Gestão de Riscos e Controles
Para o Serpro, a Gestão de Riscos e Controles é uma prática de Governança Corporativa cujo propósito é a proteção do valor da organização, e, portanto, contribui para a previsão dos eventos que podem impactar o desempenho da Empresa e auxilia a tomada de decisão com vistas a prover razoável segurança no cumprimento da missão e no alcance dos objetivos organizacionais.
O Serpro adota a estrutura de gestão de riscos e controles padronizada pela norma ISO 31000:2018, que define componentes que fornecem os fundamentos e os arranjos organizacionais para a concepção, implementação, monitoramento, análise crítica e melhoria contínua da gestão de riscos e controles internos por toda a Organização.
A área de Integridade, Conformidade e Gestão de Riscos é a instância responsável pela implementação do sistema de gestão de riscos no Serpro e, conforme determina o Estatuto Social, deve coordenar a elaboração e monitorar os planos de ação para mitigação dos riscos identificados, verificando continuamente a adequação e a eficácia da gestão de riscos (Estatuto Social do Serpro, art. 45, inciso VII) .
A efetiva gestão de riscos e controles (GRC) é parte das obrigações estatutárias e deve contribuir para o atingimento dos objetivos e metas estratégicas e, para tanto, encontra-se alinhada ao Planejamento Estratégico, ciclo 2024-2028.
A estrutura de gestão de riscos e controles do Serpro utiliza o Modelo das Três Linhas (2020), propagado pelo Instituto de Auditores Internos dos Estados Unidos, representado por meio da Figura a seguir.
Fonte: Modelo das Três Linhas - IIA (The Institute of Internal Auditors), 2020. Adaptação Serpro;
A 1ª linha é exercida por todas as Unidades Organizacionais por meio dos empregados e gestores, responsáveis pela gestão dos riscos e dos controles em suas áreas de atuação. Devem identificar, avaliar, controlar e reduzir as incertezas que possam interferir no alcance dos objetivos organizacionais. Na 1ª linha estão inseridos os Comitês Táticos de Gestão de Riscos e Controles Internos das Diretorias - COGRC, responsáveis por apoiar o monitoramento dos planos de tratamento de riscos e controles, dirimir temas transversais que permeiam Superintendências distintas dentro da mesma Diretoria e por prover informações consolidadas para serem submetidas ao Comitê Estratégico.
A 2ª linha é exercida por diversas unidades organizacionais que possuem sob sua gestão uma pluralidade de competências orientadas pela adoção de boas práticas e metodologias aplicadas às funções. O Modelo permite que a 2ª Linha apoie a 1ª Linha, de forma a subsidiá-la na implementação do processo de gestão de riscos e controles internos e na disponibilização de informações consistentes, relevantes e tempestivas como auxílio na tomada de decisão. Além disso, são insumos cada vez mais relevantes para a 3ª Linha, visto que a Auditoria Baseada em Riscos (ABR) já é uma realidade na Empresa.
As diferentes unidades organizacionais são responsáveis, nas respectivas áreas de atuação, pelo suporte e monitoramento das funções da 1ª linha, de forma a assegurar que as suas atividades sejam desenvolvidas e executadas de forma apropriada.
No que se refere à Gestão de Riscos e Controles Internos, a área de Gestão de Riscos e Controles Internos atua como consultora da 1a linha e submete informações consolidadas ao Comitê Estratégico de Governança, Riscos, Controles e Segurança da Informação - COGRS, à Diretoria Executiva - DIREX, ao Comitê de Auditoria - COAUD, ao Conselho de Administração - CA e ao Conselho Fiscal - CF.
A 3ª Linha é exercida pela Auditoria Interna, responsável por aferir a adequação do controle interno, a efetividade do gerenciamento dos riscos e dos processos de governança.
No exercício de suas atividades típicas na terceira linha, a Auditoria Interna também interage e se comunica com a Diretoria Executiva, o Conselho Fiscal, os demais órgãos estatutários, os colegiados de governança e os órgãos de gestão na primeira e segunda linhas, assim como externamente com a entidade fechada de previdência complementar, os órgãos de controle ou outros provedores de serviços de avaliação ou de consultoria, pautando-se pelos princípios da cooperação e da preservação da imparcialidade, sendo vedado assumir responsabilidades próprias da gestão, de deliberação ou quaisquer outras incompatíveis com as atribuições de auditoria interna.
A Auditoria Interna atua como órgão auxiliar ao Sistema de Controle Interno do Poder Executivo Federal - SCI e apoia o controle externo por previsão constitucional, estando sujeita à orientação normativa e à supervisão técnica pelo órgão central do SCI, atribuição exercida pela Secretaria Federal de Controle Interno – SFC da Controladoria-Geral da União – CGU, adotando padrões compatíveis com os elementos obrigatórios da Estrutura Internacional de Práticas Profissionais (IPPF), as Normas Internacionais e o Código de Ética definidos pelo The Institute of Internal Auditors (The IIA).
Política e Metodologia para Gestão de Riscos
A Política Corporativa de Gestão de Riscos e Controles Internos, instituída pela Deliberação RI-026/2022 é a base do Sistema de Gestão de Riscos do Serpro, ao definir as diretrizes, responsabilidades, premissas e determinações da gestão dos riscos no Serpro. Considera a análise de fatores que prejudicam o alcance dos objetivos empresariais e na detecção de oportunidades empresariais e, por isso, é atualizada periodicamente. A versão corrente inclui definições sobre consequências positivas dos riscos, maior frequência de monitoramento dos riscos, a dimensão de riscos ao negócio do Serpro e novas atribuições dos gestores e primeira linha da gestão de riscos.
Fonte: Adaptação Serpro.
Nesta política, está prevista a execução da gestão de riscos conforme uma metodologia instituída pela Decisão Diretiva RI-001/2023. Descreve como processo operacional transversal na empresa. Essa metodologia de gestão de riscos e controles internos define um modelo específico para a gestão de riscos da Empresa, visando a padronização do processo de identificação, tratamento e monitoramento de riscos, e opera sobre quatro grandes dimensões organizadas conforme a ilustrado abaixo:
Fonte: Adaptação Serpro.
Diretrizes de Gestão de Riscos no Serpro
As principais diretrizes que norteiam a Gestão de Riscos e Controles são:
Fonte: Adaptação Serpro.
Gestão de Riscos Operacionais (RO)
Trata, de forma geral, os riscos associados aos processos organizacionais. Ressalta-se que os processos são definidos por meio da Arquitetura de processos/cadeia de valor do Serpro.
Os principais riscos operacionais que podem afetar o Serpro estão relacionados a falhas ou vulnerabilidades em sua infraestrutura de serviços que podem prejudicá-los. Em relação aos fornecedores, há risco clássico de empresas de TI – a concentração de serviços em tecnologias e soluções em poucos fornecedores.
Como uma das diversas ações de tratamento deste risco, pode-se citar a disponibilização de capacidades críticas que remetem a funcionalidades e características essenciais para as plataformas tecnológicas que viabilizam a oferta de produtos e serviços inovadores em larga escala, com qualidade, agilidade e sustentabilidade (IA, Big Data, Analytics, IoT, Nuvem, SOC para Segurança da Informação), além da análise de tecnologias substitutas e forte trabalho de negociação realizado com grandes fornecedores de tecnologia para que, apesar da concentração, seja mantido o equilíbrio econômico e financeiro dos contratos.
Quanto aos riscos financeiros, os mais significativos continuam sendo os associados às restrições orçamentárias e à inadimplência dos clientes do setor público, que podem dificultar o recebimento dos contratos e afetar a capacidade de pagamentos. Importantes ações de mitigação estão em execução pela Empresa, como: fortalecimento da marca, diversificação da carteira de clientes privados, inclusive com a expansão ao mercado internacional e ampliação da oferta de novos produtos, ações estas que contribuirão para a sustentabilidade da Empresa.
Já os riscos de não conformidade – que incluem riscos legais e regulatórios – estão associados às alterações legais e normativas sem o devido tratamento no Serpro.
Gestão de Riscos e Controles dos Projetos Estratégicos (PE)
Inclui os riscos associados aos projetos estratégicos da Empresa definidos pela área responsável pela Organização, Processos e Projetos, a área responsável pelos Controles, Riscos e Conformidade realiza o monitoramento dos riscos e controles internos dos projetos estratégicos priorizados pela Diretoria Executiva por meio do Plano Anual de Gestão de Riscos e Controles.
Todos os riscos associados aos projetos estratégicos da Empresa são mapeados e os riscos críticos e controles relativos a estes projetos são monitorados, tal como priorizado pela Diretoria Executiva por meio das diretrizes do Plano Anual de Gestão de Riscos e Controles.
Gestão de Riscos Estratégicos (RE)
Referem-se aos riscos definidos no momento do planejamento estratégico, associados à estratégia da empresa. O foco é o acompanhamento de fatores que podem tornar vulnerável o alcance dos objetivos estratégicos. Estes riscos, de mais alto nível e importância para o Serpro, são identificados anualmente considerando cenários externos e informações estratégicas como os cenários regulatório do setor público, econômico e de tecnologia. Na identificação dos riscos estratégicos, os principais fatores de risco que influenciam o Serpro foram considerados:
Gestão de Riscos de Negócio do SERPRO (RNS)
São riscos que prejudicam o atingimento da missão, visão ou valores do Serpro, atualizados anualmente, em processo semelhante ao dos riscos estratégicos. São riscos relacionados à estratégia de longo prazo.
Resultados Alcançados pela Gestão de Riscos do SERPRO
A gestão de riscos e controles internos são mecanismos de governança corporativa e parte integrante das atividades organizacionais. Seu propósito é a proteção de valor da organização, ao contribuir para a melhoria do desempenho, apoiar o alcance dos objetivos e a tomada de decisões, por meio de atividades coordenadas para controlar e mitigar os riscos. Ao longo dos sucessivos ciclos monitoramento e sucessivas melhorias, tem possibilitado:
-
Assegurar que os responsáveis pela tomada de decisão, em todos os níveis, tenham acesso tempestivo a informações suficientes quanto aos riscos aos quais a organização está exposta;
-
Contribuir para a probabilidade de alcance dos objetivos da organização, por meio da redução dos riscos a níveis aceitáveis pelos gestores e demais partes interessadas;
-
Agregar valor à organização por meio da melhoria dos processos na tomada de decisão e do tratamento adequado dos riscos e dos impactos negativos decorrentes de sua materialização; e
-
Alinhar a gestão de riscos com a governança corporativa, governança de segurança da informação, governança de continuidade de negócios, governança de tecnologia da informação e governança referente à privacidade e proteção dos dados.
Evolução da Maturidade do Processo de Gestão de Riscos no SERPRO
- Vinculação de Riscos aos Objetivos ESG (ODS)
- Gestão de Riscos Por Tipologia dos Riscos
- Gestão de Riscos Positivos (Oportunidades)
- Verificação de Controles dos Riscos Estratégicos (RE) e Riscos de Negócio do Serpro (RNS)
- Capacitações: A Equipe de Gestão de Riscos do SERPRO promoveu um curso de riscos positivos para todas as todas as diretorias. Ao longo de 2023 foram capacitados os colaboradores na identificação e gestão de riscos que podem resultar em oportunidades.
- Comunicação: Na área de comunicação, seis textos instrutivos foram lançados na plataforma em e-mail diário "o Primeira Leitura", abordando temas essenciais para a gestão de riscos para todo o público interno da empresa.
Vinculação de Riscos aos Objetivos ESG (ODS)
Além das ações estrategicamente delineadas no Plano Anual de Gestão de Riscos e Controles, é importante destacar iniciativas adicionais visando aprimorar ainda mais o Sistema de Gestão de Riscos do Serpro. Dentre elas, destaca-se a vinculação de riscos aos ODS (objetivos de Desenvolvimento Sustentável) da Agenda ESG: Ambiental, Social e Governança.
Essa abordagem torna-se essencial para a sustentabilidade, a reputação e o sucesso a longo prazo da Empresa, tendo em vista o cenário crescente de preocupação global com as questões voltadas ao meio ambiente, à equidade social e à transparência nas operações corporativas.
Em complemento, por meio de estudos realizados no Serpro, percebeu-se que essa abordagem não apenas fortalece a resiliência organizacional, mas também estabelece uma ligação direta entre desafios internos e contribuições tangíveis para um mundo mais sustentável.
Essa vinculação não apenas alinha as práticas de gestão de riscos com uma visão global de sustentabilidade, mas também fortalece o compromisso tangível com metas específicas que contribuem para um impacto positivo na sociedade e no meio ambiente. Essa abordagem foi implementada na metodologia de gestão de riscos revista, a ser aplicada em 2024, destacando o comprometimento contínuo com práticas responsáveis e sustentáveis.
Gestão de Riscos por Tipologia
A metodologia de gerenciamento de riscos do Serpro utilizava uma abordagem de tipologias de risco em apenas um nível. Embora essa estrutura parecesse ser útil para uma visão mais geral dos riscos, percebeu-se que a adoção de uma estrutura de dois níveis oferecia uma abordagem mais detalhada e organizada, facilitando a identificação, priorização e gestão eficaz dos riscos específicos enfrentados pelo Serpro. Além disso, a criação do papel de especialista na tipologia elevou o nível de maturidade da Gestão de Riscos, estabelecendo uma 2ª Linha atuante com especialização no tema/tipologia específico.
A seguir, é apresentada a estrutura proposta e validada pelas áreas especialistas em cada tipologia, que busca atender à premissa de associação das tipologias às causas dos riscos, positivos ou negativos, bem como às tipologias definidas na Instrução Normativa Conjunta MP/CGU. A estrutura pode ser adaptada de acordo com as necessidades futuras específicas.
Gestão de Riscos Positivos (Oportunidades)
Tradicionalmente a Gestão de Riscos do Serpro considera as consequências negativas, percebendo a incerteza como fonte de ameaças e de geração de perdas. A partir de 2024 o entendimento do Serpro foi ampliado e as incertezas passaram a ser vistas com uma fonte que também pode trazer oportunidades de crescimento, numa abordagem de Riscos Positivos ou Oportunidades.
Ao contrário da abordagem de gestão de riscos negativos, que busca evitar ou minimizar os impactos de sua ocorrência, a gestão de riscos positivos é orientada para a implementação de controles que permitem aproveitar ao máximo as oportunidades identificadas, elevando tanto sua probabilidade de ocorrência quanto a magnitude de suas consequências.
Assim, a nova abordagem considera ambas as situações, nas quais o evento ou a situação incerta pode se materializar como uma ameaça ou como uma oportunidade. Este conceito foi consolidado ao longo do exercício e passará a surtir efeitos em 2024.
Verificação de Controles dos Riscos Estratégicos (RE) e Riscos ao Negócio do Serpro (RNS)
O Serpro possui uma rotina de verificação de controles na 2ª Linha de gestão de riscos, que visa dar maior grau de confiabilidade às informações geradas pela 1ª Linha e preparar as evidências (accountability) sobre o trabalho realizado, facilitando o teste dos controles da Auditoria Interna (3ª Linha).
Atualmente são executados quatro ciclos de verificação de controles, e registrados os achados nos relatórios trimestrais de gestão de riscos, além de eventos de capacitação dos agentes de gestão de riscos em todas as Diretorias.
A sistemática torna mais evidente, para os gestores de risco, o seu papel na aferição da eficácia dos controles para o tratamento do risco, resultando em uma melhor qualidade da informação. A 2ª Linha se concentra na evidenciação da presença e funcionamento dos controles e a 3ª Linha recebeu informações já conferidas, o que facilita o seu papel na auditoria da execução contínua dos controles.
O resultado alcançado é a melhoria das evidências e da compreensão do papel de gestão de riscos pela 1ª Linha, a execução mais eficiente das atividades de 2ª e 3ª Linha e a maior confiabilidade das informações constantes dos relatórios para as instâncias de governança e gestão.
Demais Conteúdos Correlatos a Gestão de Riscos do SERPRO
Política / Metodologia:
- Política Corporativa de Gestão de Riscos e Controles Internos.
- Metodologia de Gestão de Riscos e Controles Internos. (Publicado em 03/2024)
Vídeos:
- Vídeo Prático Sobre Gestão de Riscos.
Contato da GRC do SERPRO
 |
Gestão de Riscos e
Controles do Serpro
SGAN Quadra 601 Módulo "V",
Edifício Sede, Brasília-DF, CEP: 70836-900
Telefone: (061) 2021-8009
E-mail: gestaoderiscos@serpro.gov.br
|