Controles Internos da

Gestão

UD I: Controles
Internos, Gestão de
Riscos e Governança

Parte 2/2
 SUMÁRIO

INTRODUÇÃO DESENVOLVIMENTO CONCLUSÃO

 INTRODUÇÃO

Lições aprendidas na instrução anterior?

O que é a metodologia da Gestão de Riscos?

 Considerações Iniciais

A Gestão de Riscos no EB

✓Institucional
✓Contínuo
✓Aplicação sistemática
✓São estabelecidos princípios, objetivos, diretrizes e
responsabilidades.
 Tem a finalidade de apresentar
Manual
metodologia e critérios técnicos
Técnico da
para a aplicação prática da gestão de
Metodologia
riscos, bem como orientar a identificação, a
de Gestão
avaliação, o tratamento, o
de Risco do
monitoramento e a comunicação
EB:
dos riscos institucionais.
 SUMÁRIO

INTRODUÇÃO DESENVOLVIMENTO CONCLUSÃO

 SUMÁRIO

INTRODUÇÃO DESENVOLVIMENTO CONCLUSÃO

 DESENVOLVIMENTO
Níveis de riscos

Tratamento dos riscos

Componentes da gestão de riscos

Níveis de riscos
EXTREMO

ALTO

MÉDIO

BAIXO
 EXTREMO

✓ Risco inaceitável, que possui alta probabilidade de ocorrência

e poderá resultar em impacto extremamente severo caso
ocorra. Exige tratamento imediato, de modo a evitar, eliminar
ou atenuar urgentemente as causas e/ou efeitos decorrentes;
✓ Somente serão aceitos em casos excepcionais;
✓ Caberá ao PRisC desenvolver controles para reduzi-los a
níveis aceitáveis.
 ALTO

✓ Pode ser tanto um risco provável, que possui alta

probabilidade de ocorrência e baixo impacto na
consecução dos objetivos, bem como um risco inesperado,
que possui baixa probabilidade de ocorrência e alto
impacto na consecução dos objetivos. Exige ações de
tratamento com planejamento e tempo.
✓ São toleráveis e poderão ser mantidos como resultado de
uma relação custo-benefício, porém devem ser tratados.
 MÉDIO

✓ Risco que necessita de atividades de monitoramento a fim

de mantê-lo neste nível ou de tratamento sem custos
adicionais.

✓ Somente monitoramento, não havendo necessidade de

controles.
 BAIXO

Risco que causa pouco prejuízo, necessitando apenas de

atividades de monitoramento devido à relação custo/benefício
de implantar controles.
 Níveis de riscos

Expressa a criticidade ou magnitude de um determinado

evento de risco, decorrente da combinação de seu impacto e
probabilidade de ocorrência. Classificam-se:
➢EXTREMO;

➢ALTO;

➢MÉDIO; e

➢BAIXO.
 Níveis de riscos
É medido em termos de:
Probabilidade x Impacto

Grau de Criticidade do Risco

(Magnitude)

1a5 1a5
 DESENVOLVIMENTO
Níveis de riscos

Tratamento dos riscos

Componentes da gestão de riscos

 Tratamento dos riscos

OPÇÕES DE TRATAMENTO

Aceitar
Aceitar Compartilhar
Compartilhar Evitar
Evitar Mitigar
 Aceitar

Não adoção de medidas

para reduzir a
probabilidade ou impacto
do risco;
 Compartilhar

Redução da probabilidade ou do
impacto do risco pela
transferência ou
compartilhamento de uma porção
do risco;
 Evitar

Não execução das

atividades que geram
riscos; e
 Mitigar

Adoção de medidas
visando a reduzir a
probabilidade, o impacto
dos riscos ou ambos.
 Tratamento dos riscos
Modificar a magnitude do risco agindo na Probabilidade.
Modificar a magnitude do risco agindo no Impacto.
Modificar a magnitude do risco agindo na probabilidade e no
impacto.
 Plano de Ação
É um documento pelo qual são efetivadas as medidas de
desenvolvimento e aperfeiçoamento dos controles internos da gestão e planos
de contingência.
 DESENVOLVIMENTO
Níveis de riscos

Tratamento dos riscos

Componentes da gestão de riscos

 Componentes da gestão de riscos
8 FASES
Ambiente interno
Fixação de Objetivos
Identificação de eventos
Avaliação de riscos
Resposta a riscos

Atividades de controle

Informação e comunicação

Monitoramento
 Ambiente interno

Inclui, entre outros elementos, integridade, valores éticos,

maneira pela qual a gestão delega autoridade e
responsabilidades, estrutura de governança organizacional
e políticas e práticas de recursos humanos. O ambiente
interno será a base para todos os outros componentes da
estrutura de gestão de riscos.
 Fixação de Objetivos

Em todos os níveis do EB, os objetivos organizacionais

deverão ser fixados e alinhados à missão e à visão da
organização, de modo a facilitar a identificação de eventos
que potencialmente impeçam sua consecução.
 Objetivos da OM

✓É necessário que os objetivos existam para que a OM possa

identificar e avaliar os riscos quanto a sua realização, bem
como adotar as medidas necessárias para administrá-los. Os
Objetivos são confeccionados através do Plano de Gestão.

✓É uma precondição para:

➢Identificação de eventos
➢Avaliação de riscos
➢Respostas a riscos
 Objetivos da OM
A identificação de forças/fraquezas e oportunidades/ameaças ocorre durante a
análise dos ambientes interno e externo, respectivamente, de modo a registrar os
pontos fortes e fracos e suas influências nos macroprocessos/processos da OM.
A definição dos processos críticos que mais impactam na consecução
dos objetivos da OM poderá ser feita estabelecendo uma correlação
entre os processos e seus objetivos.
EXEMPLO
 ASPIRANTES DE
2024,
INTERESSANTE
CONFECCIONAR AO
CHEGAR NA SUA
SEÇÃO
 Identificação de Eventos

Deverão ser identificados e relacionados aos processos

organizacionais, projetos e demais eventos internos e
externos que possam influenciar no cumprimento
dos objetivos das organizações militares (OM), sendo
classificados como riscos ou oportunidades.
 Identificação de Eventos

Exigem avaliação e
Riscos pronta resposta da
OM.

Eventos

Devem ser
potencializados e
canalizados
Oportunidades para o Cmt/Ch/Dir da
OM, a fim de que sejam
definidas as estratégias
para maximização.
 Identificação de Eventos/Riscos
com conhecimento
do processo;
Processo de
Quem
Identificação de Pessoal com visão holística
participa?
Riscos das atividades;

com visão holística

das rotinas nos
Técnica Técnicas e fontes de seus diferentes
utilizada consulta: níveis.
questionários;
workshops;
brainstorming;
Qual? Exemplo lições aprendidas;
inspeções;
auditorias;
●fluxogramas etc.

A que melhor
se adapta ao
grupo.
Identificação de Eventos
A utilização de numeradores
nos objetivos, riscos, fatores
de risco e controles facilitará
a gestão de riscos da OM.
 Avaliação de Riscos

Os riscos deverão ser avaliados sob a perspectiva de

probabilidade e impacto de sua ocorrência, do inter-
relacionamento com outros riscos e quanto à condição de
inerentes ou residuais.
 Avaliação de Riscos
Pessoal: recursos humanos que
Fonte Interna:
podem cometer erro intencional
presente no
ou não-intencional.
ambiente interno

Material: recursos materiais ou

físicos compostos por
Fonte de Risco instalações, infraestrutura de TI,
mobiliário, equipamentos,
material de consumo, dentre
outros;

Fonte Externa: está presente

no ambiente externo, portanto
não são gerenciáveis e não Administrativa: recursos intangíveis
estão sob a governabilidade que incluem processos organizacionais,
documentos normativos, tecnologia de
do órgão. Influencia
produção e sistemas informatizados,
principalmente nos objetivos dentre outros.
estratégicos
Avaliação de Riscos
 A OM poderá optar pelo método bow tie (gravata borboleta), para
analisar os riscos identificados, relacionando os fatores de risco
(causas) que influenciam na sua concretização e as consequências
decorrentes.

Art. 35 ao 38 do Manual Técnico da Metodologia de Gestão de Riscos do EB.

Avaliação da Probabilidade
Avaliação do Impacto
Matriz de Riscos e Controles
Matriz de Exposição a Riscos

A matriz apresenta
os pontos de cruzamento da
probabilidade de ocorrência
e do impacto dos
riscos.
 Nível de Risco do Processo

O nível de risco (extremo, alto, médio e baixo) do processo

é obtido através do resultado da média aritmética do produto
entre a probabilidade e o impacto dos riscos inerentes
elencados no processo e serve como fator de comparação
entre processos distintos.
Nível de Risco do Processo

9 + 16 + 20 + 25 + 20 + 5 + 6 = 101
101/7 = 14,42857142857
14,42857142857 = 14,4
 Resposta a Riscos

A OM deve identificar qual estratégia seguir (aceitar,

compartilhar, evitar ou mitigar) em relação aos riscos
mapeados e avaliados. A escolha da estratégia dependerá
do nível de exposição a riscos previamente estabelecido pela
organização, em confronto com a avaliação que se fez do risco
e da relação custo benefício.
 Resposta a Riscos
A priorização deve estar embasada na Matriz de Exposição a Riscos.

Os riscos no
quadrante vermelho devem
receber prioridade no
tratamento.
 Resposta a Riscos

OPÇÕES DE TRATAMENTO

Aceitar
Aceitar Compartilhar
Compartilhar Evitar
Evitar Mitigar
Matriz de Riscos e Controles
 Atividades de controle

São procedimentos estabelecidos para reduzir os riscos

que a OM tenha optado por tratar. Incluem controles
preventivos, detectivos e a preparação prévia de planos de
contingência.
 Atividades de controle

Prevenir, evitar a
Atividade de Controle ocorrência dos riscos.

- procedimentos de autorização e aprovação;

- segregação de funções (autorização,
execução, registro, controle);
- controles de acesso a recursos e registros;
Controle
- verificações; Preventivo
- avaliação de desempenho;
- avaliação das operações, dos processos
e das atividades; e
- supervisão;
- revisão de operações, processos e atividades;
- normatização interna; Controle de
- controles físicos;
- capacitação e treinamento; Detecção
- revisão de superiores
- atribuição de autoridade e limites de alçada Detectar a ocorrência
- indicadores de desempenho; e dos riscos e atenuar os
- travas e restrições de sistemas, etc. impactos nos objetivos.
(Plano de contingência)
 Atividades de controle

Após a implementação dos controles preventivos, de detecção e os

planos de contingência, faz-se necessário reavaliar os riscos
considerando os controles internos implementados, momento em que
passam a ser denominados residuais estimados.

O gestor deverá estimar um novo grau de criticidade para os riscos,

bem como para o processo, mediante preenchimento do extrato da
Matriz de Riscos e Controles, definindo níveis de riscos após a
avaliação dos riscos residuais estimados .
Matriz de Riscos Individuais
Atividades Estimados
de controle
Matriz de Exposição a Riscos Residuais Estimados
após a reavaliação
 Informação e Comunicação

Tem como objetivo identificar, coletar e disseminar

informações relevantes e oportunas sobre o gerenciamento
dos riscos.
 Informação e Comunicação

Informação: Confiável, integra e tempestiva

Seguem a cadeia de comando

O seu fluxo deve permitir que as informações possam chegar a

todas organizações e pessoas que tenham a necessidade de
conhecê-las.
 Monitoramento

Tem como objetivo avaliar a qualidade das atividades de

controle por meio de ações gerenciais contínuas e/ou
avaliações independentes, buscando assegurar que estas
funcionem como previsto e que sejam modificadas, por
meio de planos de ação, caso ocorram alterações
no nível de risco.
 Procedimentos do Monitoramento

I - verificar se o plano de ação proposto foi executado.

II - acompanhar a evolução das condições dos riscos identificados e

analisados.

III - avaliar a eficácia dos controles.

 Procedimentos do Monitoramento

I - verificar se o plano de ação proposto foi executado.

EXECUTADO

EM EXECUÇÃO

NÃO EXECUTADO
 Procedimentos do Monitoramento

I - verificar se o plano de ação proposto foi executado.

II - acompanhar a evolução das condições dos riscos identificados e

analisados.

III - avaliar a eficácia dos controles.

 Procedimentos do Monitoramento

II - acompanhar a evolução das condições dos riscos identificados e

analisados.
 Procedimentos do Monitoramento

I - verificar se o plano de ação proposto foi executado.

II - acompanhar a evolução das condições dos riscos identificados e

analisados.

III - avaliar a eficácia dos controles.

 Procedimentos do Monitoramento

III - avaliar a eficácia dos controles.

Ainda nesta fase, faz-se necessário reavaliar os riscos, considerando a eficácia dos
controles, momento em que passam a ser denominados residuais efetivos.

O gestor deverá, por fim, constatar o real grau de criticidade dos riscos, bem como
do nível de risco do processo.

O processo de monitora-mento é de responsabi-lidade direta dos PRisC.

Matriz de Riscos Residuais Efetivos
Matriz de Exposição a Riscos Residuais Efetivos após
a reavaliação
 SUMÁRIO

INTRODUÇÃO DESENVOLVIMENTO CONCLUSÃO

 SUMÁRIO

INTRODUÇÃO DESENVOLVIMENTO CONCLUSÃO

 CONCLUSÃO
Após a execução
das oito etapas do processo de Para cada objetivo do processo
gestão de riscos, o gestor possuirá incorre em pelo menos um risco
informações mais precisas e que pode ser concretizado pela influência
confiáveis para a de um ou mais fatores de risco (causas),
tomada de decisão. bem como gerar uma ou mais consequências
nos objetivos do processo, razão pela qual
utiliza-se a técnica Bow-Tie para
realizar a análise do risco.

A integração da gestão de riscos à

toda ordem de atividades da Instituição
permitirá ao gestor melhores condições
para o atingimento dos objetivos.
 CONCLUSÃO
O fluxo da comunicação
deve proporcionar que as
informações sobre os riscos Os riscos inerentes são avaliados
possam chegar, de forma tempestiva, para demonstrar ao gestor o potencial
a todas organizações e pessoas de danos que podem causar aos
que tenham a necessidade objetivos da OM.
de conhecê-las.
Os riscos residuais estimados
demonstram ao gestor o nível de risco
esperado após a implantação dos
controles, enquanto os residuais
efetivos demonstram ao gestor
o real nível de risco com base no
monitoramento da implementação
dos diversos planos de ação
propostos e da avaliação da
eficácia dos controles.
 TRABALHO EM GRUPO
4 GRUPOS
3 GRUPOS COM 13
1 GRUPO COM 12

MONTAR A MATRIZ DE RISCOS E CONTROLES DE SUA SEÇÃO

(NO MÍNIMO 5 RISCOS)

MONTAR A MATRIZ DE EXPOSIÇÃO A RISCOS

(INERENTES, RESIDUAIS ESTIMADOS E RESIDUAIS EFETIVOS)
TRABALHO EM GRUPO
TRABALHO EM GRUPO
 TRABALHO EM GRUPO
GRUPO 1: SETOR DE APROVISIONAMENTO

GRUPO 2: ALMOXARIFADO

GRUPO 3: SALC (RISCOS DIFERENTES DO ANEXO Q)

GRUPO 4: SETOR FINANCEIRO

 TRABALHO EM GRUPO
APRESENTAÇÃO: 28 DE ABRIL 13:30H

APRESENTAÇÃO: PROJEÇÃO DE MÍDIA NA SALA DE INSTRUÇÃO E

TODOS OS ELEMENTOS DO GRUPO PARTICIPAM DA
APRESENTAÇÃO

DÚVIDAS