Copyright © Dia Oficial 2024 | contato@diaoficial.com

DOU 03/05/2024 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152024050300020
20
Nº 85, sexta-feira, 3 de maio de 2024
ISSN 1677-7042
Seção 1
A Matriz RACI é um método de discernimento dos atores da Gestão de Riscos, ou seja, ela tem a função de avaliar a distinção entre os diferentes papéis por meio do
reconhecimento dos seguintes atores:
R: quem executa a atividade;
A: quem aprova a tarefa ou produto. Pode delegar a função, mas mantém a responsabilidade;
C: quem pode agregar valor ou é essencial para a implementação; e
I: quem faz o controle, mas não precisa necessariamente se envolver na decisão.
Quadro 1 - Matriz RACI da Gestão de Riscos na FCP.
.
At i v i d a d e s
Atores do processo
.
C I G / FC P
CG E
GRs
Auditoria
. Definir a matriz de risco
A
R
C
I
. Definir o apetite ao risco
A
R
C
I
. Definir diretrizes para priorização e tratamento dos riscos
A
R
C
I
. Priorização de projetos/processos de trabalhos/serviços
A
C
R
I
. Estabelecer o contexto geral
A
C
R
I
. Identificar os riscos
A
C
R
I
. Analisar os riscos
A
C
R
I
. Avaliar os riscos
A
R
C
I
. Tratar os riscos
A
C
R
I
. Monitorar e realizar análise
A
R
C
R
7. MAPEAMENTO DOS PROCESSOS ORGANIZACIONAIS PARA DEFINIÇÃO DO OBJETO DA GESTÃO DE RISCO
7.1. Análise do Escopo do Processo
De forma a possibilitar a integração da Gestão de Riscos à Gestão de Processos, primeiro foi necessário compreender de forma detalhada os processos, uma vez que os
processos serão o objeto de gerenciamento dos riscos.
Esse trabalho trará melhorias substanciais para ambas as atividades, gestão de processos e gestão de riscos, como por exemplo, melhor entendimento das etapas e dos fluxos
dos processos e assim melhor controle de riscos nos pontos críticos; melhor entendimento do papel dos atores e das suas responsabilidades e ainda, visualização adequada das etapas
para melhor dimensionamento do custo operacional e temporal dos processos.
Além desses benefícios, tanto a gestão de processos como a gestão de riscos colaboram para a mesma finalidade, isto é, o alcance dos objetivos estratégicos por meio de planos
de ação com focos distintos, melhoria do processo e tratamento de riscos. Dessa forma, optou-se por integrar ambos os processos, buscando uma otimização do tempo, custo operacional
e redução no impacto para as áreas executoras.
A estratégia adotada foi entrevistar cada área da entidade para levantamento de todas as atividades realizadas e identificação dos conjuntos de atividades que correspondem
aos processos. Dentre os critérios para identificação dos processos estão: (i)a identificação de conjuntos de atividades que tenham interface com outras unidades da entidade ou público-
alvo, (ii)normas reguladoras próprias e (iii) procedimentos específicos.
Nessa etapa é necessário que se avalie e confirme os processos para realizarmos um mapeamento dos processos da entidade, que consiste em descrever o fluxo de trabalho,
objetivos, etapas, procedimentos, atividades, recursos humanos, equipamentos, sistemas de informação e materiais requeridos, entradas e saídas. Esses dados serão descritos na Planilha
Diagrama de Escopo e Interface do Processo - DEIP (Figura 3).
Figura 3 - Diagrama de Escopo e Interface do Processo
Cabe ressaltar que esse passo fornece as saídas dos processos, o que é essencial para definir os eventos de riscos que podem afetar seus objetivos, uma vez que a ocorrência
do risco acarreta na impossibilidade de obtenção da saída do processo (Figura 4).
Figura 4 - Representação do Risco sobre o Processo/Projeto/Programa/Objetivo
7.2. Modelagem do Processo
A modelagem do processo é representada por um fluxograma (Figura 5). O fluxograma uma representação gráfica de como o trabalho acontece e tem a função de simplificar
ao entendimento sobre as tarefas. Ele é elaborado com o auxílio da ferramenta Bizagi.
Figura 5 - Exemplo de Fluxograma do Processo
Para facilitar a elaboração do fluxograma será solicitado inicialmente o preenchimento da planilha Lista de Tarefas do Processo (Figura 6).
Figura 6 - Lista de Tarefas do Processo para elaboração do fluxograma.
Assim que concluído os passos descritos acima, análise do escopo e fluxograma, será possível visualizar a carteira de processos de toda a entidade, bem como todas as tarefas
e interfaces entre as diferentes áreas da entidade. Esses dados auxiliam o levantamento de riscos por permitirem a fácil identificação de pontos críticos e a reflexão mais objetiva sobre
os riscos que prejudicam ou impedem a obtenção das saídas dos processos.
8. ETAPAS DA METODOLOGIA DE GESTÃO DE RISCO
O processo de gerenciamento de riscos, segundo a ISO 31000:2018 (Figura 7) contém as seguintes etapas:
Figura 7 - Diagrama do processo de gestão de riscos da norma ABNT NBR ISO 31000:2018 - Diretrizes
a) Escopo, Critério e Contexto - conhecer os objetivos organizacionais e os processos a eles relacionados, assim como definir os contextos internos e externos a serem levados
em consideração ao gerenciar os riscos;
b) Identificação do risco - corresponde à aplicação do processo sistemático para compreender o que pode acontecer, como, quando e por quê;
c) Análise do risco - se relaciona com a compreensão de cada risco, suas consequências e probabilidades;
d) Avaliação do risco - envolve tomada de decisão sobre o nível do risco e prioridade de atenção através da aplicação do critério desenvolvido na ocasião em que o contexto foi estabelecido.
e) Tratamento do risco - se refere ao processo pelo qual os controles existentes são aperfeiçoados ou novos controles são desenvolvidos e implementados. Compreende a
avaliação e seleção de opções, o que inclui análise de custos e benefícios e avaliação de novos riscos que podem ser gerados a partir de cada opção e, desse modo, priorizando e
implementando o tratamento selecionado segundo o processo planejado.
f) Os elementos "Comunicação e Consulta", "Monitoramento e Análise Crítica" e "Registro e Relato" são considerados agentes de ação contínua do processo de gestão de riscos.
A comunicação e consulta implica no envolvimento das partes interessadas internas e externas a organização, objetivando considerar seus pontos de vista, conhecendo seus objetivos por
meio de envolvimento planejado. O "Monitoramento e a Análise Crítica" preveem a tomada de ação no momento em que surgirem novos riscos que mudem os riscos existentes, como
produto de mudança nos objetivos organizacionais ou nos ambientes interno e externo. O "Registro e Relato" são os mecanismos apropriados para relatar e documentar os fatos
apropriadamente.
Para registro dos riscos levantados será utilizada a "Planilha documentadora de Riscos", que é um documento em formato "xls" apensado a este manual. Este arquivo contém
diversas abas as quais deverão ser preenchidas e impressas em pdf. A citada planilha é de autoria do TCU, na qual estão inseridos critérios para análise do impacto e probabilidade do
risco, bem como fórmulas para ponderação dos fatores de impacto e probabilidade.
A execução do processo de gerenciamento de riscos, na FCP, acompanhará, o ciclo do planejamento estratégico. O processo de gerenciamento de riscos deverá ser executado
integralmente, após à definição do planejamento estratégico para o período.
Ao alinhar o calendário de ambas as iniciativas estimula-se a sinergia entre os instrumentos, visto que há fases que se retroalimentam nesses processos. Por exemplo, a
formulação da estratégia prevê a realização de diagnóstico organizacional e priorização de iniciativas e processos que devem direcionar a fase de escopo, contexto e critério, do
gerenciamento de riscos.
A reunião de análise estratégica, de periocidade anual, que revisita iniciativas, processos, planos táticos e indicadores, também fornece subsídios para o monitoramento e
controle do processo de gerenciamento de riscos, podendo redundar, inclusive, em novas iterações do processo.
Nesse sentido, será elaborado relatório anual acerca do monitoramento dos riscos mencionados e o Plano de Gestão de Riscos será quadrienal e em consonância ao Plano
Estratégico Institucional.
8.1. Escopo, Contexto e Critérios
Segundo a ISO 31000:2018, o propósito do estabelecimento do escopo, contexto e critérios é personalizar a gestão de riscos, permitindo um processo de avaliação de riscos
eficaz e um tratamento de riscos apropriado.
8.1.1. Escopo
Definir o escopo significa circunscrever os elementos básicos que nortearão a execução do processo de gerenciamento de riscos, como por exemplo: (i)Objetivos e decisões que
precisam ser tomadas; (ii) Resultados esperados das etapas a serem realizadas no processo; (iii)Tempo, localização, inclusões e exclusões específicas; (iv) Ferramentas e técnicas apropriadas
para o processo de avaliação de riscos; (v) Recursos requeridos, responsabilidades e registros a serem mantidos; (vi) Relacionamentos com outros projetos, processos e subprocessos.
Será priorizada a aplicação do gerenciamento de riscos no nível estratégico, por isso serão avaliados os processos que contribuem diretamente para o alcance dos objetivos
estratégicos. Nos próximos ciclos poderão ser levantados os riscos a nível operacional, de programa, de projeto e ou de atividades.
Para tratamento serão priorizados os riscos que ameaçam os objetivos estratégicos. Em ordem de prioridade serão avaliados processos e riscos segundo as seguintes condições:
a) se possui recomendações e/ou determinações de órgãos como, Ministério Público, Tribunais, Controladoria Geral da União, Tribunal de Contas da União, Procuradoria Federal
junto a FCP e Auditoria Interna;
b) se integra serviço prestado pela FCP;
c) se requer qualificação técnica específica;
d) se é dependente de recursos tecnológicos específicos;
f) se possui reclamações registradas na Ouvidoria; e
g) se possui denúncias registradas e associadas à sua execução.
A análise desses critérios definirá os processos prioritários para tratamento imediato.
8.1.2. Contexto
O contexto consiste no levantamento dos aspectos externos e internos do ambiente no intuito de compreender os fatores que podem interferir no alcance dos objetivos
estratégicos da entidade.
O ambiente interno envolve aspectos como governança, estrutura organizacional, funções, alçadas e responsabilidades, políticas, estratégias, capacidades, competência, sistemas
de informação, processos decisórios e cultura organizacional.
O ambiente externo envolve aspecto social, político, econômico, legal, regulatório, financeiro, tecnológico, econômico, ambiental, relações com partes interessadas externas e
suas percepções e valores.
Para avaliação e registro do Contexto utilizar-se-á a ferramenta Análise SWOT - Strengths (pontos fortes), Weaknesses (pontos fracos), Opportunities (oportunidades para o seu
negócio) e Threats (Ameaças). No português é conhecida como análise FOFA (Forças, Oportunidades, Fraquezas e Ameaças - Figura 8). A análise SWOT é feita de modo específico para cada
processo e ciclo, uma vez que a mudança de ambiente/contexto pode mudar os riscos, ou seja, em determinados contextos pouco hostis, um risco potencial pode deixar de sê-lo.
Figura 8 - Esquema e definições da Ferramenta Análise SWOT para avaliação do contexto. Fonte: ENAP, 2018.
A avaliação do contexto será registrada na Planilha Documentadora de Riscos (Arquivo em excel apensado a este documento), Aba 2 - Ambiente e Fixação de Objetivos (Figura
9 ), conforme modelo abaixo:
Figura 9 - Ambiente e Fixação de Objetivos
8.1.3. Critérios
No processo de gerenciamento de riscos os critérios são termos de referência contra os quais a significância de um risco é avaliada para dizer se um risco é tolerável ou
aceitável (ABNT, 2009). Os critérios são baseados nos objetivos organizacionais, no contexto externo e interno e ainda podem ser derivados de normas e políticas.
Definir os critérios ajuda a apoiar a tomada de decisão, e significa especificar a quantidade, o tipo de risco e a significância do risco que a organização pode assumir em relação aos objetivos.

Fechar