Metodologia de Gestão de Risco adotada pela UFVJM

Estrutura Institucional para a Gestão de Riscos na UFVJM

 

A estrutura da Gestão de Riscos na UFVJM se baseia nos pilares da Política de Gestão de Riscos, do Plano de Gestão de Riscos, da metodologia, das instâncias de supervisão e das soluções tecnológicas. A figura abaixo demonstra as características da estrutura:

 

Modelo estabelecido

 

Estrutura

 Fonte: Elaborado por UFV / UFVJM (2022)

 

Para que se desenvolva o processo de gestão de riscos é necessário seguir as etapas definidas no Processo de Gestão de Riscos. A figura à seguir apresenta o processo de gestão de riscos simplificado:

 

 

Fonte: Elaborado por UFV / UFVJM (2022)

 

Implementação


Para a efetiva implementação da gestão de riscos, é necessário que a sequência descrita no Processo de Gestão de Riscos seja observada. À seguir serão abordadas cada uma das etapas de forma detalhada, compreendendo:

 

Implementação

 

O processo detalhado é representado graficamente na figura abaixo:

 

Processo

Fonte: Elaborado por UFV / UFVJM (2022)

 

1 – Análise de Contexto

A análise de contexto, terceira aba da planilha de coleta de dados para gestão de riscos apresenta as informações necessárias para entendimento do contexto interno e externo à qual a instituição se situa, avalia e identifica as habilidades, a capacidade, a estratégia, o contexto externo e a política da instituição, considerando ainda a identificação dos instrumentos normativos e da base legal aos quais a organização esteja vinculada para a implementação da PGRC. As informações contemplam:

 

Contexto 

 

As informações desta Aba têm a finalidade de avaliar aspectos dos dois primeiros componentes do COSO GRC (2017) – Governança e Cultura e Estratégia e Definição de Objetivos, e contribui para identificar  também a existência de aspectos relacionados à integridade. Os demais três aspectos do COSO (Performance (Riscos), Análise e Revisão e Comunicação) são analisados nas próximas abas da planilha de coleta de dados para gestão de riscos.

As informações contemplam os aspectos do COSO relacionados à Levantamento de Informações sobre Ambiente Interno e sobre a Fixação de Objetivos da Unidade, Governança e Cultura, Informações sobre o Ambiente Interno da Unidade, Definição de Objetivos da Unidade, Informações sobre o Processo de Mapeado de Riscos a serem Gerenciados.

Para auxiliar as análises do gestor de riscos, a quarta aba da planilha apresenta a Matriz SWOT, que deve ser preenchida para que se obtenha conhecimento dos fatores internos e externos que impactam no alcance dos objetivos, podendo ser positivos ou negativos, dispondo as informações em um Diagrama de Verificação de Riscos (DVR). Tais informações servirão ainda para a correta identificação dos riscos, Tópico 5 – Identificação dos Riscos deste guia orientativo.

 

SWOT 

A utilização da Análise SWOT proporciona a identificação dos fatores internos e externos que impactam no alcance do objetivo. Esses ajudam a identificar as forças, fraquezas oportunidades e ameaças, enfim, todas as incertezas do processo e devem seguir a seguinte configuração:

 

Fatores

2 – Capacitação em Gestão de Processos

As equipes setoriais de multiplicadores e os gestores devem participar da capacitação em Gestão de Processos, acessando os materiais disponibilizados pelo Escritório de Processos através do menu: Capacitação e Material de Apoio.

Com intuito de promover a disseminação da cultura de Gestão de Riscos na UFVJM em todos os níveis, a integração desta cultura ao processo de planejamento estratégico, aos projetos, processos e atividades, todo o material de capacitação e treinamentos são abertos para toda a comunidade da UFVJM e para qualquer cidadão interessado no tema. 

 

3 – Mapeamento de Processos

Esta etapa da gestão de riscos, iniciada em 2021, aborda o mapeamento, avaliação e racionalização dos processos organizacionais na UFVJM.

Na execução do mapeamento de processos os proprietários dos riscos (Reitor, Pró-Reitores, Diretores dos Campi ou de Unidades Acadêmicas), designam equipes setoriais de multiplicadores (gestores de riscos) que serão responsáveis para, em seu nome, realizar a gestão de riscos sobre os processos sob sua responsabilidade.

Nesta etapa, os processos são identificados, mapeados e alinhados aos objetivos estratégicos da instituição. Os portfólios de projetos definidos seguem a metodologia BPM (Business Process Modeler) e seu detalhamento pode ser acompanhado na página do Escritório de Processos.

O acompanhamento dos processos já mapeados pode ser acompanhado na página do Portfólio de Processos do Escritório de Processos e a evolução dos trabalhos pode ser visualizada no menu Indicadores.

 

4 – Capacitação em Gestão de Riscos

As equipes setoriais de multiplicadores, as mesmas que participaram da etapa de mapeamento de processos e a Alta Administração da UFVJM, receberão capacitação em Gestão de Riscos ofertada pelo Escritório de Processos através de videoconferências e/ou palestras, além da disponibilização do material de suporte.

A capacitação promovida possibilitará o entendimento da Gestão de Riscos em todas as suas etapas, o entendimento dos conceitos envolvidos, das normas que tratam do tema, além da operacionalização das ferramentas de suporte:

 

Como utilizar a “Planilha Modelo de Coleta de Dados para a Gestão de Riscos” (em breve)

Gestão de Riscos na UFVJM utilizando a Plataforma ForRisco (em breve)

ForRisco – Gestão de Riscos para IES (Curso ofertado pela Escola de Governo – ENAP)

Gestão de Riscos de acordo com a Política e o Plano de Gestão de Riscos da UFVJM

 

5 – Identificação dos Riscos

Os riscos relacionados aos processos serão identificados considerando sua capacidade de criar, aumentar, evitar, reduzir, acelerar ou atrasar a realização dos objetivos institucionais ou do próprio processo. O processo de identificação dos riscos deve conter as informações que permitam esclarecer:

– Qual o processo que está sendo tratado?

– À qual macroprocesso está vinculado? Ex: Ensino, Pesquisa, Extensão, Inovação, Suporte, Governança

– Quais os eventos de riscos que podem comprometer o processo?

– Quais as causas e/ou fontes destes eventos de risco?

– Quais os efeitos e consequências?

– Em qual tipologia se enquadra o evento de risco? Ex: Integridade, Estratégico, Operacional

– Qual o objetivo institucional afetado pelo evento de risco?

Com as questões resolvidas, é possível preencher a sintaxe:

 

Devido a <CAUSA/FONTE>, poderá acontecer <DESCRIÇÃO DO EVENTO DE RISCO>, o que poderá levar a <EFEITO/CONSEQUÊNCIAS> impactando no alcance do <OBJETIVO>

 

6 – Análise e Avaliação dos Riscos

 

As etapas de Análise e Avaliação dos Riscos ocorrem de forma simultânea.

Isto porque, na análise são identificadas a Probabilidade de Ocorrência do Risco (P) e o Impacto Gerado (I) caso venha a se concretizar pela multimplicação dos valores.

Ao resultado da multiplicação P x I denominamos de Risco Inerente, ou seja, o risco puro, sem nenhum tratamento ou controle.

O Risco Inerente é graduado de acordo com a matriz estabelecida na Política e no Plano de Gestão de Riscos. Também os níveis de impacto e probabilidade recebem uma graduação, conforme demonstrado na Matriz 5 X 5 com pontuação, à seguir:

 

 Matriz 5 x 5

 

De acordo com o resultado do Risco Inerente, este é classificado em quatro níveis: Crítico, Alto, Moderado e Pequeno:

 

Níveis

 

Graficamente, os Níveis de Riscos definidos na Política e no Plano de Gestão de Riscos são apresentados da seguinte forma na Matriz 5 X 5:

 

Matriz 2

7 – Tratamento dos Riscos

A etapa de tratamento dos riscos avalia os controles existentes na instituição relacionados aos eventos de riscos identificados. Em primeiro momento são avaliados os controles existentes para mitigação dos riscos, ou seja, são as atividades que auxiliam na REDUÇÃO DA PROBABILIDADE DE OCORRÊNCIA DOS EVENTOS DE RISCOS;

Na sequência, a avaliação se volta para os Planos de Contingência porventura existentes. Assim, avalia-se a existência de algum conjunto de ações que visam minimizar o IMPACTO DOS EVENTOS DE RISCO, caso venham a acontecer.

Isto posto, a avaliação projeta o Nível de Confiança dos controles, classificando-os de acordo com a correlação com o Risco do Controle apurado:

 

 Níveis de Confiança

 

Apurados o Nível de Confiança (NC) no Controle e o Risco de Controle (1-NC) obtém-se como resultado o Risco Residual pela aplicação da fórmula: (RI*(1-NC)). O Risco Residual é o resultado do Risco Inerente (RI) descontada a avaliação dos controles existentes, ou seja, o risco na situação atual.

Neste momento o RI é classificado quanto ao grau de Risco de acordo com a Tabela Níveis de Risco.  

De acordo com a classificação do Grau de Risco, a Política e o Plano de Gestão de Riscos definem o tipo de resposta ao risco: Aceitar, Compartilhar ou Transferir, Reduzir ou Evitar, assim como as ações de controle a serem tomadas em cada ocasião.

 

8 – Elaboração de Plano de Ação e Plano de Contingência

Conforme visto na etapa anterior a existência e efetividade de um Plano de Ação e um Plano de Contingência já foram objeto de análise. Desta forma, o gestor deve avaliar a necessidade de se estabelecer novos Planos de Ação e de Contingência, ou revisar os existentes, considerando as condições às quais os riscos foram analisados e fatores que possam impactar negativa ou positivamente o alcance dos objetivos.

Nesta etapa as ações são realizadas através da Plataforma ForRisco, que fornece os meios eletrônicos de vinculação dos Planos de Ação e Contingência à um responsável, emissão de alertas e vinculação aos objetivos institucionais (Plataforma ForPDI) e à processos. É importante salientar que os gestores e os multiplicadores por eles indicados têm autonomia e liberdade para a proposição de mecanismos de controle para os riscos à eles atribuídos a obrigação de gerir, ressaltando a necessidade de obedecer aos preceitos da Política e do Plano de Gestão de Riscos.

 

9 – Monitoramento e Controle

O monitoramento e o controle são também efetivados através da Plataforma ForRisco, cabendo ao gestor a parametrização dos períodos de intervalos do monitoramento, os responsáveis por fazer o acompanhamento dos Planos de Ação e Contingenciamento, dentre outras ações.

O Monitoramento e o Controle permitem que o gestor mantenha os riscos dentro da faixa de aceitabilidade para cada objetivo ou processo, devendo ser de caráter permanente no processo de gestão de riscos, ressaltando que, uma vez detectada a existência de novos potenciais riscos ou defasagem nos controles existentes, as etapas 1ª a 10ª deste procedimento de gestão de riscos devem ser novamente executadas.

 

10 – Comunicação e Consulta

A etapa de comunicação e consulta deve ocorrer, assim como a 9ª Etapa, durante todo o processo de gestão de riscos. A Política e o Plano de Gestão de Riscos estabelecem uma faixa de riscos aceitáveis pela Alta Administração da UFVJM, cabendo aos gestores de riscos comunicar e/ou consultar as autoridades da estrutura de governança da UFVJM acerca de eventos adversos na gestão de riscos, assim considerados aquele que impactam em aumento na exposição de riscos institucionais ou a possibilidade de oportunidades detectadas no processo.

Todo o procedimento deve ser pautado nos relatórios computacionais gerados na Plataforma ForRisco e apresentados para avaliação do Comitê de Governança, Integridade, Riscos e Controles (CGIRC).

Por ser um projeto em execução e dado o dinamismo dos eventos que exercem influência, internos e externos, este é um processo (a gestão de riscos) que está permanentemente em evolução, objetivando a melhor perspectiva de detecção e controle destes eventos e o alcance dos objetivos institucionais.

 

Da Cooperação Técnica para o aperfeiçoamento da metodologia

A UFVJM, em parceria com a UFV no âmbito do ACORDO DE COOPERAÇÃO TÉCNICA Nº 128/2021, desenvolveu uma planilha de coleta de dados para a Gestão de Riscos. O documento passou por adaptações ao modelo inicial, inovações e auditoria realizada pelas equipes das Diretorias de Governança Institucional das duas instituições para possibilitar aos gestores (proprietários dos riscos) uma ferramenta capaz de auxiliá-los nos trabalhos de gestão de riscos, atendendo aos conceitos da política de gestão de riscos e das melhores práticas de governança adotadas na gestão de riscos.

Acesse a versão atual do documento modelo no link abaixo:

 

Planilha Modelo para Coleta de Dados da Gestão de Riscos

Planilha Modelo desenvolvida em parceria UFVJM/UFV

Versão Atualizada em 04/11/2022

 

Contato:

João Paulo dos Santos

dgi@ufvjm.edu.br

+55(38)3532-1200

Ramal 8114