Copyright © Dia Oficial 2024 | contato@diaoficial.com

DOU 03/05/2024 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152024050300021
21
Nº 85, sexta-feira, 3 de maio de 2024
ISSN 1677-7042
Seção 1
8.1.3.1. Matriz de Apetite a Riscos
Define o nível de risco que a organização está preparada para buscar, manter ou assumir. No caso da FCP, riscos com níveis de significância menor que 10 (pequeno, moderado
e parte dos altos) serão aceitáveis (Figura 10). Já os riscos com níveis de significância maior ou igual a 10, que são parte dos níveis alto e crítico, serão considerados inaceitáveis e um
Plano de Ação deverá ser proposto ao CGIFCP e o tratamento do risco deve ocorrer imediatamente. Abaixo apresenta-se a matriz de risco com impacto e probabilidade e níveis de
risco:
Figura 10 - Matriz de risco com impacto e probabilidade e níveis de risco aceitáveis e não aceitáveis (³10, em destaque)
.
8.2. Identificação de Riscos
Esta etapa tem como finalidade desenvolver uma lista abrangente de eventos de risco que pode ter impacto no alcance dos objetivos, categorizando-os e identificando causas
e potenciais consequências.
Recomenda-se que todos os riscos sejam incluídos no processo de identificação, mesmo aqueles provenientes de ambientes não controlados pela FCP, ou seja, potenciais
ameaças externas, uma vez que, quando um risco não é identificado, ele não pode ser analisado ou tratado.
Identificar o risco implica em reconhecer os eventos que podem impedir o alcance dos objetivos e também identificar os efeitos de ocorrência do risco e as causas (Figura 11),
isto é, as condições potenciais que podem originar o risco ou que viabilizem sua concretização.
Figura 11 - Relação Risco x causa x efeito e suas definições.
(Fonte: CAIXA - Guia prático de linhas de defesa. Ciclo anual de gerenciamento de riscos)
Os riscos, bem como causas, efeitos e controles serão inseridos na aba 3 da Planilha Documentadora de Riscos, a qual tem a seguinte aparência (Figura 12):
Figura 12 - Planilha Documentadora de Riscos. Aba 3. Mapa de Riscos
8.2.1. Definição das Técnicas para levantamento do risco com as equipes
Há várias técnicas disponíveis para identificação de riscos e essas podem ser combinadas. Para escolha das técnicas leva-se em consideração o grau de maturidade da
organização; as especificidades do setor; a natureza do processo; e o nível de aprofundamento desejado.
Algumas das técnicas mais conhecidas que podem ser sugeridas para a realização do levantamento desses componentes são: Brainstorming, questionários, entrevistas, checklist,
análise SWOT (forças, fraquezas, oportunidades e ameaças), análise de dados históricos, análise de premissas, opiniões especializadas, necessidades das partes interessadas e diagramas
de causa e efeito. Essas técnicas estão descritas em ABNT. ISO/IEC 31010:2012.
Neste primeiro ciclo de levantamento de riscos serão realizadas entrevistas com gestores (com ou sem equipe), onde será utilizado brainstorming motivados pelas perguntas
descritas no diagrama abaixo (Figura 13), na ordem indicada em cada quadro. Durante a entrevista é essencial que todos os participantes possam visualizar todo o diagrama durante o
encontro.
Figura 13 - Diagrama utilizado durante as entrevistas para visualização das perguntas e para registro dos riscos, causas, efeitos e controles. (Fonte: Autoria própria)
Etapas do Ciclo de Levantamento:
a) O encontro inicia-se com a seguinte pergunta: Que eventos impedem ou prejudicam o alcance das saídas?
b) Após registros das respostas dos eventos de riscos realiza-se um momento de reflexão e realocação dos eventos que são causas no quadro correspondente, pois neste
primeiro momento é comum que parte dos eventos mencionados se mostrem como causas dos demais.
c) Prossegue-se com a solicitação e registro dos efeitos e, então, verifica-se se todos os eventos de risco têm causas relacionadas já registradas, caso não tenham, registra-
se as causas faltantes.
d) Passa-se a etapa de registros dos controles atualmente realizados.
e) Por último, registra-se as ações de tratamento que devem ser tomadas caso o risco ocorra e também as ações de controle que ainda não são tomadas.
8.2.2. Categorização dos Riscos
Quanto à categorização dos riscos, os eventos podem se enquadrar em algumas das classificações abaixo:
a) Estratégico: eventos que possam impactar o cumprimento da missão da FCP, das metas ou dos objetivos estratégicos, caso venham a ocorrer. Incluem riscos legais, isto é,
eventos derivados de alterações legislativas ou normativas que podem comprometer as atividades do órgão ou entidade.
b) Operacional: eventos que podem comprometer as atividades da unidade. Normalmente estão associados a falhas, deficiência ou inadequação de processos, pessoas,
infraestrutura e sistemas, afetando a gestão eficaz e eficiente dos processos organizacionais.
c) Orçamentário: eventos que podem comprometer a capacidade da FCP de contar com recursos orçamentários e financeiros necessários à realização de suas atividades, ou
eventos que possam comprometer a execução orçamentária, como atrasos no cronograma de licitações.
d) Reputação: eventos que podem comprometer a confiança das partes interessadas em relação à capacidade da FCP em cumprir sua missão institucional, interferindo
diretamente na reputação da agência.
e)Integridade: eventos que podem afetar a probidade da gestão dos recursos públicos e das atividades da organização, causados pela falta de honestidade e desvios éticos.
f) Fiscal: eventos que podem afetar negativamente o equilíbrio das contas públicas.
g) Conformidade: eventos que podem afetar o cumprimento de leis, regulamentos e contratos aplicáveis.
8.3. Análise de Riscos
Alcançada a identificação dos riscos bem como suas causas, efeitos e controles, passa-se à etapa de análise dos riscos em impacto e probabilidade.
O resultado final dessa etapa atribuirá a cada risco identificado uma classificação, tanto para a probabilidade como para o impacto do evento, cuja combinação determinará
o nível do risco e consiste na conjunção dos pesos do impacto, analisado em 5 categorias, e da probabilidade, também avaliada em 5 categorias (Figura 10), acima apresentado.
A análise de riscos é feita duas vezes: a) na primeira vez examina-se os parâmetros de Impacto e Probabilidade sem considerar os controles existentes (Risco Inerente ou
potencial) e b) na segunda vez examina-se os mesmos parâmetros de Impacto e Probabilidade considerando-se os controles já existentes (Risco residual).
O Nível de Risco Inerente: É o nível do risco sem considerar quaisquer controles que podem reduzir a probabilidade da sua ocorrência ou o seu impacto. Nível de Risco Residual
- RR é o nível de risco remanescente, após se analisarem os possíveis controles existentes que podem reduzir a probabilidade da sua ocorrência ou o seu impacto (Figura 14).
O nível de RI é obtido por meio do produto aritmético entre a Probabilidade (P) e o Impacto (I).
Figura 14 - Diagrama de riscos
Os registros serão realizados nas Abas 4 e 5 da Planilha Documentadora de Riscos, a qual tem a seguinte aparência (Figura 15):
Figura 15 - Planilha Documentadora de Riscos. Aba 4. Cálculo de Risco Inerente e Aba 5. Cálculo de Risco Residual
8.3.1. Análise dos riscos inerentes em impacto e probabilidade
Para análise do impacto são examinados 6 parâmetros (Figura 16), conforme as 5 categorias já mencionadas (Figura 10):
a) esforço da gestão para gerenciamento do risco identificado (Peso 15%);
b) nível de ação para regularização do processo caso o risco ocorra (Peso 17%);
c) amplitude de disseminação na mídia caso o risco ocorra (Peso 12%);
d) nível de interferência nos objetivos estratégicos (Peso 18%);
e) nível de intervenção hierárquica para lidar com as consequências do risco (Peso 13%); e
g) impacto financeiro-orçamentário do risco caso ocorra quando for possível reconhecer o impacto financeiro-orçamentário.
Figura 16 - Aspectos analisados para compreender o Impacto do Risco na organização conforme Planilha Documentadora de Riscos (TCU):
Na análise da probabilidade do risco serão consideradas as seguintes frequências e pesos (Figura 17): 1) Muito baixa para eventos de risco que podem ocorrer apenas em
circunstâncias excepcionais, isto é em menos de 10% das vezes em que o processo associado ocorre; 2) Baixo para eventos que podem ocorrer em algum momento, isto é, de 10 a 30 %
das vezes; 3) Média para eventos que devem ocorrer em algum momento, isto é de 30% a 50% das vezes; 4) Alta para evento que provavelmente ocorra na maioria das circunstâncias, isto
é entre 50% e 90% das vezes; Muito alta para eventos esperados que ocorram na maioria das circunstâncias, ou seja em mais de 90% das vezes em que o processo associado acontece.
Figura 17 - Frequências e classificação analisados para o Probabilidade do Risco conforme Planilha documentadora de Riscos (TCU).
8.3.2 Análise dos riscos residuais em impacto e probabilidade
Nesta etapa analisa-se os riscos segundo os mesmos parâmetros utilizados para análise de riscos inerentes, mas agora ao refletir sobre Impacto e Probabilidade deve considerar
os controles já existente. Esta última análise corresponde ao risco residual.
Ao analisar Impacto e Probabilidade é necessário registrar as etapas nas duas abas correspondentes da Planilha Documentadora de Riscos para que o cálculo do nível de risco
seja feito ao multiplicar a nota do impacto pela nota da probabilidade levantada nas duas etapas anteriores, isto é de análise do risco inerente e do risco residual.
8.4. Avaliação de Riscos
8.4.1. Classificação do risco em 4 classes de acordo com a magnitude
A avaliação de riscos visa comparar o nível de risco encontrado durante a etapa de análise com os critérios de risco definidos, utilizando os resultados como subsídio para a
tomada de decisões sobre quais riscos necessitam ser tratados ou não, e com que prioridade.
O resultado de Risco Inerente, bem como o resultado do Risco Residual, obtidos pelo produto de cada valor de probabilidade e impacto, pode então, ser classificado em termos
de magnitude em 4 classes (Figura 18).
Figura 18 - Classes de avaliação do risco
.
Risco Pequeno
Risco Moderado
Risco Alto
Risco Crítico
.
R< 4
4 £ R < 7
R £ R < 15
R ³ 15
.
Verde
Amarelo
Vermelho
Preto
A matriz de risco (Figura 19) é gerada quando são combinados o impacto e a probabilidade. Esta classificação é obtida quando preenchemos a Planilha Documentadora de Riscos
(Arquivo em excel apensado a este documento).
Figura 19 - Matriz de riscos com categorias por nível de magnitude: Pequeno (verde); Moderado (amarelo), Alto (vermelho) e Crítico (preto).
Probabilidade
Muito Baixa
1
Baixa
2
Média
3
Alta
4
Muito Alta
5
. Impacto
Catastrófico
5
.
5
10
15
20
25
.
Grande
.
4
4
8
12
16
20
.
Moderado
.
3
3
6
9
12
15
.
Pequeno
.
2
2
4
6
8
10
.
Insignificante
.
1
1
2
3
4
5
8.5. Avaliação dos controles existentes
Os controles são essenciais para redução do impacto e da probabilidade de ocorrência do risco. Por isso, a definição de controles preventivos, corretivos e/ou compensatórios
é de grande importância para aumentar as chances de alcance dos objetivos estratégicos e operacionais.
Uma vez identificados conjuntamente com os riscos na primeira etapa, cabe agora indicar o nível de maturidade dos controles, conforme segunda as classes predefinidas na
Planilha Documentadora de Riscos.

Fechar