16 PLANO PARA GESTÃO DE RISCOS

Consoante preconizado no Art. 17, do Decreto nº 9.203, de 22 de novembro de 2017: a alta administração das organizações da administração pública federal direta, autárquica e fundacional deverá estabelecer, manter, monitorar e aprimorar sistema de gestão de riscos e controles internos com vistas à identificação, à avaliação, ao tratamento, ao monitoramento e à análise crítica de riscos que possam impactar a implementação da estratégia e a consecução dos objetivos da organização no cumprimento da sua missão institucional. Nesse sentido, a Política de Gestão da Integridade, Riscos e Controles Internos da Gestão (PGIRC) do IFPA, aprovada pela Resolução nº 188/2017-CONSUP-IFPA, estabelece os princípios, diretrizes e responsabilidades a serem observados e seguidos para a gestão da integridade, de riscos e controles internos e pelos planos estratégicos, programas, projetos e processos do IFPA.

Segundo a PGIRC, o modelo metodológico adotado pelo IFPA na gestão de risco deve ser estruturado com base no COSO ERM Framework, na ABNT NBR ISO 31000, na ABNT NBR ISO/IEC 31010 e em boas práticas experimentadas por outros órgãos públicos, com os seguintes componentes:

  • Ambiente interno;
  • Fixação de objetivos;
  • Identificação de eventos;
  • Avaliação de riscos;
  • Resposta a riscos;
  • Atividades de controles internos;
  • Informação e comunicação; e
  • Monitoramento.

O fluxo entre os componentes deve seguir um processo cíclico, visando às implementações de melhorias, considerando transversais os componentes “Informação e Comunicação” e “Monitoramento”, pois interligam-se com todas os demais componentes, conforme o modelo retratado na Figura 7.

Figura 7: Componentes adotados na gestão de riscos no IFPA.

Componentes adotados na gestão de riscos no IFPA.

Fonte: DPDI/IFPA (2020).

  1. Ambiente Interno

O ambiente interno compreende, entre outros elementos, integridade, valores éticos e competência das pessoas, maneira pela qual a gestão delega autoridade e responsabilidades, estrutura de governança organizacional e políticas e práticas de recursos humanos.

Tais elementos são observados no IFPA por meio das regulamentações aprovadas pelo CONSUP, destacando-se o Estatuto (Resolução nº 120/2020 – CONSUP, de 27 de agosto de 2020), o Regimento Geral (Resolução nº 190/2020 - CONSUP, de 21 de dezembro de 2020), bem como o Regimento Interno da Comissão de Ética (Resolução n° 016/2017 – CONSUP, de 24 de janeiro de 2017), que integra o Sistema de Gestão da Ética do Poder Executivo Federal, coordenado pela Comissão de Ética Pública (CEP).

Destaca-se também como iniciativa do IFPA, para propiciar um ambiente interno favorável à Gestão de Riscos, a institucionalização da PGIRC, por meio da qual se estabelecem os princípios, diretrizes e responsabilidades mínimas a serem observados e seguidos para a gestão de integridade, de riscos e de controles internos e pelos planos estratégicos, programas, projetos e processos. Acresce-se que o IFPA também possui seu Plano de Gestão de Riscos à Integridade, aprovado pela Portaria nº 2447/2018-GAB, que dispõe sobre princípios e medidas de evitar ou diminuir os riscos à violação da integridade de seus servidores e colaboradores.

  1. Fixação de Objetivos

Este componente compreende a definição e explicitação de objetivos que estejam alinhados à missão e à visão da organização, sendo necessário para permitir a identificação de eventos que potencialmente impeçam sua consecução.

Os objetivos estratégicos do IFPA, para os exercícios 2019 a 2023, foram definidos e estão explicitados no Quadro 3. Anualmente, as unidades administrativas do IFPA também podem acrescentar novos objetivos, indicadores e metas em seus planejamentos, sendo que a estes também podem haver riscos associados, os quais também deverão ser geridos, conforme metodologia proposta.

  1. Identificação de Eventos

Neste componente, compreende-se a identificação dos riscos, ou seja, a identificação de eventos negativos que possam ocorrer e que impactarão no alcance dos objetivos estabelecidos.

Os eventos de riscos devem ser identificados e analisados anualmente, e devidamente formalizados no PEA, pelas unidades da Reitoria, e no PAM, pelos Campi do IFPA, em uma perspectiva de causas e efeitos ocasionados pela provável ocorrência de tais eventos negativos. Na prática, devem ser identificados os riscos inerentes a cada uma das metas estabelecidas para o respectivo ano.

A ABNT NBR ISSO/IEC 31010 apresenta um conjunto de técnicas que poderão ser utilizadas para facilitar a identificação dos eventos de riscos e no diagnóstico das causas e efeitos.

  1. Avaliação de Riscos

Esta etapa consiste em avaliar cada risco identificado, classificando-o de acordo com a tipologia do risco e mensurando o seu nível sob uma perspectiva de probabilidade, que se caracteriza como a chance de ocorrência/consumação do risco, e de impacto, que são as consequências causadas por ele e que afetarão ou impedirão a consecução dos objetivos e metas.

A avaliação deve ocorrer anualmente com a identificação de novos riscos. Além disso, os riscos que persistirem do ano anterior devem ser reavaliados quanto ao nível em decorrência de possível mudanças nas categorias de probabilidade e impacto.

Quanto a tipologia do risco, foram consideradas as seguintes classificações:

  • Imagem/Reputação: Quando o evento pode comprometer a confiança da sociedade, parceiros ou fornecedores, em relação à capacidade do IFPA em cumprir sua missão institucional.
  • Financeiro/ Orçamentário: Quando o evento pode comprometer a capacidade do IFPA de contar com os recursos orçamentários e financeiros necessários à realização de suas atividades, ou eventos que possam comprometer a própria execução orçamentária, como atrasos no cronograma de licitações.
  • Legal/Conformidade: Quando o evento é derivado de alterações legislativas ou normativas que podem comprometer as atividades do IFPA.
  • Operacional: Quando o evento pode comprometer as atividades do IFPA, normalmente associados a falhas, deficiência ou inadequação de processos internos, pessoas, infraestrutura e sistemas.

Quanto às escalas utilizadas para definição da probabilidade e impacto, e posterior classificação do nível do risco, basearam-se em método qualitativo, conforme matriz de risco apresentada na Tabela 21.

Tabela 21: Matriz de níveis de riscos.
Probabilidade
Impacto 1 - Muito baixa (< 10%) 2 - Baixa (>=10% <= 30%) 3 - Média (>30% <= 50%) 4 - Alta (>50% <= 90%) 5 - Muito alta (>90%)
1 - Insignificante 1 2 3 4 5
2 - Pequeno 2 4 6 8 10
3 - Moderado 3 6 9 12 15
4 - Alto 4 8 12 16 20
5 - Catastrófico 5 10 15 20 25

Fonte: GT Gestão de Risco PDI/IFPA (2018).

Quando a multiplicação entre probabilidade e impacto resulta em um valor de 1 a 3, considera-se o nível de risco como “Risco Baixo”; Quando a multiplicação entre probabilidade e impacto resulta em um valor de 4 a 6, considera-se o nível de risco como “Risco Moderado”; Quando a multiplicação entre probabilidade e impacto resulta em um valor de 8 a 12, considera-se o nível de risco como “Risco Alto”; e quando a multiplicação entre probabilidade e impacto resulta em um valor de 15 a 25, considera-se o nível de risco como “Risco Crítico”.

Esta matriz foi proposta por um Grupo de Trabalho (GT) designado pelo CGRCI, por meio da Portaria nº 1.342/2018 – GAB, e poderá ser alterado pelo próprio CGRCI no decorrer do período de vigência do PDI para melhorar a eficácia do gerenciamento dos riscos ou corrigir eventuais distorções.

  1. Resposta a Riscos

A partir da avaliação dos riscos e do apetite de risco definido pelo IFPA, foram elencadas as respostas a serem adotadas para cada risco mapeado. Ou seja, qual será a postura a ser adotada pelo IFPA diante do risco identificado e avaliado. As respostas podem variar entre:

  • Eliminar: Promover ações que evitem a ocorrência ou eliminem as causas e/ou efeito, de modo que não impactem os objetivos;
  • Aceitar: Conviver com o risco, mantendo práticas e procedimentos existentes, considerando a impossibilidade de adoção de novas medidas ou que o custo não compense;
  • Reduzir: Adotar medidas para reduzir a probabilidade de ocorrência e/ou os impactos causados, de modo que, quando o risco ocorra, não impacte severamente os objetivos;
  • Compartilhar: Reduzir a probabilidade ou impacto pela transferência ou compartilhamento de uma parte do risco (seguro, terceirização da atividade etc.).

O apetite ao risco é o nível de risco que a organização está disposta a aceitar. Em termos práticos, é o limite tolerável de exposição aos riscos identificados, considerando-se o nível de risco atribuído na avaliação, sem que sejam tomadas medidas de tratamento para eliminar, reduzir ou compartilhar.

O CGRCI havia definido o apetite ao risco do IFPA na 44ª Reunião Ordinária do CODIR do IFPA, realizada no dia 26 de setembro de 2017, estabelecendo que não é permitida a alternativa “Aceitar” como resposta aos riscos classificados como “Críticos”, ou seja, os riscos classificados como “Baixo”, “Moderado” e “Alto” ainda podem ser tolerados. Contudo, o CGRCI redefiniu o apetite ao risco do IFPA em reunião realizada no dia 27 de outubro de 2020, estabelecendo que não é permitida a alternativa “Aceitar” como resposta aos riscos classificados como “Alto” e “Crítico”, ou seja, os riscos classificados como “Baixo” e “Moderado” ainda podem ser tolerados. Contudo, este apetite pode ser alterado pelo CGRCI, conforme a necessidade identificada nas análises de eficácia dos procedimentos de gerenciamento dos riscos.

  1. Atividade de Controles Internos

Consiste na definição das políticas e dos procedimentos executados para mitigar os riscos que a organização tenha optado por tratar. Também denominadas de procedimentos de controle, devem estar distribuídas por toda a organização, em todos os níveis e em todas as funções. Incluem uma gama de controles internos da gestão, preventivos e detectivos, bem como a preparação prévia de planos de contingência e respostas à materialização dos riscos.

Os procedimentos de controles da gestão deverão ser definidos anualmente no PEA, pelas unidades da Reitoria, e no PAM, pelos Campi do IFPA, tanto para os riscos vinculados aos objetivos e metas do PDI, quanto a outros objetivos e metas que poderão ser estabelecidos pelas unidades em seus respectivos planos.

  1. Informação e Comunicação

Durante todo o processo de gerenciamento dos riscos, as informações relevantes devem ser identificadas, coletadas e comunicadas, a tempo de permitir que as pessoas cumpram suas responsabilidades, não apenas com dados produzidos internamente, mas, também com informações sobre eventos, atividades e condições externas, que possibilitem o gerenciamento de riscos e a tomada de decisão. A comunicação das informações produzidas deve atingir todos os níveis, por meio de canais claros e abertos que permitam que a informação flua em todos os sentidos.

  1. Monitoramento

Tem como objetivo avaliar a qualidade da gestão de riscos e dos controles internos da gestão, por meio de atividades gerenciais contínuas e/ou avaliações independentes, buscando assegurar que estes funcionem como previsto e que sejam modificados apropriadamente, de acordo com mudanças nas condições que alterem o nível de exposição a riscos.

O monitoramento e o registro das etapas de identificação, avaliação, resposta aos riscos e controles internos serão realizadas por meio do SIGPP, além disso será verificada a possibilidade migração dos dados para plataforma ForRisco.

Esse monitoramento será realizado pela DPDI, que deverá reportar eventuais desconformidades ao CGRCI do IFPA para que sejam tomadas as medidas necessárias ao saneamento de tais desconformidades, seguindo o disposto na IN nº 24/2020/ME.