A IMPLEMENTAÇÃO DA GESTÃO DO RISCO
NO CHTS
Rita Moutinho
Auditora Interna
II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE
Coimbra, 30 de Maio de 2012
II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de 2012 2
INTRODUÇÃO
2008
MGR
Processo de
Gestão de
Existências
2009
MGR
• Processo de Gestão de
Facturação e Cobranças
• Processo de Gestão de
Imobilizado
2010 Plano de
Gestão de Riscos de
Corrupção e Infrac-
ções Conexas
2011 • Relatório de Execução
do PGRCIC -2010
• 1º WS Gestão de Risco
2012 • Relatório de Execução
do PGRCIC -2011
• 2º ao 6º WS Gestão de
Risco
2012
• Julho - WS Gestão de Risco por MGR
• Dezembro - Relatório de Execução do PGRCIC -2012
• Setembro - Relatório Trimestral de Execução do PGRCIC
II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de 2012 3
AGENDA
Enquadramento Internacional
Enquadramento Legal
Plano de Gestão do Risco de Corrupção e Infracções
Conexas (PGRCIC):
Apresentação do PGRCIC;
Âmbito das Responsabilidades de Cada Interveniente;
Metodologia de Gestão de Risco:
Matrizes de Gestão de Risco
Relatório Anual de Execução do Plano.
II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de 2012 4
ENQUADRAMENTO INTERNACIONAL
Conclusões:
Maior exigência em termos de análise do
risco e mecanismos de resposta;
Nunca será possível antecipar todos os
riscos;
Investir nas capacidades de gestão do
risco.
II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de 2012 5
ENQUADRAMENTO LEGAL
Convenção Contra a Corrupção, adoptada pela Assembleia Geral das
Nações Unidas de 2003 – Resolução Assembleia República n.º 47/2007:
(…) conflitos de interesses (…)
Conselho de Prevenção da Corrupção (CPC) – Lei n.º 54/2008: (…)
actividades de risco agravado (…) aquisições (…) sem concurso (…);
Conselho de Prevenção da Corrupção (CPC) – Deliberação de 6 Maio 2009:
(…) Alerta (…) entidades do sector público empresarial, para a necessidade de
prevenção acrescida (…) procedimento de ajuste directo;
Conselho de Prevenção da Corrupção (CPC) - Recomendação n.º 1/2009:
(…) os órgãos dirigentes máximos (…) devem (…):
Elaborar o PGRCIC (…); Definir os responsáveis (…) Gestão do Plano;
Elaborar o Relatório anual sobre a execução do Plano;
Remeter os referidos Relatórios ao CPC e aos Órgãos de superintendên-
cia, tutela e controlo.
II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de 2012 6
GESTÃO DO RISCO
“Gerir os riscos para atingir os Objectivos”
Prevenir / Desencorajar
Detectar
II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de 2012 7
PGRCIC
O PPRG é um instrumento de gestão
estratégica e operacional no sentido de
identificar, medir, acompanhar e controlar os
riscos chave que a organização enfrenta na
prossecução da sua missão e objectivos. Fonte: Tribunal de Contas
Publicado no Site do CHTS
Índice
I. Introdução
II. Caracterização do CHTS, EPE
III. Identificação dos Riscos de Corrupção e Infracções Conexas
1. Áreas susceptíveis de Risco
2. Avaliação do Risco Inerente
IV. Medidas Preventivas dos Riscos
1. Medidas Adoptadas
2. Medidas a Adoptar
V. Acompanhamento, Avaliação e Actualização do Plano
VI. Metodologia de Gestão do Risco – Funções e
Responsabilidades
Lista de Anexos:
A- Regulamento Interno do CHTS, EPE
B- Plano de Gestão de Riscos de Corrupção e Infracções
Conexas (PGRCIC), por Processos / Serviços
II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de 2012 8
PGRCIC APRESENTAÇÃO DO PLANO
Matrizes de Gestão de Risco já elaboradas em acções de AI anteriores:
B3 - Matriz de Gestão do Risco do Processo de Gestão de Imobilizado
B5 - Matriz de Gestão do Risco do Processo de Gestão de Facturação e Cobranças
B6 - Matriz de Gestão do Risco do Processo de Gestão de Admissão de Doentes
(desdobramento da Matriz elaborada na acção de AI anterior)
B7 - Matriz de Gestão do Risco do Processo de Gestão de Existências
Fonte: Anexo B do PGRCIC do CHTS
B1 - Matriz de Gestão do Risco do Processo de Gestão de Compras (elaborada com base na matriz da IGF e adaptada à realidade do CHTS)
B2 - Matriz de Gestão do Risco do Processo de Gestão de Instalações e Equipamentos
B4 - Matriz de Gestão do Risco do Processo de Gestão de Recursos Humanos (inclui a Matriz de Gestão de Contratos de Serviços Médicos, elaborada no âmbito de uma acção de AI)
Matrizes de Gestão de Risco elaboradas especificamente para o Plano:
II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de 2012 9
Fonte: PGRCIC do CHTS
Conselho de
Administração
Comissão de
Gestão do
Plano
Como Órgão dirigente máximo do CHTS, é responsável pela execução
e acompanhamento do PGRCIC.
Tem a responsabilidade de Gerir o Plano, desenvolvendo as
seguintes actividades:
receber e comunicar ao CA e à AI as ocorrências de risco
verificadas;
efectuar ao CA propostas consolidadas de revisão e actualização
do Plano (com o apoio de AI);
elaborar os Relatórios Trimestrais de Execução Global do Plano e
enviar à AI para validação e posterior aprovação pelo CA.
Auditoria
Interna
Órgão responsável por:
elaboração do Relatório Anual de Execução do Plano, a submeter à
aprovação do CA e a enviar ao CPC, Órgãos de superintendência,
tutela e controlo;
validação dos Relatórios Trimestrais Globais de Execução do
Plano elaborados pela CGP;
apoio na consolidação da revisão e actualização do Plano.
PGRCIC RESPONSABILIDADES
II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de 2012 10
Gestores
Intermédios /
Directores
de Serviço
Responsáveis pela implementação, execução e acompanhamento do
Plano, desenvolvendo as seguintes actividades:
submeter à aprovação do CA propostas concretas para a
implementação das medidas preventivas;
assegurar a eficácia dessas medidas nos prazos previstos;
identificar e comunicar à CGP as ocorrências de risco verificadas;
elaborar os Relatórios Trimestrais de Execução do Plano, na área de
competência de cada um e enviar à CGP:
• Verificação das medidas implementadas;
• Identificação dos motivos de eventuais atrasos face ao previsto;
• Verificação do efeito obtido com as medidas implementadas;
• Avaliação do Risco Residual (quando adequado);
• Recomendação de medidas correctivas, quando adequado;
• Identificação e classificação de novos factores de risco surgidos após a elaboração do Plano inicial;
• Definição de medidas a adoptar para prevenir e minimizar esses novos riscos;
• Emissão do Relatório de Execução a enviar à CGP. Fonte: PGRCIC do CHTS
PGRCIC RESPONSABILIDADES
II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de 2012
Fonte:IIA – The role of Internal Auditing in Enterprise-Wide Risk Management de 29/Set/2004
11
GESTÃO DO RISCO RESPONSABILIDADES
O PAPEL DO AUDITOR INTERNO na Gestão do Risco:
AI não se pode envolver em actividades que comprometam a sua independência e
objectividade. A identificação dos riscos é da responsabilidade exclusiva da gestão. Fonte: XVI Conferência Anual IPAI –
Auditoria interna orientada para o risco
II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de 2012 12
GESTÃO DO RISCO RESPONSABILIDADES
II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de 2012 13
Publicado na Infonet
Risco:
Qualquer potencial evento que possa
afectar a concretização dos objectivos
estabelecidos pelo CHTS, aplicado a
todas as suas actividades.
Gestão do Risco:
É um processo que envolve a:
Identificação, Avaliação, Gestão,
Controlo, Comunicação e Monitorização
dos potenciais eventos de risco.
Modelo de COSO – Enterprise Risk Management of
Committee of Sponsoring Organizations of the
Treadway Commission
METODOLOGIA DE GESTÃO DO RISCO
II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de 2012
Metodologia de gestão do risco do manual da ACSS, tendo-se optado por uma
aplicação simplificada do modelo de COSO;
AI teve um envolvimento mais abrangente que o recomendado, determinado pelo
nível de maturidade da Gestão de Risco na Organização.
14
PGRCIC MATRIZ DE GESTÃO DE RISCO
Avaliação do Risco Resposta ao Risco
Probabilidade de
Ocorrência Dir Serv.
Impacto
Esperado Dir Serv.
Factor Potencial
de Risco (afectam a
concretização dos
objectivos)
AI
Prazo de
Implementação Dir Serv.
Dir Serv. Responsável
Medidas
Preventivas (para
minimizar o efeito dos
eventos de risco)
AI/Dir Serv.
II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de 2012 15
Avaliação do Risco Baixa Média Alta
Probabilidade de
Ocorrência (P)
Reduzida
possibilidade de
ocorrência.
Moderada
possibilidade de
ocorrência.
Forte possibilidade de
ocorrência.
Impacto Esperado (I)
Impacto reduzido
ou muito reduzido,
nas áreas:
económica,
financeira,
operacional e
clínica.
Impacto pouco
significativo ou
moderado, em pelo
menos uma das
áreas.
Impacto significativo
ou elevado, em pelo
menos uma das
áreas.
PGRCIC MATRIZ DE GESTÃO DE RISCO
II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de 2012 16
Avaliação do Risco
AB
AM
MM
AA
BB
BM
MB
BA
MA
Baixo Baixa
Alta
Impacto Esperado
Pro
ba
bil
idad
e d
e O
co
rrê
nc
ia
Prioritário
Alto
Resposta ao Risco
Custo/Benefício
Be
ne
fíc
io
Alto
Baixo
Prioritário
Baixo Alto Custo
DEFINIÇÃO DE PRIORIDADES
PGRCIC MATRIZ DE GESTÃO DE RISCO
Fonte: Seminário promovido pelo Conselho de Prevenção da
Corrupção; Lisboa, 22 de Março de 2010
II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de 2012 18
Fases do Trabalho a Realizar por AI:
1) Auto-Avaliação da implementação das medidas preventivas e reavaliação do risco;
2) Reuniões com os responsáveis para efectuar o ponto de situação das medidas
implementadas e identificação das áreas a desenvolver na fase 3);
3) Solicitação de informação de base à selecção de amostras para:
verificação documental:
• das medidas implementadas;
• dos resultados obtidos;
realização de testes à eficácia operacional dos controlos de prevenção;
4) Identificação de novos factores de risco e recomendação de novas medidas preventivas;
5) Emissão do Relatório Anual de Execução do Plano.
Monitorização (validar que a gestão de risco opera de forma
continua e efectiva)
PGRCIC RELATÓRIO ANUAL DE EXECUÇÃO
II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de 2012 19
1) Auto-Avaliação da Implementação das Medidas Preventivas e Reavaliação do
Risco:
a) Preenchimento do ficheiro de Auto-Avaliação de forma sucinta. Informo que o mesmo
fará parte dos anexos do Relatório de AI a emitir.
b) O preenchimento deve ser centralizado no Responsável por cada Matriz, que, quando
aplicável, deverá articular-se com os diversos responsáveis envolvidos na implementação
das medidas e proceder à recolha da informação necessária;
c) Para garantir o cumprimentos dos prazos acordados, solicito que o mesmo seja remetido
devidamente preenchido até ao próximo dia 29 de Novembro.
PGRCIC RELATÓRIO ANUAL DE EXECUÇÃO
Evidências Resultados Evidências Motivos P I
Auto-Avaliação em:
Medidas Adoptadas Medidas Por AdoptarReavaliação
do Risco
Novos Factores Potenciais de Risco
II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de 2012 20
2) Reuniões com os Responsáveis por cada processo – proposta de calendário:
A) Dia 6 Dez. 10:30 h – B1 - MGR do Processo de Gestão de Compras;
B) Dia 7 Dez. 10:30 h – B4 - MGR do Processo de Gestão de Recursos Humanos;
C) Dia 13 Dez. 10:30 h - B2 – MGR do Processo de Gestão de Instalações e Equipamentos;
D) Dia 14 Dez. 11:30 h – B6 - MGR do Processo de Gestão de Admissão de Doentes – SU;
E) Incluído na AI em curso – B6 - MGR do Processo de Gestão de Admissão de Doentes –CE;
F) Dia 15 Dez. 15:30 h - B3 - MGR do Processo de Gestão de Imobilizado;
G) Dia 19 Dez. 10:30 h - B7 - MGR do Processo de Gestão de Existências – Farmácia;
H) Dia 20 Dez. 10:30 h - B7 - MGR do Processo de Gestão de Existências – Aprovisionamento;
I) Dia 21 Dez. 10:30 h - B5 - MGR do Processo de Gestão de Facturação e Cobranças.
PGRCIC RELATÓRIO ANUAL DE EXECUÇÃO
II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de 2012 21
3) Solicitação de informação de base à selecção de amostras para:
verificação documental:
• das medidas implementadas;
• dos resultados obtidos;
realização de testes à eficácia dos controlos implementados;
4) Identificação de novos factores de risco e recomendação de novas medidas
preventivas.
Evidências Resultados Evidências Motivos P I DescriçãoResponsá-
vel
Prazo
Execução
Resultados da Acção de AI de Acompanhamento da Execução do PGRCIC - Fev. 2011
Medidas Adoptadas Medidas Por AdoptarReavalia-
ção do
Risco
Novas Medidas Preventivas / Correctivas
Nov.
PGRCIC RELATÓRIO ANUAL DE EXECUÇÃO
II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de 2012 22
5) Emissão do Relatório Anual de Execução do PGRIC:
N 2120 – Gestão de Risco (Normas do IIA):
“A AI deve avaliar a eficácia do processo de gestão de risco e contribuir para a sua
melhoria.”
“….a opinião do auditor resulta da avaliação de:
………….
O modelo de gestão do risco está bem estruturado e funciona efectivamente;
Os “riscos – chave” estão todos identificados e a resposta a esses factores de
risco traduzem-se em controlos eficazes;
Os riscos são avaliados com fiabilidade e comunicados;……………”
Opinião do Auditor: Objectiva, independente e com segurança razoável.
Padrão/Referência: “As medidas preventivas definidas no PGRCIC são eficazes e
garantem que os factores de alta sensibilidade ao risco estão a ser geridos de forma
adequada.”
PGRCIC RELATÓRIO ANUAL DE EXECUÇÃO
II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de 2012 23
NOVOS PARADIGMAS DA AI
“Gerir os riscos para atingir os Objectivos”
Sistema de Controlo Interno
Processos de Gestão do Risco
Auditoria Baseada no Risco
24
Obrigada
Rita Moutinho
Coimbra, 30 de Maio de 2012
II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE
II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de 2012 25
DEFINIÇÃO DE AUDITORIA INTERNA
A auditoria interna é uma actividade independente, de garantia e
de consultoria, destinada a acrescentar valor e a melhorar as
operações de uma organização.
Ajuda a organização a alcançar os seus objectivos, através de uma
abordagem sistemática e disciplinada, na avaliação e melhoria da
eficácia dos processos de gestão de risco, de controlo e de
governação.
IIA
II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de 2012 26
CONFLITO DE INTERESSES
CONFLITO DE INTERESSE
Qualquer relação real ou aparente que seja contrária aos melhores
interesses da organização. Um conflito de interesses prejudica a
capacidade do indivíduo cumprir com objectividade os seus deveres e
responsabilidades.
(IIA, IPPF, Glossário)
II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de 2012 27
RISCO
Risco Inerente
Aquele que é próprio da natureza do factor de risco.
Não está relacionado com a existência de controlos. (IIA, Practice Advisory 2010-2)
Risco Residual
Aquele que resta após a implementação das medidas preventivas e de
controlos eficazes.
O nível de risco que ao gestores estão dispostos a aceitar. (IIA, Practice Advisory 2010-2)
Risco Corrente
É o risco gerido com o modelo e controlos existentes. (IIA, Practice Advisory 2010-2)
II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de 2012 28
ERM
Enterprise Risk Management (ERM)
É um processo estruturado e coerente que envolve toda a Organização
e que visa identificar, avaliar e decidir sobre as respostas adequadas
às oportunidades e ameaças que afectam a realização dos seus
objectivos.
(IIA, Position Statement “The Role of internal Audit in Enterprise-wide Risk Management )
“Gerir os riscos para atingir os Objectivos”
II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de 2012 29
MEDIDAS PREVENTIVAS
MEDIDAS PREVENTIVAS
As medidas preventivas visam actuar sobre a origem do risco,
evitando e/ou minimizando os efeitos dos potenciais factores de risco,
ou seja, pretende-se reduzir a probabilidade de ocorrência do factor de
risco e o seu impacto negativo ao mínimo aceitável. (PGRCIC – CHTS)