13 DIÁRIO OFICIAL DO ESTADO | SÉRIE 3 | ANO XVI Nº083 | FORTALEZA, 06 DE MAIO DE 2024 O Sistema de Controle Interno atua em todas as áreas e funções da Fundação, por isso, é imprescindível que exista uma coordenação cuidadosa e eficiente para garantir que os processos de controle sejam conduzidos conforme esperado. Tal coordenação deve garantir que não haja “lacunas” em controles, nem tampouco duplicações desnecessárias na cobertura. Isso implica na definição clara das responsabilidades para que cada grupo de profissionais compreenda o alcance e limites de sua atuação, bem como entendam como seus cargos e atribui- ções se encaixam no Sistema de Controle Interno como um todo. Segundo esse modelo, existem controles que são implementados por unidade e avaliados por seus supervisores, na execução cotidiana de suas atividades, e se constituem na primeira linha de defesa. A partir da identificação dos principais riscos aos objetivos da Fundação, são propostas medidas de controle específicas para mitigá-los, que são monitoradas e relatadas pelas áreas de gerenciamento de riscos e conformidade (Ouvidoria, Corregedoria, Unidade de Controle Interno/Complaince), as quais compõe a segunda linha de defesa. Tanto a primeira quanto a segunda linha de defesa ocorrem concomitantemente com a própria gestão, estando subordinadas a esta, e tem caráter prioritaria- mente preventivo e de assessoria. Já a terceira linha de defesa é composta pela Auditoria Interna que, de forma independente, avalia a posteriori a eficácia dos controles implementados, reportando-se a Direção Máxima. 11. ETAPAS DO PROCESSO DE GESTÃO DE RISCOS 1.1. Estabelecimento do contexto A primeira coisa a ser feita no estabelecimento do contexto é a listagem e um breve resumo dos objetivos organizacionais, pois são os riscos desses objetivos não serem atingidos que serão gerenciados. Feito isso é necessária a montagem da matriz SWOT que serve para mostrar o ambiente no qual os objetivos institucionais serão perseguidos. Nesta matriz devem estar listadas as forças, as fraquezas, as oportunidades e as ameaças que possam influenciar no atendimento dos objetivos da instituição. Por fim, é necessário estabelecer os parâmetros por meio dos quais os riscos serão gerenciados, como as escalas de probabilidade e impacto e a definição do apetite a risco, que é o nível de risco considerado como aceitável. 11.2. Identificação dos riscos Feita a definição dos objetivos que a instituição pretende atingir, é hora de mapear quais os eventos de risco que podem impedir que estes objetivos sejam atingidos. Passamos para a etapa de identificação de riscos. O Tribunal de Contas da União recomenda a abordagem top-down (de cima para baixo). Inicia-se por meio da listagem dos eventos de risco ligados aos objetivos institucionais e caminha-se para um maior nível de detalhamento, como o mape- amento dos eventos de riscos ligados aos processos críticos e depois dos eventos de riscos atrelados aos subprocessos dos processos críticos. A listagem caminha do macro para o micro. Uma vez feito o mapeamento e listagem dos eventos de risco é necessário listar as possíveis causas e possíveis consequências de cada um desses eventos, para fecharmos a etapa de identificação de riscos. 11.3. Análise de risco Tendo em vista que foram definidos e listados os eventos de riscos com suas possíveis causas e consequências, é hora de mensurar estes eventos de risco, por meio do cálculo do nível de risco. O primeiro passo é o cálculo do nível de risco bruto, que é a probabilidade e o impacto de um evento de risco antes de implementada qualquer medida de controle. Depois é necessário mensurar a qualidade das medidas de controle existentes em barrar o risco bruto, fornecendo o risco residual, que é o que sobra do risco bruto após ser mitigado pela atividade de controle existente. Uma vez calculado o risco residual, monta-se uma tabela em ordem decrescente do nível de risco residual de forma a deixar claros quais são os eventos de risco que prioritariamente devem ser tratados. 11.4. Avaliação de risco Uma vez que os eventos de risco já foram mensurados, torna-se necessária a definição das medidas de tratamento que serão implementadas para cada um deles, sendo que os tratamentos possíveis são: aceitar, mitigar, transferir, evitar. Ao lado de cada evento de risco deverá ser informado a forma de tratamento que será adotada, tendo por base o nível de risco residual e o apetite a risco definido na primeira etapa de definição do contexto. 11.5. Tratamento de risco Tendo em vista que já houve a definição de qual tratamento será dado, é hora de definir como cada opção de tratamento será implementada. Agora é a horaFechar