Escolar Documentos
Profissional Documentos
Cultura Documentos
DE RISCOS
CORPORATIVOS
ESTRATÉGICO E TÁTICO
2
Book de Gestão de Riscos Corporativos
Apoio:
Julho 2021
1 INTRODUÇÃO ....................................................... 04
4
Introdução
1
5
Introduzir conceitos e premissas da Gestão de
Riscos Corporativos
6
1. INTRODUÇÃO
Na última década, a gestão de riscos vem se O instrumento de governança para lidar com a incerteza é
S
transformando em um processo estratégico e de vital a Gestão de Riscos Corporativos (GRC). A gestão de riscos
1 importância para as organizações públicas. Trata-se de permite tratar com eficiência as incertezas, seja pelo
2 uma abordagem que privilegia o alcance de resultados em aproveitamento das oportunidades, seja pela redução da
qualquer organização, de forma que sua mitigação, por probabilidade e/ou impacto de eventos negativos, a fim de
3 meio de controles apropriados, tem potencial de garantir melhorar a capacidade de gerar valor e fornecer garantia
4 maior eficácia da gestão pública. razoável do cumprimento dos seus objetivos.
5 Nos termos da política de Gestão de Riscos Corporativos Destaca-se que a GRC pode ser aplicada a uma ampla
6 (GRC) da Anvisa, em seu art. 4º, inciso XXII, risco é definido gama de atividades, incluindo estratégias, decisões,
como efeito da incerteza, evento capaz de afetar operações, processos, programas, projetos, produtos,
positivamente (oportunidade) ou negativamente (ameaça) serviços e, suas etapas, podem servir a qualquer tipo de
os objetivos, processos de trabalho, programas e projetos risco, independentemente de sua natureza, que tenha
nos níveis estratégico, tático ou operacional. Os riscos consequências positivas ou negativas para o cumprimento
surgem da incerteza natural dos cenários econômico, da missão institucional
político e social e podem se apresentar como desafios ou
oportunidades, na medida em que dificultem ou facilitem A proposta de aplicação da metodologia de GRC atende,
o alcance dos objetivos organizacionais (ABNT, 2009). portanto, às recomendações do Tribunal de Contas da 7
União (TCU) e Controladoria-Geral da União (CGU) para A quarta apresentará os atores envolvidos na GRC e suas
que a Anvisa adote medidas para gerenciar seus riscos responsabilidades. A quinta parte apresenta o conjunto de
institucionais, implementando uma política e um processo ferramentas a serem utilizadas para a realização e
de gestão de riscos, conforme o Acórdão nº 673/2015. operacionalização dos processos detalhados na parte três.
Também, contemplando controles internos, métodos de Por fim, a sexta parte corresponde às siglas e termos
gestão de riscos e fatores de governança, conforme utilizados neste Book.
disposto na Instrução Normativa Conjunta n.º 1
(MPOG/CGU), de 10 de maio de 2016, sobre âmbito do
Poder Executivo federal (BRASIL, 2016).
9
Apresentar a interação dos processos entre si de
forma macro.
10
2. FRAMEWORK DO PROCESSO
15
3
Detalhamento dos
Processos
16
Apresentar o detalhamento individual de cada
processo.
17
P1 DEFINIR PLANO DE GESTÃO DE RISCOS
19
P2 REALIZAR ENTENDIMENTO DO CONTEXTO
Registrar percepções de
Revisar a carteira de Centralizar novas riscos Categorizar percepções de
Envolvido(s): APLAN ou Gerência
riscos da estratégia percepções de riscos das Geral
riscos conforme categorias da
Envolvido(s): APLAN unidades Ferramenta: Ferramenta de metodologia de GRC da Anvisa
Ferramenta: E-mail Envolvido(s): APLAN Identificação de Contexto e Envolvido(s): APLAN ou Gerência Geral
Instrumentos
Inicia o processo 7
“Monitorar Carteira de
Riscos”
20
DESCRIÇÃO
O B SERVAÇÕ ES:
Esse processo ocorre quando, após definido o plano de
gestão de riscos, deseja-se realizar o entendimento do Para a realização da análise de contexto, deverá se analisar
contexto dos riscos estratégicos ou táticos, a fim de cada uma das dimensões do mapa de contexto
verificar se existem novas percepções de riscos que devem apresentado a seguir, assim como as megatendências,
ser analisadas, visando a atualização de novos eventos de SWOT e PESTAL do plano estratégico, metas estratégicas,
riscos em uma carteira de riscos existente ou a definição processos críticos e OKRs para levantar as percepções de
de nova carteira de riscos. Dessa forma, o processo só riscos.
Objetivo
Partes
Principais Etapas
Interessadas
Sistemas,
ferramentas e Clientes
equipamentos
Normas Internas
e Externas
Impossibilidade de
agrupamento
Estratégico
INÍCIO 1 2 3 4 FIM
Tático
Revisão
Documentada
Workshop
Riscos Elencados
8 9 FIM
23
DESCRIÇÃO
Esse processo ocorre quando, uma vez que os riscos foram • 4ª Etapa: Após elencar as causas e consequências,
elencados ou novos riscos foram contemplados na carteira deverá se classificar os riscos por nível de
de riscos, deseja-se então fazer a avaliação deles. A probabilidade e impacto, ambas em uma escala de 1 a
avaliação dos riscos será realizada durante um Workshop 5, sendo 1 como uma probabilidade ou um impacto
que possui 5 etapas que serão detalhadas a seguir: muito baixo e 5 sendo uma probabilidade ou um
impacto muito alto.
• 1ª Etapa: Validar se os riscos apresentados na
ferramenta estão de acordo com o que foi discutido • 5ª Etapa: Feita a classificação por nível de
anteriormente, ou seja, se aqueles riscos de fato são probabilidade e impacto, deverá se elencar os
riscos que afetam sua unidade. controles existentes para cada risco. Além disso,
indicar se o controle é novo ou se já existe a mais
• 2ª Etapa: Feita a avaliação dos riscos deverá se tempo, o tipo de controle, se ele é preventivo ou de
classificar a tipologia dos riscos, podendo os riscos atenuação e classificar com uma nota de 1 a 5, sendo 1
serem classificados como: operacional, imagem, legal, para controle ineficiente e 5 para controle muito forte.
financeiro e integridade.
OBSERVAÇÕES:
• 3ª Etapa: Após classificar a tipologia dos riscos, deverá
O Workshop será realizado na Ferramenta Workshop GRC.
se elencar as causas e consequências dos riscos.
24
P5 P R I O R I Z A R R I S C O S ( E S T R AT É G I C O S )
25
P6 I M P L A N T A R P L A N O D E T R AT A M E N T O 1/2
Consolidar resultados da
Classificar o devido
reunião de harmonização
Preparar reunião de tratamento de cada risco
de controles
harmonização de controles Envolvido(s): APLAN
Envolvido(s): APLAN ou Gerência
Geral
Envolvido(s): APLAN Ferramenta: Ferramenta de Ferramenta: Plano de
Definir etapas do plano de
Ferramenta: E-mail Harmonização de Controles Tratamento tratamento de cada risco, Pactuar periodicidade de
prazos, custos e avaliação/coleta de
responsáveis indicadores
Caso algum Risco seja Envolvido(s): Unidades ou Envolvido(s): Unidades ou
Classificado como Gerência Geral Gerência Geral
Ferramenta: Plano de Ferramenta: Plano de
“Aceitar” Tratamento
Tratamento
INÍCIO Estratégico 1 2 3 4 5
Tático
Riscos Priorizados
Outros Riscos 7 8 9 10 11
Apresentar evidências
Harmonizar controles
Envolvido(s): Unidades para controles
Ferramenta: Ferramenta de considerados moderados
Harmonização de Controles e fortes
Envolvido(s): Unidades
Definir novos controles Criar indicadores de Elaborar plano de
Reunião de Harmonização de Controles para riscos caso eficiência para os contingência para
necessário controles riscos sem
Envolvido(s): Unidades ou Envolvido(s): Unidades ou controle ou
Gerência Geral
Gerência Geral
Ferramenta: Plano de
controles fracos
Ferramenta: Plano de Envolvido(s): Unidades
Tratamento Tratamento
ou Gerência Geral
26Ferramenta: Plano de
Tratamento
2/2
Estratégico 12 13 14 15 16 FIM
Tático
Plano de tratamento
e controles
implementados
27
DESCRIÇÃO
28
P7 COMUNICAR GESTÃO DE RISCOS
Informações de
1 2 3 FIM
GRC Divulgadas
Carteira de
4 5 FIM
Riscos Divulgada
Informações do
INÍCIO Estratégico 6 7 FIM Monitoramento
Tático Divulgadas
Monitoramento Definir restrições de Divulgar para as unidades
Necessidade de Realizado divulgação do documento envolvidas o relatório atualizado
Envolvido(s): APLAN Envolvido(s): APLAN
Comunicação de
Ações de GRC
Informações do
8 FIM Monitoramento da
Maturidade Divulgadas
Divulgar para as unidades
Monitoramento da envolvidas o relatório atualizado
Reportar APLAN do uso da Maturidade Envolvido(s): APLAN
ferramenta /metodologia
Envolvido(s): Gerência Geral
Informações da
1 FIM 9 10 FIM Auditoria em GRC
Divulgadas
Definir restrições de Divulgar para as unidades
Monitoramento Report Recomendações de 29
divulgação do documento envolvidas o relatório atualizado
Realizado Realizado Auditoria em GRC Envolvido(s): APLAN Envolvido(s): APLAN
P8 MONITORAR CARTEIRA DE RISCOS
Controle Eficiente
INÍCIO
Estratégico 1 2 3
Tático
Novo Risco Identificado Criar plano de tratamento Analisar necessidade de incluir
(sem ocorrência) Envolvido(s): APLAN ou Responsável GRC novos riscos na carteira de riscos
Tático Envolvido(s): APLAN ou Responsável GRC
Ferramenta: Plano de Tratamento Tático
Ferramenta: Plano de Tratamento
7 8 9
Informar sobre o tratamento Ocorrência
de riscos Envolvido(s): Unidades de risco Implementar ações para
Trimestral para a Ferramenta: Plano de Tratamento
mitigação das consequências do
Estratégia 6
risco
Envolvido(s): APLAN ou Responsável GRC
Conforme Tático
Periodicidade da Ferramenta: Plano de Tratamento
Unidade no Tático
Analisar ou revisar 10 11
causas e
consequências do risco
Envolvido(s): APLAN ou
Responsável GRC Tático Implementar/Revisar plano de Analisar controles para que o
Ferramenta: Plano de contingência risco não ocorra novamente
Tratamento Envolvido(s): APLAN ou Responsável GRC Envolvido(s): APLAN ou Responsável GRC 30
Tático Tático
Ferramenta: Plano de Tratamento Ferramenta: Plano de Tratamento
Novo Risco
FIM
Identificado
Avaliar monitoramento Novo Risco Identificado
Reportar ao CGE para encaminhamentos
Envolvido(s): APLAN Envolvido(s): CGE
Inicia o processo “4 Avaliar
Riscos”
Necessidade de Novo
Controle para Riscos
Documentar resultados
Envolvido(s): APLAN ou
Identificados
Responsável GRC Tático FIM Necessidade de Novo
Ferramenta: Controle
Inicia o processo “6
Implantar Planos de
Tratamento”
31
P9 M O N I T O R A R A M AT U R I D A D E D A G R C
Coletar instrumentos e
evidências para avaliação Aplicar instrumento na(s)
Definir inicialmente as
Validar plano de avaliação GRC Unidade(s) para coleta de Consolidar resultados
dimensões de avaliação
Envolvido(s): APLAN ou da maturidade Envolvido(s): APLAN ou informações Envolvido(s): APLAN ou
Envolvido(s): APLAN Responsável GRC Tático Envolvido(s): Unidade(s) Responsável GRC Tático
Responsável GRC Tático
Informações
Pendentes
Estratégico 1 2 3 5 6 7
INÍCIO 4
Tático
Período de
Anualmente
Aplicação
Informações
Completas
32
Disponibilizar relatório
Elaborar relatório com consolidado para
resultados consolidados Diretoria
Envolvido(s): APLAN Envolvido(s): APLAN
Estratégico 8 9 10 FIM
Tático
Relatório
Disponibilizado para
Diretoria
33
P 10 A U D I TA R C A R T E I R A D E R I S C O S
Monitorar a
implementação das
recomendações
Envolvido(s): Equipe de Auditoria
Executar auditoria 7
Envolvido(s): Equipe de Auditoria
Recomendações
Implementadas
Estratégico 1 2 3 6
INÍCIO FIM
Tático
Período de Auditoria
Analisar resultados e
Individual na Unidade
implementar
Relatório com pontos recomendações Necessidade de
Envolvido(s): Unidades
relacionados à GRC Revisão de Risco
Estratégica
FIM
Elaborar programa de Elaborar relatório de Identificada
auditoria específica auditoria e encaminhar
Envolvido(s): Equipe de Auditoria para partes interessadas Inicia o processo
Envolvido(s): Equipe de Auditoria “6 Implantar
4 5 Plano de
Tratamento”
Diretorias, Unidades
Auditoria
auditadas e Unidades FIM
adicionais caso Sugerir encaminhamentos Realizada
Analisar resultados e
necessário Envolvido(s): CGE
apresentar recomendações ou
propostas de melhorias para o
CGE Inicia o processo
Envolvido(s): APLAN “7 Monitorar
34 Carteira de
Riscos”
DESCRIÇÃO
36
4 . AT O R E S , P E R F I S E C O M P E T Ê N C I A S
38
Ferramentas para a operacionalização dos
processos de negócio apresentados.
39
6 . F E R R A M E N TA S E D O C U M E N T O S D E A P O I O
40
Mapa de Contexto Ferramenta Workshop GRC
Lógica contida na ferramenta de identificação de contexto. Principal ferramenta produzida no Excel, que será
Deve ser considerada para realização do entendimento do utilizada pelas Unidades no Workshop de Avaliação
contexto no Processo 2 "Realizar Entendimento do dos Riscos presente no Processo 4 "Avaliar Riscos".
Contexto". Com ela, é possível passar por cada dimensão Nessa ferramenta, será possível que cada unidade
levantando percepções de riscos que podem estar valide os riscos para ver se estes estão de acordo com
associadas ao objeto da Gestão de Riscos. seus processos, ou seja, para verificar se aquele risco
de fato afeta sua unidade. Após validar os riscos, as
Objetivo
Externalid
Produto unidades poderão classificar a tipologia de riscos. Em
ou
ades
Resultado seguida, indicar suas causas e consequências. Depois,
indicar controles existentes para mitigar os riscos. Por
Evento
Executores
Inicial fim, avaliar a probabilidade e impacto dos riscos. É
Objeto da
Gestão importante ressaltar que cada Unidade terá sua
de Riscos
Principais
Partes planilha para a realização do Workshop.
Interessad
Etapas
as
Sistemas,
ferramentas
e Clientes
equipament Normas
os Internas e
Externas
41
Mapa de Contexto elaborado por EloGroup
Ferramenta Workshop GRC
42
Ferramenta de priorização – Uso exclusivo do CGE
Ferramenta que será utilizada para a priorização dos riscos, etapa presente no Processo 5 "Priorizar Riscos". Desenvolvida no Excel,
essa ferramenta apresenta uma consolidação das informações da ferramenta de Workshop GRC. Com dados gerados
automaticamente, essa planilha permite que o CGE consiga visualizar todas as informações e avaliações feitas pelas unidades em
relação aos riscos e faça sua própria priorização. Ao julgar a probabilidade e impacto de cada risco, a planilha irá calcular
automaticamente a nova probabilidade e o novo impacto levando em conta um peso de 60% as notas dadas pelo CGE e 40% as
notas dadas pelas unidades. Além disso, o CGE poderá comentar possíveis alterações, remoções e inclusões de riscos.
43
Ferramenta de priorização - CGE
A fim de apoiar o preenchimento, a ferramenta conta com visualizações gráficas compiladas de dados preenchidos pelas unidades.
44
Ferramenta Harmonização de Controles
Principal ferramenta que será utilizada na reunião de Harmonização de Controles presente no Processo 6 "Implantar Plano de
Tratamento". Desenvolvida no Excel, as Unidades poderão indicar aqueles controles que elas julgam mais efetivos e que elas
gostariam de implementar em suas áreas, ou seja, a planilha apresenta uma consolidação de todos os controles registrados na
Ferramenta Workshop GRC. Para realizarem a priorização, as unidades deverão analisar todos os controles da sua unidade que
possuem o sinal “!” e alterar para o valor “–1”, no caso de controles não priorizados, ou para o valor “1”, no caso de controles
que serão priorizados. Ao final da reunião, será possível visualizar todos os controles priorizados por cada unidade.
45
Plano de Tratamento
Ferramenta que será utilizada pelos gestores das unidades para criar e monitorar os tratamentos dos riscos. Desenvolvida no
Excel, essa planilha permitirá os gestores criarem controles para os riscos, indicarem responsáveis para cada um deles, definirem
indicadores de eficiência da implementação do controle e controlar os monitoramentos. Além disso, a APLAN poderá verificar as
unidades que estão preenchendo a ferramenta e analisar o status dos riscos de cada unidade.
46
Plano de Tratamento
47
Siglas e
6
Termos
48
Um resumo das siglas citadas ao longo do Book
com o intuito de auxiliar o leitor.
49
8. SIGLAS E TERMOS
4 • Responsável GRC Tático – Responsável dentro da Unidade em questão por gerenciar e organizar a carteira de riscos táticos;
• Gerência Geral – Relativo a todas as Gerências Gerais presentes em cada Diretoria ou a Gerência Geral em questão realizando o
5
processo;
6 • Unidades – Referente a todas as Unidades Organizacionais presentes na ANVISA ou a Unidade em questão realizando o
processo;
• Equipe de Auditoria – Equipe responsável por realizar a auditoria na ANVISA;
• Risco - Efeito da incerteza, evento capaz de afetar positivamente (oportunidade) ou negativamente (ameaça) os objetivos,
processos de trabalho, programas e projetos nos níveis estratégico, tático ou operacional;
50
• Tipologia de Riscos Corporativos: Classificação dos tipos de riscos corporativos definidos pela Anvisa que podem afetar o
alcance de seus objetivos estratégicos/táticos, observadas as características de sua área de atuação: operacional, legal,
imagem, financeiro e integridade.
• Tratamento do risco: processo de seleção e implementação de ações, controles ou respostas para mitigar o risco;
• Tolerância ao risco: nível de variação aceitável no desempenho em relação à meta para o cumprimento de um objetivo
específico, em nível tático ou operacional.
• Nível de Risco - é a magnitude de um risco, expressa em termos da combinação das consequências e de suas
probabilidades;
• Risco Inerente - nível de risco antes da consideração de qualquer ação de tratamento ( Risco Inerente = Probabilidade x
Impacto).
51
APLAN
Gustavo Henrique Trindade da Silva
Marina Torres Uber Bucek
Nelci dos Santos
Marcelo Ivo de Lima
Com apoio
52
53