73
Os órgãos e entidades, ao efetuarem o mapeamento e avaliação dos riscos deverão
considerar, entre outras possíveis, as seguintes tipologias de riscos:
12
● Riscos operacionais ;
13
● Riscos de imagem/reputação do órgão ;
14
● Riscos legais ;
15
● Riscos financeiros/orçamentários .
12
Eventos que podem comprometer as atividades do órgão ou entidade, normalmente associados a falhas, deficiência ou inadequação de
processos internos, pessoas, infraestrutura e sistemas.
13
Eventos que podem comprometer a confiança da sociedade (ou de parceiros, de clientes ou de fornecedores) em relação à capacidade
do órgão ou da entidade em cumprir sua missão institucional.
14
Eventos derivados de alterações legislativas ou normativas que podem comprometer as atividades do órgão ou entidade.
15
Eventos que podem comprometer a capacidade do órgão ou entidade de contar com os recursos orçamentários e financeiros necessários
à realização de suas atividades, ou eventos que possam comprometer a própria execução orçamentária, como atrasos no cronograma de
licitações.
74
O COGIR-MCTIC é a implementação no âmbito do MCTIC do COGRC, definido e exigido pela IN
MP/CGU-01/16.
São objetos da GRE os riscos estratégicos, que são os riscos inerentes às escolhas que definem a
arquitetura e os instrumentos de planejamento estratégico do MCTIC, que se dão na definição dos objetivos
estratégicos, de diferentes níveis, e nas expectativas quantos aos relacionamento de suporte entre outros
objetivos estratégicos, objetivos operacionais, portfólios de esforços estratégicos e ou esforços estratégicos,
que s uportam os objetivos estratégicos objetos, e estes objetivos estratégicos objetos.
75
● Prezar pelas conformidades legal e normativa dos processos organizacionais;
● Contribuir para a proteção dos bens, ativos e recursos públicos contra desperdício e
perda;
● Melhorar a governança;
● Aumentar a capacidade da organização de adaptar-se a mudanças;
● Melhorar a prestação de contas à sociedade brasileira.
A metodologia a ser estabelecida e que orientará as atividades deGR do Ministério deverá
prever de que forma e com qual periodicidade serão identificados, avaliados, tratados e monitorados
os riscos, assim como deverá especificar como será medido o desempenho daGR e deverá
contemplar, no mínimo, as seguintes etapas:
16
● Entendimento do contexto ;
17
● Identificação de riscos ;
18
● Análise de riscos ;
19;
● Avaliação de riscos
20
● Priorização de riscos ;
21
● Definição de respostas aos riscos ;
22
● Comunicação e monitoramento .
A GRE do MCTIC se baseia nas mesmas etapas preconizadas pela PGIRC-MCTIC para a
operacionalização da GR no MCTIC, garantindo assim a compatibilidade do processo de GRE com o processo de
GR do MCTIC.
16
Etapa em que são identificados os objetivos relacionados ao processo organizacional e definidos os contextos externo e
interno a serem levados em consideração ao gerenciar riscos.
17
Etapa em que são identificados possíveis riscos para objetivos associados aos processos organizacionais.
18
Etapa em que são identificadas as possíveis causas e consequências do risco.
19
Etapa em que são estimados os níveis dos riscos identificados.
20
Etapa em que são definidos quais riscos terão suas respostas priorizadas, levando em consideração os níveis calculados na
etapa anterior.
21
Etapa em que são definidas as respostas aos riscos, de forma a adequar seus níveis ao apetite estabelecido para os
processos organizacionais, além da escolha das medidas de controle associadas a essas respostas.
22
Etapa que ocorre durante todo o processo de gerenciamento de riscos e é responsável pela integração de todas as
instâncias envolvidas, bem como pelo monitoramento contínuo da própria GR, com vistas a sua melhoria.
76
São instâncias responsáveis pela Política de Integridade, Riscos e Controles Internos do
MCTIC (como ilustra a Figura 26):
● COGIR-MCTIC;
● Secretaria Executiva do COGIR do MCTIC;
● USGs.
Compete ao COGIR-MCTIC:
● A promoção de práticas e princípios destinados a garantia da integridade,
23
conformidade, transparência e responsabilização ;
24
● Garantir a estruturação, institucionalização e melhoria contínua do SGIRC-MCTIC ;
25
● Parametrizar o SGIRC-MCTIC de acordo com as expectativas do orgão ;
● Promover a integração e o desenvolvimento contínuo dos agentes públicos
responsáveis pela gestão da integridade, riscos e controles internos, de modo a
incentivar a adoção de boas práticas relacionadas.
À Secretaria Executiva do COGIR-MCTIC compete:
● Definir a metodologia deGR, baseada na metodologia internacional do COSO e de
boas práticas e suas revisões, segundo orientações do COGIR-MCTIC;
26
● Apoiar o COGIR-MCTIC técnica e administrativamente ;
27
● Apoiar e monitorar as USGs .
23
Supervisionar a aderência às regulamentações, leis, códigos, normas e padrões, com vistas à condução das políticas e à
prestação de serviços de interesse público; promover a adoção de práticas que institucionalizam a responsabilidade dos
agentes públicos na prestação de contas, na transparência e na efetividade das informações; fomentar práticas e princípios
de conduta e padrões de comportamentos, em apoio às ações desenvolvidas pela Comissão Setorial de Ética.
24
Aprovar política, diretrizes, metodologias e mecanismos para comunicação e institucionalização da gestão da integridade,
de riscos e dos controles; liderar e supervisionar a institucionalização da gestão da integridade, riscos e controles internos,
baseada no modelo adotado, oferecendo suporte necessário para a implementação de suas estruturas no órgão ou
entidade; aprovar e supervisionar método de priorização de temas e macroprocessos para gerenciamento de riscos e
implementação dos controles da gestão; emitir e monitorar recomendações para o aprimoramento da gestão da
integridade, de riscos e dos controles.
25
Supervisionar o mapeamento e avaliação dos riscos-chave que podem comprometer a prestação de serviços de interesse
público; estabelecer limites aos riscos estratégicos globais do órgão, bem com os limites de alçada ao nível de unidade,
política pública, ou atividade; tomar decisões considerando as informações sobre a gestão da integridade, riscos e controles
internos e assegurar que estejam disponíveis em todos os níveis; e designar os membros de suas respectivas unidade
setoriais de governança.
26
No que for necessário para o funcionamento do Comitê; na definição e atualizações da estratégia de implementação da
GR, considerando os contextos externo e interno.
27
Monitorar a implementação das recomendações do COGIR-MCTIC e As medidas de controles a serem implementadas nos
processos organizacionais e consolidar os resultados das unidades em relatórios gerenciais e submetê-los para apreciação
do Comitê; apoiar tecnicamente na identificação, análise e avaliação dos riscos dos processos organizacionais selecionados
para a implementação da GR; apoiar na definição dos indicadores de desempenho para a GR, alinhados com os indicadores
de desempenho do MCTIC.
77
A Secretaria Executiva do COGIR-MCTIC terá o papel de apoiar o Comitê na realização de suas
atribuições e será composta pela Assessoria Especial de Controle Interno (AECI) e pela Secretaria
Executiva deste Ministério.
Às USGs compete:
28
● Executar a GR no seu contexto;
29
● Integrar a GR local ao SGIRC-MCTIC .
●
28
Identificar, analisar e avaliar os riscos dos processos sob sua responsabilidade, em conformidade ao que define esta
Política; informar à Secretaria Executiva do COGIR-MCTIC sobre mudanças significativas nos processos organizacionais sob
sua responsabilidade; Propor respostas e respectivas medidas de controle, a serem implementadas nos processos
organizacionais sob sua responsabilidade; Monitorar a evolução dos níveis de criticidades e a efetividade das medidas de
controles implementadas nos processos organizacionais sob sua responsabilidade.
29
Medir o desempenho da GR, objetivando a sua melhoria contínua; responder às solicitações da Secretaria Executiva do
COGIR-MCTIC; disponibilizar informações adequadas ao monitoramento da gestão dos riscos dos processos sob sua
responsabilidade a todos os níveis do Ministério e demais partes interessadas; coordenar a implementação das respectivas
determinações do COGIR-MCTIC.
78
Figura 26: Estrutura de governança do SGIRC-MCTIC (elaboração CGGR, 2020).
5.1.3 Benchmarks
O benchmarking tem como propósito a busca das melhores práticas nas organizações, ou seja
as que orientam uma performance superior. Segundo Camp (1998) o benchmark é visto como um
processo positivo e proativo, por meio do qual uma organização pode averiguar como outra realiza
uma função específica, com a finalidade de melhoria em seu desempenho e, conhecendo as melhores
práticas, adaptá-las ao ambiente interno da organização.
A GR na administração pública brasileira seguem os padrões de boas práticas mundialmente
aceitas, tendo como parâmetros, principalmente, os modelos ISO 31000 (2009 e 2018), COSO (2004
e 2017), entre outros. Com a finalidade de consolidação do FGRE-MCTIC, o trabalho valeu-se da
análise da adoção desses modelos por meio de benchmark, entre os princípios e conceitos expressos
nas normas do SGR adotados pelo Tribunal de Contas da União (TCU), da Controladoria da União
(CGU) e do Ministério da Economia (ME), descritos brevemente a seguir.
79
Figura 27: Etapas da GR (TCU, 2018).
80
I– entendimento do contexto: etapa em que são identificados os objetivos relacinados ao processo
organizacional e definidos os contextos externo e interno a serem levados em consideração ao GR;
II – identificação de riscos: etapa em que são identificados possíveis riscos para objetivos associados
aos processos organizacionais;
III – análise de riscos: etapa em que são identificadas as possíveis causas e consequências do risco;
IV – avaliação de riscos: etapa em que são estimados os níveis dos riscos identificados;
V – priorização de riscos: etapa em que são definidos quais riscos terão suas res- postas priorizadas,
levando em consideração os níveis calculados na etapa anterior;
VI – definição de respostas aos riscos: etapa em que são definidas as respostas aos riscos, de forma a
adequar seus níveis ao apetite estabelecido para os processos organizacionais, além da escolha das
medidas de controle associadas a essas respostas ; e
VII – comunicação e monitoramento: etapa que ocorre durante todo o processo de gerenciamento de
riscos e é responsável pela integração de todas as instâncias en- volvidas, bem como pelo
monitoramento contínuo da própria GR, com vistas a sua melhoria.
81
5.1.4 Tendências em Gestão de Riscos e Riscos Estratégicos
O GRC, como vem sendo tipicamente praticado, ajudou muitas organizações a identificar,
avaliar e gerenciar riscos da estratégia. No entanto, as causas mais importantes de destruição de
valor residem na possibilidade da estratégia não suportar a missão e a visão da entidade, e as
implicações da estratégia (COSO 2017).
5.1.4.2 Strategic Risk Management Lab, Kellstadt Graduate School of Business, DePaul
University, Chicago
What Is Strategic Risk Management?
Neste artigo, Dr. Mark L. Frigo define a GRE como um processo para identificar, avaliar e
gerenciar riscos e incertezas, influenciado por fatores internos e externos eventos, ou cenários, que
podem inibir a capacidade da organização realizar a sua estratégia e objetivos estratégicos, com o
intuito final de criar e proteger valor para as partes interessadas. É um componente primário e um
fundamento necessário da GRC.
5.1.4.3 Edinburgh Business School, Heriot-Watt University
Module 4 - Strategic Risk, Strategic Risk Management
O risco estratégico está relacionado ao risco no nível corporativo e afeta o desenvolvimento e
implementação da estratégia de uma organização. Um exemplo é o risco resultante de uma avaliação
incorreta das tendências futuras do mercado ao desenvolver a estratégia inicial. No desenvolvendo
de uma estratégia, uma organização faz uma avaliação das condições do mercado hoje, sem prever
as várias mudanças que ocorrerão no mercado durante o período de realização da estratégia.
82
5.1.4.4 Banco Central do Brasil
Integration of Risk Management Into Strategic Planning: A New Comprehensive Approach
As organizações estão expostas a uma variedade de riscos relacionados ao desenvolvimento
e implementação de sua estratégia. Existe uma quantidade extensa de literatura sobre GRC, mas
ainda é possível encontrar oportunidades para analisar como diferentes tipos de informações de risco
podem ser objetivamente consideradas para aprimorar a governança corporativa e fortalecer a boa
tomada de decisão.
Uma estrutura robusta de gerenciamento de risco corporativo deve fornecer informações de
riscos relevantes para os tomadores de decisão, a fim de reduzir a possibilidade de seleção de uma
estratégia equivocada ou ignorar uma importante. As metodologias de planejamento estratégico
mais comuns não levam em consideração os riscos estratégicos. Os riscos estratégicos podem
alavancar, dificultar ou impedir o cumprimento dos objetivos estratégicos. Este artigo tem como
objetivo introduzir um novo modelo abrangente que integra o gerenciamento de riscos ao
planejamento estratégico.
83
6. Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO 31000: Gestão de riscos — Princípios e
diretrizes. Rio de Janeiro, 2009.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO 31000: Gestão de riscos — Diretrizes. Rio
de Janeiro, 2018.
BRASIL. Instrução Normativa Conjunta MP/CGU nº 01, de 10 de maio de 2016. Diário Oficial da
União, Poder Executivo, Brasília, DF, 11 maio 2016. Seção 1.
BRASIL. Decreto nº 9.203, de 22 de novembro de 2017. Diário Oficial da União, Poder Executivo,
Brasília, DF, 23 nov 2017. Seção 1.
BRASIL. Tribunal de Contas da União. Manual de gestão de riscos. Brasília: TCU, 2018.
84
COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION - COSO. Enterprise
Risk Management Integrating with Strategy and Performance. PricewaterhouseCoopers: 2017.
COUTINHO, Reginaldo. Controle Interno e Gestão e Risco. Diálogo público para a melhoria da
governança. Roraima, 2014.
HER MAJESTY’S TREASURY. The Orange Book. Management of Risk - Principles and Concepts.
Londres: HM Treasury, 2004.
KAPLAN, Robert AND MIKES, Annete. Managing Risks: A New Framework. Boston: 2012.
MAIA, Isabela R. D & CHAVES, George M. M. Integration of Risk Management into Strategic
Planning: A New Comprehensive Approach. Enterprise Risk Management Symposium. Arlington:
2016.
UK FEDERAL GOVERNMENT. An approach to top-down risk management and alignment: a practical
guide to risk strategy for boards of organisations. Strategic Risk Management. London: 2020.
FRIGO, MARK L. AND ANDERSON, RICHARD J. What Is Strategic Risk Management? New York: 2011.
TONELLO, MATTEO. Strategic Risk Management: A Primer for Directors. The Conference Board: 2012.
85
WALLACE, DR WILLIAM AND MCCLURE, MR NEIL. Strategic Risk Management. Edinburgh Business
School, Heriot-Watt University. Edinburgh: 2017.
86