Orientar o processo de implantação do Programa de Gestão ... · • Norma ABNT NBR ISO 31000:2018, que estabelece princípios e diretrizes para a implantação da Gestão de Riscos

u

•>p-lSECRETARIA DA

FAZENDAAUDITORIA GERAL

DO ESTADO

ORIENTAÇÃO TÉCNICA AGE N° 01/2019

GESTÃO DE RISCOS

I. OBJETIVO

Orientar o processo de implantação do Programa de Gestão de Riscos (PGR),instituído pela Portaria Sefaz n° 162/2018, nos órgãos e entidades do PoderExecutivo Estadual.

II. BASE NORMATIVA

• Norma ABNT NBR ISO 31000:2018, que estabelece princípios e diretrizes paraa implantação da Gestão de Riscos.

• Instrução Normativa Conjunta MP/CGU n° 01, de 10 de maio de 2016.• Committee of Sponsoring Organizations of the Treadway Commission - COSO

2013 - Internai Control - Integrated Framework (ICIF).• Portaria Sefaz n° 162/2018 (DOE/BA de 14/08/2018).• Orientação Técnica AGE n° 01/2017 - Guia Referencial dos Controles Internos

da Gestão.

III. CONCEITOS BÁSICOS1

1. Risco: possibilidade de ocorrência de um evento que venha a ter impacto nocumprimento dos objetivos. O risco é medido em termos de impacto e deprobabilidade.

2. Apetite a risco: nível de risco que uma organização está disposta a aceitar.

3. Gerenciamento de riscos: processo para identificar, avaliar, administrar econtrolar potenciais eventos ou situações, para fornecer razoável certeza quantoao alcance dos objetivos da organização.

4. Mensuração de risco: significa estimar a importância de um risco e calcular aprobabilidade e o impacto de sua ocorrência.

5. Risco inerente: risco a que uma organização está exposta sem considerarquaisquer ações gerenciais que possam reduzir a probabilidade de suaocorrência ou seu impacto.

6. Risco residual: risco a que uma organização está exposta após aimplementação de ações gerenciais para o tratamento do risco.

7. Componentes dos controles internos da gestão: são o ambiente de controleinterno da entidade, a avaliação de risco, as atividades de controles internos, ainformação e comunicação e o monitoramento.

8. Controles internos da gestão: conjunto de regras, procedimentos, diretrizes,protocolos, rotinas de sistemas informatizados, conferências e trâmites de

1Conforme Instrução Normativa Conjunta MP/CGU n° 01, de 10/05/2016.OT AGE n° 01/19 Revisão 0 de 25/02/19

1/18

| SECRETARIADAFAZENDA

AUDITORIA GERALDO ESTADO

documentos e informações, entre outros, operacionalizados de forma integradapela direção e pelo corpo de servidores das organizações, destinados aenfrentar os riscos e fornecer segurança razoável de que, na consecução damissão da entidade, os seguintes objetivos gerais serão alcançados:

• execução ordenada, ética, econômica, eficiente e eficaz das operações;• cumprimento das obrigações de accountability;• cumprimento das leis e regulamentos aplicáveis; e• salvaguarda dos recursos para evitar perdas, mau uso e danos.

9. Accountability. conjunto de procedimentos adotados pelas organizaçõespúblicas e pelos indivíduos que as integram que evidenciam suaresponsabilidade por decisões tomadas e ações implementadas, incluindo asalvaguarda de recursos públicos, a imparcialidade e o desempenho dasorganizações.

lO.Macroprocesso: conjunto de ações e atividades inter-relacionadas, que sãoexecutadas para alcançar produto, resultado ou serviço predefinido.

11. Unidade Aderente (UA): órgão/entidade que, voluntariamente, aderir aoPrograma de Gestão de Risco, nos termos da Portaria Sefaz n° 162/2018.

IV. DISPOSIÇÕES GERAIS

1. O gerenciamento de riscos tem como objetivos:

a) atentar para a necessidade de se identificar e tratar riscos dos macroprocessosdas unidades aderentes;

b) aumentar a probabilidade de atingimento dos objetivos dos macroprocessosselecionados;

c) estimular uma gestão proativa que antecipe e previna ocorrências capazes deafetar os objetivos organizacionais;

d) melhorar a governança, o controle interno da gestão e a qualidade do gastopúblico;

e) melhorara prevenção de perdas e a gestão de incidentes;

f) prezar pelas conformidades legal e normativa dos processos organizacionais.

2. O PGR deve ser considerado como instrumento do processo de governança eliderança e, consequentemente, é indispensável contar com o patrocínio e o apoiodo Dirigente máximo da unidade aderente (UA), a fim de assegurar que seusobjetivos sejam plenamente alcançados.

3. Cada unidade aderente (UA) ao PGR, de acordo com o estabelecido na PortariaSefaz n° 162/2018, deverá constituir um Comitê de Gestão de Riscos (CGR) eGrupos de Trabalho (GTs) julgados necessários, em função dos macroprocessos

OT AGE n° 01/19 Revisão 0 de 25/02/192/18

<9

SECRETARIA DAFAZENDA


selecionados, que ficarão responsáveis pela execução de todas as etapas deimplantação do Programa.

4. O CGR será constituído por meio de instrumento formal (portaria, p.ex.) expedidopelo Dirigente máximo da UA e deverá:

a) se reportar diretamente ao Dirigente máximo da UA; e

b) preferencialmente, ser composto por 3 servidores, dentre os quais oCoordenador da Coordenação de Controle Interno (CCI) ou unidade equivalente,que o coordenará; um representante da Assessoria de Planejamento e Gestão(APG) ou unidade equivalente; e um representante da Assessoria do Dirigentemáximo do órgão.

5. Compete ao CGR:

a) promover ações para disseminar internamente a cultura de Gestão de Riscos;

b) definir o(s) macroprocesso(s) da(s) área(s) finalística(s) que será(ão) objeto doPrograma;

c) indicar os integrantes do(s) Grupo(s) de Trabalho (GTs), com perfil,conhecimento e disponibilidade para participar dos treinamentos e capacitações,bem como do desenvolvimento dos trabalhos;

d) validar o trabalho efetuado pelo GT, em especial a Listagem de Riscos e o Planode Trabalho elaborados;

e) acompanhar os trabalhos dos GTs por meio de reuniões periódicas;

f) estabelecer uma política de reavaliação periódica do Programa e monitorarcontinuamente o seu desenvolvimento;

g) fomentar a capacitação dos servidores em Gestão de Riscos;

h) articular com o Dirigente máximo da UA a indicação dos responsáveis pelaimplantação do Plano de Ação; e

i) reportar à AGE todas as ações voltadas para a Gestão de Riscos.

6. Os GTs serão também constituídos por meio de instrumento formal (portaria,p.ex.) expedido pelo Dirigente máximo da UA e deverão ter em sua composiçãoservidores que conheçam os macroprocessos selecionados.

7. Serão constituídos tantos GTs quantos forem necessários em função dosmacroprocessos que serão objeto da Gestão de Riscos.

8. Compete aos Grupos de Trabalho (GTs):

a) mapear e analisar os macroprocessos objeto da Gestão de Riscos;

b) identificar os riscos dos macroprocessos analisados;

c) analisar e avaliar os riscos identificados;OT AGE n° 01/19 Revisão 0 de 25/02/19

3/18

5?

•

i A' SECRETARIA DAFAZENDA


d) elaborar Plano de Ação para implantação das medidas de controle necessáriaspara tratar os riscos mapeados e submetê-lo ao CGR; e

e) participar das capacitações necessárias para a implantação do Programa.

V. ETAPAS DO PROCESSO DE GESTÃO DE RISCOS

1. Entendimento do contexto

Etapa inicial que envolve a seleção e a compreensão dos macroprocessos,identificação dos seus objetivos e definição dos contextos interno e externo aserem levados em consideração ao gerenciar riscos. A execução dessa etapaenvolve as seguintes atividades:

1.1 Mapear o macroprocesso selecionado2 para entendimento do seufuncionamento, detalhando as entradas, saídas, ações e competências. Essemapeamento deve ter como foco a identificação de pontos de fragilidadepassíveis de riscos de controle, de modo que seu nível de detalhamento nãodeve abranger minúcias relacionadas com a descrição pormenorizada doprocesso.

1.2 Utilizar a Análise SWOT (forças, oportunidades, fraquezas e ameaças)(Anexo 1) como instrumento para identificar cenários internos e externos compotencial de impactar positiva ou negativamente os objetivos do macroprocesso.

1.3 Definir o contexto interno em que o macroprocesso se desenvolve,identificando as forças (a serem conservadas) e fraquezas (a serem eliminadasou atenuadas), levando em consideração atributos tangíveis (pessoas,equipamentos, materiais) e intangíveis (cultura, processos, valores,conhecimento).

1.4 Definir o contexto externo, identificando fatores extrínsecos à organização,ou seja, os atributos do ambiente que envolve a execução do macroprocesso,como oportunidades (aspectos que se deve aproveitar) e ameaças (evitar ouatenuar exposição), levando em consideração, por exemplo, legislação,tecnologia, mercado, aspectos sociais e econômicos, dentre outros.

1.5 identificar, preliminarmente, os perigos (Anexo 1), listando os principaiselementos que podem vir a afetar o macroprocesso e apontando suas causas econseqüências.

a) Os perigos podem, em princípio, ser obtidos a partir das "fraquezas" e"ameaças" levantadas na Análise SWOT, ou seja, a relação de "perigos"constante no Anexo 1 corresponde, inicialmente, a essas informaçõeslevantadas na SWOT.

2 O mapa do processo pode ser dispensado caso o mesmo já tenha sido devidamente elaborado eesteja atualizado.

OT AGE n° 01/19 Revisão 0 de 25/02/19

4/18


AUDITORIA GERAL

DO ESTADO

b) As "conseqüências" dos perigos correspondem aos "riscos" e, desse modo,deverão ser transportadas para a coluna "Riscos" da Listagem de Riscos(Anexo 2). Portanto, as conseqüências dos perigos deverão ser descritas comdetalhes suficientes para sua correta contextualização como "riscos".

1.6 Concluir a Análise de Contexto (Anexo 1) e validar o resultado desta etapaem reunião específica com o CGR.

2. Identificação dos riscos

A partir das conseqüências dos perigos identificados na etapa anterior o GTdeverá:

2.1 Gerar, com base na análise preliminar dos perigos, uma listagem dospossíveis riscos3 (Anexo 2 - Listagem de Riscos).

2.2 Apurar as causas dos riscos identificados, ou seja, as condições que dãoorigem à possibilidade de um evento ocorrer (fatores de risco) e registrar noformulário Listagem de Riscos (Anexo 2)4.

2.3 Apurar as conseqüências dos riscos identificados, ou seja, o resultado ou osefeitos de um evento de risco sobre os objetivos do processo, e registrá-las noformulário Listagem de Riscos (Anexo 2)..

2.4 Testar a coerência da Listagem de Riscos (Anexo 2) aplicando a sintaxe aseguir:

"Devido a <CAUSA/FONTE>, poderá acontecer <DESCRIÇÃO DO RISCO>, o quepoderá levar a <DESCRIÇÃO DOS EFEITOS/CONSEQUÊNCIAS>".

3. Mensuração dos riscos inerentes

Etapa em que serão mensurados, com utilização de escala pré-definida, osriscos inerentes, ou seja, aqueles a que uma organização está exposta semconsiderar quaisquer ações gerenciais que possam reduzir a probabilidade desua ocorrência ou seu impacto.

3.1 Estimar, com base no histórico e na percepção do analista, a probabilidadede ocorrência de cada risco listado, registrando no formulário Mensuração dosRiscos (Anexo 3), seguindo a escala abaixo:

• muito baixa: evento extraordinário, sem histórico de ocorrência (1ponto);

3 As "conseqüências" dos perigos listadas no formulário Análise do Contexto (Anexo 1) serãotransportadas para a coluna "Risco" do formulário Listagem de Riscos (Anexo 2). Entretanto,outros riscos poderão ser incluídos nessa listagem, independentemente de terem ou não sidoidentificados como conseqüências dos perigos.4 Cada causa deve ser registrada em uma linha do formulário.


5/18

'


AUDITORIA GERAL

DO ESTADO

• baixa: evento casual e inesperado, sem histórico de ocorrência (2pontos);

• média: evento esperado, de freqüência reduzida, e de histórico deocorrência parcialmente conhecido (3 pontos);

• alta: evento usual, com histórico de ocorrência amplamenteconhecido (4 pontos);

• muito alta: evento repetitivo e constante (5 pontos).

3.2 Estimar o impacto de cada risco listado, registrando no formulárioMensuração dos Riscos (Anexo 3), seguindo a escala abaixo:

• muito baixo: impacto insignificante nos objetivos (1 ponto);• baixo: impacto mínimo nos objetivos (2 pontos);• médio: impacto mediano nos objetivos, com possibilidade de

recuperação (3 pontos);• alto: impacto significante nos objetivos, com possibilidade remota de

recuperação (4 pontos);• muito alto: impacto máximo nos objetivos, sem possibilidade de

recuperação (5 pontos).

3.3 Multiplicar os valores atribuídos à probabilidade e ao impacto para obter orisco inerente de cada risco listado. Exemplo: probabilidade de ocorrência iguala 3 (média) x impacto igual a 2 (baixo) = risco inerente 6 (3x2).

3.4 Lançar os riscos inerentes calculados em 3.3 no formulário Mensuração dosRiscos (Anexo 3).

4. Identificação e avaliação dos controles internos existentes

Etapa em que são identificados e descritos os controles internos porventuraexistentes e avaliados em que medida esses controles podem atenuar ou evitarcada um dos riscos listados5.

4.1 Descrever os controles internos existentes para mitigar cada um dos riscosidentificados e lançar no formulário Mensuração dos Riscos (Anexo 3).

4.2 Avaliar, com base em entrevistas realizadas com os responsáveis pelosmacroprocessos e na percepção do analista, em que medida os controlesinternos existentes contribuem ou não para mitigar cada risco, de acordo com aseguinte escala:

• 1,00 - inexistente: ausência completa de controle;

• 0,80 - fraco: controle depositado na esfera de conhecimento pessoaldos operadores do processo, em geral realizado de maneira manual;

• 0,60 - mediano: controle pode falhar por não contemplar todos osaspectos relevantes do risco ou porque seu desenho ou asferramentas que o suportam não são adequados;

O Anexo 4 apresenta uma relação de possíveis controles internos de gestão.OT AGE n° 01/19 Revisão 0 de 25/02/19

6/18



• 0,40 - satisfatório: controle normatizado e embora passível deaperfeiçoamento está sustentado por ferramentas adequadas emitiga o risco razoavelmente;

• 0,20 - forte: controle mitiga o risco associado em todos os aspectosrelevantes, podendo ser enquadrado num nível de "melhor prática".

4.3 Lançar as notas de avaliação dos controles internos relacionados a cadarisco, avaliados em 4.2, no formulário Mensuração dos Riscos (Anexo 3).

5. Mensuração dos riscos residuais

Etapa em que é avaliado o risco a que uma organização/macroprocesso estáexposta após a avaliação dos controles internos relacionados a cada risco.

5.1 Multiplicar os valores atribuídos ao risco inerente (calculados em 3.4) e asnotas de avaliação dos controles internos (apontados em 4.3) para obter o riscoresidual de cada risco listado. Exemplo: risco inerente igual a 6 x avaliação docontrole igual a 0,8 (fraco) = risco residual 4,8 (6x0,8).

5.2 Lançar os riscos residuais calculados em 5.1 no formulário Mensuração dosRiscos (Anexo 3).

5.3 Registrar o nível de risco residual de cada evento no formulário Mensuraçãodos Riscos (Anexo 3), conforme escala a seguir:

NÍVEL DERISCO

FAIXA DO RISCO

RESIDUAL

ESCALA DE

COR

Baixo Entre 1 e 2

Médio Entre 3 e 6

Alto Entre 7 e 12

Extremo Entre 13e25

5.4 Elaborar uma Matriz de Risco, conforme figura sugerida a seguir,categorizando os riscos residuais calculados segundo seu nível de gravidade(baixo, médio, alto ou extremo) e tendo em vista o apetite ao risco de cadaorganização6.

6O apetite ao risco é o nível de tolerância ao risco que a organização está disposta a assumir, quedeve ser definido antes de deliberar sobre a necessidade de implementar ações em resposta aosriscos residuais identificados.


.'"•'••


AUDITORIA GERAL

DO ESTADO

Matriz de Riscos

LEGENDA

NÍVEL DERISCO:

PROBABILIDADE

ALTO

MÉDIO1

MUITO BAIXA

2

BAIXA

3

MÉDIA4

ALTA

5

MUITO ALTABAIXO

O

o<CL2

5

MUITO

ALTO

5 10 20 14

ALTO

4

8 12 16 20

3

MÉDIO

3

6 9

12 15 !2

BAIXO

2

4 6 8 10

1

MUITO

BAIXO

1 2 3 4 5

NOTA: Essa é uma Matriz de Risco sugerida como padrão, que, entretanto,poderá ter suas faixas alteradas em função do apetite ao risco de cadaorganização/macroprocesso.

5.5 Validar o resultado das etapas 3, 4 e 5 em reunião específica com o CGR.

6. Elaboração de Plano de Ação para tratar os riscos

Etapa em que são concebidas as ações necessárias para tratar os riscosidentificados, priorizando-se aquelas voltadas para tratar os riscos/eventossituados nas faixas vermelha e laranja da Matriz de Riscos (níveis de risco"extremo" e "alto"), ou seja, na faixa em que o risco residual esteja entre 8 e 25.

6.1 Definir as diretrizes7 de resposta/tratamento para cada nível de risco (baixo,médio, alto ou extremo), a exemplo do quadro a seguir:

NÍVEL DE

RISCO

IXTREMO

ALTO

MÉDIO

BAIXO

Diretrizes de resposta aos riscos

DESCRIÇÃO

Indica um nível de risco absolutamenteinaceitável, muito além do apetite a riscoda organização.Indica um nível de risco inaceitável,além do apetite a risco da organização.

Indica um nível de risco aceitável, dentrodo apetite a risco da organização.Indica um nível de risco muito baixo, debaixa ocorrência e impacto reduzido.

DIRETRIZ PARA RESPOSTA

Qualquer risco encontrado nessa área deve ter umaresposta imediata do gestor maior da unidade.

Qualquer risco encontrado nessa área deve ter umaresposta num intervalo de tempo definido pelo gestormaior da unidade. Admite-se postergar o tratamentosomente mediante parecer do gestor maior da unidade.Não se faz necessário adotar medidas especiais detratamento, exceto manter os controles já existentes.Apenas acompanhar para verificar eventual mudança deprobabilidade e impacto, sem adotar medidas de controleadicionais.

7 Essas diretrizes podem variar de acordo com as especificidades de cada órgão/entidade ou decada macroprocesso.


r::\, SECRETARIA DAFAZENDA

AUDITORIA GERAL

DO ESTADO

6.2 Elaborar o Plano de Ação (Gestão de Riscos) (Anexo 5) para tratar osriscos identificados, ou seja, definir o tipo de resposta ao risco; as ações decontrole interno que serão implementadas (I) ou aperfeiçoadas (A); o prazo; oresponsável; e uma estimativa de custo dessa implantação.

a) A resposta ao risco poderá ser:

• evitar: o objetivo dessa resposta é descontinuar as atividades que geram orisco (exs.: encerrar uma atividade em determinada localidade; não iniciaruma obra por não ter garantia de orçamento; descontinuar a forma detransferência de recursos);

• transferir: compartilhar ou transferir uma parte do risco para terceiros(exs.: terceirização; garantia contratual; matriz de riscos contratual;seguro);

• mitigar: reduzir a probabilidade, o impacto, ou ambos (exs.: implementarcontroles internos como normas, sistemas, estrutura física etc); ou

• aceitar: avaliar se os demais tipos de respostas ao risco são viáveis (ex.:evitar instaurar procedimentos de penalização à partir de determinadonível de dano).

b) As "ações de controle" do Anexo 5 correspondem ao que será feito para tratarcada risco, ou seja, no Plano de Ação devem ser especificadas as soluçõesfinais8 que serão implementadas ou aperfeiçoadas.

6.3 Validar o Plano de Ação (Gestão de Riscos) em reunião específica com oCGR e encaminhá-lo para aprovação do Dirigente máximo do órgão/entidade.

7. Monitoramento e comunicação dos riscos identificados

Última etapa da implantação da Gestão de Riscos, conduzida conjuntamenteentre o Comitê de Gestão de Riscos (CGR) e a Coordenação de ControleInterno (CCI) ou unidade equivalente, de caráter contínuo e permanente, tendoem vista aferir se as ações planejadas de tratamento dos riscos estão sendoeficazes. Aos "donos do processo" caberá um contínuo monitoramento doprocesso para verificar a necessidade de revisão e identificar eventuais novosriscos decorrentes de mudanças de legislação e normas, alterações nos fluxosdos macroprocessos ou nos sistemas de tecnologia de informações.

8 Deve-se evitar como "solução final" expressões do tipo "solicitar contratação", "fazer gestão paraadquirir sistema" ou "planejar capacitação". Usar "contratar", "adquirir sistema" ou "capacitar", queconstituem as soluções efetivas propostas em termos de controle interno para tratamento do risco.


9/18 9

.•'•;••>.• I SECRETARIA DA I AUDITORIAGERAL

1 FAZENDA | DO ESTADO

7.1 Elaborar Relatório de Monitoramento e Avaliação conforme Anexo 6 (aeficácia do tratamento será atestada se o nível de risco residual após o novocontrole implantado for menor do que o nível inicial)9.

7.2 Reportar o Relatório de Monitoramento e Avaliação às partesinteressadas, em especial aos Dirigentes máximos do órgão/entidade, àAuditoria Geral do Estado (AGE) e aos responsáveis pelos macroprocessosavaliados.

VI. DISPOSIÇÕES FINAIS

1. Durante o período de implantação do Programa na UA ficarão suspensoseventuais trabalhos de auditoria da AGE que tenham como objeto o macroprocessoem análise, exceto aqueles oriundos de denúncias ou de solicitação do dirigente daUA.

2. Caberá à AGE apoiar tecnicamente a implantação do Programa nas UAs,designando um Auditor que ficará responsável por essa tutoria.

3. A Coordenação de Controle Interno (CCI) ou unidade equivalente deverá incluirem seu Plano de Ação anual o acompanhamento do Plano de Ação da Gestão deRiscos e reportar à AGE, no Relatório Anual de Atividades (RAA), uma avaliação doandamento do Programa de Gestão de Riscos como um todo, inclusive apontandoos resultados objetivos alcançados em termos de tratamento dos riscos em funçãodas medidas e controles internos implantados.

4. A eficácia das medidas implantadas será confirmada se, no processo demonitoramento, for identificada redução do nível de risco residual demonstrado noAnexo 6.

Alberto Novais de Queiroz

Gerente de Controle Preventivo e Transparência

Aprovada por:

Luis Augusto Peixoto RochaAuditor Geral do Estado

9 Recomenda-se que os Relatórios de Monitoramento e Avaliação sejam elaborados pela CCI ouunidade equivalente, numa periodicidade, no máximo, semestral e seu conteúdo deve destacar, riscoa risco, o resultado das ações planejadas para tratá-los.


10/18

. SECRETARIA DAFAZENDA

AUDITORIA GERAL

DO ESTADO

ANEXO 1 - ANALISE DO CONTEXTO

ANALISE DO CONTEXTO

ORGAO/PROCESSO FOCO DA ANALISE:

OBJETIVOS E METAS ASSOCIADOS AO ORGAO/PROCESSO:

LEGISLAÇÃO/NORMAS ASSOCIADAS:

PARTES INTERESSADAS (PESSOAS, GRUPOS, ORGAOS/ENTIDADES):

MATRIZ SWOT

AMBIENTE INTERNO

FORÇAS

AMBIENTE EXTERNO

OPOTUNIDADES

FRAQUEZAS

AMEAÇAS


11/18



ANALISE PRELIMINAR DE PERIGOS (listar principais elementos que podem gerar riscos ao processo)

PERIGOS CAUSAS CONSEQÜÊNCIAS


12/18


AUDITORIA GERAL

DO ESTADO

ANEXO 2 - LISTAGEM DE RISCOS

ÓRGÃO/ENTIDADE:

MACROPROCESSO:

N° RISCOS CAUSA(S) EFEITO(S)


13/18

.•



ANEXO 3 - MENSURAÇÃO DOS RISCOS

-,.-; 1 SECRETARIADA 1AUDITORIA GERAL| FAZENDA DO ESTADO MENSURAÇÃO DOS RISCOS

ORGAO/ENTIDADE:

MACROPROCESSO:

LEGENDA: PROB (PROBABILIDADE): 1=MUITO BAIXA; 2=BAJXA; 3=MÉDIA; 4=ALTAE 5=MUITO ALTA IMP (IMPACTO): 1=MUITO BAIXO; 2=BAIXO; 3=MÉDIO; 4=ALTO E5=MUITO ALTO. RI (RISCO INERENTE). AVALCl (AVALIAÇÃO DO CONTROLE INTERNO): 1,00 - INEXISTENTE; 0,80 - FRACO; 0,60 - MEDIANO; 0,40 - SATISFATÓRIO E 0,20 -FORTE. RR (RISCO RESIDUAL). NÍVEL DO RISCO: BX=BAIXO (DE 1 A2); ME=MÉDIO (DE 2,1 A6); AL=ALTO(DE 6,1 A12); EX=EXTREMO (DE 12,1 A25).

ITEM RISCOS PROB(P) IMP(I) RI (=Pxl) CONTROLE INTERNO EXISTENTEAVAL Cl

(Cl)RR(=RJxCI)

NÍVEL DE

RISCO

1 0 0

2 0 0

3 0 0

4 0 0

5 0 0

6 0 0

7 0 0

8 0 0

9 0 0

10 0 0

11 0 0

DATA ELABORADO POR:


14/18


AUDITORIA GERAL

DO ESTADO

ANEXO 4 - EXEMPLOS DE CONTROLES INTERNOS DE GESTÃO

a) Segregação de funções: separação de atividades/atribuições entreservidores responsáveis por fases distintas de um processo crítico.

b) Formalização de manuais e procedimentos: definição formal de normase procedimentos a serem cumpridos pelos executores de determinadosprocessos, com regras explícitas sobre como proceder e realizar asatividades de forma a cumprir todos os requisitos de gestão, inclusive ocontrole (p.ex: procedimentos operacionais padrões; descrição efluxograma de processos).

c) Revisão por terceiros: atribuição de responsabilidade a terceiros, nãoenvolvidos na execução do processo, para revisar os atos e procedimentosdos executores, atestando e/ou emitindo parecer prévio sobre ocumprimento das normas, legislações, procedimentos e demais requisitosde controle (p.ex: parecer de assessoria jurídica; submissão de atos àconvalidação prévia de comitês e conselhos; parecer de fiscal de contrato).

d) Aplicação de checklists: elaboração e implantação de listas deverificações, de modo a conferir, previamente, se todas as etapas doprocesso formal foram seguidas e responsabilizando, mediante aposiçãode assinatura, o servidor executante (p.ex: checklist sobre cumprimento detodas as exigências legais relativas à concessão de licenças e outorgas).

e) Sistemas informatizados: implantação de controles informatizados e, sefor o caso, com mecanismos automáticos capazes de sinalizarem e atéimpedirem realização de operações atípicas, não conformes ou ilegais, deacordo com parâmetros previamente definidos (p.ex: sistema paraacompanhar cobrança e arrecadação de receitas).

f) Utilização de senhas individuais: atribuição de senhas individuais deacesso a sistemas e bancos de dados, de modo a evitar utilização porpessoas não autorizadas a manipular dados e informações dos processos;registar trilha de acessos e identificar os responsáveis por alterações eatualizações.

g) Testes de conformidade/inspeção: verificação à base de testes (poramostra ou por totalidade) de pontos específicos de controle definidospreviamente para cada processo, tendo como critério normas internas,boas práticas de gestão e/ou legislações específicas.

h) Visitas e controle in loco: realização de visita aos locais onde osprocessos se realizam, de modo a verificar se todos os requisitos eobrigações legais e normativas estão sendo devidamente seguidas (p.ex:visitar local da execução da prestação do serviço para atestar cumprimentode obrigações conforme contrato).

i) Relatórios de acompanhamento: reporte periódico dos registros deverificação dos processos efetuado por terceiros (em geral pela segunda eterceira linha de defesas), de modo a aferir sua conformidade com oscritérios e normas.


15/18


AUDITORIA GERAL

DO ESTADO

j) Rastreamento do serviço realizado ou material entregue (qualidade equantidade): realização de procedimentos para rastrear a execução doprocesso, de modo a aferir se o mesmo foi realizado dentro dos parâmetrosdefinidos, em especial quanto à qualidade e quantidade (p.ex: entrevistascom gestores, empregados de prestadores de serviços, servidores eusuários; pesquisa de satisfação; mecanismo de controle social; inventárioe contagem física; comparativo entre o planejado e o executado;circularização).

k) Capacitação e treinamento: estabelecimento de programa de capacitaçãopermanente dos servidores, tendo em vista mantê-los aptos a executaremcorretamente os processos sob sua responsabilidade.

I) Comunicação, publicidade e transparência: implantação de diretrizesvoltadas para tornar públicas as ações e decisões gerenciais, de modo aassegurar a transparência dos atos e contribuir para o controle social dosprocessos (p.ex: publicação em portal de informações estratégicas deinteresse público).

m) Rotação de pessoal: promoção de rodízio de funções para assegurardisseminação e compartilhamento de conhecimento sobre os processosinternos, de modo a evitar concentração de habilidades e competências empoucos servidores e minimizar os riscos de tornar a organizaçãodependente e vulnerável.

n) Estruturação adequada: manutenção de estrutura física e de pessoaladequadas para realização da atividade, tendo em vista a quantidade e aqualidade dos recursos necessários para atender ao volume e àcomplexidade inerentes a cada processo.


16/18

SECRETARIA DA


DO ESTADO

' AJ SECRETARIADA AUDITORIA GERAL,' . .; FAZENDA DO ESTADO

ANEXO 5-PLANO DE AÇÃO (GESTÃO DE RISCOS)

PLANO DE AÇÃO (GESTÃODE RISCOS)

ORGAO/ENTIDADE:

MACROPROCESSO:

10

DATA

RISCOS

Transferir da coluna "Riscos" do Anexo 2

(Listagem de Riscos)

NÍVEL DO

RISCO

RESIDUAL

Transferir da coluna

"Nível de Risco"do

Anexo 3

(Mensuração dosRiscos)

RESPOSTAAO

RISCO

EvitaríTransferir/Mitigar/Aceitar

AÇÃO DE CONTROLE (O QUE SERAFEITO)

Ação ou ações que serão implementadas paratratar o risco

ELABORADO POR:

QDO SERAFEITO

(PRAZO)

Prazo até quando sepretende realizar cada

ação de tratamento

QUEM FARÁ

(RESPONSÁVEL)

Nome da pessoa que seráresponsável pela

implantação das ações

QUANTO CUSTA

(BAIXO • B;

MÉDIO-M; ALTO-A)

Estimativa do custo

de implantação dasações


17/18

SECRETARIA DA


DO ESTADO

•"••SECRETARIA DA

FAZENDA

ORGÃO/ENTIDADE:

MACROPROCESSO:

AUDITORIA GERALDOESTADO

ANEXO 6 - RELATÓRIO DE MONITORAMENTO E AVALIAÇÃO

RELATÓRIO DE MONITORAMENTO E AVALIAÇÃO

LEGENDA AVALIAÇÃO DO NOVO CONTROLE INTERNO IMPLANTADO: 1,00 - INEXISTENTE; 0,80 - FRACO; 0,60 - MEDIANO; 0,40- SATISFATÓRIO E 0,20 - FORTE. NÍVEL DE RISCORESIDUAL APÓS NOVO CONTROLE: BX=BALXO (DE 1 A2); ME=MÉDIO (DE3 A6);AL=ALTO (DE 7 A12); EX=EXTREMO (DE 13A25).

N° RISCOS

Transferir da coluna "Riscos"do Anexo 2

(Listagem de Riscos)

5

6

7

8

9

10

DATA-

RISCO

INERENTE

(RI)

Transferir da

coluna "RI(=Pxi)~do Anexo 3


AVALIAÇÃO

INICIAL DOS

CONTROLES

INTERNOS

Transferir da

coluna "AVAL Cl

(Cl)"do Anexo 3(Mensuração dos

Riscos)

RISCO

RESIDUAL

INICIAL

Transferir da

coluna "RR

(=RlxCI)"doAnexo 3


NOVO(S) CONTROLE(S) INTERNO(S)IMPLANTADO(S)

Descrever o novo controle interno implantado para

tratar o risco, conforme estabelecido no Plano de

Ação

ELABORADO POR:

AVALIAÇÃODO NOVO

CONTROLE

INTERNO

IMPLANTADO

(NCI)Atribuir um fator

de avaliação donovo controle

interno implantadoconforme legenda

acima

RISCO

RESIDUAL APÓSNOVO

CONTROLE

(=RlxNCI)

NÍVEL DE

RISCO INICIAL

ftVALOR!

Transferir da

coluna "Nível de

Risco"do Anexo 3


NÍVEL DE

RISCO

RESIDUAL

APÓS NOVOCONTROLE

IMPLANTADO

Conforme legendaacima


Documents

Orientar o processo de implantação do Programa de Gestão ... · • Norma ABNT NBR ISO 31000:2018, que estabelece princípios e diretrizes para a implantação da Gestão de Riscos