Modelo de Gestão de Riscos em Instituições Federais

de Ensino Superior (IFES)

Bruno Silva
Auditor Interno
 Estrutura da Apresentação
I. Introdução
 Objetivos
 Definições
II. Por que propor um modelo de gestão de riscos para IFES?
 O papel da Auditoria Interna no gerenciamento de riscos
 Abordagens da Auditoria Interna no que se refere à ABR
III. Modelo de “Gestão de Riscos” em IFES
 Estrutura
 Processo
 Proposta de módulo para um sistema de informação
 Gerenciando riscos na área de pessoal
IV. Considerações Finais
 Benefícios decorrentes da adoção do modelo proposto
 Objetivos
• Apresentar um modelo de gestão de riscos concebido especificamente para IFES,
com base em dois modelos reconhecidos mundialmente (Enterprise Risk
Management1 e Management of Risk – Principles and Concepts2) e uma norma
brasileira, editada pela Associação Brasileira de Normas Técnicas (ISO 31.000);

• Compartilhar um módulo proposto para o sistema de informação da Universidade

Federal do Rio Grande do Norte (UFRN), capaz de registrar os componentes de
gestão de riscos, em consonância com o modelo apresentado;

• Demonstrar como um auditor pode agregar valor à gestão ao atuar como

facilitador em oficinas realizadas com o propósito de gerenciar riscos, utilizando
como exemplo um subprocesso da área de pessoal (Concessão de Retribuição por
Titulação – RT).

1 Gerenciamento de Riscos Corporativos, conhecido como COSO II.

2 Gestão de Riscos – Princípios e Conceitos, conhecido também como Orange Book (Livro Laranja).
 Definições
A auditoria interna é uma atividade independente e objetiva de
avaliação e de consultoria, desenhada para adicionar valor e
melhorar as operações de uma organização. Auxilia na realização
dos objetivos organizacionais a partir da aplicação de uma
abordagem sistemática e disciplinada para avaliar e melhorar a
eficácia dos processos de gerenciamento de riscos, controle e
governança (IIA Brasil).

O gerenciamento de risco é um processo necessário, lógico e

sistemático para organizações identificarem e avaliarem riscos e
oportunidades, visando melhorar a tomada de decisões e a avaliação
de desempenhos (CARVALHO NETO e SILVA, 2009).
Por que propor um modelo de gestão de riscos para
Instituições Federais de Ensino Superior (IFES)?
 O Papel da Auditoria Interna no
Gerenciamento de Riscos

Em 2009 o Instituto dos Auditores Internos do Reino Unidade publicou

um comunicado intitulado The role of Internal Auditing in Enterprise-
wide Risk Management1.

Segundo o IIA (2009, p. 3), o papel da auditoria interna é dar garantia

ao conselho de administração ou órgão equivalente sobre a eficácia da
gestão de riscos. Acrescentou ainda que a auditoria interna agrega valor
à organização quando assegura que: i. os riscos chave estão sendo
gerenciados adequadamente; e ii. que a organização possui uma
estrutura efetiva de gestão de riscos e controle interno.

1 O papel da Auditoria Interna no gerenciamento de riscos.

 Abordagens da Auditoria Interna no que
refere à Auditoria Baseada em Riscos
Segundo De Cicco1 e Griffiths2, a ABR pode ser abordada de duas formas
distintas pela unidade de Auditoria Interna:
Abordagem da Auditoria Interna segundo De Cicco:

Cenário Abordagem
1. Quando uma organização já Basear-se na avaliação de riscos da
apresenta um grau de maturidade de própria organização, definida pelos
gestão de riscos mais avançado; gestores.
2. Quando a organização não
apresenta estrutura e processo de Basear-se na avaliação de riscos da
gestão de riscos definidos, ou seja, própria auditoria interna.
não adota nenhum modelo.

1 Implemente a Auditoria Baseada em Riscos em sua Organização (2007, p. 5)

2 Risk Based Internal Auditing: An Introduction (2006, pg. 24)
 Abordagens da Auditoria Interna no que
refere à Auditoria Baseada em Riscos
Segundo De Cicco1 e Griffiths2, a ABR pode ser abordada de duas formas
distintas pela unidade de Auditoria Interna:
Abordagem da Auditoria Interna segundo Griffiths:

Cenário Abordagem
1. Quando uma organização já Basear-se na avaliação de riscos da
apresenta um grau de maturidade de própria organização, definida pelos
gestão de riscos mais avançado; gestores.
2. Quando a organização não Realizar atividades de assessoria e
apresenta estrutura e processo de consultoria visando aprimorar a
gestão de riscos definidos, ou seja, estrutura e o processo de gestão de
não adota nenhum modelo. riscos da organização.

1 Implemente a Auditoria Baseada em Riscos em sua Organização (2007, p. 5)

2 Risk Based Internal Auditing: An Introduction (2006, pg. 24)
 Atividades de consultoria prestadas pela
Auditoria Interna

i. Colocar à disposição da gestão ferramentas e técnicas utilizadas pela

auditoria interna para analisar riscos e controles de gestão;
ii. Encorajar a implementação da gestão de riscos corporativos,
aproveitando sua expertise em gestão de risco e controle, além do seu
conhecimento global da organização;
iii. Agir como facilitador em oficinas, promovendo o desenvolvimento de
uma linguagem comum;
iv. Agir como o ponto central para a coordenação, acompanhamento e
elaboração de relatórios de riscos; e
v. Apoiar os gestores na identificação das melhores formas de mitigar o
risco.

Fonte: Instituto dos Auditores internos do Reino Unido, 2009

Modelo de Gestão de Riscos em IFES
(GERIFES)
 Estrutura de Gestão de Riscos

1.1 Ambiente Interno

1.1.1. Filosofia de Gestão de Riscos
1.1.2 Integridade e Valores Éticos
1.1.3 Estrutura Organizacional
1.1.4 Delegação de Autoridade e Responsabilidade
1.1.5 Capacitação e Reconhecimento de Servidores
1.2. Arcabouço para Definição dos Objetivos Passíveis de Gerenciamento
1.2.1 Definição dos Macroprocessos
1.2.2 Definição dos Processos ou Macro Objetivos
1.3 Política de Gestão de Riscos
1.4 Comitê de Gestão de Riscos
1.5 Sistema de Informação
Níveis dos Objetivos Organizacionais
 Missão da UFRN

“Educar, produzir e disseminar o saber universal, preservar e

difundir as artes e a cultura, e contribuir para o desenvolvimento
humano, comprometendo-se com a justiça social, a
sustentabilidade socioambiental, a democracia e a cidadania”.
Macroprocessos
Processos ou Macro Objetivos
 Estrutura de Gestão de Riscos

1.1 Ambiente Interno

1.1.1. Filosofia de Gestão de Riscos
1.1.2 Integridade e Valores Éticos
1.1.3 Estrutura Organizacional
1.1.4 Delegação de Autoridade e Responsabilidade
1.1.5 Capacitação e Reconhecimento de Servidores
1.2. Arcabouço para Definição dos Objetivos Passíveis de Gerenciamento
1.2.1 Definição dos Macroprocessos
1.2.2 Definição dos Processos ou Macro Objetivos
1.3 Política de Gestão de Riscos
1.4 Comitê de Gestão de Riscos
1.5 Sistema de Informação
 Processo de Gestão de Riscos

2.1 Definição do Objetivos Organizacionais

2.1.1. Objetivos Estratégicos
2.1.2 Objetivos Operacionais
2.2 Identificação de Eventos
2.2.1 Origem dos Eventos
2.2.2 Tipos de Risco
2.2.3 Proprietário do Risco
2.2.4 Técnicas de Identificação de Eventos
2.2.4.1 Análise de Fluxo de Subprocesso
2.2.4.2 Realização de Oficinas com Facilitadores
2.3 Classificação do Risco
2.3.1 Matriz de Risco
2.3.2 Graus de Risco
2.3.2.1 Risco Baixo
2.3.2.2 Risco Moderado
2.3.2.3 Risco Alto
2.3.2.4 Risco Muito Alto
 Processo de Gestão de Riscos

2.1 Definição do Objetivos Organizacionais

2.1.1. Objetivos Estratégicos
2.1.2 Objetivos Operacionais
2.2 Identificação de Eventos
2.2.1 Origem dos Eventos
2.2.2 Tipos de Risco
2.2.3 Proprietário do Risco
2.2.4 Técnicas de Identificação de Eventos
2.2.4.1 Análise de Fluxo de Subprocesso
2.2.4.2 Realização de Oficinas com Facilitadores
2.3 Classificação do Risco
2.3.1 Matriz de Risco
2.3.2 Graus de Risco
2.3.2.1 Risco Baixo
2.3.2.2 Risco Moderado
2.3.2.3 Risco Alto
2.3.2.4 Risco Muito Alto
 Processo de Gestão de Riscos

2.1 Definição do Objetivos Organizacionais

2.1.1. Objetivos Estratégicos
2.1.2 Objetivos Operacionais
2.2 Identificação de Eventos
2.2.1 Origem dos Eventos
2.2.2 Tipos de Risco
2.2.3 Proprietário do Risco
2.2.4 Técnicas de Identificação de Eventos
2.2.4.1 Análise de Fluxo de Subprocesso
2.2.4.2 Realização de Oficinas com Facilitadores
2.3 Classificação do Risco
2.3.1 Matriz de Risco
2.3.2 Graus de Risco
2.3.2.1 Risco Baixo
2.3.2.2 Risco Moderado
2.3.2.3 Risco Alto
2.3.2.4 Risco Muito Alto
 Processo de Gestão de Riscos

2.1 Definição do Objetivos Organizacionais

2.1.1. Objetivos Estratégicos
2.1.2 Objetivos Operacionais
2.2 Identificação de Eventos
2.2.1 Origem dos Eventos
2.2.2 Tipos de Risco
2.2.3 Proprietário do Risco
2.2.4 Técnicas de Identificação de Eventos
2.2.4.1 Análise de Fluxo de Subprocesso
2.2.4.2 Realização de Oficinas com Facilitadores
2.3 Classificação do Risco
2.3.1 Matriz de Risco
2.3.2 Graus de Risco
2.3.2.1 Risco Baixo
2.3.2.2 Risco Moderado
2.3.2.3 Risco Alto
2.3.2.4 Risco Muito Alto
 Processo de Gestão de Riscos

2.1 Definição do Objetivos Organizacionais

2.1.1. Objetivos Estratégicos
2.1.2 Objetivos Operacionais
2.2 Identificação de Eventos
2.2.1 Origem dos Eventos
2.2.2 Tipos de Risco
2.2.3 Proprietário do Risco
2.2.4 Técnicas de Identificação de Eventos
2.2.4.1 Análise de Fluxo de Subprocesso
2.2.4.2 Realização de Oficinas com Facilitadores
2.3 Classificação do Risco
2.3.1 Matriz de Risco
2.3.2 Graus de Risco
2.3.2.1 Risco Baixo
2.3.2.2 Risco Moderado
2.3.2.3 Risco Alto
2.3.2.4 Risco Muito Alto
 Processo de Gestão de Riscos

2.1 Definição do Objetivos Organizacionais

2.1.1. Objetivos Estratégicos
2.1.2 Objetivos Operacionais
2.2 Identificação de Eventos
2.2.1 Origem dos Eventos
2.2.2 Tipos de Risco
2.2.3 Proprietário do Risco
2.2.4 Técnicas de Identificação de Eventos
2.2.4.1 Análise de Fluxo de Subprocesso
2.2.4.2 Realização de Oficinas com Facilitadores
2.3 Classificação do Risco
2.3.1 Matriz de Risco
2.3.2 Graus de Risco
2.3.2.1 Risco Baixo
2.3.2.2 Risco Moderado
2.3.2.3 Risco Alto
2.3.2.4 Risco Muito Alto
 Processo de Gestão de Riscos

2.1 Definição do Objetivos Organizacionais

2.1.1. Objetivos Estratégicos
2.1.2 Objetivos Operacionais
2.2 Identificação de Eventos
2.2.1 Origem dos Eventos
2.2.2 Tipos de Risco
2.2.3 Proprietário do Risco
2.2.4 Técnicas de Identificação de Eventos
2.2.4.1 Análise de Fluxo de Subprocesso
2.2.4.2 Realização de Oficinas com Facilitadores
2.3 Classificação do Risco
2.3.1 Matriz de Risco
2.3.2 Graus de Risco
2.3.2.1 Risco Baixo
2.3.2.2 Risco Moderado
2.3.2.3 Risco Alto
2.3.2.4 Risco Muito Alto
Análise de Fluxo de Subprocesso
01. Implantar RT com
insuficiência de documentos;
02. Deixar de submeter o
Termo de Compromisso
quando não for apresentada a
documentação definitiva
(diploma);
03. Implantar RT sem sua
respectiva publicação;
04. Implantar RT com
titulação em
desconformidade com o
processo;
05. Continuar pagando a RT
decorridos 180 dias da sua
concessão sem a entrega do
certificado ou justificativa
plausível, nos casos em que
forem concedidas sem a
entrega definitiva do título.
 Processo de Gestão de Riscos

2.1 Definição do Objetivos Organizacionais

2.1.1. Objetivos Estratégicos
2.1.2 Objetivos Operacionais
2.2 Identificação de Eventos
2.2.1 Origem dos Eventos
2.2.2 Tipos de Risco
2.2.3 Proprietário do Risco
2.2.4 Técnicas de Identificação de Eventos
2.2.4.1 Análise de Fluxo de Subprocesso
2.2.4.2 Realização de Oficinas com Facilitadores
2.3 Classificação do Risco
2.3.1 Matriz de Risco
2.3.2 Graus de Risco
2.3.2.1 Risco Baixo
2.3.2.2 Risco Moderado
2.3.2.3 Risco Alto
2.3.2.4 Risco Muito Alto
Graus de Risco

Risco Baixo

Risco Moderado

Risco Alto

Risco Muito Alto

 Processo de Gestão de Riscos

2.1 Definição do Objetivos Organizacionais

2.1.1. Objetivos Estratégicos
2.1.2 Objetivos Operacionais
2.2 Identificação de Eventos
2.2.1 Origem dos Eventos
2.2.2 Tipos de Risco
2.2.3 Proprietário do Risco
2.2.4 Técnicas de Identificação de Eventos
2.2.4.1 Análise de Fluxo de Subprocesso
2.2.4.2 Realização de Oficinas com Facilitadores
2.3 Classificação do Risco
2.3.1 Matriz de Risco
2.3.2 Graus de Risco
2.3.2.1 Risco Baixo
2.3.2.2 Risco Moderado
2.3.2.3 Risco Alto
2.3.2.4 Risco Muito Alto
 Processo de Gestão de Riscos

2.4 Definição da Resposta ao Risco

2.4.1 Aceitar
2.4.2 Mitigar
2.4.3 Transferir
2.4.4 Evitar
2.5 Estabelecimento de Planos de Ação e de Contingência
2.5.1 Plano de Ação
2.5.2 Plano de Contingência
2.6 Gestão de Risco
2.6.1 Risco Inerente x Risco Residual
2.6.2 Monitoramento do Risco
2.6.2.1 Atividade de Monitoramento Contínuo
2.6.2.2 Avaliações Independentes
2.6.3 Periodicidade do Monitoramento
2.7 Informação e Comunicação
Para alcançar certo objetivo relacionado a um curso técnico, por exemplo, um
instituto federal precisa lecionar aulas de informática em determinado
laboratório. Ao identificar os eventos que poderiam comprometer o resultado
desse objetivo, verifica-se que um deles seria a possibilidade de contaminação
dos computadores por vírus.

Atitudes do Gestor perante o Risco

Aceitar: O gestor abre mão de qualquer plano de ação para combatê-lo e, a

depender da situação, de eventuais planos de contingência.
Mitigar: Significa diminuir a probabilidade de eventos indesejados ocorrerem
(planos de ação) ou reduzir o impacto causado (planos de contingência).
Transferir: Atribuir a outrem sua responsabilidade. Geralmente ocorre por meio
da terceirização ou contratação de seguro.
Evitar: Ao decidir evitar, não está se falando em evitar o risco, mas sim a
atividade relacionada com o objetivo que se pretende alcançar.
 Processo de Gestão de Riscos

2.4 Definição da Resposta ao Risco

2.4.1 Aceitar
2.4.2 Mitigar
2.4.3 Transferir
2.4.4 Evitar
2.5 Estabelecimento de Planos de Ação e de Contingência
2.5.1 Plano de Ação
2.5.2 Plano de Contingência
2.6 Gestão de Risco
2.6.1 Risco Inerente x Risco Residual
2.6.2 Monitoramento do Risco
2.6.2.1 Atividade de Monitoramento Contínuo
2.6.2.2 Avaliações Independentes
2.6.3 Periodicidade do Monitoramento
2.7 Informação e Comunicação
Módulo “Gestão de Riscos” proposto para o Sistema
Integrado de Patrimônio, Administração e Contratos
(SIPAC)
 Gerenciando Riscos na Área de Pessoal

Concessão de Retribuição por Titulação - RT

 Concessão de Retribuição por Titulação - RT

Classificação Resposta Gestão do

Evento Tipo de Risco Plano de Ação Status Plano de Contingência
do Risco ao Risco Risco

Verificar documentação em dois

Finalizado -
Implantar RT com insuficiência setores: PROGESP1 e CPCC2;
Conformidade Moderado Mitigar Baixo
de documentos; Controlar o prazo de entrega da
Finalizado -
documentação por meio do SIPAC3.

Deixar de submeter o Termo de

Compromisso quando não for Verificar documentação em dois
Conformidade Baixo Mitigar Finalizado - Baixo
apresentada a documentação setores: PROGESP1 e CPCC2.
definitiva (diploma);

Implantar RT com titulação em Comparar as informações do

desconformidade com o Processo Moderado Mitigar SIAPE4 com os dados do processo Iniciado - ?
processo; após sua implantação.

Implantar RT sem sua respectiva Automatizar as portarias de

Conformidade Muito Alto Mitigar Não iniciado - ?
publicação; concessão.

Continuar pagando a RT
decorridos 180 dias da sua
concessão sem a entrega do
certificado ou apresentação de
justificativa plausível;
Suspender o pagamento da
Controlar o prazo de entrega da
Conformidade Baixo Mitigar Finalizado concessão até a entrega Baixo
documentação via SIPAC.
definitiva da documentação.

Implantar RT sem revalidar

Verificar documentação em dois
diploma oriundo de instituições Conformidade Baixo Mitigar Finalizado - Baixo
setores: PROGESP e CPCC.
estrangeiras

Deixar de realizar os ajustes Utilizar check list do fluxo no

Processo Moderado Mitigar Iniciado - ?
financeiros. próprio processo.

1
Pró-reitoria de Gestão de Pessoas
2
Coordenadoria de Provimentos e Controle de Cargos
3
Sistema Integrado de Patrimônio, Administração e Contratos
4
Sistema Integrado de Administração de Recursos Humanos
 Considerações Finais
Benefícios para a gestão

• Possibilidade de cadastrar em sistema de informação todos os objetivos

organizacionais da IFES;
• Criação de banco de dados com os eventos que podem influenciar no
alcance de seus objetivos;
• Registro dos planos de ação/contingência referentes a cada um dos
eventos identificados;
• Visualização dos riscos que exigem maior atenção por parte dos
gestores;
• Padronização da gestão de riscos em toda a instituição;
• Fortalecimento da governança corporativa.
 Considerações Finais
Benefício para a unidade de auditoria interna

• Possibilidade de planejar as atividades de auditoria com base nas áreas

mais críticas, ou seja, aquelas que representam maior ameaça à
organização;
• Maior receptividade dos trabalhos de auditoria por parte dos gestores,
principalmente pelo fato de haver uma gradativa substituição dos
trabalhos de auditoria convencionais, que têm como base fatos
pretéritos, por trabalhos de auditoria baseada em riscos, cujo objetivo
principal é dar garantia ao gestor máximo de que suas unidades
estratégicas estão gerenciando os ricos de forma adequada.
 Fim
bruno_ufrn_natal@ufrnet.br

https://www.dropbox.com/s/66z63m48txg3p29/Relat%C3%B3rio%20T%C3%A9cnico
%20%28Vers%C3%A3o%20Final%20Consolidada%29.pdf?oref=e&n=281704290