Copyright © Dia Oficial 2024 | contato@diaoficial.com

DOU 03/05/2024 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152024050300022
22
Nº 85, sexta-feira, 3 de maio de 2024
ISSN 1677-7042
Seção 1
Os Controles podem ser classificados quanto ao desenho em:
(1) não há sistema de Controle;
(2) há procedimento de controle para algumas atividades, porém informais;
(3) controles não foram planejados formalmente, mas são executados de acordo com a experiência dos servidores;
(4) é desenhado um sistema de controle integrado adequadamente planejado, discutido e documentado. O sistema de controle vigente é eficaz, mas não prevê revisões
periódicas;
(5) o sistema de controle é eficaz na gestão de riscos (adequadamente planejado, discutido, testado e documentado com correções ou aperfeiçoamentos planejados de forma
tempestiva).
Realiza-se também a classificação dos controles quanto a operação dos controles em:
(1) controle não executado;
(2) controle parcialmente executado e com deficiências;
(3) controle parcialmente executado;
(4) controle implantado e executado de maneira periódica e quase sempre uniforme. Avaliação dos controles é feita com alguma periodicidade;
(5) controle implantado e executado de maneira uniforme pela equipe e na frequência desejada. Periodicamente os controles são testados e aperfeiçoados.
8.6. Tratamento de Riscos
8.6.1. Preenchimento do Plano de Ação para tratamento dos Riscos Inaceitáveis
Esta etapa tem como finalidade selecionar a resposta (tratamento) a ser adotada, para cada risco avaliado, de acordo com o Nível de Risco Residual, com o apetite a riscos,
com o contexto da FCP ou custo do controle, conforme o quadro a seguir (Quadro 2).
Quadro 2 - Estratégia de Resposta ao Risco. Fonte: Metodologia de Gestão de Riscos (CGU, 2018, adaptado)
. Opções de tratamento
Descrição
. Aceitar
Um risco normalmente é aceito quando seu nível está nas faixas de apetite a risco. Nessa situação, nenhum novo controle precisa ser implementado para mitigar o risco.
. Reduzir
Essa estratégia normalmente é escolhida quando é classificado como "Alto" ou "Crítico".
A implementação de controles deve apresentar um custo/benefício adequado. Reduzir o risco significa implementar controles que possam minimizar as causas ou as consequências dos riscos,
identificadas anteriormente
. Compartilhar
Um risco normalmente é compartilhado quando é classificado como "Alto" ou "Crítico", mas a implementação de controles não apresenta um custo/benefício adequado.
Pode-se compartilhar o risco por meio de terceirização ou apólice de seguro, por exemplo.
. Ev i t a r
Um risco normalmente é evitado quando é classificado como "Alto" ou "Crítico", e a implementação de controles apresenta um custo muito elevado, inviabilizando sua mitigação, ou não há
entidades dispostas a compartilhar o risco com a FCP. Evitar o risco pode significar encerrar ou deixar de implementar o processo organizacional.
Nesse caso, essa opção deve ser aprovada pelo Comitê Interno de Governança - C I G / FC P .
Selecionada a resposta mais adequada ao tratamento de cada risco, a fase seguinte consistirá na elaboração dos planos de ação, e estabelecer os prazos para a implementação
das iniciativas deles constantes. Os planos de ação podem implicar a adoção de novos controles ou a modificação de controles já existentes e deverão considerar:
¸ A eficácia das ações já existentes;
¸ As restrições organizacionais, técnicas e estruturais;
¸ Os requisitos legais;
¸ A análise custo/benefício;
¸ As ações a serem realizadas;
¸ As prioridades; e
¸ O cronograma de execução. O Plano de Tratamento de Riscos contemplará todos os planos de ação propostos, de acordo com os riscos identificados.
Os planos de ação conterão, pelo menos os seguintes itens (Figura 20) (e devem ser preenchidos em aba própria da Planilha Documentadora de Riscos (Aba 6. Plano de Ação)
conforme ilustrado abaixo:
¸ Objetivos/benefícios esperados;
¸ Unidade organizacional responsável pela implementação dos planos de ação e unidade(s) interveniente(s);
¸ Gestor de Riscos responsável;
¸ Breve descrição sobre a implementação;
¸ Data prevista para início da implementação;
¸ Data prevista para o término, se for o caso; e
¸ Status dos planos de ação.
Figura 20 - Apresentação do Plano de Ação na Planilha Documentadora de Riscos
Cabe ao Gestor de Risco submeter ao Comitê Interno de Governança da FCP - CIG/FCP o Plano de Ação para os riscos considerados inaceitáveis, isto é, os riscos residuais com
classificação de magnitude Crítico ou Alta (³10) conforme matriz de risco (Figura 10). Todos os riscos (pequenos, moderados, altos e críticos) devem ter uma resposta preenchida na aba
correspondente (Aba 6. Plano de Ação), no entanto apenas os Riscos classificados como inaceitáveis devem ter um Plano de Ação submetido ao CIG/FCP para avaliação e decisão quanto
ao tratamento a ser dado.
Se as iniciativas do Plano de Ação envolverem mais de uma unidade, o Gestor de Riscos responsável deve encaminhar a proposta do Plano para os Gestores de Riscos das
unidades envolvidas, para que estes validem as iniciativas das quais fizerem parte. É importante ressaltar que o tratamento a ser implementado pode ser uma nova fonte de risco e deve
ser tratado em conjunto com sua implementação.
O Gestor de Risco formaliza, o CIG/FCP aprova, e a CGE monitora os planos de ação, confirmando o responsável para cada iniciativa de tratamento e prazos acordados, que
é de 6 meses para os riscos considerados inaceitáveis. A CGE, juntamente com os Gestores de Riscos, deve verificar se as medidas adotadas estão sendo eficazes, bem como atualizar
o CIG/FCP da execução do Plano para os riscos considerados inaceitáveis.
Cabe ao Gestor de Risco, responsável pelo tratamento, atualizar o progresso das iniciativas do Plano de Ação e comunicar à CGE.
Após a execução da iniciativa de tratamento, é possível que permaneça algum risco residual. Este deve ser confrontado com o apetite a riscos definido, a fim de verificar se
está compreendido no nível "Aceitável". Caso negativo, deverá ser adotado um Plano de Ação para tratamento do risco residual.
É necessário avaliar a necessidade de melhorar ou extinguir controles já existentes. Somente após essa avaliação podem ser propostos novos controles, caso ainda haja
necessidade de redução do nível de risco.
O próximo quadro mostra a atitude a ser tomada, de acordo com o Nível de Risco residual (Quadro 3) encontrado:
Quadro 3 - Atitude perante o risco para cada Nível de Risco Residual. Fonte: Metodologia de Gestão de Riscos (CGU, 2018, adaptado)
. Classificação
Ação necessária
Exceção
. Risco pequeno
Nível de risco dentro do apetite a risco, mas é possível que existam oportunidades de maior retorno que podem ser exploradas
assumindo-se mais riscos, avaliando a relação custo x benefício, como diminuir o nível de controles.
Indica que o risco inerente já está dentro da tolerância a risco.
Caso o risco seja priorizado para implementação de medidas de tratamento, essa
priorização deve ser justificada pelo Gestor de Riscos e aprovada pelo CIG/FC P .
. Risco Moderado
Nível de risco dentro do apetite a risco.
Geralmente nenhuma medida especial é necessária, porém requer atividades de monitoramento específicas e atenção da unidade
na manutenção de respostas e controles para manter o risco nesse nível, ou reduzi-lo sem custos adicionais.
Indica que o risco residual já está dentro da tolerância a risco, mas deve se buscar reduzi-lo.
Caso o risco seja priorizado para implementação de medidas de tratamento, essa
priorização deve ser justificada pelo Gestor de Riscos e aprovada pelo CIG/FC P .
. Risco Alto
Risco Alto Nível de risco além do apetite a risco.
Qualquer risco nesse nível deve ser comunicado ao Núcleo de Gestão de Riscos e ter uma ação tomada em período determinado.
Postergação de medidas só com autorização do CIG/FCP.
Indica que o risco residual será reduzido a um nível compatível com a tolerância a riscos.
Caso o risco não seja priorizado para implementação de medidas de tratamento, a não
priorização deve ser justificada pelo Gestor de Riscos e aprovada pelo CIG/FC P .
. Risco Crítico
Nível de risco muito além do apetite a risco.
Qualquer risco nesse nível deve ser comunicado ao Comitê Interno de Governança e ter uma resposta imediata, construção de
Plano de Ação e tratamento em até 6 meses.
Postergação de medidas só com autorização do CIG/FCP.
Indica que nenhuma opção de resposta foi identificada para reduzir a probabilidade e o impacto a nível aceitável. Para
identificação do tipo de resposta, isto é se deve evitar o processo ou prosseguir com o processo adicionando-se mais
controles,
Caso o risco não seja priorizado para implementação de medidas de tratamento, a não
priorização deve ser justificada pelo Gestor de Riscos e aprovada pelo CIG/FC P .
.
deve-se avaliar se o custo do processo que gera o risco é desproporcional ou se a capacidade de lidar com o risco é muito
limitada.
8.7. Comunicação e Consulta
8.7.1. Comunicação dos Riscos Identificados
A comunicação consiste em um processo interativo de troca de informações e opiniões, envolvendo a organização e seus participantes, e as partes interessadas externas. Por
sua vez, a consulta constitui-se em um processo de comunicação informativa entre a organização e as partes interessadas, antes de se tomar uma decisão ou definir um posicionamento
em relação a uma determinada questão.
Muito do envolvimento das pessoas e unidades na gestão de riscos é influenciado por ações de comunicação e consulta eficazes. Consequentemente, essas devem ser mantidas
durante todas as fases do processo de gerenciamento de riscos.
A comunicação e a consulta têm como objetivo principal facilitar a troca de informações, levando em consideração os aspectos de confidencialidade, integridade e confiabilidade
e deve ser realizada contando, minimamente, com os seguintes instrumentos:
Plano de comunicação - No início de um novo ciclo de execução do processo de gerenciamento de riscos, é necessária a definição, em um documento estruturado, dos
elementos-chave concernentes à comunicação como finalidade, destinatários, responsáveis, tipo e periodicidade das ações de comunicação que serão promovidas.
Registro das ocorrências de riscos - caso um evento de risco venha a ocorrer, devem ser registradas informações relativas ao fato, tais como descrição do evento ocorrido,
impactos e prejuízos causados aos objetivos estratégicos e ao alcance das metas que permitam a construção de uma base histórica para avaliação da maturidade da instituição com relação
à sua gestão de riscos.
Os relatórios gerenciais de riscos de cada unidade serão submetidos ao CIG/FCP a cada ciclo de monitoramento que é anual e também comporão os planos bianuais de Gestão
de Risco como produto da fase de monitoramento e controle e auxílio à tomada de decisão para o Planejamento Estratégico.
Os planos serão aprovados por meio de Resolução, a serem publicados no Boletim de serviço Eletrônico, cuja matéria deve ser encaminhada à Procuradoria Federal junto à
Fundação Cultural Palmares para exame e parecer.
8.8. Monitoramento e Análise Crítica
8.8.1. Análise crítica dos riscos monitorados
A etapa de monitoramento e análise crítica constitui-se em um processo contínuo ao longo do ciclo de gestão de riscos, e sua execução tem como objetivos:
a) possibilitar a identificação de mudanças na classificação do risco e ajustar o tratamento, bem como a prioridade e os planos de ação adotados, com base na reavaliação
dos contextos interno e externo;
b) assegurar o acompanhamento dos eventos de risco e seus desdobramentos;
c) acompanhar e garantir a eficácia e eficiência dos controles internos adotados;
d) possibilitar a identificação de novos riscos ou riscos residuais que não haviam sido considerados, subsidiando o ciclo de Gestão de Riscos subsequente; e
e) possibilitar a atualização e melhoria contínua do Processo de Gestão de Riscos, e de sua estrutura.

Fechar