Anotações Gestão de Risco - COSO

Gestão de Riscos Segundo o Coso - EV.
G + Enap
quinta-feira, 29 de fevereiro de 2024 13:19
Instrumentos de uma boa governança devem estar alinhados e presentes dentro de uma organização
Governança é a capacidade que uma organização tem de entregar seus resultados para a sociedade
• Gestão de Riscos ==> aumentar a probabilidade de entregar/atingir o objetivo estratégico

• Integridade ==> não apenas seguir uma lei, mas praticar honestidade e moralidade
• Controles Internos ==> respostas aos riscos avaliados (apetite à risco)
• Compliance é um dos objetivos a serem atingidos pelos controles internos
O que as catástrofes têm em comum: falhas nas respostas da análise dos riscos
Necessário utilizar ações mitigadoras como resposta ao evento de risco
Página 1 de ESTUDOS
Para fazer gestão de risco é preciso ter um objetivo, a partir dessa definição mapeamos as incertezas em relação ao atingimento desse objetivo ==> GESTÃO DE RISCOS
Eventos de Risco:
Consequências:
Definição ISO 31000

Efeito da incerteza no meu objetivo
ESTRUTURAS DE GERENCIAMENTO DE RISCOS
• ISO 31000
ABNT NBR ABNT ISO ABNT ISO

ISO 31000... IEC 31010... GUIA 73 - ...
• ORANGE BOOK (TESOURO BRITÂNICO - 1º FOCADO NO SETOR PÚBLICO)

• MODELO DE TRÊS LINHAS DE DEFESA
ISO 31000
Estabelecimento do contexto: SWOT
ORANGE BOOK
A GR coloca as pessoas que conhecem de um processo/projeto/programa num mesmo ambiente para discutir os processos, garantindo melhoria de processos e assertividade nas decisões, bem como a
segurança e confiança no atingimento dos objetivos.
MODELO DE TRÊS LINHAS DE DEFESA (IIA)
• Primeira linha de defesa é de responsabilidade da Gestão (Controles Internos da Gestão) do Projeto/Processo/Programa ==> Execução da GR
• Segunda linha de defesa tem como responsabilidade sobre a supervisão da Primeira Linha de Defesa ==> Monitorar/Supervisionar a GR
• Terceira linha de defesa possui independência em relação à primeira e segunda linha, sendo responsável por fazer uma avaliação da execução e da supervisão ==> Avaliação Independente da GR
• Reguladores e Auditoria Externa dão suporte à outras linhas de defesa
Committee of Sponsoring Organizations (COSO) é o Comitê das Organizações Patrocinadoras da Comissão Nacional sobre Fraudes em Relatórios Financeiros. Criada em 1985, é uma
entidade do setor privado – ou seja, iniciativa independente –, sem fins lucrativos, voltada para o aperfeiçoamento da qualidade de relatórios financeiros, principalmente para estudar
as causas da ocorrência de fraudes em relatórios financeiros.
Gerenciamento de Riscos: É um processo conduzido em uma organização pelo conselho de administração, diretoria e demais empregados, aplicado no estabelecimento de estratégias
formuladas para identificar, em toda a organização, eventos em potencial, capazes de afetá-la, e administrar os riscos de modo a mantê-los compatíveis com o apetite a risco da organização e possibilitar
garantia razoável do cumprimento dos seus objetivos. (COSO ERM, 2004)
INSTRUÇÃO NORMATIVA 16
Controles possuem custos! Por isso, é importante realizar uma avaliação de riscos prévia.
5 componentes do COSO (1992 - 2013):

• Ambiente de controle;
• Avaliação de riscos;
• Atividade de controle;
• Informação e comunicação;
• Monitoramento.
A alta administração deve compor o comitê de gestão de riscos, para prover a melhoria da governança da instituição.
PORTARIA MP 426/2016: Política de Gestão de Integridade, Riscos e Controles Internos de Gestão - PGIRC
MÓDULO 2
COSO 2: Comitê das Organizações Patrocinadoras, surgiu em 1985 no congresso norte americano como resposta à fraudes entre 1970 e 1980. Em 1992 publica um
documento que revoluciona a questão de controles internos.
Todos são responsáveis pela gestão de riscos coporativos, indenpendente da função exercida, alterando apenas responsabilidades.
Garantia razoável: por melhor que seja o gerenciamento, sempre haverá um risco na organização que não pode ser eliminado em sua totalidade.
• Categorias de Objetivo: Estratégia, Operacional, Comunicação e Conformidade.

• Instâncias da Organização: Subsidiária, Unidade de Negócio, Divisão e Nível de Organização.
• 8 componentes de gerenciamento de riscos: ambiente interno, fixação de objetivos, identificação de eventos, avaliação de riscos, resposta a riscos, atividades
de controle, informações e comunicação, monitoramento.
1. Regimento interno: responsabilidades // Decreto de organização/resolução/portaria: formalidades que estabeleça o que deve ser feito;
2. Código de ética/conduta: integridade e valores éticos ==> orienta o que a organização espera dos colaboradores, desde que seja adequado à estrutura da
organização;
3. Retenção de talentos: compromisso com a competência;
4. Apoio da alta administração para implementação de gerenciamento de riscos (mudança de cultura);
5. Apetite a risco (Tolerância a riscos): o quanto a organização está disposta a correr riscos para atingir seus objetivos estratégicos. Deve ser definido previamente,
no início do projeto de gerenciamento de riscos;
6. Filosofia de gerenciamento de riscos: avaliar o quanto a organização conhece sobre o assunto (maturidade)
Para se fazer uma gestão de riscos é necessário apenas 1 input: OBJETIVO. Ou seja, não é necessário um sistema ou um mapeamento completo dos processos.
• Tolerância a riscos está ligada intimamente com o desempenho operacional de determinado processo.
• Apetite a riscos está ligada à organização de uma maneira geral.
Eventos externos estão fora do controle da organização (exemplo alta na taxa de juros ou desvalorização cambial, terremotos / tsunamis, impeachment
de um presidente), já eventos internos estão no controle da organização (alto turnover, processo sem definição).
Eventos externos estão fora do controle da organização (exemplo alta na taxa de juros ou desvalorização cambial, terremotos / tsunamis, impeachment
de um presidente), já eventos internos estão no controle da organização (alto turnover, processo sem definição).
Avaliação de risco pode ser feita por uma matriz de probabilidade x impacto.
• Risco inerente: desconsidera qualquer controle (exemplo: empresa exportadora x variação de câmbio)
• Risco residual: risco que sobra após implementação de controles para reduzir o risco inerente.
Evitar Reduzir Compartilhar Aceitar

Não aceitação de cheques Instalação de catracas na portaria Contratação de seguro auto Avaliação foi realizada e o
(evita o risco de receber (reduz o risco de pessoas indesejadas (compartilhamento do risco entendimento sobre o risco foi
cheque sem fundo) adentrarem na organização) em caso de sinistros com aceito como um fato
seguradora)
Compensatório: segregação de funções (controle preventivo) não pode ser realizada, pois existem apenas 2 colaboradores, sendo assim uma medida para controlar o
risco inerente é o aumento da supervisão sobre as atividades, por exemplo.
Na comunicação deve ser prezada sempre a QUALIDADE, ocorrendo de forma coerente e tempestiva.
O monitoramento serve também para identificar falhas nos outros componentes, além de servir como uma revisão periódica da análise de riscos.
MÓDULO 3 - CICLO DE GERENCIAMENTO DE RISCOS CORPORATIVOS
Ao definir o nível de probabilidade, é importante olhar para trás, mas mais imprescindível é entender o cenário atual e olhar para frente.
Caso o evento de risco aconteça, qual o impacto gerado.

Na planilha, o impacto foi dividido em 6 grandes categorias para facilitar a análise. Ao incluir a nota apropriada a cada uma das colunas (categorias), o cálculo
do impacto é gerado na tela (média).
SWOT
Após análise do ambiente e fixação de objetivos, segue a identificação de eventos de risco.
Cálculo do risco inerente:
Caso entenda que alguma categoria não possui impacto no evento de risco, deve-se anular (zero) toda a coluna.
Avaliação dos controles existentes no processo:
Risco Residual:
Plano de Ação:
Descrever controles a serem implementados para reduzir o nível de risco
• Responsável pela ação: boa prática é inserir o nome do cargo e não de uma pessoa, a fim de não personificar o plano.
• Intervenientes: demais departamentos/áreas que serão acionadas para que a ação seja executada (implementação do controle).
Dúvidas: programa.integridade@planejamento.gov.br
Prof. Me. Rodrigo Fontenelle, CGAP, CRMA, CCSA

Anotações Gestão de Risco - COSO

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Anotações Gestão de Risco - COSO

Enviado por

Direitos autorais:

Formatos disponíveis

Gestão de Riscos Segundo o Coso - EV.

• Gestão de Riscos ==> aumentar a probabilidade de entregar/atingir o objetivo estratégico

Necessário utilizar ações mitigadoras como resposta ao evento de risco

Definição ISO 31000

ABNT NBR ABNT ISO ABNT ISO

• ORANGE BOOK (TESOURO BRITÂNICO - 1º FOCADO NO SETOR PÚBLICO)

MODELO DE TRÊS LINHAS DE DEFESA (IIA)

5 componentes do COSO (1992 - 2013):

• Categorias de Objetivo: Estratégia, Operacional, Comunicação e Conformidade.

Evitar Reduzir Compartilhar Aceitar

Caso o evento de risco aconteça, qual o impacto gerado.

Após análise do ambiente e fixação de objetivos, segue a identificação de eventos de risco.

Você também pode gostar