Gestão de Riscos
Acesse a página do Comitê de Governança, Integridade, Riscos e Controles da UFV (CGRC)
Política de Gestão de Riscos (PGRC) – 2021
A Área de Integridade e Gestão de Riscos da (DGI), em ação que contou com o assessoramento da Auditoria Interna da UFV, elaborou a Política de Gestão de Riscos e Controles Internos (PGRC), aprovada conforme Resolução nº 07/2021/Consu.
O instrumento estabelece as diretrizes gerais em gestão de riscos a serem utilizadas na UFV, em caráter multicampi, contemplando a adoção da Matriz de Riscos 5 x 5 nos procedimentos adotados na Instituição, assim como a definição do fluxo da gestão de riscos.
A estrutura da Gestão de Riscos na UFV se baseia nos pilares da Política de Gestão de Riscos, da Metodologia, das Instâncias de Supervisão e das Soluções Tecnológicas. Afigura abaixo demonstra as características da estrutura:
Para que se desenvolva o processo de gestão de riscos é necessário seguir as etapas definidas no Processo de Gestão de Riscos.
A figura à seguir apresenta o processo de gestão de riscos simplificado:
Processo de Gestão de Riscos da UFV
Implementação
Para a efetiva implementação da gestão de riscos, é necessário que a sequência descrita no Processo de Gestão de Riscos seja observada. À seguir serão abordadas cada uma das etapas de forma detalhada, compeendendo:
O processo detalhado é representado graficamente na figura abaixo:
1 – Análise de Contexto
A análise de contexto, terceira aba da planilha de coleta de dados para gestão de riscos apresenta as informações necessárias para entendimento do contexto interno e externo à qual a instituição se situa, avalia e identifica as habilidades, a capacidade, a estratégia, o contexto externo e a política da instituição, considerando ainda a identificação dos instrumentos normativos e da base legal aos quais a organização esteja vinculada para a implementação da PGRC. As informações contemplam:
Levantamento de Informações sobre Ambiente Interno e sobre a Fixação de Objetivos da Unidade
Governança e Cultura
Informações sobre o Ambiente Interno da Unidade
Definição de Objetivos da Unidade
Informações sobre o Processo Mapeado com Riscos a serem Gerenciados
As informações desta Aba têm a finalidade de avaliar aspectos dos dois primeiros componentes do COSO GRC (2017) – Governança e Cultura e Estratégia e Definição de Objetivos, e contribui para identificar também a existência de aspectos relacionados à integridade. Os demais três aspectos do COSO (Performance (Riscos), Análise e Revisão e Comunicação) são analisados nas próximas abas da Planilha de Coleta de Dados para Gestão de Riscos.
As informações contemplam os aspectos do COSO relacionados à Levantamento de Informações sobre Ambiente Interno e sobre a Fixação de Objetivos da Unidade, Governança e Cultura, Informações sobre o Ambiente Interno da Unidade, Definição de Objetivos da Unidade, Informações sobre o Processo Mapeado com Riscos a serem Gerenciados.
Para auxiliar as análises do gestor de riscos, a quarta aba da planilha apresenta a Matriz SWOT, que deve ser preenchida para que se obtenha conhecimento dos fatores internos e externos que impactam no alcance dos objetivos, podendo ser positivos ou negativos, dispondo as informações em um Diagrama de Verificação de Riscos (DVR). Tais informações servirão ainda para a correta identificação dos riscos, Tópico 5 – Identificação dos Riscos deste guia orientativo.
A utilização da Análise SWOT proporciona a identificação dos fatores internos e externos que impactam no alcance do objetivo. Esses ajudam a identificar as forças, fraquezas oportunidades e ameaças, enfim, todas as incertezas do processo e devem seguir a seguinte configuração:
2 – Capacitação em Gestão de Processos
As equipes setoriais de multiplicadores e os gestores devem participar da capacitação em Gestão de Processos, acessando os materiais disponibilizados pelo Escritório de Processos através dos links abaixo:
– Curso CEAD: ‘Como mapear processos com o Bizagi Modeler’
– Proposta de Estruturação do Escritório
– Vídeo: ‘Introdução sobre o projeto’
– Vídeo: ‘Como preencher a planilha de coleta de dados do EP’
– Vídeo: ‘Como analisar os dados coletados junto aos setores da UFV’
Com intuito de promover a disseminação da cultura de Gestão de Riscos na UFV em todos os níveis, a integração desta cultura ao processo de planejamento estratégico, aos projetos, processos e atividades, todo o material de capacitação e treinamentos são abertos para toda a comunidade da UFV e para qualquer cidadão interessado no tema.
3 – Mapeamento de Processos
Esta etapa da gestão de riscos, iniciada em 2021, aborda o mapeamento, avaliação e racionalização dos processos organizacionais na UFV.
Na execução do mapeamento de processos os proprietários dos riscos (Reitor, Pró-Reitores, Diretores de Campus ou de Centro de Ciências), designam equipes setoriais de multiplicadores (gestores de riscos) que serão responsáveis para, em seu nome, realizar a gestão de riscos sobre os processos sob sua responsabilidade.
Nesta etapa, os processos são identificados, mapeados e alinhados aos objetivos estratégicos da instituição. Os portfólios de projetos definidos seguem a metodologia BPM (Business Process Modeler) e seu detalhamento pode ser acompanhado na página do Escritório de Processos.
O acompanhamento dos processos já mapeados pode ser acompanhado na página do Portfólio de Processos do Escritório de Processos e a evolução dos trabalhos pode ser visualizada no gráfico dinâmico abaixo:
4 – Capacitação em Gestão de Riscos
As equipes setoriais de multiplicadores, as mesmas que participaram da etapa de mapeamento de processos e a Alta Administração da UFV, receberão capacitação em Gestão de Riscos ofertada pela DGI através de videoconferências e/ou palestras, além da disponibilização do material de suporte.
A capacitação promovida possibilitará o entendimento da Gestão de Riscos em todas as suas etapas, o entendimento dos conceitos envolvidos, das normas que tratam do tema, além da operacionalização das ferramentas de suporte:
5 – Identificação dos Riscos
Os riscos relacionados aos processos serão identificados considerando sua capacidade de criar, aumentar, evitar, reduzir, acelerar ou atrasar a realização dos objetivos institucionais ou do próprio processo.
O processo de identificação dos riscos deve conter as informações que permitam esclarecer:
– Qual o processo que está sendo tratado?
– À qual macroprocesso está vinculado? Ex: Ensino, Pesquisa, Extensão, Inovação, Suporte, Governança
– Quais os eventos de riscos que podem comprometer o processo?
– Quais as causas e/ou fontes destes eventos de risco?
– Quais os efeitos e consequências?
– Em qual tipologia se enquadra o evento de risco? Ex: Integridade, Estratégico, Operacional
– Qual o objetivo institucional afetado pelo evento de risco?
Com as questões resolvidas, é possível preencher a sintaxe:
Devido a <CAUSA/FONTE>, poderá acontecer <DESCRIÇÃO DO EVENTO DE RISCO>, o que poderá levar a <EFEITO/CONSEQUÊNCIAS> impactando no alcance do <OBJETIVO>
6 – Análise e Avaliação dos Riscos
As etapas de Análise e Avaliação dos Riscos ocorrem de forma simultânea.
Isto porque, na análise são identificadas a Probabilidade de Ocorrência do Risco (P) ocorrer e o Impacto Gerado (I) caso venha o risco se concretize pela multimplicação dos valores.
Ao resultado da multiplicação P x I denominamos de Risco Inerente, ou seja, o risco puro, sem nenhum tratamento ou controle.
O Risco Inerente é graduado de acordo com a matriz estabelecida na PGRC. Também os níveis de impacto e probabilidade recebem uma graduação, conforme demonstrado na Matriz 5 X 5 com pontuação, à seguir:
De acordo com o resultado do Risco Inerente, este é classificado em quatro níveis: Crítico, Alto, Moderado e Pequeno:
Graficamente, o Nível de Riscos definido na PGRC é apresentado da seguite forma na Matriz 5 X 5:
7 – Tratamento dos Riscos
A etapa de tratamento dos riscos avalia os controles existentes na instituição relacionados aos eventos de riscos identificados.
Em primeiro momento são avaliados os controles existentes para mitigação dos riscos, ou seja, são as atividades que auxiliam na REDUÇÃO DA PROBABILIDADE DE OCORRÊNCIA DOS EVENTOS DE RISCOS;
Na sequência, a avaliação se volta para os Planos de Contingência porventura existentes. Assim, avalia a existência de algum conjunto de ações que visam minimizar o IMPACTO DOS EVENTOS DE RISCO, caso venham acontecer.
Isto posto, a avaliação projeta o Nível de Confiança dos controles, classificando-os de acordo com a correlação com o Risco do Controle apurado:
Apurados o Nível de Confiança (NC) no Controle e o Risco de Controle (1-NC) obtém-se como resultado o Risco Residual pela aplicação da fórmula: (RI*(1-NC)). O Risco Residual é o resultado do Risco Inerente (RI) descontada a avaliação dos controles existentes, ou seja, o risco na situação atual.
Neste momento o RI é classificado quanto ao grau de Risco de acordo com a Tabela Níveis de Risco.
De acordo com a classificação do Grau de Risco, a PGRC define em seu Anexo III o tipo de resposta ao risco: Aceitar, Compartilhar ou Transferir, Reduzir ou Evitar, assim como as ações de controle a serem tomadas em cada ocasião.
8 – Elaboração de Plano de Ação e Plano de Contingência
Conforme visto na etapa anterior a existência e efetividade de um Plano de Ação e um Plano de Contingência já foram objeto de análise.
Desta forma, o gestor deve avaliar a necessidade de se estabelecer novos Planos de Ação e de Contingência, ou revisar os existentes, considerando as condições às quais os riscos foram analisados e fatores que possam impactar negativa ou positivamente o alcance dos objetivos.
Nesta etapa as ações são realizadas através da Plataforma ForRisco, que fornece os meios eletrônicos de vinculação dos Planos de Ação e Contingência à um responsável, emissão de alertas e vinculação aos objetivos institucionais (Plataforma ForPDI) e à processos.
É importante salientar que os gestores e os multiplicadores por eles indicados tem autonomia e liberdade para a proposição de mecanismos de controle para os riscos à eles atribuídos a obrigação de gerir, ressaltando a necessidade de obedecer aos preceitos da PGRC.
9 – Monitoramento e Controle
O monitoramento e controle são também efetivados através da Plataforma ForRisco. cabendo ao gestor a parametrização dos períodos de intervalos do monitoramento, os responsáveis por fazer o acompanhamento dos Planos de Ação e Contingenciamento, dentre outras ações.
O Monitoramento e Controle permitem que o gestor mantenha os riscos dentro da faixa de aceitabilidade para cada objetivo ou processo, devendo ser de caráter permanente no processo de gestão de riscos, ressaltando que, uma vez detectada a existência de novos potenciais riscos ou defasagem nos controles existentes, as etapas 1ª a 10ª deste procedimento de gestão de riscos devem ser novamente executadas.
10 – Comunicação e Consulta
A etapa de comunicação e consulta deve ocorrer, assim como a 9ª Etapa, durante todo o processo de gestão de riscos.
O Anexo III da Política de Gestão de Riscos estabelece uma faixa de riscos aceitáveis pela Alta Administração da UFV, cabendo aos gestores de riscos comunicar e/ou consultar as autoridades da estrutura de governança da UFV acerca de eventos adversos na gestão de riscos, assim considerados aquele que impactam em aumento na exposição de riscos institucionais ou a possibilidade de oportunidades detectadas no processo.
Todo o procedimento deve ser pautado nos relatórios computacionais gerados na Plataforma ForRisco e apresentados para avaliação do Comitê de Governança, Integridade, Riscos e Controles (CGRC).
Por ser um projeto em execução e dado o dinamismo dos eventos que exercem influência, internos e externos, este é um processo (a gestão de riscos) que está permanentemente em evolução, objetivando a melhor perspectiva de detecção e controle destes eventos e o alcance dos objetivos institucionais.
Da Cooperação Técnica para o aperfeiçoamento da metodologia
A UFV, em parceria com a UFVJM no âmbito do ACORDO DE COOPERAÇÃO TÉCNICA Nº 128/2021, desenvolveu uma planilha de coleta de dados para a Gestão de Riscos. O documento passou por adaptações ao modelo inicial, inovações e auditoria realizada pelas equipes das Diretorias de Governança Institucional das duas instituições para possibilitar aos gestores (proprietários dos riscos) uma ferramenta capaz de auxiliá-los nos trabalhos de gestão de riscos, atendendo aos conceitos da política de gestão de riscos e das melhores práticas de governança adotadas na gestão de riscos.
Acesse a versão atual do documento modelo no banner abaixo:
Planilha Modelo desenvolvida em parceria UFV/UFVJM
Versão Atualizada em 04/11/2022
Resultados da Etapa I – Mapear Riscos:
Abaixo é possível acessar a lista dos processos críticos já mapeados da UFV, cujos fluxogramas encontram-se disponíveis no site do Escritório de Processos. Aqueles processos que estão com hiperlink já possuem análise de riscos elaborada e publicada pela DGI. À medida que os dados forem coletados, novas análises serão disponibilizados.
Ao clicar no nome de um processo (com hiperlink) poderá ser visualizada a respectiva planilha de análise. Na planilha constarão:
(i) o processo associado ao evento de risco (previamente mapeado);
(ii) a análise de contexto e matriz SWOT;
(iii) os riscos associados a cada processo;
(iv) as causas e consequências de cada risco;
(v) a probabilidade de ocorrência e o impacto gerado pelo risco;
(vi) a categorização e a indicação de sua natureza;
(vii) a vinculação ao objetivo institucional;
(viii) o cálculo do risco inerente;
(ix) o nível de criticidade do risco;
(x) os controles adotados ou propostos para mitigação e a avaliação de sua eficácia, além dos riscos residuais apurados.
Pró-Reitoria de Planejamento e Orçamento (PPO)
DGI
Escritório de Processos:
• DG501 – Organização: Gestão de Processos – Definição e Alterações de Cronograma
– Subprocesso (DG501) – Organização: Gestão de Processos – Mapeamento e Publicação de Processos
• DG502 – Organização: Gestão de Processos Dia a Dia – Gestão da Comunicação do EP
Gestão de Risco:
• DG512 – Organização: Gestão de Riscos
Gestão do SEI:
• DG504 – Doc. e Informação: Gestão do SEI – Cadastro de Usuários Externos
• DG505 – Doc. e Informação: Gestão do SEI – Cadastro de Servidores
• DG506 – Doc. e Informação: Gestão do SEI – Cadastro de Colaboradores Eventuais
• DG507 – Doc. e Informação: Gestão do SEI – Registro da Tramitação de Processos Físicos
• DG508 – Doc. e Informação: Gestão do SEI – Cadastro e Alteração de Unidades
• DG509 – Doc. e Informação: Gestão do SEI – Cadastro de Tipos de Processos
• DG510 – Doc. e Informação: Gestão do SEI – Cadastro de Modelos de Documentos
• DG511 – Doc. e Informação: Gestão do SEI – Desanexar Processo ou Cancelar Documentos
Governança Institucional:
• DG13 – Organização: Politica de Gestão de Riscos e Controles Internos (PGRC)
• DG14 – Organização: Diagnóstico do Índice de Governança e Gestão Pública (IGG)
• DG15 – Organização: Gestão da Política de Governança Institucional (PGI)
• DG16 – Organização: Diagnóstico e Implementação da Transparência
• DG17 – Organização: Gestão do Sistema de Correição
• DG18 – Organização: Gestão da Privacidade de Dados
• DG19 – Organização: Gestão do Plano de Integridade
Convênios e Parcerias:
• DG01 – Administração: Contrato de Prestação de Serviços
• DG02 – Administração: Acordo de Parceria
• DG03 – Administração: Acordo de Cooperação Técnica
– Subprocesso (DG1, DG02, DG03) – Administração Geral: Termo Aditivo de Prazo e/ou Valor
• DG06 – Administração: Termo de Execução Decentralizada
• DG20 – Administração: Protocolo de Intenções
• DG21 – Administração: Outorga de Uso de Laboratório
Gestão Contratual:
• Em construção
DFN
• Em construção
DMT
• Em construção
DTI
• Em construção
Demais Unidades
Em construção
Planilhas de Controle
Clique aqui para acompanhar a evolução dos trabalhos quanto à Gestão de Riscos na UFV
Clique aqui para acessar o histórico de reuniões e controles da DGI
Clique aqui para acessar o contato das equipes setoriais
Benchmarking
em construção
Contato
Wanderson Lopes Gomides
gestaoderiscos@ufv.br
Telefone: 31-3612-2905
Contato:
Wanderson Lopes Gomides
gestaoderiscos@ufv.br
Telefone: 31-3612-2905