Análise e gerenciamento de riscos corporativos

ANÁLISE E GERENCIAMENTO

DE RISCOS CORPORATIVOSrumo à ética e à integridade públicas

João Pessoa-PB, 28/11/2014

Paulo Grazziotin, [email protected]

Ementário de Gestão Públicahttps://groups.google.com/forum/#!forum/prgghttps://pt-br.facebook.com/ementariogestaopublicahttps://twitter.com/ementario(inscreva-se e divulgue este serviço cidadão de fortalecimento

de controles, mitigação de riscos e inspiração de compliance)

https://groups.google.com/forum/#!forum/prgg

https://groups.google.com/forum/#!forum/prgg

2

A Pátria (1918), óleo sobre tela de Pedro Bruno. Dimensões: 278 x 190 cm. Museu da República-RJ.

1. INTRODUÇÃO

“Não receie tomar posse daquilo que é seu”(William Shakespeare; 1564-1616; Macbeth).

CO

MP

ON

EN

TE

S D

O G

ER

EN

CIA

ME

NT

OD

E R

ISC

OS

CO

RP

OR

AT

IVO

S4 CATEGORIAS DE OBJETIVOS ORGANIZACIONAIS

NÍV

EIS

DA

OR

GA

NIZ

AÇ

ÃO

5 COMPONENTES INTEGRADOSDO CONTROLE INTERNO

OBJETIVOS ORGANIZACIONAIS

COSO ICIF 2013 (Controles Internos) referenciado pela ISO 31000 (Gestão de Riscos)

INTEGRIDADE/CONFORMIDADE

7


2. GERENCIAMENTO

DE RISCOS NA UG

Apresentação deste módulo com base no Método Brasiliano de Análise de Riscos e na ferramenta Risk Vision.

Análise e gerenciamento de riscos corporativos (61) 8215-2665 [email protected] Paulo Grazziotin

GERENCIAMENTO DE RISCOS “A gestão de riscos é elemento fundamental para a construção da

governança corporativa. A implantação e o aprimoramento da gestão deriscos na organização constitui um processo de aprendizagemorganizacional que começa com o desenvolvimento de uma consciênciasobre a importância de gerenciar riscos e avança com a implantação depráticas e estruturas necessárias à gestão de riscos. O ápice desseprocesso se dá quanto da organização conta com uma abordagemconsistente para gerenciar riscos e com uma cultura organizacionaladerente aos princípios e práticas da gestão de riscos”(SEAUD/SEGECEX/TCU).

Gerenciamento de riscos é o conjunto de técnicas que visa reduzir osefeitos das perdas. Enfoca o tratamento dos riscos que possam causardanos pessoais, materiais, ao meio ambiente e à imagem da empresa. Éainda a oportunidade de fazer com que a empresa mantenha e conquistenovos negócios e gerencie suas perdas de forma equilibrada e racional. OGerenciamento de riscos é um processo interativo composto de etapas bemdefinidas que, realizadas em sequência, suportam melhor as tomadas dedecisões, contribuindo com a redução dos riscos e seus impactos.


GERENCIAMENTO DE RISCOS E CONTROLE INTERNO

“O Gerenciamento de riscos corporativos é um processo conduzido emuma organização pelo conselho de administração, diretoria e demaisempregados, aplicado no estabelecimento de estratégias, formuladaspara identificar em toda a organização eventos em potencial (portfólio deriscos), capazes de afetá-la, e administrar os riscos de modo a mantê-loscompatível com o apetite a risco da organização e possibilitar garantiarazoável do cumprimento dos seus objetivos (estratégicos, operações,comunicação e conformidade)” (BRASILIANO, Antonio Celso Ribeiro.Gestão e análise de riscos corporativos: Método Brasiliano avançado. SãoPaulo: Sicurezza Editora, 2012, 2ª ed, p. 13).

“Controle interno é um processo conduzido pela estrutura de governança,administração e outros profissionais da entidade, e desenvolvido paraproporcionar segurança razoável com respeito à realização dos objetivosrelacionados a operações, divulgação e conformidade” (COSO ICIF 2013,Controle Interno - Estrutura Integrada, Sumário Executivo, IIA Brasil,maio/2013).


RM NA ADMINISTRAÇÃO PÚBLICA “No Brasil, ainda não há um referencial que oriente a estruturação da gestão

de riscos na administração pública federal. O mais próximo disso é oGESPÚBLICA, que consiste em conjunto de orientações e parâmetros paraavaliação da gestão, embora esse modelo de gestão não tenha enfoqueespecífico para gerenciamento de riscos” (TC-011.745/2012-6, Acórdão nº2.467/2013-TCU-Plenário).

Com base no modelo de gestão de riscos adotado pelo governo do ReinoUnido, o TCU iniciou aplicação de ferramenta avaliativa na esfera daadministração federal indireta, uma vez que nesse setor a gestão de riscos éassunto de conhecimento geral, e é adotada em muitas empresas estatais eautarquias como parte do seu modelo gerencial (TC-011.745/2012-6, Acórdãonº 2.467/2013-TCU-Plenário).

Determinação à SEAUD para que acompanhe as ações do MPOG voltadas àdisseminação de metodologia de gestão de riscos nos órgãos do PoderExecutivo, com a finalidade de desenvolver instrumentos de avaliação damaturidade de gestão de riscos (item 9.1.2, TC-011.745/2012-6, Acórdão nº2.467/2013-TCU-Plenário).

Veja as boas experiências dos Ministérios da Previdência Social e da Fazenda:

http://www.pmimf.fazenda.gov.br/frentes-de-atuacao-do-pmimf/riscos/noticias


RM NA ADMINISTRAÇÃO INDIRETA Após contatos com entidades da Administração Pública federal indireta, verificou-se

que tem-se optado, nos dias atuais, pela(s) seguinte(s) metodologia(s):

i. ABNT NBR ISO 31000:2009 - conjunto de recomendações, idealizado por 35 países,para o aprimoramento da integridade de empresas. Objetiva uma linguagemcomum, a padronização das melhores práticas, traz abordagens paraimplementação e propõe a convergência de todas as ISO`s. A ISO 31010 éutilizada na implantação da gestão de riscos, pois descreve as ferramentas etécnicas para aplicação dos preceitos recomendados pela ABNT NBR ISO 31000;

ii. COSO II ERM (2004) – além de vinculado ao IIA, é reconhecido mundialmente porfornecer orientações sobre os aspectos críticos da gestão organizacional, éticaempresarial, controles internos, gestão de riscos, fraudes e informações financeiras;

iii. ISO GUIDE 73 – Guia ISO de padronização do vocabulário para uniformização dasterminologias utilizadas no Gerenciamento de Riscos;

iv. Guia de Orientação para Gerenciamento Corporativo – IBGC (Instituto Brasileiro deGovernança Corporativa); e/ou

v. Método Brasiliano de Gestão de Riscos - método que apresenta o processo degestão de riscos com base na ABNT NBR ISO 31000:2009, bem como desenvolveferramentas e técnicas de suporte para a gestão de riscos. Desenvolvida pelaempresa Brasiliano e Associados com base na ferramenta Risk Vision.


1ª fase: BIA - IMPACTO NO NEGÓCIO(identificação/classificação de de processos críticos) BIA (Business Impact Analysis) - é o coração da gestão de continuidade de

negócios (PDCA).

Identificar (workshop com gestores, brainstorming) os processos críticos detrabalho da unidade organizacional (ou programa de governo) sujeitos avulnerabilidades, por macroprocesso.

Avaliar a relevância do impacto no negócio (subcritérios: imagem,financeiro, legislação e operacional), conferindo uma média ponderada aoimpacto.

Nível de impacto no negócio de cada processo crítico de trabalho(massivo, severo, moderado, leve).

Abrandar ou agravar a média ponderada com o nível de tolerância (tempo)à inação saneadora.

Conferir status de criticidade (crítico, moderado, leve) a cada processo detrabalho vulnerável.

Elaborar a Matriz de Processos Críticos e definir o que é alto, médio e baixopara impactos de imagem, financeiro, legislação e operacional.


1ª fase: BIA - IMPACTO NO NEGÓCIO(identificação/classificação de de processos críticos)

Subcritérios, segundo a Norma de Gestão de Riscos da FERMA (Federationof European Management Associations):

• Imagem (estratégico) – relacionados aos objetivos estratégicos de longoprazo (reputação, alterações jurídicas e regulamentares, riscos desoberania e políticos, disponibilidade de capital, alteração do meioambiente físico, novos entrantes, estagnação, etc.);

• Financeiro – liquidez, disponibilidade de crédito, contingenciamentos, taxade câmbio, movimento de taxas de juros e câmbio, endividamento, etc.;

• Legislação (conformidade legal, compliance) – a relacionados com temascomo saúde e segurança, meio ambiente, práticas comerciais, proteção doconsumidor, proteção de dados, assuntos regulamentares, legislaçãolaboral, tributário, contratual;

• Operacional – cotidiano operativo com o qual a organização éconfrontada quando se esforça para atingir os seus objetivos estratégicos(risco operacional).


1ª fase: BIA - IMPACTO NO NEGÓCIO(identificação/classificação de de processos críticos)

Estimulações cruciais que poderão ser pelo(s) facilitador(res), durante oworkshop (não passar de 2 horas):

questionar os processos para identificar quais são os cenários factíveisde interrupção dos mesmos, e quando acontecem? (considerar o piorcenário);

quais os impactos que decorrerão destes cenários?;

o que pode dar errado?;

como e onde podemos falhar?;

o que deve dar certo?;

onde somos vulneráveis?;

quais ativos devemos proteger?;

onde podemos ser roubados ou furtados?; e

etc.


subcritérios

5 (influencia muito); 4 (influencia); 3 (influencia medianamente); 2 (influencia pouco); 1 (influencia quase nada)



2ª fase: LISTAGEM, DEFINIÇÃO E CLASSIFICAÇÃO DOS RISCOS

Conhecendo os objetivos estratégicos e organizacionais, emworkshop (brainstorming), tendo por base os processoscríticos de trabalho já levantados na 1ª fase, identificar osriscos (perigos) para a unidade organizacional (ou programade governo).

Tanto os riscos conhecidos como os até então desconhecidos(aqueles que nunca ocorreram, mas podem ocorrer).

Montar quadro com riscos, definição e classificação(conformidade/legal, operacional, financeiro ou estratégico).



3ª fase: FATORES DE RISCO Dados os objetivos estratégicos e organizacionais e com o uso do

Diagrama de Ishikawa (causa e efeito/espinha-de-peixe) com 6 macrofatores de riscos (facilitadores/fontes de riscos: TI, RH, MEIOSORGANIZACIONAIS, INFRAESTRUTURA PATRIMONIAL, AMBIENTEEXTERNO e AMBIENTE INTERNO), os quais podem potencializar aconcretização riscos listados na 2ª fase, identificar fatores (fontes derisco) que possam concretizar o risco para cada macro fator.

Os macro fatores de riscos podem variar de acordo com o negócio ou oprocesso estudado.

Na busca dos fatores de risco, o(s) facilitador(es) pode(m) utilizar-se daanálise SWOT, inclusive.

Poder-se-ia citar, no workshop, as espécies de riscos operacionaisabordadas pelo TCU no item 3.3 do relatório proferido nos autos do TC-018.401/2004-2, publicado no D.O.U. de 22/11/2005, Seção 1, ps. 144-145, quais sejam: a) risco humano (erro não-intencional; qualificação;fraude); b) risco de processo (modelagem; transação; conformidade;controle; técnico); c) risco tecnológico (equipamentos; sistemas;confiabilidade da informação).


3ª fase: FATORES DE RISCO Tecnologia da Informação (MTA-Meios Técnicos Ativos) –

levantamento da não existência de sistemas eletrônicos/informatizados.

RH-Segurança (RH) – levantamento do nível de qualificação,quantidade, posicionamento tático da equipe.

Meios Organizacionais (MO) – levantamento se a organização dispõede normas de rotina e de emergência, políticas de tratamento de riscos egerenciamento de riscos corporativos.

Infraestrutura (MTP-Meios Técnicos Passivos) – levantamento derecursos físicos.

Ambiente Externo (AE) – levantamento de cenários prospectivos,identificando fatores externos sem governabilidade, mas que influenciamna concretização de perigos (criminalidade, mercados paralelos, estruturado Judiciário, corrupção, movimento sindical, etc.).

Ambiente Interno (AI) – levantamento do nível de relacionamentocolaboradores-alta administração, remuneração, clima organizacional,cultura organizacional, política de RH, correição, ética, metas, etc.


TI–TECNOLOGIA DA INFORMAÇÃO

INFRAESTRUTURA

macro fatores de risco (macro causas)

CAUSAS

EFEITO

CAUSAS

fatores de risco(fatores facilitadores)

“Entender de tudo é impossível, mas ser flexível na busca de entender o que lhe cerca, é possível. Entretanto, o impossível é a brasa do possível” (Tibor Simcsik).


Vantagens do Diagrama de Ishikawa(causa e efeito/espinha-de-peixe)

É educativo, pois exige um esforço coletivo de profissionais parahierarquizar as causas (“fatores de risco”) identificadas e agrupá-las emgrandes grupos (“macro fatores de risco”) que abordam o mesmo tema(risco).

Direciona o foco da atenção para o problema (risco), levando àconscientização dos profissionais de que sua solução não se restringe aatitudes simplistas (substituir pessoas, adquirir equipamentos...), mas exigeuma abordagem integrada para combater as diversas causas possíveis.

Conduz à efetiva pesquisa das causas, evitando-se o desperdício deesforços da equipe de profissionais com o estudo de aspectos nãorelacionados ao problema (risco).

Nivela a compreensão dos envolvidos, no workshop, com o problema(risco).

Permite uso genérico, sendo aplicável a problemas das mais diversasnaturezas.Fonte: adaptação de LINS, B. F. E. Ferramentas básicas de qualidade. Revista Ciência da Informação.Brasília, v.22, nº. 2, p.153-161, maio/ago. 1993.


Limitações do Diagrama de Ishikawa(causa e efeito/espinha-de-peixe)

Uma significativa limitação da ferramenta “reside no fato de que oresultado encontrado não é exato. Como o diagrama é construído apartir de opiniões e percepções de um grupo de pessoas, é possívelque, ao se mudar os integrantes do grupo, as conclusões obtidas noestudo de um mesmo problema não sejam as mesmas”.

“Para mitigar essa limitação, é preciso que o grupo estude o assuntocom base em diversas fontes de informações antes da reunião deconstrução do diagrama e ouça os diferentes atores envolvidos.Além disso, validar o instrumento com gestores e especialistas éimportante para acrescentar causas que não foram citadas e retiraraquelas que não interferem ou são pouco significativas para produziro problema estudado”.

Fonte: Técnica de Análise de Problemas para Auditorias (SEAUD/SEGECEX/TCU, 2013, ps. 15 e 16).


4ª fase: ANÁLISE DE RISCOS Critério universal de probabilidade e impacto.

Construir a Matriz de Probabilidade, baseada em média aritméticaentre os 6 macro fatores de riscos, acrescidos da exposição aorisco. Daí se obtém um número para a classificação daprobabilidade do risco (baixa, média, alta, muito alta e elevada),para cada risco identificado na 2ª fase.

Construir a Matriz de Impacto, baseada em média ponderadasubcritérios imagem, financeiro, legislação e operacional (=BIA).Daí se obtém um número indicativo do nível de impacto (muitoleve, leve, moderado, severo e massivo), para cada riscoidentificado na 2ª fase.

MTA+RH+MO+MTP+AE+AI

FR (Fato de Risco) = ---------------------------------------

6


4ª fase: ANÁLISE DE RISCOS O máximo GP (Grau de Probabilidade) que poderia ser obtido seria 25. “Para

transformar esta classificação subjetiva em uma classificação objetiva, bastamultiplicar o fato 4. Por que fator 4? Porque estamos fazendo uma equivalênciaentre o número máximo obtido na multiplicação direta entre os dois fatores (fatorde riscos x fator de exposição) que é 25 e a porcentagem da probabilidademáxima que é 100%” (BRASILIANO, Antonio Celso Ribeiro. Op. cit. p. 91). Destaforma, teríamos a tabela a seguir:

Escala Nível de Probabilidade

1 - 5 Baixa 4% a 20%

5,01 - 10 Média 20,01% a 40%

10,1 - 15 Alta 40,01% a 60%

15,01 - 20 Muito Alta 60,01% a 80%

20,01 - 25 Elevada 80,01% a 100%

Sempre haverá um risco residual de 4%.


macro fatores de risco

5 (influencia muito); 4 (influencia); 3 (influencia medianamente); 2 (influencia pouco); 1 (influencia quase nada)

E (exposição) – frequência com que os perigos costumam manifestar-se.5 (uma ou + vezes por mês); 4 ( uma ou + vezes por ano); 3 (uma ou+ vezes a cada 5 anos); 2 (uma ou + vezes a cada 10 anos); 1 (remota-mente possível)

GP = (FR x E)

(GP x 4)


4ª fase: ANÁLISE DE RISCOS Utilizando-se de 4 fatores de impacto: a) IMAGEM (peso 1); b) FINACEIRO (peso 1); c)

LEGISLAÇÃO (peso 2); e d) OPERACIONAL (peso 2).

PONTUAÇÃOESCALA

IMAGEM FINANCEIRO LEGISLAÇÃO OPERACIONAL

5 De caráter internacional

Massivo Perturbações muito graves

Perturbações muito graves

4 De caráter nacional

Severo Graves Graves

3 Regional Moderado Limitadas Limitadas

2 Local Leve Leves Leves

1 De caráterindividual

Insignificante Muito leves Muito leves


fatores de impacto


4ª fase: ANÁLISE DE RISCOS Classificação do nível de impacto:

GRAU DE IMPACTO NÍVEL DE IMPACTO

4,51 – 5,00 Massivo

3,51 – 4,50 Severo

2,51 – 3,50 Moderado

1,51 – 2,50 Leve

1,00 – 1,50 Muito leve


5ª fase: AVALIAÇÃO DE RISCOS Para melhor visualização, e preparando-se para implementar uma

forma de tratamento de cada risco, constrói-se uma Matriz de Riscos,“permitindo o acompanhamento da dinâmica dos riscos”(BRASILIANO, Antonio Celso Ribeiro. Gestão e análise de riscoscorporativos: Método Brasiliano avançado. São Paulo: SicurezzaEditora, 2012, 2ª ed, p. 95).

A partir do grau de probabilidade (GP) e do impacto (I), calcula-se onível de riscos que é a multiplicação da média do Grau deProbabilidade de todos os riscos vezes a média do Impacto dosreferidos riscos.

Quanto maior o nível do risco, maior sua criticidade para o processo.

O nível de risco serve para determinar seu apetite ao risco, conformeterminologia COSO. A organização pode decidir não tolerar nível derisco em seus processos acima de determinado nível, os quais seriamintoleráveis, merecendo ação e tratamento imediatos por parte dosgestores.




5ª fase: AVALIAÇÃO DE RISCOS O nível do risco pode ser calculado de tempos em tempos, com o

objetivo de monitoramento e acompanhamento da evolução do riscono processo, no unidade organizacional ou na organização.

Para calcular o nível do risco, é necessário utilizar as variáveis jáidentificadas anteriormente: Grau de Probabilidade (GP) e Impacto (I).

O nível de risco é a multiplicação da média do Grau de Probabilidadede todos os riscos vezes a média do Impacto de todos os riscos.

Média do Nível de Risco = Média do GP x Média do I

Quanto maior o nível de risco, maior sua criticidade para o processo.

O nível de risco serve para determinar seu apetite ao risco. Aorganização pública pode decidir-se por não tolerar nível de risco emseus processos acima do nível 3.



6ª fase: PLANO DE AÇÃO “Depois de identificados, avaliados e mensurados, deve-se definir qual

o tratamento que será dado aos riscos (...) As opções podem incluir osseguintes aspectos: a) a ação de evitar o risco ao se decidir nãoiniciar, ou descontinuar a atividade que dá origem ao risco; b) atomada ou o aumento do risco na tentativa de tirar proveito de umaoportunidade; c) a remoção da fonte de risco; d) a alteração daprobabilidade; e) a alteração das consequências; f) ocompartilhamento do risco com outra parte ou partes; e g) a retençãodo risco por uma decisão consciente e bem embasada”(BRASILIANO, Antonio Celso Ribeiro. Gestão e análise de riscoscorporativos: Método Brasiliano avançado. São Paulo: SicurezzaEditora, 2012, 2ª ed, ps. 111 e 112).

Poder-se-ia, então, aceitar (reter, reduzir, transferir ou explorar) ourejeitar (evitar) os riscos.

Para cada risco e respectiva(s) fonte(s) (fator de risco), técnica 5w2H(O quê?; Quem?; Quando?; Onde?; Porque?; Como?; Custo?).



7ª fase: PRIORIZAÇÃO DAS AÇÕES

“A Ferramenta de Apoio à Decisão – Priorização das Ações tem porobjetivo fazer com que o gestor e/ou analista possa de forma maisprática e objetiva enxergar, através de critérios pré estabelecidos eplotados em uma Matriz, as ações que são prioritárias em termosde benefícios. Os dois macro critérios são: i. Esforço deImplementação (custo, tempo, autonomia/decisão); ii. BenefícioEstimado (eficácia operacional, probabilidade de dar certo, impacto

no contexto)” (BRASILIANO, Antonio Celso Ribeiro. Gestão eanálise de riscos corporativos: Método Brasiliano avançado.São Paulo: Sicurezza Editora, 2012, 2ª ed, p. 120).





8ª fase: ANÁLISE DE RISCO RESIDUAL

Após a implementação do Plano de Ação. Volta-se à 4ª fase(análise dos riscos), com verificação do critério universal(probabilidade e impacto).

Risco inerente é o risco do negócio, do processo ou da atividade,independente dos controles adotados. Risco residual é o risco queremanesce após a mitigação por controles internos administrativos.


Auditoria Interna no gerenciamento de riscos O papel da Unidade de Auditoria Interna no processo de gerenciamento de

riscos de uma organização pode mudar ao longo do tempo e pode serencontrado, em algum ponto do curso, abrangendo o seguinte espectro:• nenhum papel;• Auditoria do processo de gestão de riscos como parte do plano de

auditoria interna (PAINT) (é o ideal);• suporte ativo e contínuo envolvimento nos processos de gestão de riscos,

tais como participação em comitês de fiscalização, no monitoramento deatividades e relatórios de situação, na elaboração de planos de segurança,na definição de formulários de gerenciamento de riscos, etc. (incubadora;pode ser útil para iniciar o gerenciamento de riscos na organização); e• Administração e coordenação de processos de gestão de riscos (não é a

tendência brasileira).PA/IIA nº 2100-3

Obs.: “Art. 6º A atividade de gerenciamento do risco operacional deve ser executadapor unidade específica nas instituições mencionadas no art. 1º. Parágrafo único. Aunidade a que se refere o caput deve ser segregada da unidade executora daatividade de auditoria interna, de que trata o art. 2º da Resolução 2.554, de 24 desetembro de 1998, com a redação dada pela Resolução 3.056, de 19 de dezembrode 2002” (Resolução/CMN nº 3.380, de 29.06.2006, DOU de 03.07.2006, S. 1, p.15).


VISÃO SOBRE A RM

HABILIDADES

HUMANAS

(CAPACITAÇÃO)

INCENTIVOS DA CÚPULA

RECURSOS

MATERIAIS

($)

PLANO DE AÇÃO P/ ADOTAR A RM M U D A N Ç A

:-( HABILIDADES INCENTIVOS RECURSOS PLANO DE AÇÃO C O N F U S Ã O

VISÃO :-( INCENTIVOS RECURSOS PLANO DE AÇÃO A N S I E D A D E

VISÃO HABILIDADES :-( RECURSOS PLANO DE AÇÃO M U D A N Ç A L E N T A

VISÃO HABILIDADES INCENTIVOS :-( PLANO DE AÇÃO F R U S T R A Ç Ã O

VISÃO HABILIDADES INCENTIVOS RECURSOS :-( I N D E C I S Ã O

Rumo ao gerenciamento de riscos corporativos

“É claro que as instituições não se transformam e se purificam da noite para o dia. As velhas práticas – até por serem velhas – não são erradicadas apenas pela

vontade de mudar ou pela decisão de fazê-lo. Isto não se faz por um ato. Trata-se, antes, de um processo” (Jorge Hage, Ministro-Chefe da CGU).


“É perdoável ser derrotado, mas nunca ser surpreendido”

(Frederico II, o “Grande” Rei da Prússia, 1712-1786).

“É impossível que o improvável nunca aconteça”

(Emil Gumbel, estatístico alemão, 1891-1966).

Análise e gerenciamento de riscos corporativos (61) 8215-2665 [email protected] Paulo Grazziotin46


3. COMPLIANCE


O compliance começa a ganhar importância na AdministraçãoPública Federal (exclusive instituições financeiras) a partir de2011, com o documento “Avaliação da OCDE sobre o sistemade integridade da administração pública federal brasileira:gerenciando riscos por uma administração pública íntegra”.

http://www.cgu.gov.br/assuntos/etica-e-integridade/setor-publico

Ética e integridade


Confiança nas organizações públicas(trust in public organizations)

“All public organizations face operational risks: both from internal factors(e.g. attributed to excessive discretion in decision-making processes,complex and decentralized service delivery arrangements, etc.) as well asexternal factors (e.g. new legislation and standards, changing citizensexpectations, etc.). Operational risk management means having in place asystematic process and adequate capability (e.g. knowledge, resources,etc.) to identify, (re-)evaluate and mitigate operational risks in a cost-effective manner – elimination of operational risk is generally not a practicalgoal. Managing operational risk supports effective public service delivery,improved managerial accountability, and trust in public organizations. It alsosupports better resource allocation and compliance outcomes. If notappropriately managed, these risks can affect the effectiveness andefficiency of public service delivery and public trust in government” (OECDIntegrity Review of Brazil: Managing Risks for a Cleaner Public Service,OECD Public Governance Reviews, 2011, p. 21).


Gerenciamento de riscos corporativos(cf. COSO II ERM 2004)

O gerenciamento de riscos corporativos é um processo conduzido em umaorganização pelo conselho de administração, diretoria e demais empregados,aplicado no estabelecimento de estratégias, formuladas para identificar em toda aorganização eventos em potencial, capazes de afetá-la, e administrar os riscos demodo a mantê-los compatível com o apetite a risco da organização e possibilitargarantia razoável do cumprimento dos seus objetivos.

Há riscos associados à continuidade dos negócios (sobrevivênciaorganizacional/sustentabilidade).

Há riscos associados aos objetivos estratégicos.

Risco de compliance é o risco de sanções legais ou regulamentares, perdasfinanceiras ou mesmo perdas reputacionais decorrentes da falta de cumprimento dedisposições legais, regulamentares, códigos de conduta, etc.

“Estar em compliance” é estar em conformidade com leis e regulamentos internos eexternos.

“Ser e estar compliance” é, acima de tudo, uma obrigação individual de cadacolaborador dentro da instituição. Veja que compliance vai além das barreiras legaise regulamentares, incorporando princípios de integridade e conduta ética.


Conformidade (COSO II ERM 2004)

A estrutura de gerenciamento de riscos corporativos é orientada afim de alcançar os objetivos de uma organização e são classificadosem quatro categorias: a) Estratégicos – metas gerais, alinhadas como que suportem à sua missão; b) Operações – utilização eficaz eeficiente dos recursos; c) Comunicação – confiabilidade de relatórios;d) Conformidade – cumprimento (compliance) de leis e regulamentosaplicáveis (em alguns casos dependem de fatores externos e tendema ser semelhantes em todas as organizações e, em outros casos, emtodo um setor/ramo econômico).

A expressão “conformidade” é empregada com os objetivos erelacionada com o cumprimento de leis e regulamentos aplicáveis.

“O gerenciamento de riscos corporativos contribui para (...) garantirque a organização está em conformidade com leis e regulamentos, oque evita danos à sua reputação e as consequências associadas”.


Objetivos de conformidade(COSO II ERM 2004)

“As organizações devem conduzir as suas atividades, bem como,adotar, frequentemente, medidas específicas, de acordo com as leis eos regulamentos pertinentes. Esses requisitos podem relacionar-se amercados, preço, impostos, meio ambiente, bem-estar social deempregados e comércio internacional. As leis e os regulamentosaplicáveis estabelecem padrões mínimos de comportamento, que aorganização integra em seus objetivos de conformidade. Porexemplo, as leis de saúde ocupacional e segurança podem levar umaorganização a definir o seu objetivo como ‘Embalar e rotular todos osprodutos químicos de acordo com as normas’. Nesse caso, aspolíticas e os procedimentos referem-se a programas decomunicação, inspeções locais e treinamento. O histórico deconformidade de uma organização poderá afetar de modosignificativo, positivo ou negativo, a sua reputação na comunidade eno mercado”.


“O gerenciamento de riscos corporativos eficaz oferece garantia

razoável de que os objetivos de comunicação estão sendoalcançados. Da mesma forma, deverá haver garantia razoável de queos objetivos de conformidade estão sendo alcançados. De um modogeral, o alcance dos objetivos de (...) conformidade está sob ocontrole da organização. Em outras palavras, uma vez determinadosos objetivos, a organização terá total controle sobre a sua capacidadede fazer o que for necessário para atingi-los”.

“A função jurídica disponibiliza informações aos gerentes de linha denegócio relacionados a novas leis e regulamentos que afetam aspolíticas operacionais, e/ou junto com os executivos de compliancefornecem informações críticas se as transações ou os protocolosplanejados estão em conformidade com requisitos legais e éticos”.

Conformidade (COSO II ERM 2004)


“Controle interno é um processo conduzido pela estrutura degovernança, administração e outros profissionais da entidade, edesenvolvido para proporcionar segurança razoável comrespeito à realização dos objetivos relacionados a operações,divulgação e conformidade”.

Os objetivos de conformidade se relacionam ao cumprimentode leis e regulamentações às quais a entidade está sujeita.

Leia o Sumário Executivo do COSO ICIF 2013 no sítio webabaixo:

http://migre.me/lsHPT

Conformidade (COSO ICIF 2013)


Controle sobre as transações: é imprescindível estabelecer oacompanhamento dos fatos contábeis, financeiros e operacionais,objetivando que sejam efetuados mediante atos legítimos,relacionados com a finalidade da unidade ou entidade e autorizadospor quem de direito” (MSCI da CGU, IN/SFC nº 1/2001).

“Aderência a diretrizes e normas legais: o controle internoadministrativo deve assegurar observância às diretrizes, planos,normas, leis, regulamentos e procedimentos administrativos, e queos atos e fatos de gestão sejam efetuados mediante atos legítimos,relacionados com a finalidade da unidade ou entidade” (MSCI daCGU, IN/SFC nº 1/2001).

“Art. 7º A Conformidade dos Registros de Gestão tem comofinalidade: I – verificar se os registros dos atos e fatos de execuçãoorçamentária, financeira e patrimonial efetuados pela UnidadeGestora Executora foram realizados em observância às normasvigentes” (IN/STN-MF nº 6, de 31/10/2007).

Conformidade e aderência


COMPLIANCE ATIVIDADE AUDITORIA INTERNA

Vital aos processos de governança corporativa da organização. SEMELHANTE Vital aos processos de governança corporativa da organização.

Desempenha suas funções de forma independente. SEMELHANTE Desempenha suas funções de forma independente.

Utiliza os relatórios da Auditoria Interna, quando cabíveis e disponibilizados.

SEMELHANTE Utiliza os relatórios do Compliance, quando cabíveis.

Complementa as funções desempenhadas pela auditoria interna, mantendo sua independência, sem sobreposição das atribuições

desenvolvidas por ambas.

SEMELHANTE Complementa as funções desempenhadas pelo Compliance, mantendo sua independência, sem sobreposição das

atribuições desenvolvidas por ambas.

Reporta o resultado de suas atividades à alta administração, ao conselho de administração e/ou comitê de auditoria.

SEMELHANTE Reporta o resultado de suas atividades à alta administração, ao conselho de administração e/ou comitê de auditoria.

Subsidia o gerenciamento dos processos, monitorando a conformidade com as diretrizes estabelecidas pela organização.

DIFERENTE Avalia a aderência e integridade dos processos e de controles internos da organização, aferindo se estes estão adequados às diretrizes estabelecidas pela organização e normas emitidas

pelos reguladores.

Aponta a falha, podendo recomendar a solução, auxiliando no seu monitoramento.

DIFERENTE Aponta a falha, podendo ou não recomendar solução. Não se envolve na elaboração e implementação da solução, porém

avalia se a falha apontada foi corrigida e o risco relacionado, mitigado.

Executa trabalhos de forma rotineira e permanente, com vistas a assegurar a existência de um sistema de controle interno efetivo, consoante as diretrizes estabelecidas pela alta administração.

DIFERENTE Executa trabalhos de forma regular, com base em cronograma previamente elaborado, por mecanismo de

avaliação dos principais riscos e ameaças aos objetivos da organização, com a finalidade de aferir o cumprimento das

diretrizes estabelecidas e instituídas pelo conselho de administração e/ou pela alta administração, bem como leis e

regulamentos.

Fonte: Cartilha Função de Compliance, FEBRABAN.


Recomendação ao TRT/13ª R/PB para que implemente técnicasconhecidas no mercado visando à elaboração do planejamentoinstitucional do órgão, a exemplo daquela denominada "BalancedScore Card" e do gerenciamento por diretrizes, atentando para anecessidade de que tais instrumentos não se restrinjam à duraçãodos mandatos dos presidentes do TRT (item 9.2.1, TC-026.311/2007-2, Acórdão nº 663/2009-Plenário, DOU de 09.04.2009, S. 1, p. 125).

Recomendação à Câmara de Políticas de Gestão, Desempenho eCompetitividade (CGDC), do Conselho de Governo, no sentido deque, em atenção ao Decreto-lei nº 200/1967, art. 6º, inc. I, e art. 7º,normatize a obrigatoriedade de que todos os entes sob sua jurisdiçãoestabeleçam processo de planejamento estratégico institucional,observando as boas práticas sobre o tema (item 9.1.1, TC-011.772/2010-7, Acórdão nº 1.233/2012-TCU-Plenário, DOU de30.05.2012, S. 1, p. 162).

Pedra angular: planejamento institucional


Programa/gestão de complianceelementos para estar em conformidade

Padrões de conduta, governança e integridade e políticas & procedimentosdevidamente formalizados e comunicados (Manual de Governança e Integridade).

Institucionalização da função compliance (preferencialmente em áreaautônoma/segregada, vinculada à Diretoria Executiva) ou, alternativamente,designação de um Conselho/Comitê de Compliance (por delegação de competência).

Educação, capacitação e treinamento para fornecer conhecimento efetivo necessárioao cumprimento da missão organizacional, dentro dos balizadores da legalidade.

Ouvidoria e canal de comunicação (anônima, inclusive) sobre falhas em processos detrabalho (prática dialógica e transparente para com os stakeholders).

Comunicação efetiva (por meio de relatorias ad-hoc) e preventiva (senso crítico emface de riscos operacionais: humanos, de processo e tecnológicos).

Monitoramento permanente de não conformidades (em face de padrões normativose operacionais) e ajuda participativa na redução dos problemas relatados (risco decompliance).

Ações administrativo-disciplinares e corretivas em face de disfunções havidas.

Estado de prontidão, adaptação/internalização em face de mudanças normativas emelhorias operacionais (incremento tecnológico em TI, p.e.), nas dimensões deeconomicidade, eficiência e eficácia; etc.


Convenção da ONU (corrupção) A UNCAC (Decreto nº 5.687, de 31.01.2006) prevê a promoção da ética

pública, por meio da atuação de comissão de ética com funções orientativae consultiva, disseminação de princípios, valores e normas éticas eelaboração de código de ética e de conduta, bem como a realização decursos e treinamentos sobre ética pública, no momento de ingresso doservidor.

Art. 8: “1. Com o objetivo de combater a corrupção, cada Estadoparticipante, em conformidade com os princípios fundamentais de seuordenamento jurídico, promoverá, entre outras coisas, a integridade, ahonestidade e a responsabilidade entre seus funcionários públicos. 2. Emparticular, cada Estado participante procurará aplicar, em seus própriosordenamentos institucionais e jurídicos, códigos ou normas de conduta parao correto, honroso e devido cumprimento das funções públicas. 5. CadaEstado participante procurará, quando proceder e em conformidade com osprincípios fundamentais de sua legislação interna, estabelecer medidas esistemas para exigir aos funcionários públicos que tenham declarações àsautoridades competentes em relação, entre outras coisas, com suasatividades externas e com empregos, inversões, ativos e presentes oubenefícios importantes que possam dar lugar a um conflito de interessesrelativo a suas atribuições como funcionários públicos”.


Espectro normativo sobre ética e integridade Fraude e corrupção (Decreto nº 5.687, de 31/01/2006, promulgou a Convenção

da ONU contra a Corrupção - UNCAC; Decreto nº 4.410, de 07/10/2002,promulgou a Convenção Interamericana contra a Corrupção; Decreto nº 3.678,de 30/11/2000, promulgou a Convenção sobre o Combate da Corrupção deFuncionários Públicos Estrangeiros em Transações Comerciais Internacionais).

Lei nº 12.527, de 18/11/2011 - transparência e acesso à informação.

Lei nº 12.813, de 16/05/2013 - conflito de interesses; cujo inc. I do art. 3ºdefine “conflito de interesses: a situação gerada pelo confronto entre interessespúblicos e privados, que possa comprometer o interesse coletivo ou influenciar,de maneira imprópria, o desempenho da função pública”).

Lei nº 12.846, de 01/08/2013 - lei anticorrupção ou “lei da empresa limpa”(dispõe sobre a responsabilização administrativa e civil de pessoas jurídicas pelaprática de atos contra a administração pública, nacional ou estrangeira); foiconcebida pela CGU, amplia o rol de condutas puníveis, e introduz aresponsabilização objetiva da pessoa jurídica, cometidas em seu interesse oubenefício, contra a administração pública. Dessa forma, as empresas precisamcada vez mais adotar medidas internas de compliance e uma culturaorganizacional baseada na ética.

http://www.cgu.gov.br/assuntos/etica-e-integridade


Practice Advisory/IIA nº 2130-1: Role of the Internal Audit Activityand Internal Auditor in the Ethical Culture of an organization (IPPF,IIA).

Cultura organizacional é a alma corporativa (valores, crenças econdutas), a qual distingue os profissionais que integram umaorganização de outra.

“A cultura é diretamente proporcional à estabilidade do grupo, aotempo em que ele tem de convivência e à intensidade daaprendizagem gerada” (Edgard Schein).

“Organizações esclarecidas sabem que a cultura corporativa, ascontribuições sociais e comunitárias são os próximos setores devantagem competitiva” (BARRETT, Richard. Libertando a alma daempresa: como transformar a organização numa entidade viva. SãoPaulo: Cultrix, 2000, p. 120).

“A cultura come a estratégia no café da manhã” (Peter Drucker,consultor de gestão norte-americano, 1909-2005).

Cultura organizacional baseada na ética


As organizações não se transformam, as pessoas sim; acultura organizacional se sustenta sobre os valoressubjacentes a ela, demonstrados por meio decomportamentos observados.

As organizações mais bem sucedidas são guiadas por umavisão e orientadas por valores e buscam o alinhamentoentre os valores pessoais e organizacionais para seremsustentáveis.

Paulatinamente, está havendo uma mudança global nosvalores das sociedades, cada vez mais conscientes daimportância do papel corporativo nas questões ambientaise sociais, questões essas cada vez mais discutidas emnossos dias.

Cultura organizacional baseada na ética

“Ambiente interno” COSO ICIF 2013 eo iceberg da cultura organizacional

Aspectos invisíveis: Valores Premissas (modelos mentais) Atitudes Crenças Sentimentos

Aspectos visíveis: Comportamentos Relacionamentos Histórias Cerimônias Símbolos

Atenção!“Por mais influência que a culturaorganizacional tenha na conformação daspráticas gerenciais e no comportamento dofuncionário, a cultura nacional épredominante” (ROBBINS, Stephen P.Administração: mudanças e perspectivas.São Paulo, Brasil: Editora Saraiva, 2000. 524p,p. 293).


65

Ambiente interno à luz de Dona Flor e seusDois Maridos - Jorge Amado (1912-2001)

1° marido Vadinho, o típico malandro e excelente amante,morre em pleno Domingo de Carnaval de 1943, vestido debaiana (enquanto dançava). O seu funeral foi muito concorrido.Vadinho era rebelde, impulsivo, espontâneo e dado ao caos (noseu caso, o jogo).2° marido Teodoro Madureira, farmacêutico, é diferente dofalecido em tudo. Fiel (não compreende mesmo quando umacliente da farmácia levanta o vestido bem alto para tentá-lo),regular (sexo às quartas e sábados, bis aos sábados efacultativo às quartas) e inteligente, Teodoro propicia a paz devolta à vida de Dona Flor. Teodoro toca fagote numa orquestrade amadores. Teodoro é metódico e controlado (seu lema é“um lugar para cada coisa e cada coisa em seu lugar“).Final feliz A obra acaba com Flor andando feliz comTeodoro e o espírito de Vadinho (nu, como sempre) ao seulado, pelas ruas de Salvador (o “ideal” brasileiro do equilíbrioentre os dois).


7 níveis de consciência pessoal e organizacionalFonte: Richard Barrett.

“Os problemas não podem ser solucionados no mesmo nível de consciênciaque os criou” (Albert Einstein, físico alemão, 1879-1955).



4. ANÁLISE DE

RISCOS PELA AUDIN


Gerenciamento de riscos ≠ análise de risco

O desenvolvimento de avaliações e relatórios sobreo gerenciamento de riscos de uma organização énormalmente alta prioridade da Auditoria Interna. Aavaliação dos processos de gerenciamento de riscosé normalmente diferente das exigências de análisede risco que os auditores utilizam para planos deauditoria. Entretanto, as informações provindas deum processo compreensivo de gestão de riscos,incluindo a identificação das preocupações daadministração e do Conselho de Administração,podem assistir o auditor interno no planejamento deatividades de auditoria (PA/IIA nº 2100-3 e PA/IIAnº 2100-4).


Variáveis básicas para o planejamentodos trabalhos de auditoria

Materialidade montante de $ envolvido.Relevância estratégica importância relativa ou

papel desempenhado por uma determinada questão,situação ou unidade organizacional, existente em umdado contexto.

Criticidade representa o quadro de situaçõescríticas efetivas ou potenciais a ser controlado,identificadas em uma determinada unidadeorganizacional ou programa de governo. Trata-se dacomposição dos elementos referenciais devulnerabilidade, das fraquezas, dos pontos de controlecom riscos operacionais latentes, etc.


Fatores de risco para priorização

Cronogramas de trabalho de auditoria devem ser baseados,entre outros fatores, em uma avaliação da prioridade de risco ea exposição a risco. É necessário priorizar para tomar decisõessobre aplicação de respectivos recursos, com base naimportância do risco e exposição ao mesmo. Existe umavariedade de modelos de risco para assistir ao Auditor-Chefe(CAE) na priorização de potenciais áreas sujeitas à auditoria. Amaioria dos modelos de riscos utiliza fatores de risco paraestabelecer a prioridade dos trabalhos de auditoria, tais como:materialidade em valor; liquidez de ativos; competênciagerencial; qualidade dos controles internosadministrativos; grau de mudança ou estabilidade;tempo decorrido desde o último trabalho de auditoria;complexidade; relações com empregados e governo, etc.(PA/IIA nº 2010-2, IPPF-Red Book).


71



5. PROVOCAÇÃO


Será que o Doutor Gestão já defendia e inspirava o “ser e estar em compliance”?

“O governo está consciente de queadministra fundos públicos e deve prestarcontas de cada centavo. Ele não tem outraescolha exceto ser burocrático (...) Umgoverno que não seja um ‘governo deformulários’ degenera rapidamente numasociedade de pilhagem generalizada” (PeterDrucker, 1909-2005, apud BEATTY, Jack.O mundo segundo Peter Drucker. SãoPaulo: Ed. Futura, 1998, p. 162).

“Sob um bom governo, deveríamos nos envergonhar da pobreza;sob um mau governo da riqueza“ (Confúcio, 551 a.C.-479 a.C.).

Obrigado!

Documents

Análise e gerenciamento de riscos corporativos