Escolar Documentos
Profissional Documentos
Cultura Documentos
Riscos Processos
1a Versão
1
Comitê de Riscos e Controles – CRC
Tiago de Barros Correia (DIR) Presidente
Secretaria Executiva
José Renato Pinto da Fonseca
Auditoria Interna
Sidnei Furlan - Suplente
2
SUMÁRIO
2. PÚBLICO ALVO............................................................................................................. 4
7. SIGLAS ........................................................................................................................ 67
8. GLOSSÁRIO ................................................................................................................ 67
9. ANEXOS ...................................................................................................................... 74
3
1. OBJETIVO DO DOCUMENTO
2. PÚBLICO ALVO
4
4. CONTEXTUALIZAÇÃO SOBRE GERENCIAMENTO DE RISCOS
CORPORATIVOS
5
• A Comunicação e Consulta é a forma de se
estabelecer contato e relacionamento com os
públicos de interesse internos e externos da
1. Comunicação e Consulta ANEEL. É extremamente estratégico, porque tem a
função de informar e sensibilizar cada um dos
envolvidos no processo e deve acompanhar todas
as fases do Manual de Gestão de Riscos.
6
5. APETITE AO RISCO
ii. Tolerância a Risco: Trata-se de quadrantes cuja criticidade está além do apetite
ao risco, desta forma, o risco não é aceito pela ANEEL, representado com o
numeral “2” na matriz abaixo. Deve-se planejar e aprovar planos de ação
preventivos (visando reduzir a probabilidade) e/ou corretivos (visando reduzir
impactos) no prazo máximo de 15 dias;
7
Figura 1: Matriz de Riscos com os Níveis de Apetite, Tolerância e Capacidade aos Riscos
Os demais quadrantes são Riscos cuja probabilidade e impacto podem ser aceitas
pela Agência, sendo necessário somente o constante monitoramento.
8
6. DESCRIÇÃO DA METODOLOGIA
1. Comunicação e Consulta
2. Contexto Estratégico
3. Identificação de Riscos
4. Análise e Avaliação de Riscos - Inerente
5. Análise e Avaliação de Riscos - Residual
6. Respostas aos Riscos
7. Monitoramento e Análise Crítica
9
Abaixo framework com as subfases e as respectivas ferramentas a serem utilizadas
no Manual de Gestão de Riscos Corporativos da ANEEL.
Descrição
10
A Comunicação e Consulta é a forma de estabelecer contato e relacionamento com
os públicos de interesse da ANEEL, internamente com os gestores, empregados,
prestadores de serviço, parceiros e externamente com os clientes, fornecedores,
parceiros, entidades, associações, ONG’s, governo, imprensa, comunidades, entre
outros.
11
Aprimorar a gestão de mudanças durante o processo de gestão de riscos;
Desenvolver um plano apropriado para comunicação interna e externa.
Fluxograma
Responsável: CRC;
Executante: CRC;
Envolvidos: Superintendência de Comunicação e Relacionamento
Institucional - SCR e CRC;
Entrada: Política de Gestão de Riscos, Manual de Gestão de Riscos,
Regimento Interno do CRC e demais dados aplicáveis;
Periodicidade: Anualmente, quando forem identificadas mudanças
significativas, ou em caso de outras necessidades;
Entrega (produto): Registro das ações pretendidas (Anexo I – Registro de
Evento);
Descrição (como): O CRC define quais objetivos devem ser alcançados, quem
deve ser sensibilizado e prazos aplicáveis.
12
1.2 Elaborar o Plano de Comunicação e Consulta
Responsável: SCR;
Executante: SCR;
Envolvidos: CRC;
Entrada: Registro das ações pretendidas pelo CRC e cronograma do
Planejamento Estratégico;
Periodicidade: Quando a SCR for demandada pelo CRC;
Entrega (produto): Plano de Ação de Comunicação e Consulta (ver exemplo
no Anexo II – Plano de Comunicação);
Descrição (como): O plano, baseado na contextualização, deve ser elaborado
contendo tipos de ações a serem realizadas, o público alvo a ser atingido,
objetivos, datas, responsáveis e demais itens relevantes, conforme padrão da
SCR.
Responsável: SCR;
Executante: SCR;
Envolvidos: Conforme definido no Plano de Ação de Comunicação e Consulta;
Entrada: Plano de Ação de Comunicação e Consulta;
Periodicidade: Conforme estabelecido no cronograma do Plano de Ação de
Comunicação e Consulta;
Entrega (produto): Registro de Execução (ver exemplo no anexo I – Registro
de Evento);
Descrição (como): Serão realizadas as ações planejadas com o objetivo de
sensibilizar sobre a importância da identificação dos riscos que possam
impactar os processos e, por consequência, as estratégias e os objetivos
estratégicos, além de discutir e explicar a utilização e aplicação das
ferramentas e métricas, as causas dos riscos (fatores de riscos), controles,
13
criticidade dos riscos e as medidas preventivas e de contingência para mitigar
os impactos.
Responsável: CRC;
Executante: Grupo de Técnico de Apoio à Gestão de Riscos - GTAGR;
Envolvidos: SCR;
Entrada: Plano de Ação de Comunicação e Consulta e os Registros de
Execução;
Periodicidade: Conforme cronograma do Plano de Ação de Comunicação e
Consulta;
Entrega (produto): Relatórios de acompanhamento (ver exemplo no anexo I –
Registro de Evento);
Descrição (como): De forma periódica, para garantir a aferição do progresso
obtido, ou o desvio, em relação ao plano de comunicação e consulta
previamente estabelecido. Esta atividade servirá também para
retroalimentação do processo de gestão de riscos corporativos.
14
Fase 2. Contexto Estratégico
Descrição
Fluxograma
Responsável: CRC;
Executante: CRC e Grupo Técnico de Apoio à Gestão de Riscos - GTAGR;
Envolvidos: Gestores dos Processos e Áreas técnicas;
15
Entrada: Estrutura organizacional, cadeia de valor, fatores críticos de sucesso,
planejamento estratégico, política de gestão de riscos, Balanced Scorecard
(BSC), manual de gestão de riscos, regimento do CRC e demais documentos
e informações aplicáveis e disponíveis;
Periodicidade: Anualmente, quando forem identificadas mudanças
significativas, ou em caso de outras necessidades;
Entrega (produto): Registro do Contexto Interno e Externo (ver exemplo no
Anexo III – Contexto Estratégico);
Descrição (como): O CRC deve possuir perfeito entendimento do ambiente
interno e externo da ANEEL para, desta forma, planejar e orientar as atividades
de Gestão de Riscos, bem como, prover as revisões e atualizações conforme
mudanças identificadas.
Responsável: CRC;
Executante: CRC;
Envolvidos: Gabinete do Diretor-Geral - GDG;
Entrada: Política e Manual de Gestão de Riscos vigente, Regimento do CRC,
Registro do Contexto Interno e Externo e demais informações relevantes;
Periodicidade: Anualmente, quando forem identificadas mudanças
significativas, ou em caso de outras necessidades;
Entrega (produto): Política e Manual de Gestão de Riscos;
Descrição (como): Esta etapa faz referência à necessidade da construção de
uma Política de Gestão de Riscos Corporativos, estabelecendo as diretrizes
16
estratégicas, e de um Manual de Gestão de Riscos Corporativos,
estabelecendo a metodologia a ser aplicada, ambas, aderentes a realidade e
necessidades da Agência. Tratam-se de documentos essenciais para o
desenvolvimento da Gestão de Riscos no âmbito da ANEEL.
Responsável: CRC;
Executante: Gestores dos Processos (Com apoio técnico do CRC);
Envolvidos: Líderes, áreas técnicas coparticipantes, CRC e GTAGR;
Entrada: Lista de Processos;
Periodicidade: Preferencialmente de forma concomitante à elaboração do
Planejamento Estratégico, bem como em suas revisões, quando forem
identificadas mudanças significativas, ou em caso de outras necessidades;
Entrega (produto): Matriz do Business Impact Analysis – BIA e Lista de
processos classificados por criticidade;
Descrição (como): Necessário entender e compreender quais são os
processos considerados críticos para os objetivos estratégicos e as estratégias
da ANEEL.
Pontos de Atenção:
17
O objetivo não é identificar riscos, mas sim levantar a criticidade dos
processos quanto ao impacto no negócio versus sua importância no
planejamento estratégico.
18
Cada critério de impacto possui os seguintes referenciais para pontuação:
( çã ∗ ) + ( ∗ )
é − =
19
Tempo de Tolerância: Tempo de tolerância é o tempo máximo que o processo
pode ficar paralisado, sem comprometer de forma significativa as atribuições
organizacionais da ANEEL, ou seja, deve-se estimar por quanto tempo o
processo pode ficar indisponível (“fora do ar”), sem causar impactos massivos e
severos. A escala de valoração para tempo de tolerância está definida abaixo:
Exemplo:
Matriz do BIA - Business Impact Analysis: O resultado do cruzamento dos eixos nível
de impacto com o nível de tempo de tolerância é a Matriz do BIA, que define 3 níveis de
criticidade para os processos avaliados. Podem ser críticos, moderados ou leves,
conforme tabela abaixo:
20
Exemplo:
A etapa em questão interage com a fase “8. Monitoramento e Análise Crítica”, onde
ocorre a retroalimentação, essencial para a obtenção de insumos que amparam as
demais fases do estudo, além da fase “1. Comunicação e Consulta”.
Descrição
A identificação deve incluir todos os riscos, estando suas fontes sob o controle da
Agência ou não, aplicando ferramentas e técnicas adequadas. A identificação dos
riscos compreende cinco sub etapas.
21
Fluxograma
Para possuir uma visão holística e bem acurada dos riscos, primeiramente, é
realizada a identificação dos fatores de riscos (causas) e controles do processo,
conforme descrito abaixo, realizando:
22
Avaliação situacional do processo: O facilitador da gestão de riscos da
área deve avaliar o processo com o objetivo de identificar pontos fortes
(controles) e fracos (fatores de riscos), que sirvam de fatores para
mitigar ou potencializar a concretização dos riscos. A visão para
identificar fragilidades (pontos fracos) deve ser, sempre, pensando como
“burlar” os controles existentes. Nessa fase é necessário evidenciar as
fragilidades.
Nota: Controle é uma ação tomada para certificar-se de que algo se cumpra.
Os controles também são meios usados para verificar que certa ação é eficiente
ao seu propósito e suas possíveis falhas.
23
Exemplo Controles:
24
Quando finalizada a análise situacional, pode-se utilizar o fluxograma do processo em estudo, para ilustrar os controles e
fatores de riscos.
Figura 11: Fluxograma do Processo com Fatores de Riscos e Controles, com base na Análise Situacional
25
3.2 Listagem, Definição e Classificação dos Riscos
26
Cód. Risco Definição Classificação
Fraude no pagamento de O risco está relacionado ao pagamento Operacional
R.8 salários quanto a valores e/ou indevido em caso de erro ou manipulação
favorecidos no ajuste do arquivo .txt.
27
processamento eletrônicos, Erro não intencional, Falha em
elementos de infraestrutura, Sabotagem, Catástrofes, entre outros.
28
Efeito, o chamado Diagrama de Ishikawa e/ou de Espinha de Peixe para
entender quais são os fatores de riscos que influenciam a concretização de
cada risco.
29
Exemplo:
Processo Pessoal Tecnologia
FR.5 Ausência de autorização de pagamento da FR.8 Ausência de atualização legislativa dos FR.10 Envio do arquivo .txt ao contas a pagar via
folha pela diretoria funcionários que processam a folha e-mail
FR.7 Ausência de comprovação de recebimento FR.6 Ausência de rotatividade nas funções pelos
do arquivo pelo contas a pagar funcionários da área de folha de pagamento
Risco
Ressalta-se que para cada risco identificado existe a necessidade da elaboração de um diagrama de causa e efeito específico.
Se estivermos estudando 10 eventos teremos que elaborar 10 diagramas de causa e efeito.
30
3.4 Identificação da Relevância dos Fatores de Riscos – SWOT
Para identificar a relevância dos fatores de riscos são utilizados dois critérios
de avaliação, Magnitude e Importância.
31
seu potencial influenciador perante o contexto definido na etapa 2. A magnitude
é ranqueada, utilizando-se uma pontuação que varia de 1 a 3, sendo positiva
(Forças e Oportunidades) ou negativa (Fraquezas e Ameaças).
Total de Riscos (6) / Constante (3) = 2 (intervalo linear das notas – classificação
das ocorrências do fator de risco).
Total de Riscos (7) / Constante (3) = 2,33 (intervalo linear das notas –
classificação das ocorrências do fator de risco).
32
Nota: A frequência e a tabela de pontuação irão variar sempre que a quantidade
de riscos for alterada.
Exemplo:
FRAQUEZAS AMEAÇAS
Fator
Cód. Fator de Risco Qtde. Mag. Imp. Total Cód. de Qtde. Mag. Imp. Total
Risco
Erros nos lançamentos
manuais de processos que
FR.1 1 -1 3 -3 Nenhuma ameaça encontrada
compõem o fechamento da
folha de pagamento
Manipulação nos lançamentos
manuais de processos que
FR.2 3 -2 3 -6
compõem o fechamento da
folha de pagamento
33
FRAQUEZAS AMEAÇAS
Descumprimento do prazo
FR.3 para fechamento da folha de 1 -1 2 -2
pagamento
Ausência de comunicação ao
FR.4 rh de funcionários com 3 -2 2 -4
afastamento
Ausência de autorização de
FR.5 pagamento da folha pela 4 -3 3 -9
diretoria
Ausência de rotatividade nas
FR.6 funções pelos funcionários da 3 -2 2 -4
área de folha de pagamento
Ausência de comprovação de
FR.7 recebimento do arquivo pelo 3 -2 2 -4
contas a pagar
Ausência de atualização
FR.8 legislativa dos funcionários 3 -2 2 -4
que processam a folha
Manipulação dos arquivos .txt
FR.9 3 -2 3 -6
enviados ao contas a pagar
Envio do arquivo .txt ao contas
FR.10 3 -2 3 -6
a pagar via e-mail
Ausência de conciliação pelo
FR.11 3 -2 3 -6
rh dos pagamentos efetuados
Realização de pagamentos
FR.12 manuais em bancos não 4 -3 2 -6
conveniados
Recebimento de informações
FR.13 3 -2 3 -6
incorretas das áreas origens
Figura 15: Cálculo - Identificação da Relevância dos Fatores de Riscos
Desta forma, pode-se concluir que a Matriz SWOT adaptada para a gestão de
riscos permite visualizar o conjunto de objetivos ou a perspectiva do BSC,
identificando os fatores relevantes de maneira a enxergar a “Floresta”,
enquanto que o diagrama de causa e efeito visualiza somente o risco analisado,
ou seja, enxerga unicamente uma “Árvore” da floresta.
34
3.5 Matriz da Relevância dos Fatores de Riscos
Cabe destacar que a Matriz da Relevância dos Fatores de Riscos deve ser
construída para os fatores de riscos caracterizados como fraqueza (por
representar o ambiente interno da organização e, desta forma, passível de
tratamento) e ameaças (por representar o ambiente externo - considerados
incontroláveis, sendo possível apenas monitorar).
35
Exemplo:
A etapa em questão interage com a fase “2. Contexto Estratégico”, de onde recebe
insumos, através de informações e dados da organização, para iniciar com a subfase
“3.1 Análise Situacional / Fluxograma do Processo”, além das fases “1. Comunicação
e Consulta” e “8. Monitoramento e Análise Crítica”, que ocorrem em todas as fases do
processo, sendo a primeira responsável pelo fluxo de informações e a segunda por
retroalimentar todo o processo, promovendo a dinamicidade necessária que a Gestão
de Riscos exige.
Descrição
Segundo o COSO ERM 2004 o Risco Inerente é o risco que se apresenta a uma
organização na ausência de qualquer medida gerencial que poderia alterar a sua
probabilidade ou o seu impacto.
36
Realizar a análise e avaliação de riscos inerente proporcionará:
37
Fluxograma
38
Segurança e Controle: É avaliada a existência e interrelação dos fatores de
riscos e controles identificados na análise situacional. Quanto maior a nota pior
é a condição de segurança e dos controles. Na avaliação de riscos inerentes
não deve ser levado em consideração os controles existentes. Essa nota deve
ser com base no Diagrama de Causa e Efeito (condição do risco) de cada risco
e a Relevância dos Fatores de Riscos (Matriz SWOT).
39
Intervalo: É avaliada a questão da frequência de avaliação/auditoria e revisão
dos controles do processo, incluindo, quando aplicável, a revisão do próprio
processo. Quanto maior é o intervalo maior é sua fragilidade. Na avaliação de
riscos inerentes não deve ser levado em consideração as avaliações e
auditorias existentes.
Intervalo (peso 3)
Descritivo da Escala Pontuação
Não realiza revisão 5
Realiza avaliação/auditoria Bienal 4
Realiza avaliação/auditoria Anual 3
Realiza avaliação/auditoria Semestral 2
Realiza avaliação/auditoria Trimestral 1
( ç / ∗ )+ ( / çã ∗ ) + ( ∗ )
í =
40
Determinação do Nível de Impacto: Com o objetivo de obter uma visão
holística do impacto, há a necessidade de projetar todas as consequências que
os riscos causam. A avaliação do impacto na Agência é realizada sob três
critérios: Imagem, Operação e Recursos Públicos, sendo atribuída ponderações
(pesos) distintas. Segue abaixo ilustração:
41
Operação (peso 4): Refere-se ao impacto na Regulação, Fiscalização, Outorgas
Pontuação
e/ou Relações com a Sociedade
Impacta massivamente: Gera a paralisação na Regulação, Fiscalização, Outorgas e/ou
5
Relações com a Sociedade.
Impacta severamente: Compromete a eficácia na Regulação, Fiscalização, Outorgas
4
e/ou Relações com a Sociedade.
Impacta moderadamente: Compromete a eficiência na Regulação, Fiscalização,
3
Outorgas e/ou Relações com a Sociedade.
Impacta levemente: Gera um pequeno impacto na Regulação, Fiscalização, Outorgas
2
ou Relações com a Sociedade.
Não impacta ou não é percebido: Não impacta ou não é percebido o impacto no
1
processo de Regulação, Fiscalização, Outorgas e/ou Relações com a Sociedade.
( çã ∗ ) + ( ∗ )+( ú ∗ )
í =
42
Exemplo:
( / ∗ )+( ∗ )+( ∗ )
=
( ∗ )+ ( ∗ )+( ∗ )
=
43
Descrição (como): A avaliação de riscos visa comparar os níveis de riscos em
relação aos critérios pré-estabelecidos. A relevância dos riscos possui como
parâmetro a matriz de riscos e o seu resultado é o grau de criticidade do risco,
ou seja, é a priorização que a Agência deve utilizar para tratar cada risco, frente
ao seu apetite ao risco. A matriz é dividida em quadrantes e para cada
quadrante existe uma estratégia de tratamento e priorização.
44
Capacidade de Risco: Trata-se de quadrantes cuja criticidade é extrema,
demandando ações imediatas, representado com o numeral “3” na matriz
de riscos. Deve-se planejar e aprovar planos de ação preventivos (visando
reduzir a probabilidade) e/ou corretivos (visando reduzir impactos) no prazo
máximo de 30 dias;
Caso não ocorra a resposta ao risco dentro do prazo estimado para tratamento,
a pendência existente será encaminhada pelo CRC à Diretoria Colegiada para
conhecimento e providências.
Exemplo:
45
de risco do processo, que proporcionará posteriormente o ranqueamento dos
processos.
O Nível de Risco é um índice calculado com base na M.P.P e M.P.I dos riscos
identificados, conforme cálculo abaixo:
É importante ressaltar que quanto maior o nível do risco, maior sua criticidade para o
processo.
46
Exemplo:
Cód. Risco Probabilidade Impacto
Processamento da folha com informações não autorizadas ou
R.6 5,00 4,60
sem a respectiva documentação suporte
R.7 Pagamento incorreto de salário 4,00 3,40
Fraude no pagamento de salários quanto a valores e/ou
R.8 3,41 3,40
favorecidos
Nível de Risco
Probabilidade Impacto
Total 12,41 11,40
Média 4,14 3,80
Nível de Risco 15,72
47
Fase 5. Análise e Avaliação de Riscos Residuais
Descrição
Segundo o COSO ERM 2004 o Risco Residual é o risco que resta após a
administração ter adotado medidas para alterar a sua probabilidade ou o impacto.
Desta forma, entende-se por risco residual a análise e avaliação dos riscos
considerando os controles já existentes. Esse conceito permite que os controles sejam
avaliados e posteriormente que sua efetividade seja comprovada durante os testes.
Fluxograma
48
relação com os fatores de risco ou riscos, desta forma, possibilitando a análise
de riscos residuais.
Exemplo:
Cód. Controle Definição Objetivo Tipo Categoria Periodicidade Resultado Parecer
Comitê que
Comitê formado
promove
Proporcionar e discutido
Comitê Técnico discussões
melhores anualmente, não
C.8 de técnicas a Manual Preventivo Sob demanda Ineficaz
práticas nas existindo um
Direcionamento respeito de
regulamentações processo
novas
continuo.
regulamentações
A parceria é
Parceria com
realizada
universidades
Parceria com anualmente e os
federais para Prover o avanço
C.7 universidades Manual Preventivo Anual resultados são Eficaz
desenvolvimento tecnológico
federais monitorados de
de novas
acordo com os
tecnologias
projetos.
Figura 25: Avaliação de Controle - Walkthrough
49
5.2 Probabilidade x Impacto – Residual
Exemplo:
50
MPP = Média Ponderada de Probabilidade
( / ∗ )+( ∗ )+( ∗ )
=
( ∗ )+ ( ∗ )+( ∗ )
=
Exemplo:
51
5.4 Nível de Riscos - Residual
52
É importante ressaltar que quanto maior o nível do risco, maior sua criticidade para o
processo.
Exemplo:
Cód. Risco Probabilidade Impacto
Processamento da folha com informações não autorizadas ou
R.6 2,33 4,60
sem a respectiva documentação suporte
R.7 Pagamento incorreto de salário 2,66 3,40
Fraude no pagamento de salários quanto a valores e/ou
R.8 2,75 3,40
favorecidos
Nível de Risco
Probabilidade Impacto
Total 7,74 11,40
Média 2,58 3,80
Nível de Risco 9,80
A fase em questão se relaciona com a fase “3. Identificação de Riscos”, onde são
identificados os Fatores de Riscos e Controles do processo e com a fase “4. Análise
e Avaliação de Riscos Inerentes”, de onde recebe a Análise dos Riscos Inerentes,
além das fases “1. Comunicação e Consulta” e “8. Monitoramento e Análise Crítica”,
que ocorrem em todas as fases do processo, sendo a primeira responsável pelo fluxo
de informações e a segunda por retroalimentar todo o processo, promovendo a
dinamicidade necessária que a Gestão de Riscos exige.
53
Fase 6. Respostas aos Riscos
Descrição
Fluxograma
54
Entrega (produto): Plano de Resposta aos Riscos (Plano de Gestão conforme
a Política de Gestão de Riscos da ANEEL), incluindo Planos de Ação (Anexo
V);
Descrição (como): Depois de identificados, avaliados e mensurados, deve-se
definir qual o tratamento que será dado aos riscos. A priorização deve estar
embasada na Matriz de Riscos - Residual, Diagrama de Causa e Efeito, Matriz
SWOT e Avaliação dos Controles.
Abaixo as estratégias que podem ser adotadas para o tratamento dos riscos:
55
Para elaboração do plano de ação é utilizada a técnica adaptada das perguntas
5W e 2H.
56
Tolerância a Risco: Trata-se de quadrantes cuja criticidade está além do
apetite ao risco, desta forma, o risco não é aceito pela ANEEL,
representado com o numeral “2” na matriz de riscos. Deve-se planejar e
aprovar planos de ação preventivos (visando reduzir a probabilidade) e/ou
corretivos (visando reduzir impactos) no prazo máximo de 45 dias;
Os donos dos riscos são integralmente responsáveis pelo seu tratamento e/ou
monitoramento, desta forma, deve acompanhar o status dos planos de ação, bem
como, informar a AIN quando vislumbrar mudanças nos ambientes interno e/ou
externo que podem afetar o risco.
57
Exemplo:
Quem faz
O que Como deve ser
parte Quando será O que pode ser Quanto
ocasiona o Criticidade realizado para Status
neste implementado? implementado? custa?
risco? melhoria?
processo?
Refere-se a Nome do Andamento da
Qual o motivo Qual o valor
relevância do responsável Data limite para Medida em relação Descrever como ação: Em
para realização do custeio /
fator de risco pela implementação da à causa prioritária será executada execução,
da ação (fator investimento
(Magnitude x implementaç ação; (ação corretiva); ação proposta; Finalizada,
de risco); .
Importância) ão da ação; Atrasada e etc.
58
6.2 Projeção Futura - Probabilidade x Impacto
Exemplo:
59
Figura 32: Avaliação de Risco - Projeção Futura
Nível de Risco
Probabilidade Impacto
Total 4,66 11,40
Média 1,55 3,80
Nível de Risco 5,90
60
Fases (etapas) de inter-relacionadas
A fase em questão interage com a subfase “5.3 Matriz de Riscos - Residuais”, onde
são identificados os riscos que devem ser tratados prioritariamente e os riscos que
devem ser apenas monitorados, levando-se em consideração o Apetite ao Risco da
Agência, além das fases “1. Comunicação e Consulta” e “8. Monitoramento e Análise
Crítica”, que ocorrem em todas as fases do processo, sendo a primeira responsável
pelo fluxo de informações e a segunda por retroalimentar todo o processo,
promovendo a dinamicidade necessária que a Gestão de Riscos exige.
Descrição
Fluxograma
61
7.1 Estabelecimento dos Indicadores
Responsável: CRC;
Executante: CRC, GTAGR ;
Envolvidos: GDG (caso necessário);
Entrada: Matriz de Riscos – Inerente, Nível de Risco, Matriz SWOT e Plano de
Ação;
Periodicidade: Anualmente, quando forem identificadas mudanças
significativas, ou em caso de outras necessidades;
Entrega (produto): Indicadores Estabelecidos;
Descrição: Abaixo serão estabelecidos os indicadores do processo de gestão
de riscos, bem como, a periodicidade de monitoramento.
Tipos de Indicadores
Diz respeito à evolução das condições dos riscos identificados e analisados na Matriz
de Riscos - Residual. Neste caso, deve-se montar um processo de acompanhamento
para verificar se as condições listadas no diagrama de causa e efeito sofrem
mudanças, abrangendo os ambientes interno e o externo.
62
Exemplo de aplicação:
Exemplo de aplicação:
63
Planos de Ação
Exemplo de aplicação:
64
7.2 Execução do monitoramento e Acompanhamento dos Indicadores
65
Periodicidade: Anualmente (final do ciclo);
Entrega (produto): Relatório de Análise Crítica;
Descrição (como): Na reunião em questão deve ser apresentado o Relatório
Executivo Anual, contendo todos os itens de monitoramento e indicadores de
riscos, explanando sobre os avanços realizados e dificuldades encontradas. Os
principais pontos levantados e debatidos e, sobretudo, as diretrizes e
determinações estabelecidas pela Diretoria Colegiada devem ser registrados.
Responsável: CRC
Executante: CRC e GTAGR;
Envolvidos: CRC, GTAGR e Líderes e áreas técnicas;
Entrada: Relatório de Análise Crítica;
Periodicidade: Anualmente, quando forem identificadas mudanças
significativas ou em caso de outras necessidades;
Entrega (produto): Não Aplicável;
Descrição (como): Fruto das diretrizes/determinações estabelecidas pela alta
direção, o processo deve ser retroalimentado, com ganhos de aprendizado,
iniciando-se pela comunicação e consulta, onde deve ser considerado todos os
apontamentos realizados na reunião de análise crítica.
66
7. SIGLAS
8. GLOSSÁRIO
67
Apetite a riscos: A quantidade total de riscos que uma companhia ou outra
organização está disposta a aceitar na busca de sua missão (ou visão). (Fonte: COSO
ERM)
68
de tomada de decisão, e não uma tomada de decisão em conjunto. (Fonte: ISO
31000:2009)
Controle: Medida que está modificando o risco. Nota 1: Os controles incluem qualquer
processo, política, dispositivo, prática ou outras ações que modificam o risco. Nota 2:
Os controles nem sempre conseguem exercer o efeito de modificação pretendido ou
presumido. (Fonte: ISO 31000:2009)
69
e no contexto externo e contexto interno. Nota 2: Os critérios de risco podem ser
derivados de normas, leis, políticas e outros requisitos. (Fonte: ISO 31000:2009)
70
de riscos para o desempenho de suas atribuições. (Fonte: Regimento Interno do
CRC).
71
Política de gestão de riscos: Declaração das intenções e diretrizes gerais de uma
organização relacionadas à gestão de riscos. (Fonte: ISO 31000:2009)
72
aplicar–se em diferentes níveis (tais como estratégico, em toda a organização, de
projeto, de produto e de processo). Nota 3: O risco é muitas vezes caracterizado pela
referência aos eventos potenciais e às consequências, ou uma combinação destes.
Nota 4: O risco é muitas vezes expresso em termos de uma combinação de
consequências de um evento (incluindo mudanças nas circunstâncias) e a
probabilidade de ocorrência associada. Nota 5: A incerteza é o estado, mesmo que
parcial, da deficiência das informações relacionadas a um evento, sua compreensão,
seu conhecimento, sua consequência ou sua probabilidade. (Fonte: ISO 31000:2009)
73
9. ANEXOS
Trata-se da consolidação das estratégias de tratamento dos riscos, dando visão global
aos envolvidos.
74
ANEXO I - REGISTRO DE EVENTO
Assunto:
Participantes:
Nome: Área:
Nome: Área:
Nome: Área:
Nome: Área:
75
ANEXO II – PLANO DE COMUNICAÇÃO DE GESTÃO DE RISCOS
76
ANEXO III – CONTEXTO ESTRATÉGICO
Contexto Interno e Externo: Registros dos principais pontos do Contexto Interno e Externo,
considerando:
Interno: Missão, Visão, Valores, Política de Gestão de Riscos, Fraquezas e demais informações
relevantes a serem consideradas.
Externo: Ambiente que a agência está inserida, ameaças e demais informações relevantes a serem
consideradas.
Cadeia de Valor: Registro da cadeia de valor da Agência, incluindo Fatores Críticos de Sucesso
e Áreas estratégicas/críticas para que os objetivos estratégicos sejam alcançados.
77
ANEXO IV - RISCO ASSUMIDO
Este documento tem por objetivo reportar e documentar a aceitação de Risco no quadrante
vermelho ou laranja, sem o estabelecimento de Plano de Ação - Risco Assumido.
Departamento
Responsável
Cargo
Risco
Descrição do Risco
Probabilidade:
Nível do Risco Impacto:
Quadrante:
Situação Atual
Controle
Mitigatório
Comentários
78
ANEXO V - Plano de Resposta aos Riscos
Este documento tem por objetivo definir a estratégia de tratamento dos riscos. Deve ser elaborado a cada novo ciclo do Processo
de Gestão de Riscos, bem como em suas revisões, quando forem identificadas mudanças significativas, ou em caso de outras
necessidades.
79
ANEXO VI – RELATÓRIO EXECUTIVO DOS
INDICADORES DE RISCOS
Processo
Responsável
Facilitador
Data
Este documento tem por objetivo prover a publicidade dos indicadores de riscos.
Justificativas:
Justificativas:
Planos de Ação
Justificativas:
80