DOU 26/12/2023 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152023122600027
27
Nº 244, terça-feira, 26 de dezembro de 2023
ISSN 1677-7042
Seção 1
8.2.2. Categorização dos Riscos
Quanto à categorização dos riscos, os eventos podem se enquadrar em alguma
das classificações abaixo:
¸Estratégico: eventos que possam impactar o cumprimento da missão da FCP,
das metas ou dos objetivos estratégicos, caso venham a ocorrer. Incluem riscos legais, isto
é, eventos derivados de alterações legislativas ou normativas que podem comprometer as
atividades do órgão ou entidade.
¸ Operacional: eventos que podem comprometer as atividades da unidade.
Normalmente estão associados a falhas, deficiência ou inadequação de processos, pessoas,
infraestrutura e
sistemas, afetando a gestão
eficaz e eficiente
dos processos
organizacionais;
¸ Orçamentário: eventos que podem comprometer a capacidade da FCP de
contar com recursos orçamentários e financeiros necessários à realização de suas
atividades, ou eventos que possam comprometer a execução orçamentária, como atrasos
no cronograma de licitações;
¸ Reputação: eventos que podem comprometer a confiança das partes
interessadas em relação à capacidade da FCP em cumprir sua missão institucional,
interferindo diretamente na reputação da agência;
¸ Integridade: eventos que podem afetar a probidade da gestão dos recursos
públicos e das atividades da organização, causados pela falta de honestidade e desvios
éticos.
¸ Fiscal: eventos que podem afetar negativamente o equilíbrio das contas
públicas.
¸ Conformidade: eventos que podem
afetar o cumprimento de leis,
regulamentos e contratos aplicáveis;
8.3. Análise de Riscos
Alcançada a identificação dos riscos bem como suas causas, efeitos e controles,
passa-se a etapa de análise dos riscos em impacto e probabilidade.
O resultado final dessa etapa atribuirá a cada risco identificado uma
classificação, tanto para a probabilidade como para o impacto do evento, cuja combinação
determinará o nível do risco e consiste na conjunção dos pesos do impacto, analisado em
5 categorias, e da probabilidade, também avaliada em 5 categorias (Figura 10), acima
apresentado.
A análise de riscos é feita duas vezes, uma primeira vez examina-se os
parâmetros de Impacto e Probabilidade sem considerar os controles existentes (Risco
Inerente ou potencial) e uma segunda vez, na segunda vez, examina-se os mesmos
parâmetros de Impacto e Probabilidade considerando-se os controles já existentes (Risco
residual).
O Nível de Risco Inerente: É o nível do risco sem considerar quaisquer controles
que podem reduzir a probabilidade da sua ocorrência ou o seu impacto. Nível de Risco Residual
- RR é o nível de risco remanescente, após se analisarem os possíveis controles existentes que
podem reduzir a probabilidade da sua ocorrência ou o seu impacto (Figura 14).
O nível de RI é obtido por meio do produto aritmético entre a Probabilidade (P)
e o Impacto (I).
Figura 14 - Diagrama de riscos
Os registros serão realizados nas Abas 4 e 5 da Planilha Documentadora de
Riscos, a qual tem a seguinte aparência (Figura 15):
Figura 15 - Planilha Documentadora de Riscos. Aba 4. Cálculo de Risco Inerente
e Aba 5. Cálculo de Risco Residual
8.3.1. Análise dos riscos inerentes em impacto e probabilidade
Para análise do impacto são examinados 6 parâmetros (Figura 16), conforme as
5 categorias já mencionadas: 1) esforço da gestão para gerenciamento do risco identificado
(Peso 15%); 2) nível de ação para regularização do processo caso o risco ocorra (Peso 17%);
3)amplitude de disseminação na mídia caso o risco ocorra (Peso 12%); 4) nível de
interferência nos objetivos estratégicos (Peso 18%); 5) Nível de intervenção hierárquica
para lidar com as consequências do risco (Peso 13%) e 6) impacto financeiro-orçamentário
do risco caso ocorra quando for possível reconhecer o impacto financeiro-orçamentário.
Figura 16 - Aspectos analisados para compreender o Impacto do Risco na
organização conforme Planilha Documentadora de Riscos (TCU):
Na análise da probabilidade do
risco serão consideradas as seguintes
frequências e pesos (Figura 17): 1) Muito baixa para eventos de risco que podem ocorrer
apenas em circunstâncias excepcionais, isto é em menos de 10% das vezes em que o
processo associado ocorre; 2) Baixo para eventos que podem ocorrer em algum momento,
isto é, de 10 a 30 % das vezes; 3) Média para eventos que devem ocorrer em algum
momento, isto é de 30% a 50% das vezes; 4) Alta para evento que provavelmente ocorra
na maioria das circunstâncias, isto é entre 50% e 90% das vezes; Muito alta para eventos
esperados que ocorram na maioria das circunstâncias, ou seja em mais de 90% das vezes
em que o processo associado acontece.
Figura 17 - Frequências e classificação analisados para o Probabilidade do Risco
conforme Planilha documentadora de Riscos (TCU).
8.3.2 Análise dos riscos residuais em impacto e probabilidade
Nesta etapa analisa-se os riscos segundo os mesmos parâmetros utilizados para
análise de riscos inerentes, mas agora ao refletir sobre Impacto e Probabilidade deve
considerar os controles já existente. Esta última análise corresponde ao risco residual.
Ao analisar Impacto e Probabilidade é necessário registrar as etapas nas duas
abas correspondentes da Planilha Documentadora de Riscos para que o cálculo do nível de
risco seja feito ao multiplicar a nota do impacto pela nota da probabilidade levantadas nas
duas etapas anteriores, isto é de análise do risco inerente e do risco residual.
8.4. Avaliação de Riscos
8.4.1. Classificação do risco em 4 classes de acordo com a magnitude
A avaliação de riscos visa comparar o nível de risco encontrado durante a etapa
de análise com os critérios de risco definidos, utilizando os resultados como subsídio para
a tomada de decisões sobre quais riscos necessitam ser tratados ou não, e com que
prioridade.
O resultado de Risco Inerente, bem como o resultado do Risco Residual, obtidos
pelo produto de cada valor de probabilidade e impacto, pode então, ser classificado em
termos de magnitude em 4 classes (Figura 18).
Figura 18 - Classes de avaliação do risco
A matriz de risco (Figura 19) é gerada quando são combinados o impacto e a
probabilidade. Esta classificação é obtida quando preenchemos a Planilha Documentadora
de Riscos (Arquivo em excel apensado a este documento).
Figura 19 - Matriz de riscos com categorias por nível de magnitude: Pequeno
(verde); Moderado (amarelo), Alto (vermelho) e Crítico (preto).
8.5. Avaliação dos controles existentes
Os controles são essenciais para redução do impacto e da probabilidade de
ocorrência do risco. Por isso, a definição de controles preventivos, corretivos e/ou
compensatórios é de grande importância para aumentar as chances de alcance dos
objetivos estratégicos e operacionais.
Uma vez identificados conjuntamente com os Riscos na primeira etapa, cabe
agora indicar o nível de maturidade dos controles conforme segunda as classes
predefinidas na Planilha Documentadora de Riscos.
Os Controles podem ser classificados quanto ao desenho em: (1) Não há
sistema de Controle; (2) Há procedimento de controle para algumas atividades, porém
informais; (3) Controles não foram planejados formalmente, mas são executados de acordo
com a experiência dos servidores; (4) É desenhado um sistema de controle integrado
adequadamente planejado, discutido e documentado. O sistema de controle vigente é
eficaz, mas não prevê revisões periódicas; (5) O sistema de controle é eficaz na gestão de
riscos (adequadamente planejado, discutido, testado e documentado com correções ou
aperfeiçoamentos planejados de forma tempestiva).
Realiza-se também a classificação dos controles quanto a operação dos
controles em: (1) Controle não executado; (2) Controle parcialmente executado e com
deficiências; (3) Controle parcialmente executado; (4) Controle implantado e executado de
maneira periódica e quase sempre uniforme. Avaliação dos controles é feita com alguma
periodicidade; (5) Controle implantado e executado de maneira uniforme pela equipe e na
frequência desejada. Periodicamente os controles são testados e aperfeiçoados.
8.6. Tratamento de Riscos
8.6.1. Preenchimento do Plano de
ação para tratamento dos Riscos
Inaceitáveis
Esta etapa tem como finalidade selecionar a resposta (tratamento) a ser adotada,
para cada risco avaliado, de acordo com o Nível de Risco Residual, com o apetite a riscos,
com o contexto da FCP ou custo do controle, conforme o quadro a seguir (Quadro 2).
Quadro 2 - Estratégia de Resposta ao Risco. Fonte: Metodologia de Gestão de
Riscos (CGU, 2018, adaptado)
. Opções
de
tratamento
Descrição
. Aceitar
Um risco normalmente é aceito quando seu nível está nas faixas de
apetite a risco. Nessa situação, nenhum novo controle precisa ser
implementado para mitigar o risco.
. Reduzir
Essa estratégia normalmente é escolhida quando é classificado como
"Alto" ou "Crítico".
A implementação de controles deve apresentar um custo/benefício
adequado. Reduzir o risco significa implementar controles que possam
minimizar as causas ou as consequências dos riscos, identificadas
anteriormente
. Compartilhar
Um risco normalmente é compartilhado quando é classificado como
"Alto" ou "Crítico", mas a implementação de controles não apresenta
um custo/benefício adequado.
Pode-se compartilhar o risco por meio de terceirização ou apólice de
seguro, por exemplo.
. Ev i t a r
Um risco normalmente é evitado quando é classificado como "Alto" ou
"Crítico", e a implementação de controles apresenta um custo muito
elevado, inviabilizando sua mitigação, ou não há entidades dispostas a
compartilhar o risco com a FCP. Evitar o risco pode significar encerrar
ou deixar de implementar o processo organizacional.
Nesse caso, essa opção deve ser aprovada pelo Comitê Interno de
Governança - CIGFCP.
Selecionada a resposta mais adequada ao tratamento de cada risco, a fase
seguinte consistirá na elaboração dos planos de ação, e estabelecer os prazos para a
implementação das iniciativas deles constantes. Os planos de ação podem implicar a
adoção de novos controles ou a modificação de controles já existentes e deverão
considerar:
¸A eficácia das ações já existentes;
¸As restrições organizacionais, técnicas e estruturais;
¸Os requisitos legais;
¸A análise custo/benefício;
¸As ações a serem realizadas;
¸As prioridades; e
¸ O cronograma de execução. O Plano de Tratamento de Riscos contemplará
todos os planos de ação propostos, de acordo com os riscos identificados.
Os Planos de Ação conterão, pelo menos os seguintes itens (Figura 20) (e
devem ser preenchidos em aba própria da Planilha Documentadora de Riscos (Aba 6. Plano
de Ação) conforme ilustrado abaixo:
¸Objetivos/benefícios esperados;
¸Unidade organizacional responsável pela implementação dos planos de ação e
unidade(s) interveniente(s);
¸Gestor de Riscos responsável;
¸Breve descrição sobre a implementação;
¸Data prevista para início da implementação;
¸Data prevista para o término, se for o caso; e
¸Status dos planos de ação.
Figura 20 - Apresentação do Plano de Ação na Planilha Documentadora de
Riscos
Cabe ao Gestor de Risco a submissão ao Comitê interno de governança da FCP
- CIGFCP, o plano de ação para os riscos considerados inaceitáveis, isto é, os riscos
residuais com classificação de magnitude Crítico ou Alta (³10) conforme matriz de risco
(Figura 10). Todos os riscos (pequenos, moderados, altos e críticos) devem ter uma
resposta preenchida na aba correspondente (Aba 6. Plano de Ação), no entanto apenas os
Riscos classificados como inaceitáveis devem ter um plano de ação submetido ao CIGFCP
para avaliação e decisão quanto ao tratamento a ser dado.
Se as iniciativas do plano de ação envolverem mais de uma unidade, o Gestor
de Riscos responsável deve encaminhar a proposta do plano para os Gestores de Riscos
das unidades envolvidas, para que estes validem as iniciativas das quais fizerem parte. É
importante ressaltar que o tratamento a ser implementado pode ser uma nova fonte de
risco e deve ser tratado em conjunto com sua implementação.
O Gestor de Risco formaliza, o CIGFCP aprova, e a CGE monitora os planos de
ação, confirmando o responsável para cada iniciativa de tratamento e prazos acordados,
que é de 6 meses para os riscos considerados inaceitáveis. A CGE, juntamente com os
Gestores de Riscos, deve verificar se as medidas adotadas estão sendo eficazes, bem como
atualizar o CIGFCP da execução do plano para os riscos considerados inaceitáveis.
Cabe ao Gestor de Risco, responsável pelo tratamento, atualizar o progresso
das iniciativas do plano de ação e comunicar à CGE.
Após a execução da iniciativa de tratamento, é possível que permaneça algum
risco residual. Este deve ser confrontado com o apetite a riscos definido, a fim de verificar
se está compreendido no nível "Aceitável". Caso negativo, deverá ser adotado um plano de
ação para tratamento do risco residual.
É necessário avaliar a necessidade de melhorar ou extinguir controles já
existentes. Somente após essa avaliação podem ser propostos novos controles, caso ainda
haja necessidade de redução do nível de risco.
O próximo quadro mostra a atitude a ser tomada, de acordo com o Nível de
Risco residual (Quadro 3) encontrado:
Quadro 3 - Atitude perante o risco para cada Nível de Risco Residual. Fonte:
Metodologia de Gestão de Riscos (CGU, 2018, adaptado)
. Classificação Ação necessária
Exceção
. Risco
pequeno
Nível de risco dentro do apetite a risco, mas é
possível
que existam
oportunidades de
maior
retorno que podem ser exploradas assumindo-se
mais riscos, avaliando a relação custo x benefício,
como diminuir o nível de controles.
Indica que o risco inerente já está dentro da
tolerância a risco.
Caso
o
risco
seja
priorizado
para
implementação
de
medidas
de
tratamento,
essa
priorização deve ser
justificada
pelo
Gestor de Riscos e
aprovada
pelo
C I G FC P .
. Risco
Moderado
Nível de risco dentro do apetite a risco.
Geralmente nenhuma medida especial é necessária,
porém
requer
atividades
de
monitoramento
específicas e atenção da unidade na manutenção de
respostas e controles para manter o risco nesse nível,
ou reduzi-lo sem custos adicionais.
Indica
que o
risco
residual
já está
dentro
da
tolerância a risco, mas deve se buscar reduzi-lo.
Caso
o
risco
seja
priorizado
para
implementação
de
medidas
de
tratamento,
essa
priorização deve ser
justificada
pelo
Gestor de Riscos e
aprovada
pelo
C I G FC P .
Fechar