a Ministério do Planejamento, Desenvolvimento e Gestao - MP MANUAL DE GESTAO DE INTEGRIDADE, RISCOS E CONTROLES INTERNOS DA GESTAO Assessoria Especial de Controles Internos - AECI 31/01/2017Ministério do Planejamento, Desenvolvimento e Gestio Gabinete do Ministro Assessoria Especial de Controle Interno Ministro do Ministério do Planejamento, Desenvolvimento ¢ Gestao - MP Dyogo Henrique de Oliveira Esteves Pedro Colnago diinior Secretiirio Adjunto Assessor Especial de Controle Interno Rodrigo Fontenelle de Aracijo Miranda Elaboracao Assessoria Especial de Controle Interno Rodrigo Fontenelle de Aratijo Miranda Aline Gongalves dos Santos Andrea Katherine de Souza Suguino Mana Pinheiro Bezerra Maury Gonzaga Farias Silvio Marques de Andrade Vera Laicia de Melo Colabor agao: Comité Técnico de Gestao de Integridade, Riscos ¢ Controles Internos da Gestio Secretaria Executiva do Ministério do Planejamento, Desenvolvimento e GestaoMinistério do Planejamento, Desenvolvimento e Gi Gabinete do Ministro Assessoria Especial de Controle Interno APRESENTACAO objetivo deste manual é apresentar a Metodologia de Gerenciamento de Integridade, Riscos Controles Internos da Gestio do Ministério do Planejamento, Desenvolvimento e Gestdo, no contexto do Modelo em desenvolvimento no MP (Politi Metodologia e Solugao Tecnoligica) A metodologia tem por finalidade orientar a identificagdo, a avaliagio e a adogio de respostas a0 eventos de riscos dos processos da unidade, a partir do Método de Priorizagdo de Processos, bem como instruir sobre o monitoramento e reporte. Neste manual esto descritas as premissas que embasaram sua elaboragio, os procedimentos a serem utilizados na aplicagdo da metodologia, além de apresentar os conceitos utilizados, papéis ¢ responsabilidade, taxonomia de eventos de riscos ¢ lista de controles basicos. Fornece, também, diret 1es bisicas acerca de boas priticas, com objetivo de despertar os gestores para a importincia da gestdo de integridade, itemos da gestiio, Assim, é um ponto de partida que no esgota o tema, cujo aprofundamento pode ser adquirido em publicagées especializadas, num processo de continuo aprendizado, cos € controles Inicialmente, até que seja desenvolvido sistema especifico para a gestio integridade, riscos e controles internos da gestio, a aplicagao poder ser realizada por meio de planilha Excel, denominada “ Planilha Dooumentadora’ , parte integrante deste Manual.Ministério do Planejamento, Desenvolvimento e Gestio Gabinete do Ministro Assessoria Especial de Controle Interno Sumario LISTA DE FIGuRAS 4 LISTADE TABELAS. 4 1, BstRopucio. 5 2, NORMAS E REGULAMENTACOES RELACIONADAS 7 3. _ REFERENCIAL TEORICO. 8 4. ESCOPO DE APLICACAO E ABRANGENCIA 15 5. MODFLO DE GrsTAO DE INTHGRIDADE, RISCOS F CONTROLES INTERNOS DA GESTAO DO MP 16 5.1, POLITICA DE GESTAO DE INTEGRIDADE, RISCOS E CONTROLES INTERNOS DA GESTAO= PGIRC 17 5.2. INSTANCIASDE SUPERVISKO/LiNHAS DE DEFESA. 7 5.3. METODOLOGIA DE GERENCIAMENTO DE INTEGRIDADE, RISCOS E CONTROLES INTERNOS DA GESTAO 20 544, SOLUGAO TECNOLOGICA srs sunsnnnnnnnnnnn al 6. METODOLOGIA DE GERENCIAMENTO DE INTEGRIDADE, RISCOS E CONTROLES INTERNOS DA GESTAO DO MP 2 6.1 ETAPAS DO GERENCIAMENTO DE INTEGRIDADE, RISCOS F CONTROLES INTERNOS DA G 6.1, ETAPA | - ANALISE DE AMBIENTE E DE FIXAGAO DE OBJETIVOS. 612 613 6.14 6.15 7. REFERENCIAS BIBLIOGRAFICAS 8. ANEXoS ESTAO 2 ETAPA2 - IDENTIFICAGAO DE EVENTOS DE RISCOS..... ETAPA3 - AVALIAGAO DE EVENTOS DE RISCOS E CONTROLES 31 ETAPA4 - RESPOSTA A RISCO TAPAS - INFORMACAO, COMUNICAGAO E MONITORAMENTO. 37Ministério do Planejamento, Desenvolvimento e Gestio Gabinete do Ministro Assessoria Especial de Controle Interno LISTA DE FIGURAS Figura | - Cubo do Coso (COSO ERM, 2004) 9 Figura 2 —Identificagio de Eventos. 0 Figura 3 ~Resposta a riscos 12 Figura 4 - Modelo de Gestdo de Integridade, Riscos ¢ Controles Internos da Gestio Figura 5 - PGIRC. Figura 6 - Instancias de Supervisio / Linhas de Defesa. Figura 7 - Sintese da Metodologia de Gerenciamento de Integridade, Riscos e Controles Intenos da Gestio Figura 8 - Visio da Solugio Tecnolégica Figura 9 —Etapas da Metodologia de Gerenciamento de Integridade, Riscos e Controles Internos da Gestdo ... Figura 10 —Analise de SWOT MP Figura 11 - Anilise de Ambiente e Fixagio de Objetivos. Figura 12 — Componentes do Evento de Risco Figura 13 —Diagrama de Causa e Efeito Figura 14 ~ Método Bow-Tie Figura 15 - Mapa de Riscos, Figura 16- Desenho do Controle Figura 17 — Operagio do Controle Figura 18 - Céleulo do risco residual Figura 19 - Resposta a isco Figura 20 ~Plano de Implementagio de Cont eS ...unurnsnnmnnnnnne 36 Figura 21 —Niveis de Relacionamento, 38 LISTA DE TABELAS ‘Tabela 1 ~Indicadores de Monitoramento.. AOMinistério do Planejamento, Desenvolvimento e Gi Gabinete do Ministro Assessoria Especial de Controle Interno 1. INTRODUGAO A incerteza ou 0 risco ¢ inerente a praticamente todas as atividades humanas. No mundo corporativo onde as empresas estio expostas a uma miriade de incertezas originadas de fatores econdmicos, sociais, legais, tecnolégicos ¢ operacionais, a gestio de integridade, riscos controles internos € crucial para que se alcance os objetivos estratégicos. Uma das fungdes da gestdo de integridade, riscos ¢ controles intemos da gestiio é assegurar 0 alcance dos objetivos, por meio da identificacao antecipada dos possiveis eventos que poderiam ameacar o atingimento dos objetivos, © cumpr implementar uma estratégia evitando o consumo intenso de recursos para solugio de problemas quando estes surgem inesperadamente, bem como a melhoria continua dos processos organizacionais. wento de prazos, leis e regulamentos et, e, ‘No ambiente de trabalho, muitas vezes depara-se com fatores internos e extemnos que tornam incerto o éxito do atingimento dos objetivos do projeto ou da atividade que se encontra em desenvolvimento. Independentemente da area em que se atua, ¢ até na vida pessoal, os riscos (ameagas ou oportunidades) podem afetar o andamento da ago, levando-a a uma direcdo completamente diferente daquela inicialmente planejada. ‘As responsabilidades ¢ deveres do governo em relagdo ao bem piiblico exigem a adogao de priticas © estratégias eficazes de gestio. Neste contexto, a gestio de integridade, riscos controles internos da gestio torna-se uma importante ferramenta para ajudar na tomada de decisdes baseadas em metodologias ¢ normas que geram, dentre outros beneficios, a redugiio ow a eliminagio de retrabalhos. O Ministério do Planejamento, Desenvolvimento ¢ Gestiio 150, de 4 de maio de 2016, seu Programa de Integridade, baseado nos Guias de Integridade, publicados pelo Ministério da Transparéncia, Fiscalizagdo ¢ Controladoria-Geral da Unido — CGU, que incentiva gestores ¢ ser estratégico, os processos € os eventos de riscos a que esto sujeitos. stituiu, por meio da Portaria n? lores a conhecer melhor o seu érgio, 0 planejamento © Programa de Integridade tem a finalidade de mitigar ocorréncias de corrupgio € desvios éticos a partir da mobilizacio ¢ participacio ativa dos gestores publicos. Objetiva estabelecer um conjunto de medidas que assegurem a entrega de resultados esperados pela sociedade, por meio do fortalecimento e aprimoramento da estrutura de governanga, gestio de riscos controles e procedimentos de integridade. E constituido de quatros pilares: ambiente de integridade; gestio de integridade, riscos e controles; procedimentos de integridade; comunicagdo € monitoramento. (© Ambiente de Integridade é 0 1° Pilar do Programa de Integridade e oferece as bases para que © Programa seja efetivo. E composto de ages de comprometimento ¢ apoio da alta administragao, de alinhamento ao planejamento estratégico ¢ de instituigdes de instncias talMinistério do Planejamento, Desenvolvimento e Gestio Gabinete do Ministro Assessoria Especial de Controle Interno como 0 Comité de Gestio Estratégica, cuja miso é acompanhar e fiscalizar o Programa, e a Comissio de Etica do Ministério. A Gestdio de Integridade, Riscos ¢ Controles é 0 2° Pilar do Programa de Integridade. A finalidade atribuida a este pilar diz respeito definigao de uma Politica de Gestiio de Riscos no ambito do Ministério do Planejamento, Desenvolvimento ¢ Gestio, a instituigao do Subcomité de Integridade, Riscos e Controles (SIRC) ea implementacdo do Gerenciamento de Riscos. ‘3° Pilar do Programa de Integridade diz respeito a instituiglio e compliance de Procedimentos de Integridade. A instituigdo de procedimentos de integridade envolve 0 desenvolvimento do cédigo de conduta, do canal de deniincias e do plano de capacitagio e educagio continuada dos servidores. O compliance de procedimentos de integridade envolve ages que fomentem a declaragdo de bens € combatem 0 conflito de interesses ea presenga de nepotismo, além da implementagio eficiente da Lei de Acesso a Informagio. A Informagao, Comunicago e 0 Monitoramento, 4° Pilar do Programa de Integridade, € um proceso continuo e permanente de disponibilizagao da informagao a niveis adequados para as partes interessadas, de relacionamento entre as instincias de supervisio ¢ de monitoramento das ages do Programa de forma a avaliar a qualidade do sistema de controle intemo ao longo do tempo.Ministério do Planejamento, Desenvolvimento e Gestio Gabinete do Ministro Assessoria Especial de Controle Interno 2. NORMAS E REGULAMENTACOES RELACIONADAS ‘No Ambito da Administragdo Piblica Federal existe um conjunto de normas e regulamentagdes relacionadas a tematica de gestio de integridade, riscos e controles, entre elas: Programa de Integridade, Portaria N° 150, de 4 de maio de 2016, institui o Programa de Integridade e o Comité de Gesttio Estratégica do Ministério do Planejamento, Desenvolvimento ¢ Gesto e Portaria N° 425, de 30 de dezembro de 2016, que altera a Portaria MP n° 150, de 4 de maio de 2016, que instituiu 0 programa de Integridade e 0 Comité de Gestio Estratégica do Ministério do Planejamento, Desenvolvimento e Gestio. Instrugdo Normativa Conjunta CGU/MP N° |, de 10 de maio de 2016, dispde sobre controles internos, gestio de riscos e governanga no Ambito do Poder Executivo federal. Cédigo de Conduta Etica, Portaria N° 382, de 6 de dezembro de 2016, aprova 0 Cédigo de Conduta Etica dos agentes publicos do Ministério do Planejamento, Desenvolvimento e Gesti. Politica de Gestiio de Integridade, Riscos ¢ Controles Intemos da Gestdo, Portaria N° 426, de 30 de dezembro de 2016, dispde sobre a instituigao da Politica de Gestdo de Integridade, Riscos Controles da Gestdio do Ministério do Planejamento, Desenvolvimento e Gestio. O Planejamento Estratégico do MP para o periodo 2016-2019 destaca a missio, visio e os nove objetivos estratégicos do MP. Traz ainda, no painel de contribuigdo das suas diversas unidades, 08 objetivos que cada uma delas tera para 0 periodo mencionado, em consonancia com aqueles definidos para 0 Ministério. Além disso, apresenta iniciativas e entregas destinadas a implantagao da gestdo de riscos em alguns macroprocessos selecionadosMinistério do Planejamento, Desenvolvimento e Gestio Gabinete do Ministro Assessoria Especial de Controle Interno 3. REFERENCIAL TEORICO Embora exista uma grande quantidade de metodologias e estruturas de gestio de riscos mundialmente reconhecidas, tais como ISO 31000, Orange Book, do Tesouro Britinico, dentre ‘outras, esse manual foi baseado na estrutura do COSO ERM, considerando que é o framework definido pela Portaria n° 426/2016, que aprovou a politica de gestio de integridade, riscos controles internos da gesto do Ministério do Planejamento, Desenvolvimento Gestio, COSO (Committee of Sponsoring Organizations) & 0 Comité das Organizag6es Patrocinadoras, da Comissio Nacional sobre Fraudes em Relatorios Financeiros. Criada em 1985, é€ uma entidade do setor privado — ou seja, foi uma iniciativa do setor privado, independente -, sem fins lucrativos, voltada para 0 aperfeigoamento da qualidade de relat6rios financeiros, principalmente para estudar as causas da ocorréncia de fraudes em relatérios financeiros. Cabe ressaltar que a origem do modelo COSO esti relacionada a um grande nlimero de escndalos financeiros, na década de 70, nos Estados Unidos, que colocaram em diivida a confiabilidade dos relatérios corporativos. De acordo com © Comité, Controle Interno é: Um processo conduzido pela estrutura de governanga, administragio ¢ outros profissionais da entidade, e desenvolvido para proporcionar seguranca razodvel com respeito a realizagio dos objetivos relacionados a operacées, divulgacao ¢ conformidade. (COSO, 2013) Em 2004, 0 COSO divulgou o trabalho * Gerenciamento de Riscos Cor porativos—Estrutura Integrada (COSO ERM)", com um foco mais voltado para o gerenciamento de riscos corporativos, que definiu gerenciamento de riscos corporativos da seguinte forma: E um processo conduzido em uma organizagao pelo conselho de administragao, diretoria ¢ demais empregados, aplicado no . formuladas para identificar em toda a organizaco eventos em potencial, capazes de afeti-la, ¢ administrar os riscos de modo a manté-los compativel com o apetite a risco da organizacio e possibilitar garantia razoavel do cumprimento dos seus objetivos. (COSO ERM, 2004) estabelecimento de estratégit De acordo com 0 COSO ERM, com base na missio ou visio estabelecida por uma organizagao, a administragdo estabelece os planos principais, seleciona as estratégias e determina o alinhamento dos objetivos nos niveis da organizagiio, Essa estrutura de gerenciamento de riscos corporativos & orientada a fim de aleangar os objetivos de uma organizagio € sto clasificados em quatro categorias: 1 - Estratégicos —metas gerais, alinhadas com sua misao.Ministério do Planejamento, Desenvolvimento e Gestio Gabinete do Ministro Assessoria Especial de Controle Interno 2- Operagies — utilizagao eficaz e eficiente dos recursos. 3 - Comunicagio — confiabilidade de relatorios. 4- Conformidade —cumprimento de © COSO ERM definiu oito componentes em sua estrutura, quais sejam: ambiente de Controle, fixagiio de Objetivos, identificagdo de Eventos, avaliagdo de Riscos, resposta a Risco, atividades de Controle, informagGes ¢ comunicagdes; ¢ monitoramento, : oebeDeEhg sp SS eee old eek Trad YY 4 A 4 A Fd PREC ed A 4 7 g a ag %, og on $ Dee Es) ENR Rey aut eer DU Leu) Figura 1 - Cubo do Coso (COSO ERM, 2004) AMBIENTE DE CONTROLE Este componente esti relacionado ao micleo de qualquer Organizagio, 0 pessoal (Recursos Humanos) ~ atributos individuais, principalmente integridade, valores éticos e competéncia, ¢ ‘© ambiente no qual operam. Ele prové uma atmosfera na qual as pessoas conduzem suas atividades e cumprem suas responsabilidades de controle, servindo de base para os demais ‘componentes, retrata a “consciéncia e a cultura de controle” @ é afetado fortemente pao historico e cultura da organizagao. ‘Segundo o Instituto de Auditores Internos (IIA), o Ambiente de Controlerepresenta as atitudes ¢ agdes do Consetho ¢ da Administragao em relagao a importancia dos controles dentro da organizacao, definindo o tom da organizagao" . © Ambiente de Controle esta intrinsicamente relacionado aos controles informais, que estio fortemente relacionados com os valores das pessoas da organizagdo © so igualmente 9®@Ministério do Planejamento, Desenvolvimento e Gi Gabinete do Ministro Assessoria Especial de Controle Interno importantes para gerar um ambiente de controle saudavel. Entretanto, nao so detectados pelas abordagens e ferramentas tradicionais de auditoria, requerendo técnicas nao tio comumente utilizadas, para que se obtenham evidéncias suficientes sobre a existéncia deste componente, tais como a observagio do ambiente. O ambiente de controle deve demonstrar 0 grau ¢ comprometimento em todos os niveis da administragao, com a qualidade do controle interno em seu conjunto. £ 0 principal componente 08 fatores relacionados ao ambiente de controle ineluem, dentre outros: = Integridade e valores éticos - Competéncia das pessoas da entidade - Estilo operacional da organizacZo ~ Aspectos relacionados com a gestilo - Forma de atribuigdo da autoridade e responsabilidade. FIXACAO DE OBJETIVOS Definidos pela alta administragao, os objetivos devem ser divulgados a todos os componentes da organizagio, antes da identificagio dos eventos que possam influenciar na consecugaio dos objetivos. Eles devem estar alinhados missdio da entidade ¢ devem ser compativeis com o apetite a riscos. IDENTIFICACAO DE EVENTOS Eventos sio situagdes em potencial — que ainda nio ocorreram — que podem causar impacto na consecugdo dos objetivos da organizagio, caso venham a ocorrer. Podem ser positivos ou negativos, sendo que os eventos negativos so denominados riscos, enquanto os positivos, oportunidades. Negativos (Riscos) Positivos (Oportunidades) Figura 2 —Identificagdo de Eventos w®Ministério do Planejamento, Desenvolvimento e Gi Gabinete do Ministro Assessoria Especial de Controle Interno Por meio da identificagio de eventos, pode-se planejar o tratamento adequado para as ‘oportunidades e para os riscos, que devem ser entendidos como parte de um contexto, nao de forma isolada, Isso porque, muitas vezes, um risco que parece trazer grande impacto pode ser minimizado pela cexisténcia conjunta de uma oportunidade. Apés a identificagao de eventos, (uar sobre esses tiltimos, por meio da avaliagdo de riscos, quando determinaremos a forma de tratamento para cada risco identificado, ¢ qual o tipo de resposta a ser dada a esse risco. . separando-se as oportunidades dos riscos, vamos AVALIACAO DE RISCO A organizagio deve estar consciente dos riscos relevantes que envolvem 0 negécio, bem como deve gerenciar esses riscos de forma que os objetivos estratégicos nfo venham a ser prejudicados. Assim, ¢ pré-requisito o estabelecimento, pela Organizagao, de objetivos estratégicos alinhados a sua Missi e Visio, para que ela opere de forma conjunta e organizada, A. gestiio de riscos (identificagio ¢ avaliagio de riscos e definigio de respostas, dentre elas controles) interage com o Planejamento Estratégico, na medida em que a organizagao a0 0s, estar 08 & identificar ¢ tratar os riscos e implementar controles internos focados nesses ri aumentando a probabilidade de alcance dos objetivos definidos, ou seja, a gestio de ri considerada uma boa pritica de Govemanga da organizagao, ao incluir aspectos relacionados a accountability (prestagio de contas, no sentido de que a gestio esti alinhada as diretrizes estratégicas), transparéncia (que é um pré requisito para uma adequada prestagdio de contas), dentre outros. RESPOSTA A RISCOS Para cada risco identificado, sera prevista uma resposta, que pode ser de 4 tipos: evitar, aceitar, compartilhar ou reduzir. u®Ministério do Planejamento, Desenvolvimento e Gestio Gabinete do Ministro Assessoria Especial de Controle Interno REDUZIR RESPOSTA ARISCOS COMPARTILHAR EVITAR ACEITAR Figura 3 —Resposta a riscos Em relagio a riscos ¢ importante apresentar dois conceitos. | Risco inerente ¢ 0 risco que uma organizagio tera de enfrentar na falta de medidas que a administragao possa adotar para alterar a probabilidade ou o impacto dos eventos. | Risco residual ¢ aquele que ainda permanece apés a resposta da administragao. A avaliagio de riscos & aplicada primeiramente aos riscos inerentes. De acordo com 0 COSO, “Evita” sugere que nenhuma opcdo de resposta tenha sido identificada para reduzir o impacto e a probebilidade a um nivel aceitavel. “Reduzir” ou “Compartilhar” reduzem o risoo residual a um nivel compativel com as tolerancias desejadas 20 risco, enquanto “Aceita” indica que o risco inerente | este) dentro das toleréncias ao risco. E importante observarmos que aceitar 0 risco é uma forma de responder ao risco. Ou seja, se eu“ ndo fizer nada’ em relacdo 20 risco, eu ainda assim estou respondendo ade, desde que esse “née fazer nada’ seja consciente. Isso pode vir a ooorrer quando custo de implementago de uma medida qualquer para responder a determinado risco fique muito alto, maior até do que os beneficios que a resposta traria para a organizagio. ATIVIDADES DE CONTROLEMinistério do Planejamento, Desenvolvimento e Gi Gabinete do Ministro Assessoria Especial de Controle Interno As Atividades de Controle geralmente estio expressas em politicas ¢ procedimentos de controle, que devem ser estabelecidos e aplicados para auxiliar ¢ assegurar que agdes identificadas pela Administragdo, como necessirias para tratar os riscos relacionados ao cumprimento dos objetivos da Organizagio, sejam realizadas de forma eficaz. As atividades de controle esto comumente voltadas para trés categorias de riscos: de processo ou operacionais; de registros; e de conformidade. Assim, as atividades de controle contribuem para assegurar que: ] Os objetivos sejam alcangados. As diretrizes administrativas sejam cumpridas. ] As agGes necessarias para gerenciar os riscos com vistas 4 consecugio dos objetivos da entidade estejam sendo implementadas, ‘As Atividades de Controle, se estabelecidas de forma tempestiva e adequada, podem vir a prevenir ou administrar os riscos inerentes ou em potencial da entidade, Nao sio exclusividade de determinada area da organizacao, sendo realizadas em todos os niveis. Sao exemplos de tipologias de atividades de controle: Atribuigdo de autoridade e limites de algada Revisdes da Alta Administragéo Revisio de superiores Normatizagdo Interna Autorizagées © Aprovagdes Controles Fisicos Segregagio de Fungdes Capacitagdo ¢ Treinamento Verificagées Conciliagdes Indicadores de Desempenho Revisio de Desempenho Operacional Programas de Contingéncia e Planos de Continuidade dos Negécios INFORMAGAO E COMUNICACAO. Abrangem informagGes e sistemas de comunicagao, permitindo que as pessoas da Organizagao coletem ¢ troquem informagoes necessarias para conduzir, gerenciar ¢ controlar suas operagoes. Importante que toda a informagao relevante, relacionada aos objetivos — riscos - controles, sejam capturadas e comunicadas por toda a Organizagio. ‘A Organizagio também deve possuir mecanismos para coletar informagdes do ambiente externo que possam afeti-la, e deve transmitir extermamente aquelas que sejam relevantes aos stakeholders, inclusive sociedade, que, no caso das organizagdes piiblicas, pode ser considerada a principal parte interessada, B®Ministério do Planejamento, Desenvolvimento e Gi Gabinete do Ministro Assessoria Especial de Controle Interno A. comunicagio deverd ser oportuna ¢ adequada, além de abordar aspectos financeiros, econdmicos, operacionais e estratégicos. Deve ser entendida como um canal que movimenta as informagdes em todas as diregdes — dos superiores aos subordinados, ¢ vice-versa — pois determinados assuntos sio mais bem visualizados pelos integrantes dos niveis_ mais subordinados. MONITORAMENTO Compreende 0 acompanhamento da qualidade do controle interno, visando assegurar a sua adequagio aos objetivos, ao ambiente, aos recursos e aos riscos. Pressupde uma atividade desenvolvida ao longo do tempo. O processo completo de riscos ¢ controles deve ser monitorado e modificagdes devem ser feitas pera 0 seu eprimoramento, Assim, a estrutura de controle interno pode “reagir” de forma . ajustando-se conforme as condigdes 0 determinem. O monitoramento pode ser realizado por meio de: dindimi | Atividades continuas; | Avaliagdes independentes (por exemplo, auditorias internas ¢ externas); e ] Auto avaliagées. As atividades continuas so incorporadas as demais atividades normais da Organizagao ¢ as avaliagdes independentes garantem a eficdcia do gerenciamento dos riscos ao longo do tempo. Modernamente também sao utilizadas as autoavaliages, processo que pode ter um grande auxilio dos auditores. © monitoramento continuo corre no decurso normal das atividades de administragao, © independents dependeriio basicamente de uma avaliagao nuos de monitoramento. alcance e a frequéncia das avaliagde: dos riscos ¢ da eficcia dos procedimentos con Diferentemente das Atividades de Controle, que so concebidas para dar cumprimento aos processos € politicas da Organizagao ¢ visam tratar os riscos, as de monitoramento objetivam identificar fragilidades e possibilidades de melhorias. Lembrando que riscos ¢ oportunidades mudam ao longo do tempo e devem ser monitoradas para que a organizagao possa realizar os ajustes necessirios. u®Ministério do Planejamento, Desenvolvimento e Gestio Gabinete do Ministro Assessoria Especial de Controle Interno 4, Escopo DE APLICACAO E ABRANGENCIA. Conforme ja mencionado, 0 MP ¢ a CGU publicaram a Instrugdo Conjunta MP/CGU n° 01/2016, que dispde sobre controles internos, gestio de riscos € governanga no ambit do Governo federal e determina aos drgios ¢ entidades do Poder Executivo federal a adogio de diversas medidas com vistas a sistematizagaio de priticas relacionadas 4 gestio de riscos controles internos. Desde sua publicagiio o Ministério do Planejamento vem adotando medidas para o cumprimento dessa norma. Em 3 de janeiro de 2017 publicou a Portaria n° 426, de 30 de dezembro de 2016, que dispde sobre a instituigao da Politica de Gestio de Integridade, Riscos e Controles da Gestio do Ministério do Planejamento, Desenvolvimento e Gestio. Desenvolveu também © Método de Priorizagio de Processos com 0 objetivo de estabelecer prioridades ¢ definir prazos para gerenciamento de riscos, cujo escopo sfio os processos organizacionais. ‘A abrangéncia de aplicagao deste manual de gestdo de integridade, riscos ¢ controles é sobre os “rgios especificos singulares do Ministério do Planejamento, Desenvolvimento e Gestio cujas naturezas, caracteristicas € objetivos apresentam variagdes na eficaz gestiio de riscos, independentemente do nivel de maturidade em gestdo de riscos em que se encontra,Ministério do Planejamento, Desenvolvimento e Gestio Gabinete do Ministro Assessoria Especial de Controle Interno 5. MODELO DE GESTAO DE INTEGRIDADE, RISCOS E CONTROLES INTERNOS DA GEsTAO DO MP O Modelo de Gestio de Integridade, Riscos e Controles Internos da Gestiio do Mini: Planejamento, Desenvolvimento © Gestio deve ser entendido como um conjunto de instrumentos institucionais que assegurem o aleance dos objetivos estratégicos, subsidiando a tomada de decisio, contribuindo para o aprimoramento dos processos e, mitigando a ocorréncia de possiveis desvios por meio de uma gestio de integridade, riscos e controles internos da gestiio eficaz, s instrumentos institucionais, por sua vez, viabilizam a implementago do gerenciamento de integridade, riscos e controles internos da gestiio no Aambito do Ministério do Planejamento, Desenvolvimento ¢ Gestio. Sao instrumentos do Modelo: Politica de Gestio de Integridade, Riscos e Controles Internos da Gestio Instiincias de Supervistio Metodologia de Gerenciamento de Integridade, Riscos ¢ Controles Internos da Gestdo Solucdo Teenolégica Seer de Integidad, er arte Esxopo: Panos trategcos Programas, Frojetos 6 Proossos [Natureza dos Fisos:OrgamentrioFinanaio e Nao Ogarentrio-Finanosro Figura 4 - Modelo de Gestio de Integridade, Riscos ¢ Controles Internos da Gestio 6@Ministério do Planejamento, Desenvolvimento e Gestio Gabinete do Ministro Assessoria Especial de Controle Interno 5.1. POLITICA DE GESTAO DE INTEGRIDADE, RISCOS E CONTROLES INTERNOS DA GESTAO - PGIRC A Instrugdo Normativa Conjunta MP/CGU n° 01, de 10 de maio de 2016, em seu art. 17, orienta as entidades do Poder Exccutivo federal sobre a instituigo de Politica de Gestio de Riscos. APGIRC, no ambito do Ministério do Planejamento, foi instituida por meio da Portaria n° 426, de 30 de dezembro de 2016, ¢ tem por finalidade estabelecer os principios, diretrizes responsabilidades a serem observados seguidos na gestiio de integridade, riscos e controles internos da gestio. A Politica aplica-se aos drgdos de assisténcia direta e imediata ao Ministro de Estado ¢ aos Srgdos especificos singulares do MP, abrangendo os servidores, prestadores de servigo, colaboradores, estagidirios, consultores externos ¢ quem, de alguma forma, desempenhe atividades no MP. ‘ncoqrea wR.oou Pinos Mia NS r ° vopaiecone= thee (Pertean? 13020168 ) teres _/\ \ het Boas itis = Lonpstenaase Fespotinos ‘ipdincas ‘Seeveo) ‘iNconunta MArOGUNe oV/2016 Diptesbrecntolesintenos ost fo deren e gvernanga no bo do Feder Minirio do Beecutvo federal ( reais) lanejament, * Roramade tegidade Desrchien e Geatio Fabidae iti ocoréndis do . ‘arrupr edeniosdticos eee peo e denies detaeimedita do Miniire de Eero ens ‘reosexpeations ‘sngores Figura 5 - PGIRC 5.2. INSTANCIAS DE SUPERVISAO / LINHAS DE DEFESA, tro de Estado na definigdo ¢ As instincias de supervisiio tém a finalidade de assessorar 0 M implementagio de diretrizes, politicas, normas e procedimentos para Gestiio de Integridade, Riscos ¢ Controles Internos da Gestio. Sio Instincias de Supervisdio:Ministério do Planejamento, Desenvolvimento e Gestio Gabinete do Ministro Assessoria Especial de Controle Interno 1 Comité de Gestio Estratégica — CGE - composto pelo Ministro de Estado do Planejamento e pelos dirigentes titulares dos érgios de assisténcia direta e imediata do Ministro e dos érgaos especificos singulares; 1 Subcomité de Gestio de Integridade, Riscos e Controles Internos da Gestio ~ SIRC - composto por servidores dos érgiios de assisténcia direta e imediata do Ministro de Estado do Planejamento e dos drgios especificos e singulares do Ministro do Estado do Planejamento, indicados por seus respectivos dirigentes titulares; } Nucleo de Gestio de Integridade, Riscos ¢ Controles Internos da Gestio ~ NIRC - composto por servidores com capacitagdo em temas afetos & gestio de integridade, de riscos e de controles internos da gestdo, vinculados & Assessoria Especial de Controle Internos do Gabinete do Ministro; | Unidade de Gestao de Integridade, Riscos ¢ Controles Internos da Gestio — UIRC - ‘composta, em cada Secretaria do Ministério do Planejamento, Desenvolvimento Gestdo, pelo ‘gestiio de integridade, riscos e controles intemos da gestio; e 1 Gestor de Processos de Gestio - a todo © qualquer responsavel pela execugdo de um determinado processo de trabalho, inclusive sobre a gestio de riscos. rigente maximo e por servidores com capacitagiio nos temas afetos ‘As instincias de supervisio e as competéncias para a gestiio de integridade, riscos ¢ controles internos da gestdo esto definidas na PGIRC. As responsabilidades de cada instincia de supervisio estio resumidas na Matriz de Responsabilidades do MP no Anexo I. Integdad, spose Coirles Intenos da Geto wat 11) Pica at. 28) ‘eno eget eno ‘soMP Figura 6 -Instancias de Supervisio / Linhas de Defesa s érgiios/unidades tém, coletivamente, a responsabilidade e o dever de prestagio de contas sobre o estabelecimento dos objetivos da organizagio, a definigao de estratégias para alcangar 18@Ministério do Planejamento, Desenvolvimento e Gi Gabinete do Ministro Assessoria Especial de Controle Interno esses objetivos ¢ 0 estabelecimento de estruturas e processos de governanga para melhor gerenciar os riscos durante a realizagio desses objetivos. (© modelo de Trés Linhas de Defesa, constante na Declaragio de Posicionamento do Instituto dos Auditores Intemos do Brasil — ILA, seri melhor implementado com 0 apoio ativo e a orientagzio do Comité de Gestdo Estratégica, Ressalta s linhas de defesas ficam bem se que com a aprovs definidas no ambito do Mii io da PGIRC, pelo CGE, stério do Planejamento, Desenvolvimento e Gestio, a saber: ‘Na I? Linha de Defesa, gestdio operacional, estdo as fungGes que gerenciam e tém propriedade sobre os 0s, so responsiveis por implementar agdes corretivas para resolver deficiéncias ‘Bo de identificar, avaliar, controlar e reduzir 08 riscos guiando o desenvolvimento ea implementagdo de politicas ¢ procedimentos internos ‘em processos € controles. Também tem a atrib © garantindo que as atividades estejam de acordo com as metas ¢ objetivos. No ambito do MP, estas fungdes stio de responsabilidade do nivel operacional, representados pelo gestor do processo e pela UIRC. Na 2* Linha de Defesa, gerenciamento de riscos € conformidade, esto as fungdes que supervisionam os riscos, sio responsiveis por: (i) ajudar a desenvolver e/ou monitorar os controles da primeira linha de defesa; (ii) apoiar as politicas de gestio, definir papéis responsabilidades ¢ estabelecer metas para implementacio; (iii) auxiliar no desenvolvimento iv) fornecer orientacées ¢ treinamento sobre processos de gerenciamento de riscos; (v) facilitar e monitorar a implementagdo de priticas eficazes de gerenciamento de riscos por parte da gerencia operacional - 1* linha de Defesa; (vi) Monitorar a adequagio ¢ a eficacia do controle interno, a precisio ¢ a integridade do reporte, a conformidade com Icis ¢ regulamentos ¢ a resolucdo oportuna de deficiéncias. No ambito do MP estas fungGes so de responsabilidade do nivel titico, representados pelo NIRC, vinculado a AECI, e pelo SIRC. de processos ¢ controles para gerenciar riscos; Na 3* Linha de Defesa, auditoria interna, esti a fungio de avaliagSes abrangentes, independentes © objetivas sobre a eficicia da governanca, do gerenciamento de riscos € controle. E, ainda, como a primeira e a segunda linha de defesa aleangam os objetivos de ¢gerenciamento de riscos ¢ controles. No dmbito do Administragao Pablica federal esta fungdio € de responsabilidade do Ministério da Transparéncia, Fiscalizagéo e Controladoria-Geral da Unido — CGU. W®@Ministério do Planejamento, Desenvolvimento e Gestio Gabinete do Ministro Assessoria Especial de Controle Interno 5.3, METODOLOGIA DE GERENCIAMENTO DE INTEGRIDADE, RISCOS E CONTROLES INTERNOS DA GESTAO, Gerenciar riscos contribui para assegurar a comunicagao eficaz, cumprir leis e regulamentos, evitar danos a reputag4o, mitigar possiveis riscos de corrupgao ¢ desvios éticos ¢, por fim, auxilia a unidade atingir seus objetivos. Para a elaboracao da metodologia de gestiio de integridade, riscos e controles intemos da gestio —MGIRC do MP considerou-se, especialmente, as seguintes orientagdes: Programa de Integridade do MP/Portaria N° 150, de 06 de maio de 2016; Instrugio Normativa Conjunta MP/CGU N° 01, de 10 de maio de 2016; Politica de Gestao de Integridade, Riscos e Controles Internos da Gestao/Portaria 426, de 30 dezembro de 2017; ‘Committee of Sponsoring Organizations of the Treadway Commission —COSO II, e Boas praticas sobre 0 assunto. Primeiramente, 0 ideal é que a Cadeia de Valor / Base de Processos e os processos da unidade estejam mapeados. A Cadeia de Valor é a representagio de modelo que permite a visio légica dos processos organizacionais, enquanto que os Processos de Trabalho. representam detalhadamente as atividades, 0 processamento, as entradas e saidas de cada processo. Ambos slo essenciais para que a aplicagdo da metodologia de gerenciamento de integridade, riscos € controles internos da gestao tenha maior efetividade. Dessa forma, a base para o gerenciamento de integridade, riscos e controles internos da gestio slo os processos de trabalho e 0 escopo para aplicagio da metodologia podera ser definido com ‘a aplicacio do Método de Priorizagio de Processos, que pode ser consultado no manual especifico a ser disponibilizado pela Assessoria Especial de Controle Interno (AECT), Apés a priorizagdo dos processos, a metodologia de gestiio de integridades, riscos ¢ controles podera ser aplicada. A metodologia é composta por cinco etapas, conforme ilustrado de forma resumida na Figura 7. Mais detalhes da metodologia serio apresentados na segio 6.Ministério do Planejamento, Desenvolvimento e Gestio Gabinete do Ministro Assessoria Especial de Controle Interno Figura 7 - Sintese da Metodologia de Gerenciamento de Integridade, Riscos e Controles Internos da Gestio 5.4, SOLUCAO TECNOLOGICA ‘A solugiio tecnolégica caracteriza-se como um instrumento de apoio a aplicagao da metodologia de gerenciamento de integridade, riscos e controles internos da gesto. Inicialmente, a solugdo seri disponibilizada em uma planilha dotada das configuragdes necessirias para aplicagdo da metodologia. Posteriormente, de forma a garantir uma maior padronizagio ¢ salvaguarda dos dados, um sistema serd disponibilizado e terd os requisitos desejiveis a seguir: on | Qe rrr cote rte Casting de Process Creat Sequin iin de trabao -COSO ae peas Berens caer stage areal Dect ine ets onto arose) (G] eer rrr int econ Figura 8 - Vistio da Soluglo Teenolégica 21@Ministério do Planejamento, Desenvolvimento e Gestio Gabinete do Ministro Assessoria Especial de Controle Interno 6. METODOLOGIA DE GERENCIAMENTO DE INTEGRIDADE, RISCOS E CONTROLES INTERNOS DA GESTAO DO MP Para aplicagio da metodologia, faz-se necessirio que os macroprocessos/processos das unidades estejam claramente definidos ¢ priorizados. O Método de Priorizagaio de Processos — MPP ¢ uma ferramenta que objetiva a classificagiio dos processos de uma unidade/6rgio, com vista a estabelecer processos prioritarios e seus respectivos prazos para o tratamento de inconsisténcias/fragilidades/falhas. © manual especifico para aplicagdio do MPP sera lizado pela AECL. Apés a definigao do processo a ser trabalhado, seja escolhido por necessidade da unidade ou por meio do MPP, a metodologia desenvolvida, baseada no COSO ERM, podera ser aplicada. Tal metodologia foi dividida em cinco etapas ¢ pode ser vista sucintamente na Figura 9, sendo melhor explicitada no decorrer das sessdes, de maneira a auxiliar a implementagio de cada ‘etapa no processo selecionado. — bmg rosinse / etiermee — smberivede’ Rhee ae nba nn ————-) ram es a sos =o = SE ean © 2 eric V/s — ce en comer 2 aveaeenaecees eres, — ae a Suen ~~ Sean eae ewe Figura 9 —Etapas da Metodologia de Gerenciamento de Integridade, Riseos e Controles Intemnos da Gestio ‘Assim, a partir de um plano de atuagio elaborado com base na aplicagio do Método de Priorizagio de Processos (classificagio de processos ¢ respectivos prazos), da definigaio da equipe responsivel com seus papéis responsabilidades, da identificagio das partes intervenientes/interessadas no processo, so realizadas as etapas a seguir. 6.1 ETAPAS DO GERENCIAMENTO DE INTEGRIDADE, RISCOS E CONTROLES INTERNOS DA GESTAOMinistério do Planejamento, Desenvolvimento e Gi Gabinete do Ministro Assessoria Especial de Controle Interno 6.1.1 ETAPA I - ANALISE DE AMBIENTE E DE FIXACAO DE OBIETIVOS O ambiente de controle esta relacionado aos controles informais, que estio vinculados aos valores das pes: controle saudavel. A andlise do ambiente tem a finalidade de colher informagSes para apoiar a da organizagio e so igualmente importantes para gerar um ambiente de identificacdo de eventos de riscos, bem como contribuir para a escotha de agdes mais adequadas para assegurar o alcance dos objetivos do macroprocesso/processo. Definidos pela alta administragio, os objetivos devem ser divulgados a todos os componentes da organizagdo, antes da identificagdo dos eventos que possam influenciar nos. seus atingimentos. Eles devem estar alinhados & missio da entidade e devem ser compativeis com apetite a riscos. Para iniciar o preenchimento da ferramenta Planilha Documentadora, considere as informagdes a seguir: Informacdes sobre o drgdo/unidad {Sobre o Ambiente Interno: inclui verificar, entre outros elementos: integridade, valores éticos, competéncia das pessoas, maneira pela qual a gestio delega autoridade e responsabilidades, estrutura de governanga organizacional, politicas ¢ priticas de recursos humanos. © ambiente interno é a base para todos os outros components, provendo di iplina e prontidao para a gesto de integridade, riscos e controles internos da gestio. | Sobre a Fixagio de Objetivos: inclui verificar, em todos os niveis da_unidade (departamentos, divisdes, processos ¢ atividades), se os objetivos foram fixados ¢ comunicados. A explicitagao de objetivos, alinhados a missio e a visio da organizagio, & necessiria para permitir a identificagdo de eventos que potencialmente impegam sua consecugao. ‘As informagGes poderio ser obtidas por meio de pesquisas em regimento interno, planejamento estratégico, projetos, orgamento, relatérios gerenciais, relatorios dos érgiios de fiscalizagio & controle, entre outros e, sao diretamente relacionadas ao érgdo/unidade. Informacdes sobre 0 macroprocesso/procs Deve-se registrar o objetivo geral do macroprocesso/processo, as leis ¢ regulamentos € os stemas utilizados na sua execug Anilise de Swot No que se refere a identificagao de forgas e fraquezas (pontos fortes e pontos fracos), bem como para analisar © registrar as possiveis influéncias do ambiente extemo sobre 0Ministério do Planejamento, Desenvolvimento e Gestio Gabinete do Ministro Assessoria Especial de Controle Int no s (pontos fortes © pontos fracos), 0 quanto a oportunidades e ame sugere-se a utilizagao da ferramenta Andlise de SWOT!: Anilise de SWOT aqUSIquIYy Ameacas coe eee potas eet Ambiente Interno OU.L89x’ Erneta ent Pereteet) ra 10 —Anilise de SWOT MP Para registrar as informag6es coletadas nesta etapa, utilize a aba Ambiente e Fixacio de objetivos da ferramenta disponibilizada pela AECI, como mostra o formulirio abaixo. 1 Andlise SWOT 6 uma ferramenta utilizada para fazer analise de cendrio (ou anilise de ambiente). As informagoes obtidas sobre o ambiente interno e externo, contribuem na identifieagao dos riscos e na escolha das respostas aos riscos, 21@Ministério do Planejamento, Desenvolvimento e Gi Gabinete do Ministro Assessoria Especial de Controle Interno Forma (ro Unee Deer Cooter Iformecies sobre o Ambiente tee ristncie de: ‘Sin Nic (go de Cea Nomas de Conta stn Craizacinl Pltcade Recursos Huraros (comeronisso com acompeircia © esenenenril ‘aug de Algadas e Responseiades Nemas era oO ( -romordt be sale de Oetves- esti ce Sim so (Cbtios oO t stefani am a rade de llr aspects soe ds primes congeners eo COSO GRC (Ambiente eFixao de Othe) e conta parade tarem a existent ce aspects ealnadse 8 ieage Inmet 0 Mecrorocessrmocesso Macopecessorecess0. (bjtio Ger Lat Replamertos Stora Analise de SWOT | ands de SWOT relearn co ne mcroaocensiocesio ews cheremagtespra ala Heian de wets de ices, ean cane cana os epee als adaundos para step lcace dos cathe Jo matopocessolocosea aa uiado eo ‘Ailise do Ambiente interno 2 orcas 5 (Pontos Fortes) ‘ Fraguecas 3 (Pontos Fracos a pnilise do Ambiente Externo oportanidades 3 (Pontos Fores} 4 2 ameacas 3 (Pontos Fracon 4 eo ee ES ESSE igura 11 - Anilise de Ambiente e Fixagio de Objetivos ‘As informagdes coletadas, em conjunto com as informagSes do processo (normas, fluxograma das atividades, descrigdo das tarefas, responsiveis), so fundamentais para a realizago das demais etapas do gerenciamento de integridade, riscos e controles internos da gestio.Ministério do Planejamento, Desenvolvimento e Gestio Gabinete do Ministro Assessoria Especial de Controle Interno NV Pontos de Atengao Macroprocesso/Objetivo do Macroprocesso: essas informagées deverio ser coletadas da Cadeia de Valor ou do mapeamento do proceso. Leis e Regulamentos: listar todas as leis, regulamentos e normas que afetam ou influenciam o macroprocesso/processo. Essas informagdes S30 importantes para verificar se ha riscos e descumprimento de leis, regulamentos ¢ normas, bem como auxilia na adogao de agées de controle. Sistemas: listar os sistemas € outras ferramentas (ex: planilhas) que operacionalizam 0 processo. Essas informagdes so importantes para verificar se os controles so manuais ou eletrénicos. 6.1.2 ETAPA 2 - IDENTIFICACAO DE EVENTOS DE RISCOS Esta etapa tem por finalidade identificar ¢ registrar tanto os eventos de riscos que comprometem © alcance do objetivo do proceso, assim como as causas ¢ efeitos/consequéncias de cada um deles. Considere, neste momento, o resultado da analise do Ambiente e de Fixacio de Objetivos, Epa | Eventos siio situagdes em potenci impacto na consecugdo dos objetivos da organizagio, caso venham a ocorrer. Podem ser positives ou 08, | — que ainda no ocorreram — que podem caus negativos, sendo que os eventos negativos sio denominados riscos, enquanto os posit oportur lades. Nessa metodologia, inicialmente, trataremos apenas sobre eventos negativos. Por meio da identificagdo de eventos de riscos, pode-se planejar a forma de tratamento adequado e qual o tipo de resposta a ser dada a esse risco, destacando que os eventos de riscos devem ser entendidos como parte de um contexto, ndo de forma isolada. ‘Componentes do Evento de Risco:Ministério do Planejamento, Desenvolvimento e Gestio Gabinete do Ministro Assessoria Especial de Controle Interno Causa 4 Causa Evento 2 de Risco Causa au Causas Risco Consequéncia Fontes Incidente Impacto em um Vulnerabilidades Irregularidade objetivo Figura 12 —Componentes do Evento de Riseo ‘Causas: condigdes que dio origem 4 possibilidade de um evento ocorrer, também chamadas de fatores de riscos e podem ter origem no ambiente interno ¢ exteno. Risco: possibilidade de ocorréncia de um evento que venha a ter impacto no cumprimento dos objetivos. Consequéncia: o resultado de um evento de risco sobre os objetivos do processo. ‘Como identificar os eventos de riscos? ( processo de identificagdo de riscos requer a participagao de servidores com conhecimento do processo, visio holistica dos negécios/servigos da unidade nos seus diferentes niveis. E importante também que tenham conhecimento da metodologia de gerenciamento de integridade, riscos © controles internos da gestio ou tenham recebido Ueinamento part aplicagao da metodologia uso da planilha documentadora. A técnica a ser utilizada na identificagio de eventos de risco deve ser a que melhor se adapta a0 grupo. Dentre as principais técnicas esto: questionérios e checklist; whorkshop ¢ brainstorming; inspegdes e auditorias, fluxogramas, diagrama de causa e efeito, bow-tie, ete De forma abreviada, o diagrama de causa ¢ efeito, também conhecido como espinha de peixe ou diagrama de ishikawa, é uma técnica para identificagdo de uma possivel causa raiz de um problema. No diagrama, cada espinha refere-se a uma causa ¢ a cabega refere-se ao problema que as causas levam, Esse método pode ser aplicado em workshops e brainstorming, partindo da identificagdo de um problema e em seguida as suas possiveis causas. Além disso, tambémMinistério do Planejamento, Desenvolvimento e Gestio Gabinete do Ministro Assessoria Especial de Controle Interno pode ser utilizado em conjunto com o método dos “cinco porqués’, aumento o gray de reser “espinha do peixe” ao se questioner o porqué das causas. er IN Ta (efeito) Figura 13 —Diagrama de Causa e Efeito © método bow-tie ou gravata borboleta, considerado uma evolugdo do diagrama de causa € feito, consiste em identificar e analisar os possiveis caminhos de um evento de risco, dado que um problema pode estar relacionado a diversas causas ¢ consequéncias. Como no diagrama de causa ¢ efeito, identifica-se 0 problema ¢ em seguida suas possiveis causas € consequéncias. Para finalizar, identifique as formas de prevenir a ocorréncia do risco e as formas de mitigar as consequéncias caso 0 risco se materialize. Veja a figura 14 para uma melhor compreensio.Ministério do Planejamento, Desenvolvimento e Gestio Gabinete do Ministro Assessoria Especial de Controle Interno Cee Corey ‘Medias de mitigar30 Figura 14-Método Bow-Tie ‘A sintaxe a seguir para descrigdo de um evento risco poder auxiliar no desenvolvimento desta etapa: Devido a , poder acontecer , o que poder levar a impactando nolna . Escolha a técnica que favorega a realizagio desta atividade ¢ colete as seguintes informagdes de acordo com a aba Mapa de Riscos: w@®Ministério do Planejamento, Desenvolvimento e Gi Gabinete do Ministro Assessoria Especial de Controle Interno Sabre Aide foe? ee e mtn Mega semanas [Bast sf es creme Ma Sevens Same a tes fevimie | Tomcan® sieoncenl Aedes Enno er bez ree Smee wrrovwans ot # = en meee sentian [ae S es come ce sutpoctse fone Ems 2 2 ec oven | Sea Sirota Ae 9 cow e te es Figura 15 - Mapa de Riscos Os eventos de riscos identificados devem ser registrados de forma a permitir o levantamento das possiveis causas ¢ consequéncias ¢ a sua classificagaio quanto a categoria ¢ natureza, bem ‘como a sua avaliagdo quanto a probabilidade x impacto. Orientagde: 1) Subprocesso/atividade: indique o nivel em que se realizaré a identificagdo dos eventos de riscos do macroprocesso/processo escolhido para a aniilise. 2) Evento de Risco: descreva os eventos de riscos identificados, a partir da utilizagdo da técnica escolhida para essa atividade. 3) Causas: descreva as possiveis causas, condigdes que dao origem a possibilidade de um evento ocorrer, também chamadas de fatores de riscos e podem ter origem no ambiente interno ¢ externo. 4) Efeitos/consequéncias: descreva os possiveis efeitos/consequéncias de um possivel evento de risco sobre os objetivos do processo. 5) Categoria dos Riscos: sabendo-se que a categorizagdo de riscos ndo é consensual na literatura, cabe a cada organizagao o desenvolvimento de suas categorias de acordo com suas peculiaridades. O MP, com auxilio do Comité Técnico de Riscos, qualificou as categorias de risco conforme abaixo: a. Estratégico: eventos que possam impactar na missdo, nas metas ou nos objetivos cestratégicos da unidade/érgio, caso venham ocorrer. b. Operacional: eventos que podem comprometer as atividades da unidade, normalmente associados a falhas, deficiéncia ou inadequagio de processos 30@Ministério do Planejamento, Desenvolvimento e Gi Gabinete do Ministro Assessoria Especial de Controle Interno internos, pessoas, infraestrutura e sistemas, afetando o esforgo da gestio quanto a eficacia e a eficiéncia dos processos organizacionais. Orcamentirio: eventos que podem comprometer a capacidade do MP de contar ‘com os recursos orgamentirios necessirios realizagio de suas atividades, ou eventos que possam comprometer a propria execugio orgamentiria, como atrasos no cronograma de licitagdes. 4. Reputacdo: eventos que podem comprometer a confianga da sociedade em relagio a capacidade do MP em cumprir sua missio institucional, interferem diretamente na imagem do érgiio. ©. Integridade: eventos que podem afetar a probidade da gestio dos recursos publicos e das atividades da organizagio, causados pela falta de honestidade e desvios éticos. £, Fiscal: eventos que podem afetar negativamente o equilibrio das contas piiblicas, Conformidade: eventos que podem afetar o cumprimento de leis ¢ regulamentos aplicaveis. 6) Natureza dos Riscos: esti relacionada a categoria de risco escolhida. Se a categoria de risco for fiscal ou orgamentiria, a natureza do risco sera or¢amentirio-financeiro. Se a categoria do risco for estratégica, operacional, reputacional, integridade ou conformidade, a natureza do risco sera nio orcamentario-financeira a Ponto de Atenco 1. Cada unidade deve considerar as categorias aplicaveis a sua realidade. 6.1.3 ETAPA3 - AVALIACAO DE EVENTOS DE RISCOS E CONTROLES -ados considerando os seus Esta etapa tem por finalidade avaliar os eventos de riscos ident ‘componentes (causas ¢ consequéncias). Os eventos devem ser avaliados sob a perspectiva de probabilidade ¢ impacto. Normalmente as causas se relacionam a probabilidade de 0 evento ‘ocorrer € as consequéncias ao impacto, caso o evento se materialize. ‘A avaliagdo de riscos deve ser feita por meio de andlises quantitativas e qualitativas ou da combinagio de ambas e, ainda, quanto a sua condigdo de inerentes (risco bruto, sem considerar 31@Ministério do Planejamento, Desenvolvimento e Gi Gabinete do Ministro Assessoria Especial de Controle Interno qualquer controle) ¢ residuais (considerando os controle desenho e a sua execucio). lentificados ¢ avaliados quanto a0 Risco inerente é 0 risco a que uma organizagio esti exposta sem considerar quaisquer acdes gerenciais que possam reduzir a probabilidade de sua ocorréncia ou seu impacto. (Art. 2°, XIV, IN Conjunta MP/CGU N° 01/2016). Risco residual: risco a que uma organizagdo esta exposta apés a implementaciio de agies _gerenciais para o tratamento do riseo; (Att. 2°, XV, IN Conjunta MP/CGU N° 01/2016). Controles internos da gestito: conjunto de regras, procedimentos, diretrizes, protocolos, rotinas de sistemas informatizados, conferéncias e trdmites de documentos ¢ informagdes, entre outros, operacionalizados de forma imtegrada pela direcao e pelo corpo de servidores das organizagdes, destinados a enfrentar os riscos e fornecer seguranca razodvel na consecucéo da missdo da entidade (Art. 2°, V, IN Conjunta MP/CGU N° 01/2016). A realizagio desta etapa ocorrera em trés sub-etapas, sendo todas elas utilizando a ferramenta Planilha Documentadora com auxilio do guia Matriz de Risco. Na aba Céleulo do Risco Inerente, faga a mensuragio do risco inerente de acordo com o impacto e a probabilidade de ocorréncia de cada evento, 2. Uma vez mensurado 0 risco inerente é necessario identificar ¢ avaliar os controles que respondam aos eventos de riscos identificados, quanto ao seu desenho e quanto 4 sua operagio. Na aba Mapa de Riscos, insira a descrigdo do controle atual e, utilizando as informagdes dos quadros abaixo, proceda com a avaliagao quanto a0 desenho e quanto a operago do controle. a, Quanto ao desenho: sao ve Desenho do Controle (1) Nao hi sistema de Controle; icadas as seguintes informagdes: (2) Ha procedimento de controle para algumas atividades, poré: informais; (8) Controles nao foram planejados formalmente, mas sao executados de acordo com a experiéncia dos servidores; 4) & dosenhado um sistema de controle integrado adequadamente planejado, discutido e documentado. O sistema de controle vigente é eficaz, mas nao prevé revisdes periédicas; O sistema de controle é efieaz na gestao de riscos (adequadamente planejado, discutido, testado e documentado com correcbes ou. aperfeigoamentos planejados de forma tempestiva)Ministério do Planejamento, Desenvolvimento e Gestio Gabinete do Ministro Assessoria Especial de Controle Interno dio verificadas as seguintes informagdes: Operagao do Controle (1) Controle nao executado; (2) Controle parcialmente executado e com defic (8) Controle parcialmente executado; (4) Controle implantado e executado de maneira periédica e quase sempre uniforme. Avaliagao dos controles feita com alguma periodicidade; Controle implantado ¢ executado de maneira uniforme pela equipe na frequéncia desejada. Periodicamente os controles sio testados & aperfeigoados. Figura 17 Operagdo do Controle 3. Na aba Cilleulo do Risco Residual, com auxilio do guia Matriz. de Risco, indique os pesos relativos ao impacto ¢ a probabilidade, considerando os controles identificados ¢ o resultado da sua avaliagio. Ao finalizar © preenchimento das etapas, tem-se 0 nivel de risco para cada evento identificado, como ilustrado na Figura 16, Valide com o gestor do proceso para efetuar a proxima etapa, resposta a riscos.Ministério do Planejamento, Desenvolvimento e Gi Gabinete do Ministro Assessoria Especial de Controle Interno a: ifm =: Eek pao ROS RC = = a om «| Figura 18 - Caleulo do riseo residual 6.1.4 ETAPA4-RESPOSTA A RISCO Atividades de Controles so as politicas ¢ os procedimentos estabelecidos ¢ executados para reduzir os riscos que a unidade tenha optado por responder, também denominadas de procedimentos de controle. As atividades de controles devem estar distribuidas por toda a unidade, em todos os niveis e em todas as fungSes. Incluem uma gama de controles internos da gestiio preventivos e detectivos, bem como a preparagiio prévia de planos de contingéncia/continuidade em resposta a possiveis materializacao de eventos de riscos. Em alguns casos a atividade de controle aborda diversos riscos ¢ as vezes sio necessarias diversas atividades para resposta a apenas um risco. Conhecido o nivel de risco residual, verifique qual estratégia a ser adotada para responder a0 evento de risco, A escolha da estratégia dependerd do nivel de exposigdo a riscos previamente estabelecidos em confronto com a avaliagio que se fez do risco (matriz de riscos). A estratégia de respostas foi aprovada junto com a Matriz. de Risco. Em fungao do nivel de risco residual, tem-se sugestio de medida correspondente a ser adotada. ®@Ministério do Planejamento, Desenvolvimento e Gestio Gabinete do Ministro Assessoria Especial de Controle Interno Nivelde Descricdodo Nivelde_Pardmetrode Anise para Tipo de EES isco Risco ‘Adogio de Resposta——Resposta Inde ue an peo ‘rapentis 0” ttaon dans dorscoseatcato ©" ama pro o amar 08 Indcsqve ovate sed Nem os na pon st ee ‘ace mmalcompatiet tases. Exons aco Se ease aera ‘manda a focon trove fae so Repo pt don reno ae ea a pba os moat peo pare oo ep anorn ee Figura 19 - Resposta a risco pear ewoceamanos westnar s agdes para responder os eventos de riscos devem ser compativeis com a tolerincia a riscos considerar a relagiio custo beneficio, refletir se 0 efeito da resposta afeta a probabilidade ou o impacto, ou ambos, ¢ designar um responsavel pelas respostas (proprietario do risco). Além disso, é permitido ao gestor do processo alterar a resposta a risco, tanto para adotar uma ago onde poderia aceitar o risco e nfo adotar controle, como deixar de adotar uma ago onde deveria adotar uma ago de controle, tudo isso com apresentagao de justificativa ¢ validagao pela unidade de gestio de risco superior Plano de Implementagio de Controles © Plano de Implementagao de Controles é um conjunto de agdes necessirias para adequar os niveis de riscos, por meio da adogao de novos controles ou a otimizagao dos controles atuais do proceso. Para responder aos eventos de riscos ¢ necessiria a elaboragdio de um plano de implementagdio de controles estabelecendo atividades de controles para assegurar que a resposta seja conduzida. Utilize um formulario proprio para registrar as ages propostas, orientando-se pelas seguintes informagaes:Ministério do Planejamento, Desenvolvimento e Gi Gabinete do Ministro Assessoria Especial de Controle Interno Figura 20—Plano de Implementagio de Controles Orientagées: 1. Evento de Risco/Nivel de Risco e Resposta a Risco: preenchidos automaticamente em fungo da mensuragdo do risco residual € respectiva resposta, Cabe ressaltar que a resposta poder ser modificada mediante justificativa e aprovagio do escaldio ‘competente. 2. Controles Propostos: registrar as ages para responder ao evento de risco. 3. Tipo de controle proposto: preventive ou corretivo (se atua na causa ou atenua o efeito, ‘caso se materialize). 4, Objetivo do Controle Proposto: melhorar o controle existente ou adotar controle novo. 5. Area_responsivel_pela__implementagio _do controle _proposto: informar a coordenagdo/diretoria. 6. Responsivel pela implementaedo do controle proposto: gestor do processo ou servidor designado quando a implementagio da ago for de competéneia de outra drea 7. Como sera implementado: informar se por meio de projeto, melhoria no sistema, criagao de norma, plano de contingéncia, ete. 8. Intervenientes: outras areas e servidores intervenientes na aga 9. Data do Inicio: informar data prevista para inicio 10. Data da Conclusao: informar data prevista para a conclusio.Ministério do Planejamento, Desenvolvimento e Gi Gabinete do Ministro Assessoria Especial de Controle Interno a Pontos de atengao Na proposigiio de ages ¢ importante instituir: Controles automatizados em substituigiio aos manuais, quando possivel; Indicadores de desempenho: estabelecimento de indicadores (indice de rotagdo de pessoal, cumprimento de prazos legais, entre outros); Segregagio de fungdes: atribuigdo de obrigagdes entre pessoas com a finalidade de reduzir risco, erro ou fraude; Limites para transagdes; Combinagio de controles manuais e informatizados (automatizados); Politicas e procedit No setor piiblico existem situagdes em que a agio ideal nao pode ser implementada ou no pode ser implementada no curto prazo em fungdo da sua complexidade, alto custo, alto nivel de interveniéneia, etc. Nesses casos devem ser propostas, complementarmente, medidas alternativas de baixo custo e que atuem sobre o evento de riscos (controle compensatério). Um controle compensatério tende a existir para contrabalancear uma falha na estrutura de controles, impedindo que eventos de risco ocorram, ou dimin lade. Exemplo: se a agdo ideal é a informatizagaio de um processo ¢ 0 tempo previsto para sua implementagao ¢ longo, pode-se adotar, temporariamente, controles manuais, ido sua sev Os controles devem ser propostos, ainda, sob a dtica de custo x beneficio com 0 objetivo de otimizé-los. O custo de um controle no deve ser mais caro do que o beneficio gerado por ele. 6.1.5 ETAPA 5 - INFORMACAO, COMUNICAGAO E MONITORAMENTO. O acesso a informacées confidveis, integras e tempestivas € vital para que a gestio de integridade, riscos e controles internos da gestto seja adequada e eficaz no alance de seus objetivos. Para isso, o fluxo das comunicagdes deve permitir que informagdes fluam em todas as diregdes, ¢ que os direcionamentos estratégicos, vindos do Comité de Gestdo Estratégica, aleance todo o MP. Além disso, as informagdes extemas relevantes aos processos de trabalho também devem ser consideradas ¢ compartilhadas tempestivamente. A comunicagio emMinistério do Planejamento, Desenvolvimento e Gestio Gabinete do Ministro Assessoria Especial de Controle Interno dirego a sociedade também é objeto de controle, reduzindo riscos de respostas inadequadas as necessidades da populagao. © monitoramento de toda a estrutura de governanga e de gestio de integridade, riscos controles internos da gestiio permite que MP se certifique da adequagao dessa estrutura aos seus objetivos estratégicos. Com base nesse monitoramento, devem ser claborados os Relatérios dos Planos de Implementagdo dos Controles, que serdo avaliados pelas instancias de supervisio, Caso sejam percebidas deficiéncias ou vulnerabilidades, recomendagdes serdo feitas pela instincia responsivel para um aperfeigoamento dos instrumentos de gestio de integridade, riscos e controles. Meio de Comunicagio ‘A comunicagao entre as instincias de supervisio de gestdo de integridade, riscos ¢ controles internos da gestio ocorre por meio dos niveis de relacionamento delineados no Modelo de Relacionamento a seguir. Figura 21 —Niveis de Relacionamento © nivel operacional, representado pelo UIRC e pelo gestor do processo, poder acionar o nivel titico, representado pelo NIRC, para orientagdes técnicas relativas ao modelo de gestio de integridade, riscos e controles internos da Gestio. Ainda, o nivel operacional serd responsivel pelo reporte ao nivel titico sobre 0 monitoramento das ages definidas no plano de implementagao de controles ¢ das agdes de gestdo de integridade, riscos e controles de forma ampla. 3@Ministério do Planejamento, Desenvolvimento e Gi Gabinete do Ministro Assessoria Especial de Controle Interno © nivel titico, representado pelo NIRC, poder acionar o nivel operacional durante o monitoramento das ages de integridade, riscos e controles. Ainda, sera responsivel pelo reporte realizado ao SIRC sobre 0 andamento das agdes definidas para o modelo de gestdo de integridade, riscos e controles de gestao. nivel titico, representado pelo SIRC, podera acionar ¢ ser acionado pelo nivel estratégico, representado pelo CGE, para o monitoramento das agdes definidas na politica de gestio de integridade, riscos e controles de gestdo. Meios de Monitoramento © Mapa de Risco sera a principal ferramenta de monitoramento do processo de gestiio de integridade, riscos e controle da unidade. Além dele, 0 Relatério de Implementacao do Plano de Controles, construido na periodicidade definida pelas instincias de supervisio, seri de suma importincia para o acompanhamento dos trabalhos realizados pela unidade. E importante que as informagées apresentadas nos meios de monitoramento possuam qualidade contextual e de representagdio como base nos critérios a seguir: # Relevancia: a informagao deve ser util para o objetivo do trabalho; 3 Integralidade: as informacdes importantes e suficientes para a compreensio devem estar presentes; #$ Adequacdo: volume de informagao adequado e suficiente; § Concisao: informagao deve ser apresentada de forma compacta; 5 5 Consisténcia: as informagdes apresentadas devem ser compativeis; Clareza: informagio deve ser facilmente compreensivel; Padronizagdo: informagdo deve ser apresentada no padrio aceitivel Indicadores de Monitoramento da Implementagio dos Controles ‘As unidades devem estabelecer indicadores de acompanhamento da implementagio da metodologia de gestio de integridade, riscos e controles internos da gestio, assim como desenvolver indicadores priprios para 0 monitoramento da implementagio dos controles planejados. Sugerimos uma lista exemplificativa e no exaustiva de acompanhados ¢ reportados, tais como: icadores que podem ser 39@Ministério do Planejamento, Desenvolvimento e Gi Gabinete do Ministro Assessoria Especial de Controle Interno ‘Tabela 1 ~Indicadores de Monitoramento Indicador % processos mapeados por unidade % processos essenciais mapeados por unidade % processos relevantes mapeados por unidade % processos moderados mapeados por unidade Formula processos mapeados/total de processos processos essenciais mapeados/processos essenciais processos relevantes mapeados/processos essenciais processos moderados mapeados/processos essenciais % processos essenciais com riscos processos essenciais com riscos mapeados por unidade ‘mapeados/processos essenciais % processos relevantes com riscos mapeados por unidade % processos moderados com riscos. mapeados por unidade processos relevantes com riscos ‘mapeados/processos relevantes processos moderados com riscos ‘mapeados’processos moderados controles concluidos/total de controles do processo controles em andamento/total de controles do processo controles atrasados/total de controles do processo controles nao iniciados/total de controles do proceso % controles implementados por processo % controles em andamento por processo % controles atrasados por processo % controles nao iniciados por proceso Avaliagio da Qualidade do Desempenho dos Controles Internos Apés implementados, os controles devem ser continuamente avaliados ao longo do tempo no que diz respeito ao seu desenho e operagao. Como fonte de entrada para as avaliagdes, poderio ser utilizados reclamagdes e dentincias registradas na ouvidoria, relatérios, recomendagdes ou demandas do Ministério da Transparéneia, Fiscalizagdo e Controle —Controladoria Geral da Unido e do Tribunal de Contas da Uniio, mudangas nos objetivos estratégicos, mudangas de normas ¢ regulamentagdes, entre outras fontes. Relatério Cada unidade deve desenvolver um relatorio sobre a gestio de integridade, riscos ¢ controles internos a cada seis meses para as partes interessadas. ( relatério deve conter minimamente as seguintes segdes: introducao; estrutura organizacional da unidade; processos da unidade; metodologia aplicada; documentos de referéncia; gesto de integridade, riscos e controles com inventirio de riscos, avaliagdo dos riscos e agdes de controle 10@Ministério do Planejamento, Desenvolvimento e Gestio Gabinete do Ministro Assessoria Especial de Controle Interno propostas; consideragdes finais e anexos. Mais detalhes sobre o relatério poderio ser encontrados no Modelo de Relatério anexado. Consideragdes Finais Este manual apresentou a Metodologia de Gestiio de Integridade, Riscos e Controles Internos. da Gestio do Ministério do Planejamento, Desenvolvimento ¢ Gestdo (MP), que tem como principal objetivo auxiliar, sistematizar e padronizar a gestio de integridade, riscos e controles internos nas unidades do MP. Almeja-se contribuir para a implantagao de boas priticas de Gestio de Integridade, Riscos ¢ Controles Internos ¢ para a tomada de decisdes de governanga. A Metodologia de Gestio de Integridade, Riscos ¢ Controles Internos & composta pelas etapas: Anilise de Ambiente ¢ de Fixagao de Objetivos; Identificagdo de Eventos de Riscos; Avaliagio de Eventos de Riscos e Controles; Resposta a Riscos; e Informagio, Comunicacio e Monitoramento. Cada etapa visa atingir os objetivos especificos do processo de gesttio de integridade, riscos e controles intemos da gestio. A metodologia incorpora boas priticas reconhecidas, apresentando caracteristicas da estrutura do COSO ERM. Além disso, é aderente ao Programa de Integridade, estabelecido pela Portaria n° 150 de 14 de maio de 2016, a Instrugéio Normativa Conjunta CGU/MP n® 01, de 10 de maio de 2016, © a Politica de Gestiio de Integridade, Riscos ¢ Controles Intemos da Gestdio, estabelecida pela Portaria n° 426 de 30 de dezembro de 2016, sendo também uma implementagdo desta. Na aplicagio dessa metodologia, é importante registrar, organizar, documentar ¢ referenciar os dados ¢ informagdes considerados, visando evidenciar 0 embasamento do resultado e subsidiar a sua aprovagio pela instancia competente. Cabe ressaltar que em qualquer iniciativa de desenvolvimento de metodologias, é fundamental a realizagio de ajustes para se adequar ao contexto da unidade de gestio de integridade, riscos ¢ controles. Com o intuito de manter-se adequado as necessidades do MP, este manual estard ‘em constante processo de melhoria. Para tanto, estio previstas ages de desenvolvimento de projetos pilotos nas unidades e de desenvolvimento de um soffware aderente metodologia. Por fim, ressalta-se que 0 levantamento ¢ gerenciamento de riscos devem fazer parte dos processos das unidades, assim, ¢ necessirio claborar cronograma para a realizagio dos trabalhos, observados os prazos institucionais, e submeter as instincias para aprovagio ¢ acompanhamento. 1@Ministério do Planejamento, Desenvolvimento Gabinete do Ministro Assessoria Especial de Controle Interno Referéncias Bibliograficas AHP - Analytic Hierarchy Process, Excel MS Excel 2010 (extensao xlsx). O modelo AHP foi desenvolvido por Goepel, Klaus D., modelo BPMSG AHP Excel, disponivel em hup:/opmsg.com, cuja versio é de livre uso. BB —Diretoria de Controles Internos. P Técnica em 26,jul.2015, rizagio de Processos, Escopo de Atuacio. Visita BCB — Fundamentos de Gestio de Riscos Nio-Financeiros. Disponibilizada pela UniBacen, curso realizado de 30/06 a 036/07/2015. BRASIL. Associagio Brasileira de Normas Técnicas - ABNT. Gestio de Riscos: Principios e Diretrizes. Norma Brasileira ABNT NBR ISO 31000: Primeira Edigao, 2009. BRASIL. Ministério do Planejamento. Secretaria de Gestdo Piiblica. Programa Gespiiblica ~ O Modelo de Exceléncia em Gestio Piiblica. Brasilia, 2014a. BRASIL. Ministério do Planejamento, Secretaria de Gestdo Publica. Programa Gespublica - Instrumento para Avaliacao da Gestio Publica. Brasilia, 2014b. BRASIL. Tribunal de Contas da Unido. Proceso TC 020.905/2014-9 - Relatério de Levantamento de Auditoria, Acérdio n° 927/2015 - TCU Plenatio, Brasilia, 2014¢ BRITO, Claudenir; FONTENELLE, Rodrigo. Auditoria privada e governamental: Teoria de forma objetiva e mais de 500 questdes comentadas. Niterdi: Impetus. 3. ed. 2016 COSO ERM. Gerenciamento de Riscos Corporativos - Estrutura Integrada, 2004. COSO. Gerenciamento de Riscos Corporativos — Estrutura Integrada. 2007. Tradugdo: Instituto dos Auditores Internos do Brasil (Audibra) ¢ Pricewaterhouse Coopers Governance, Risk and Compliance, Estados Unidos da América, 2007. IIA. As Trés Linhas de Defesa no Gerenciamento Eficaz de Riscos e Controles. Disponivel em https://na.theiia.org/standards-guidance/Public’%20Documents, Acesso em 17.nov.2015. IBGC, Guia de Orientacio para Gerenciamento de Riscos Corporativos. INTOSAI GOV 9100. Guidelines for Internal Controls Standards for the Public Sector. 2004. Disponivel em: < http://www. intosai.org/en/issai-executive-summaries/intosai- ‘guidance-for-good-governance-intosai-gov.html >. Acesso em 28 out. 2015. 1SO (ISO - International Organization for Standardization). ISO 31000 — Risk Management System — Principles and Guidelines. Tradugao: Associagaio Brasileira de Normas Técnicas (ABNT) Projeto 63:000.01- 001. Agosto, 2009.Ministério do Planejamento, Desenvolvimento Gabinete do Ministro Assessoria Especial de Controle Interno ISO (ISO - Intemational Organization for Standardization). ISO Guide 73, Vocabulary for Risk Management, 2009. KPMG - The Audit Committee's Role in Control and Management of Risk. TCU. Avaliacao de controles internos na administra¢ao publica federal. 2012. Disponivel em http:/portal2.tcu.gov.br/portal/pls/portal/docs/2436815,PDF. Acesso em 14.set.2013. 13@Ministério do Planejamento, Desenvolvimento e Gi Gabinete do Ministro Assessoria Especial de Controle Interno 7. ANEXOS Anexo I — Termos e Definigées Accountability: conjunto de procedimentos adotados pelo Ministerio e pelos individuos que 0 integram para evidenciar as responsabilidades inerentes por decisGes tomadas e agdes implementadas, incluindo a salvaguarda de recursos ptblicos, a imparcialidade e 0 desempenho; Apetite a risco: nivel de risco que 0 Ministério esta disposto a aceitar; Atividades de controles interno: enfrentar os riscos e alcangar os obj sio as politicas © os procedimentos estabelecidos para os do Ministéri Avaliagiio de risco: processo de identificagdo ¢ anilise dos riscos relevantes para o aleance dos objet ‘os do Ministério ¢ a determinagio de resposta apropriada; Consequéncia: resultado de um evento que afeta positiva ou negativamente os objetivos do Ministéri Controle: qualquer medida aplicada no Ambito do Ministério, para gerenciar os riscos aumentar a probabilidade de que os objetivos e metas estabelecidos sejam alcangados; Controles internos da gestiio: conjunto de regras, procedimentos, diretrizes, protocolos, rotinas de sistemas informatizados, conferéncias e trdmites de documentos ¢ informagdes, entre ‘outros, de forma integrada pela diregao e pelo corpo de servidores das organizagdes, destinados aenfrentar os riscos e fornecer seguranga razoiivel para a consecugio da missfio do Ministério; ica: refere-se aos principios morais, sendo pré-requisito e suporte para a confianga piblica; Fraude: quaisquer atos ilegais caracterizados por desonestidade, dissimulagao ou quebra de confianga, Estes atos nao implicam o uso de ameaca de violéneia ou de forga fisica; Gerenciamento de riscos: processo para identificar, avaliar, administrar e controlar poten istério do eventos ou situagdes, para fomecer razoivel certeza no alcance dos objetivos do Mi Planejamento, Desenvolvimento e Gestdo; Gestiio da Integridade: conjunto de medidas de prevengao de possiveis desvios na entrega dos resultados esperados pela sociedade; Governanga: combinagio de processos ¢ estruturas implantadas pela alta administragio do Ministério do Planejamento, Desenvolvimento e Gestio, para informar, dirigir, administrar e monitorar suas atividades, com o intuito de alcangar os seus objetivos; 4@Ministério do Planejamento, Desenvolvimento e Gi Gabinete do Ministro Assessoria Especial de Controle Interno Governanga no setor piblico: compreende essencialmente os mecanismos de lideranga, estratégia e controle postos em pritica para avaliar, direcionar e monitorar a atuagio da gestio, com vistas 4 condugio de politicas piblicas e a prestagdo de servigos de interesse da sociedade; Identificagio de riseos: processo de busea, reconhecimento e deserigio de riscos, que envolve a identificagdo de suas fontes, causas ¢ consequéncias potenciais. A identificagao de riscos pode envolver dados historicos, andlises te6ricas, opinides de pessoas informadas e de especialistas, as necessidades das partes interessadas; Incerteza: incapacidade de saber com antecedéncia a real probabilidade ou impacto de eventos futuros; Impacto: efeito resultante da ocorréncia do evento; Mensuracao de risco: significa estimar a importincia de um risco e calcular a probabilidade de sua ocorréncia; Monitoramento: ¢ um componente do controle interno que permite avaliar a qualidade do sistema de controle interno ao longo do tempo: Nivel de risco: magnitude de um risco, expressa em termos da combinagio de suas consequéncias e probabilidades de ocorréncia; Operagées econdmicas: ocorre quando a aquisig’o dos insumos necessirios se der na quantidade e qualidade adequadas, forem entregues no lugar certo e no momento preciso, a0 custo mais baixo; Operagées eficientes: ocorre quando consumirem 0 minimo de recursos para alcangar uma dada quantidade ¢ qualidade de resultados, ou alcangarem 0 maximo de resultado com uma dada qualidade e quantidade de recursos empregados; Politica de gestio de integ intengdes e diretrizes gerais do lade, riscos e controles internos da gestio: declaragiio das stério relacionadas a integridade, riscos e controles; Procedimento de controle: so as politicas e os procedimentos estabelecidos para enfrentar os riscos e alcangar os objetivos do Ministério; Procedimentos de controle interno: procedimentos que 0 Ministério executa para o tratamento do risco, projetados para lidar com o nivel de incerteza previamente identificado; Processo de gestio de riscos: aplicagao sistematica de politicas, procedimentos ¢ priticas de gestio para as atividades de identificagao, avaliagdo, tratamento e monitoramento de riscos, bem como de comunicagio com partes interessadas em assuntos relacionados a risco; Proprietario do risco: pessoa ou entidade com a responsabilidade e a autoridade para gerenciar orisco;Ministério do Planejamento, Desenvolvimento e Gi Gabinete do Ministro Assessoria Especial de Controle Interno Probabilidade: possibilidade de ocorréncia de um evento; Resposta a risco: qualquer ago adotada para lidar com risco. As respostas podem se enquadrar num destes tipos: aceitar o risco por uma escolha consciente; transferir/compartilhar 0 risco a ‘outra parte; evitar 0 risco pela decisdo de nao iniciar ou descontinuar a atividade que dé origem a0 risco; ou mitigar/reduzir o risco diminuindo sua probabilidade de ocorréncia ou minimizando ‘as consequéncias do risco; Risco: possibilidade de ocorrer um evento que venha a ter impacto no cumprimento dos objetivos. O risco é medido em termos de impacto ¢ de probabilidade; Risco inerente: risco a que uma organi: gerenciais que possam reduzir a probabilidade dos riscos ou seu \¢do est exposta sem considerar quaisquer agdes pacto: Risco residual: risco a que uma organizagao est exposta apés a implementagdo de agdes gerenciais para o tratamento do risco; Riscos de imagem/reputagao do drgio: eventos que podem comprometer a confianga da sociedade (ou de parceiros, de clientes ou de fornecedores) em relagio @ capacidade do Ministério do Planejamento, Desenvolvimento ¢ Gestio em cumprir sua misso institucional; Riscos financeiros/orcamentirios: eventos que podem comprometer a capacidade do Ministério do Planejamento, Desenvolvimento ¢ Gestio de contar com os recursos orcamentiirios e financeiros necessirios a realizagiio de suas atividades, ou eventos que possam comprometer a propria execugdo orgamentiria, como atrasos no cronograma de licitagdes; Riscos_lega comprometer as atividades do Minis : eventos derivados de alteragdes legislativas ou normativas que podem jo do Planejamento, Desenvolvimento e Gestio; ¢ tério do Riscos operacionais: eventos que podem comprometer as atividades do Mi Planejamento, Desenvolvimento e¢ Gestiio, normalmente associados a falhas, deficiénci: inadequago de processos internos, pessoas, infraestrutura e sistemas; ou Tolerdncia ao Risco: o nivel de variagio aceitivel quanto a realizagio dos objetivos; Tratamento de riscos: proceso de estipular uma resposta a risco; Categoria de riscos: & a classificagio dos tipos de riseos definidos pelo Ministério do Planejamento, Desenvolvimento ¢ Gestiio que podem afetar 0 alcance de seus objetivos estratégicos, observadas as caracteristic ularidades do setor piiblico: s de sua area de atuagio e \s part Método de priorizacio de processos: classificagtio de processos baseadas em avaliagdo qualitativa © quantitativa, visando 0 estabelecimento de prazos para a realizagio de gerenciamento de scos, 6@Ministério do Planejamento, Desenvolvimento e Gestio Gabinete do Ministro Assessoria Especial de Controle Interno Anexo II — Matriz de Responsabilidades a =" = eae concider leven ty een ieee ,| mine | i reson ee ee meaaapetenimunn Tepe ge ence secession oman - rcormpeceari orc a SS * contoaaea le Eee LO LOLOL - : a naan ae 41@Ministério do Planejamento, Desenvolvimento e Gestio Gabinete do Ministro Assessoria Especial de Controle Interno Anexo III - Lista de Eventos de Risco Operacional Segue uma lista sugestiva e nao exaustiva de eventos de risco operacional. jeracional, Fator ‘Subfator © Exemplos de Riscos (Taxonom ‘COMUNICAGAO INTERNA { Osinsumos e as informagies nao so recebidos em tempo adequado para a execugto do processo {Auséncia de padres minimos definidos para a execusio do provesso 4} Entos e fathas do informagies que afetam a exeeugdo do provesso MODELAGEM Fluxo desatualizado e nao reflete a pritiea atual utilizada na execugio do proceso Auséncia de avalingdes periédien sobre a adequabilidade do desenho do processo ‘Auséncia ferramenta para anilise e melhoria continua do processo D SEGURANGA FISICA. Pc eesos Falla ou falta ce metorologia que auxilie no mapeamente do processo Falha ou falta de seguranga no ambiente de trabalho que afeta a execugio do processo 1 Avesso adres consideradas como eriticas sem que as pessoas estejam devidamente credenciadas e identifieadas ADEQUACAO A LEGISLAGAO: 1 Descumprimento de prazos lognis na exceugio do processo { Auséncia de compilagio e distribuigao de legislagao pertinente ao processo em |} Execugo do processo em desacordo com 0 regimento interno/normas } Descumprimento de prazo judicial na execugao do processo }__Descumprimenio de obrigagio regulatdria na execugio do processo ‘CARGA DE TRABALHO ¥ Rotatividade (urnever) de pessoal acima do esperado que afeta a execugio do processo } Capacidade operacional insuficiente para a exceugito do processa { Falha ou falta de dimensionamento da eapacidade operacional com impacto na exoeugio do processo COMPETENCIAS: { Capacitagi da equipe é insatisfatéria para a execugio do processo 4 Concontragio de conhocimentos em determinados servidores afetande n exeeugio do proceso Falha ou falta de disseminagao de conhecimento afetando a execugao do processo PESSOAS: Falha ou falta de eapacitagio que afeta a exceugdo do processo AMBIENTE ORGANIZACIONAL: |} Auséncia de satisfagio e/ou de bom-estar do servidor na exeeugio de sua tarefa | Desconhecimento dos abjetivos do processo por parte dos Servidres } Servidores desconhecem as suas responsabilidades individuais na execugio do processo Auséncia de recursos necessirios para exeouga Rosisténcia de Servidores em promover alteragies nus condigies de trabalho das tarefas CONDUTA |} Auséncia de postura ética nas atividades e nos relacionamentos interpessoais {Falta de atongio o aslo na oxecugio do procosso Auséneia de imparcialidade, cumprimento das leis ¢ normas/regulamentares, confidencialidade ¢ comprometimento na exceugao do proceso 1 Quebra de sigilo ¢ eonfidencialidade 43@Ministério do Planejamento, Desenvolvimento e Gestio Gabinete do Ministro Assessoria Especial de Controle Interno Risco Operacional Fator ‘Subfator e Exemplos de Riscos (Taxonomia) ‘SEGURANGA LOGICA { Auséncia de estrutura de perfis de acesso aos sistemas para execugio do processo { Auséncia de controle de avesso logico 1 Auséneia de Logon préprio na rede institucional | Falha ou falta de meios seguros de acesco aos sistemas 1 Inexisténcia de registro nos sistemas (Jog) das transagies erticas 1 Auséncia de formalizagio que defina as responsabilidades do usuério externo do sistema 4 Incapacidade do sistema de prover informagies confiveis © suficientes sobre 0 processo em exeeuciio INFRAESTRUTURA TECNOL OGI CA: } Grau de informatizagao do processo inadequado para execucio do processo ampiente | Informasiosedudos armed om dior nto profes o sem conte do TECNOLOGIC |} Auséncia de backup de arquivos, planilhas e bancos de dados essencinis i execugio C do processo 1 Acestagio de trabalho nfo possui acionado dispositive de timeout 1 Desearte de midias sem antes terem apagados os com contetido reservado } Sobrecanga de sistemas de processamento de dados no momento da execugio do process 4. Inadequagio de sistomas operacionais/aplicativos para execucio do processo 1 Falhas de hardware, faltas de backup © de legalizacio do software afetando a exeeugdo do processo 1 Obsoleseéneia dos sistemas ¢ equipamentos afetando a execucio do processo 1 Ataques ligioos a rede de computadores afetando a execugio do processo SOLUGAO DE TI 1 Incxisténcia dle controle nas requisigdes ¢ nas melhorias requeridas nos sistemas cuja falta de implementagao afeta a execugio do processo 1 Falha ou falta de homologagao de sistema impedindo a execugio do processo de forma automatizada COMUNICAGAO: 1 Instabilidade nos sistemas operacionais que afota a execugito do processo { Incompatibilidade fou indisponibilidade de informagées afetando a execugdo do DESASTRES NATURAIS E CATASTROFE 1 Agdo Humana: agies intencionais exceutadas por tereeiros para lesar o Sree, como por exemple: ( roubos,falsificagdes, furtos, atos de vandalismos, fraudes externas; Gi) dogradagio do meio ambiente: e (ii) alteragies no ambiente econémieo, politico © EVENTOS social EXTERNOS |} Forca Maicr (enchentes, terremotos, eatistrofes (queda de prédio) ¢ outros desastres naturais AMBIENTE REGULATORIO: 1 Alterngies inesperadas na legislagio ou em marcos regulatérios pelos drgios fisealizadores e roguladores AMBIENTE SOCIAL { Consirio socioecondmico interfere na execugio do processo 1 Retragtes ou nio-aproveitamento do oportunidades do mereado provoeadas por eventos relacionados a seguranga patrimonial que impede a execugio do processo FORNECEDORES: 4 Indisponibilidade de recursos em virlude de concentragio em um tinieo fornecedor que impode a exeeueio do provesso {__ Fathas ou indisponibilidade de servigas piblicos quo afota a execuiio do processo 49@Ministério do Planejamento, Desenvolvimento e Gestio Gabinete do Ministro Assessoria Especial de Controle Interno Anexo IV — Controles Basicos Segue uma lista sugestiva e nio exaustiva de controles basicos. Categoria d VeeeaneeT IC. ETrETC) Ce eer Postura da alta administragao Politicas e procedimentos Risco de anticorrupea0 Integridade Mapeamento dos Riscos de Corrupgao Criagdo de indicadores dos riscos de corrupeao dos passos decisérios ‘Acompanhamento e Analise de Normas Risco de ‘e Regulamentos Externos Conformidade | Pareceres da Assessoria J | Atividades de Treinamento Normas e Procedimentos Planejamentos de longo, médio e curto prazos, ‘Acordo de Trabalho Pesquisa de Clima Organizacional Reunides Participativas Identificagao da Necessidade de Conhecimento / Habilidades ‘Alividades de Treinamento Notmas e Procedimentos Ferramentas de autoavalizacaio de ‘Conhecimentos / Habilidades Pesquisa de Clima Organizacional Qualdade de Gemuticacao com a Adminiivaglo co Vida no Trabalho eocesso de Gerenciamento de Pessoas Operacional Equipes Valores Eticos e Normas de Conduta do Orga / Unidade | ‘Algadas e Limites Mecanismos de Motivacao/ Recompensa / Punigdio ~ Praticas de Disciplina e Demissao Reconhecimento de Responsabilidade por Escrito Conferéncias e Autorizages | Rodizio de Funcionarios | ‘Segregagao de Funcdes | Testes de Conformidad ‘Canais de Comunicagéo — Com a ‘Sociedade ‘Canais de Comunicago — Com os Risco Processos Comunicagéo | Servidores Operacion: Intema Carga de Trabalho Competéncias Conduta Normas e Procedimentos 50@Ministério do Planejamento, Desenvolvimento e Gestio Gabinete do Ministro Assessoria Especial de Controle Interno Modelagem Ferramentas para Andlise e Melhoria Continua de Processos Metodologia de Autoavalizagao de Riscos e Controles Validagdes — Backtesting Mecanismos de Seguranga Fisica ‘Seguranga Fisica |Controles de Avesso Fisico Manutenco de Equipamentos Normas ¢ Procedimentos Metodologia de Autoavalizagao de Pontos de ae Riscos e Controles Mecanismos de Monitoramento € Reporte ‘Adequagéo 8 Testes de Conformidade Legislagao Normas e Procedimentos Politics e Diretrizes Seguranga Gontroles de Acesso Légico a Arquivo e Preservacao de Registros . Manutencao de Equipamentos Risco area’ © Layout de formularios e Sistemas Operacional a Planes de Contingéncia analiso © Layout de Formularios e Sistemas Validacées - Backtesting Programago atividades de Treinamento Rede de Planos de Contingéncia Gomunicagao __[Manutenco de Equipamentos Desastres Planos de Contingéncia Naturais e Catastote __Alvidades de Treinamento ‘Ambiente ‘Andlise da Conjuntura Pollica e Regulatério __ Econémica Nacional e Internacional Risco Eventos ‘Analise da Conjuntura Politica e Operacional | Externos Ambiente Social Econémica Nacional Internacional Controles de Servicos Terceirizados Fomecedores ¢ ‘Panos de Contingéncia Gientes Gontroles de Acesso Logico Valores Eticos e Normas de Gonduta Meio Ambiente Yagree ete Valores Eticos e Normas de Gonduta da Empresa Normas e Procedimentos Controles de Servicos Terceitizados Risco de mae Pesquisa de Satisfagao ‘Canais de Comunicagao - Com a Sociedade Canais de Comunicagao — Com os Servidores