Copyright © Dia Oficial 2024 | contato@diaoficial.com

DOU 26/12/2023 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152023122600026
26
Nº 244, terça-feira, 26 de dezembro de 2023
ISSN 1677-7042
Seção 1
C: quem pode agregar valor ou é essencial para a implementação; e
I: quem faz o controle, mas não precisa necessariamente se envolver na
decisão.
Quadro 1 - Matriz RACI da Gestão de Riscos na FCP.
. At i v i d a d e s
Atores do processo
.
C I G FC P
CG E
GRs
Auditoria
. Definir a matriz de risco
A
R
C
I
. Definir o apetite ao risco
A
R
C
I
. Definir 
diretrizes
para
priorização e tratamento dos
riscos
A
R
C
I
. Priorização 
de
projetos/processos 
de
trabalhos/serviços
A
C
R
I
. Estabelecer o contexto geral
A
C
R
I
. Identificar os riscos
A
C
R
I
. Analisar os riscos
A
C
R
I
. Avaliar os riscos
A
R
C
I
. Tratar os riscos
A
C
R
I
. Monitorar e realizar análise
A
R
C
R
7. MAPEAMENTO DOS PROCESSOS ORGANIZACIONAIS PARA DEFINIÇÃO DO
OBJETO DA GESTÃO DE RISCO
7.1. Análise do Escopo do Processo
De forma a possibilitar a integração da Gestão de Riscos à Gestão de Processos,
primeiro foi necessário compreender de forma detalhada os processos, uma vez que os
processos serão o objeto de gerenciamento dos riscos.
Esse trabalho trará melhorias substanciais para ambas atividades, gestão de
processos e gestão de riscos, como por exemplo, melhor entendimento das etapas e dos
fluxos dos processos e assim melhor controle de riscos nos pontos críticos; melhor
entendimento do papel dos atores e das suas responsabilidades e ainda, visualização
adequada das etapas para melhor dimensionamento do custo operacional e temporal dos
processos.
Além desses benefícios, tanto a gestão de processos como a gestão de riscos
colaboram para a mesma finalidade, isto é, o alcance dos objetivos estratégicos por meio
de Planos de Ação com focos distintos, melhoria do processo e tratamento de riscos. Dessa
forma, optou-se por integrar ambos os processos, buscando uma otimização do tempo,
custo operacional e redução no impacto para as áreas executoras.
A estratégia adotada foi entrevistar cada área da entidade para levantamento
de todas as atividades realizadas e identificação dos conjuntos de atividades que
correspondem aos processos. Dentre os critérios para identificação dos processos estão:
(i)a identificação de conjuntos de atividades que tenham interface com outras unidades da
entidade
ou
público-alvo,
(ii)normas reguladoras
próprias
e
(iii)
procedimentos
específicos.
Nessa etapa é necessário que se avalie e confirme os processos para
realizarmos um mapeamento dos processos da entidade, que consiste em descrever o
fluxo de trabalho, objetivos, etapas, procedimentos, atividades, recursos humanos,
equipamentos, sistemas de informação e materiais requeridos, entradas e saídas. Esses
dados serão descritos na Planilha Diagrama de Escopo e Interface do Processo - DEIP
(Figura 3).
Cabe ressaltar que esse passo fornece as saídas dos processos, o que é essencial
para definir os eventos de riscos que podem afetar seus objetivos, uma vez que a ocorrência
do risco acarreta na impossibilidade de obtenção da saída do processo (Figura 4).
7.2. Modelagem do Processo
A modelagem do processo é representada por um fluxograma (Figura 5). O
fluxograma uma representação gráfica de como o trabalho acontece e tem a função de
simplificar ao entendimento sobre as tarefas. Ele é elaborado com o auxílio da ferramenta
Bizagi.
Figura 5 - Exemplo de Fluxograma do Processo
Para facilitar a elaboração do fluxograma será solicitado inicialmente o
preenchimento da planilha Lista de Tarefas do Processo (Figura 6).
Figura 6 - Lista de Tarefas do Processo para elaboração do fluxograma.
Assim que concluído os passos descritos acima, análise do escopo e fluxograma,
será possível visualizar a carteira de processos de toda a entidade, bem como todas as
tarefas e interfaces entre as diferentes áreas da entidade. Esses dados auxiliam o
levantamento de riscos por permitirem a fácil identificação de pontos críticos e a reflexão
mais objetiva sobre os riscos que prejudicam ou impedem a obtenção das saídas dos
processos.
8. ETAPAS DA METODOLOGIA DE GESTÃO DE RISCO
O processo de gerenciamento de riscos, segundo a ISO 31000:2018 (Figura 7)
contém as seguintes etapas:
Figura 7 - Diagrama do processo de gestão de riscos da norma ABNT NBR ISO
31000:2018 - Diretrizes
a) Escopo, Critério e Contexto: conhecer os objetivos organizacionais e os
processos a eles relacionados, assim como definir os contextos internos e externos a serem
levados em consideração ao gerenciar os riscos;
b) Identificação do risco - corresponde a aplicação do processo sistemático para
compreender o que pode acontecer, como, quando e por quê;
c) Análise do risco - se relaciona com a compreensão de cada risco, suas
consequências e probabilidades;
d) Avaliação do risco - envolve tomada de decisão sobre o nível do risco e
prioridade de atenção através da aplicação do critério desenvolvido na ocasião em que o
contexto foi estabelecido.
e) Tratamento do risco - se refere ao processo pelo qual os controles existentes
são aperfeiçoados ou novos controles são desenvolvidos e implementados. Compreende a
avaliação e seleção de opções, o que inclui análise de custos e benefícios e avaliação de
novos riscos que podem ser gerados a partir de cada opção e, desse modo, priorizando e
implementando o tratamento selecionado segundo o processo planejado.
f) Os elementos "Comunicação e Consulta", "Monitoramento e Análise Crítica"
e "Registro e Relato" são considerados agentes de ação contínua do processo de gestão de
riscos. A comunicação e consulta implica no envolvimento das partes interessadas internas
e externas a organização, objetivando considerar seus pontos de vista, conhecendo seus
objetivos por meio de envolvimento planejado. O "Monitoramento e a Análise Crítica"
preveem a tomada de ação no momento em que surgirem novos riscos que mudem os
riscos existentes, como produto de mudança nos objetivos organizacionais ou nos
ambientes interno e externo. O "Registro e Relato" são os mecanismos apropriados para
relatar e documentar os fatos apropriadamente.
Para registro dos riscos levantados será utilizada a "Planilha documentadora de
Riscos", que é um documento em formato "xls" apensado a este manual. Este arquivo
contém diversas abas as quais deverão ser preenchidas e impressas em pdf. A citada
planilha é de autoria do TCU, na qual estão inseridos critérios para análise do impacto e
probabilidade do risco, bem como fórmulas para ponderação dos fatores de impacto e
probabilidade.
A execução do processo de gerenciamento de riscos, na FCP, acompanhará, o
ciclo do planejamento estratégico. O processo de gerenciamento de riscos deverá ser
executado integralmente, após à definição do planejamento estratégico para o período.
Ao alinhar o calendário de ambas as iniciativas, estimula-se a sinergia entre os
instrumentos, visto que há fases que se retroalimentam nesses processos. Por exemplo, a
formulação da estratégia prevê a realização de diagnóstico organizacional e priorização de
iniciativas e processos que devem direcionar a fase de escopo, contexto e critério, do
gerenciamento de riscos.
A reunião de análise estratégica, de periocidade anual, que revisita iniciativas,
processos, planos táticos e indicadores, também fornece subsídios para o monitoramento
e controle do processo de gerenciamento de riscos, podendo redundar, inclusive, em novas
iterações do processo.
Nesse sentido, será elaborado relatório anual acerca do monitoramento dos
riscos mencionados e o Plano de Gestão de Riscos será quadrienal e em consonância ao
Plano Estratégico Institucional.
8.1. Escopo, Contexto e Critérios
Segundo a ISO 31000:2018, o propósito do estabelecimento do escopo,
contexto e critérios é personalizar a gestão de riscos, permitindo um processo de avaliação
de riscos eficaz e um tratamento de riscos apropriado.
8.1.1. Escopo
Definir o escopo significa circunscrever os elementos básicos que nortearão a
execução do processo de gerenciamento de riscos, como por exemplo: (i)Objetivos e
decisões que precisam ser tomadas; (ii) Resultados esperados das etapas a serem
realizadas no processo; (iii)Tempo, localização, inclusões e exclusões específicas; (iv)
Ferramentas e técnicas apropriadas para o processo de avaliação de riscos; (v) Recursos
requeridos, responsabilidades e registros a serem mantidos; (vi) Relacionamentos com
outros projetos, processos e subprocessos.
Será priorizada a aplicação do gerenciamento de riscos no nível estratégico, por
isso serão avaliados os processos que contribuem diretamente para o alcance dos objetivos
estratégicos. Nos próximos ciclos poderão ser levantados os riscos à nível operacional, de
programa, de projeto e ou de atividades.
Para tratamento serão priorizados os riscos que ameaçam os objetivos
estratégicos. Em ordem de prioridade serão avaliados processos e riscos segundo as
seguintes condições:
1. Se possui recomendações e/ou determinações de órgãos como, Ministério
Público, Tribunais, Controladoria Geral da União, Tribunal de Contas da União, Procuradoria
Federal junto a FCP e Auditoria Interna;
2. Se integra serviço prestado pela FCP;
3. Se requer qualificação técnica específica;
4. Se é dependente de recursos tecnológicos específicos;
5. Se possui reclamações registradas na Ouvidoria; e
6. Se possui denúncias registradas e associadas à sua execução.
A análise desses critérios definirá os processos prioritários para tratamento
imediato.
8.1.2. Contexto
O contexto consiste no levantamento dos aspectos externos e internos do
ambiente no intuito de compreender os fatores que podem interferir no alcance dos
objetivos estratégicos da entidade.
O 
ambiente
interno 
envolve 
aspectos 
como
governança, 
estrutura
organizacional, funções, alçadas e responsabilidades, políticas, estratégias, capacidades,
competência, sistemas de informação, processos decisórios e cultura organizacional.
O ambiente externo envolve aspecto social, político, econômico, legal,
regulatório,
financeiro,
tecnológico,
econômico, ambiental,
relações
com partes
interessadas externas e suas percepções e valores.
Para avaliação e registro do Contexto utilizar-se-á a ferramenta Análise SWOT -
Strengths (pontos fortes), Weaknesses (pontos fracos), Opportunities (oportunidades para
o seu negócio) e Threats (Ameaças). No português é conhecida como análise FOFA (Forças,
Oportunidades, Fraquezas e Ameaças - Figura 8). A análise SWOT é feita de modo
específico para cada processo e ciclo, uma vez que a mudança de ambiente/contexto pode
mudar os riscos, ou seja, em determinados contextos pouco hostis, um risco potencial
pode deixar de sê-lo.
Figura 8 - Esquema e definições da Ferramenta Análise SWOT para avaliação do
contexto. Fonte: ENAP, 2018.
A avaliação do contexto será registrada na Planilha Documentadora de Riscos
(Arquivo em excel apensado a este documento), Aba 2 - Ambiente e Fixação de Objetivos
(Figura 9 ), conforme modelo abaixo:
Figura 9 - Ambiente e Fixação de Objetivos
8.1.3. Critérios
No processo de gerenciamento de riscos os critérios são termos de referência
contra os quais a significância de um risco é avaliada para dizer se um risco é tolerável ou
aceitável (ABNT, 2009). Os critérios são baseados nos objetivos organizacionais, no
contexto externo e interno e ainda podem ser derivados de normas e políticas.
Definir os critérios ajuda a apoiar a tomada de decisão, e significa especificar a
quantidade, o tipo de risco e a significância do risco que a organização pode assumir em
relação aos objetivos.
8.1.3.1. Matriz de Apetite a Riscos
Define o nível de risco que a organização está preparada para buscar, manter
ou assumir. No caso da FCP, riscos com níveis de significância menor que 10 (pequeno,
moderado e parte dos altos) serão aceitáveis (Figura 10). Já os riscos com níveis de
significância maior ou igual à 10, que são parte dos níveis alto e crítico, serão considerados
inaceitáveis e um plano de ação deverá ser proposto ao CGIFCP e o tratamento do risco
deve ocorrer imediatamente. Abaixo apresenta-se a matriz de risco com impacto e
probabilidade e níveis de risco:
Figura 10 - Matriz de risco com impacto e probabilidade e níveis de risco
aceitáveis e não aceitáveis (³10, em destaque)
8.2. Identificação de Riscos
Esta etapa tem como finalidade desenvolver uma lista abrangente de eventos
de risco que podem ter impacto no alcance dos objetivos, categorizando-os e identificando
causas e potenciais consequências.
Recomenda-se que todos os riscos sejam incluídos no processo de identificação,
mesmo aqueles provenientes de ambientes não controlados pela FCP (ou seja, potenciais
ameaças externas), uma vez que, quando um risco não é identificado, ele não pode ser
analisado ou tratado.
Identificar o risco implica em reconhecer os eventos que podem impedir o
alcance dos objetivos e também identificar os efeitos de ocorrência do risco e as causas
(Figura 11), isto é, as condições potenciais que podem originar o risco ou que viabilizem
sua concretização.
(Fonte: CAIXA - Guia prático de linhas de defesa. Ciclo anual de gerenciamento
de riscos)
Os riscos, bem como causas, efeitos e controles serão inseridos na aba 3 da
Planilha Documentadora de Riscos, a qual tem a seguinte aparência (Figura 12):
Figura 12 - Planilha Documentadora de Riscos. Aba 3. Mapa de Riscos
8.2.1. Definição das Técnicas para levantamento do risco com as equipes
Há várias técnicas disponíveis para identificação de riscos e essas podem ser
combinadas. Para escolha das técnicas leva-se em consideração o grau de maturidade da
organização; as especificidades do setor; a natureza do processo; e o nível de
aprofundamento desejado.
Algumas das técnicas mais conhecidas que podem ser sugeridas para a
realização do levantamento desses componentes são: Brainstorming, questionários,
entrevistas, checklist, análise SWOT (forças, fraquezas, oportunidades e ameaças), análise
de dados históricos, análise de premissas, opiniões especializadas, necessidades das partes
interessadas e diagramas de causa e efeito. Essas técnicas estão descritas em ABNT.
ISO/IEC 31010:2012.
Neste primeiro ciclo de levantamento de riscos serão realizadas entrevistas com
gestores (com ou sem equipe), onde será utilizado brainstorming motivados pelas
perguntas descritas no diagrama abaixo (Figura 13), na ordem indicada em cada quadro.
Durante a entrevista é essencial que todos os participantes possam visualizar todo o
diagrama durante o encontro.
Figura 13 - Diagrama utilizado durante as entrevistas para visualização das
perguntas e para registro dos riscos, causas, efeitos e controles. (Fonte: Autoria própria)
O encontro inicia-se com a pergunta: 1) que eventos impedem ou prejudicam
o alcance das saídas? Após registros das respostas dos eventos de riscos realiza-se 2) um
momento de reflexão e realocação dos eventos que são causas no quadro correspondente,
pois neste primeiro momento é comum que parte dos eventos mencionados se mostrem
como causas dos demais. Prossegue-se com 3) a solicitação e registro dos efeitos e então
4) verifica-se se todas os eventos de risco têm causas relacionadas já registradas, caso não
tenham, registra-se as causas faltantes. 4)Passa-se a etapa de registros dos controles
atualmente realizados e por último 5) Registra-se as ações de tratamento que devem ser
tomadas caso o risco ocorra e também as ações de controle que ainda não são
tomadas.

Fechar