Gestão do Risco

Conforme detalhado a seguir, existem dois tipos de riscos: inerente e residual. A classificação demonstrada no subitem 5.2.2.3 “Classificação do Risco” reflete o risco inerente. A partir desse momento, qualquer alteração que ele venha a sofrer passará a ser

retratada por meio do risco residual. Percebe-se, portanto, que o risco residual é dinâmico, enquanto que o risco inerente é estático.

5.2.2.6.1 Risco Inerente x Risco Residual

Aproveitando o exemplo da situação ilustrativa, apresentada no subitem 5.2.2.4 “Definição da Resposta ao Risco”, que se refere à possibilidade de contaminação dos computadores por vírus, chegar-se-ia às seguintes conclusões quanto aos riscos inerente e residual.

Quadro 25 – Riscos inerente e residual do exemplo ilustrativo apresentado no subitem 5.2.2.4

Risco Inerente Risco Residual

Corresponde ao risco dos computadores serem contaminados por vírus sem considerar as ações sugeridas para tratá-lo, tais como aquisição de antivírus e instalação de firewalls. Caso tivesse sido estabelecido algum plano de contingência, ele também deveria ser desconsiderado para fins da classificação do risco inerente.

É o risco remanescente após a implementação dos planos de ação, ou seja, aquisição de antivírus e instalação de firewalls. Caso tivesse sido estabelecido algum plano de contingência, que possivelmente poderia reduzir o seu impacto, ele também deveria ser levado em consideração para determinar o risco residual. Fonte: Elaborado pelo autor, 2015

Tanto o risco inerente quanto o risco residual são definidos com base nas mesmas variáveis: probabilidade e impacto. A diferença é o momento da classificação, ou seja, enquanto o risco inerente corresponde ao risco existente antes da implementação das atividades de controle, o risco residual é aquele que permanece após sua implementação.

O desejável é que as atividades de controle, sejam elas os planos de ação ou de contingência, reduzam o risco a um patamar aceitável, compatível ao apetite a risco da IFES. Em alguns tipos de organizações, como é o caso das instituições financeiras e seguradoras, onde o risco é mais crítico, o apetite a risco pode ser definido por setores ou departamentos. No entanto, em instituições de ensino, pode-se definir um apetite a risco geral, ou seja, para toda a organização. Por exemplo, uma IFES qualquer poderá definir como apetite a risco o grau moderado. Isso implica dizer que “a luz vermelha” deverá acender sempre que o risco for considerado alto ou muito alto, ou seja, acima do seu apetite a risco. Um risco baixo ou moderado seria tolerável por essa instituição.

No subitem 5.2.2.3.2 “Graus de Risco”, verificou-se ser possível o estabelecimento de plano de ação ou de contingência sem que haja, efetivamente, redução do grau de risco. No entanto, é crucial que seja absorvida a seguinte máxima: o risco

residual, em hipótese alguma poderá ser maior que o risco inerente; no máximo igual.

5.2.2.6.2 Monitoramento do Risco

Além de uma ferramenta utilizada para gerenciar o risco em IFES, esse modelo é, sobretudo, um sistema de controle, uma vez que ele permite aos gestores acompanhar suas ações, desde a sua concepção até sua efetiva implementação. Logo, é recomendável que o sistema de informação utilizado para registrar os componentes da gestão de riscos seja utilizado permanentemente.

Além do acompanhamento dos planos de ação, é necessário que haja também o monitoramento do risco, ou seja, verificar se as atividades de controle foram suficientes para diminuir o risco inerente a um patamar aceitável.

Existem duas formas de monitorar o risco: monitoramento contínuo ou por meio de avaliações independentes.

5.2.2.6.2.1 Atividades de Monitoramento Contínuo

As atividades de monitoramento contínuo são realizadas pelos próprios gestores, proprietários do risco. A partir de uma frequência pré-estabelecida, definida pela política de gestão de riscos, os gestores verificarão se as últimas atividades de controle foram suficientes para reduzir o risco a um patamar desejável. Manter o sistema de informação atualizado auxilia tanto a unidade de Auditoria Interna planejar adequadamente suas ações, como contribui para o alcance dos objetivos organizacionais.

5.2.2.6.2.2 Avaliações Independentes

As avaliações independentes geralmente são realizadas por órgãos de controle, principalmente pelas unidades de auditoria interna. A partir do momento em que uma organização atinge determinada maturidade na gestão de riscos, torna-se possível a realização de atividades de auditoria baseada em risco. O propósito desse tipo de auditoria

é dar garantia ao conselho de administração ou gestor máximo de que a gestão de riscos está sendo realizada de forma adequada, ou seja, que os riscos estão sendo gerenciados corretamente. Na realização dessas auditorias, é possível constatar riscos que não tenham sido monitorados de acordo com a periodicidade estabelecida pela política de gestão de riscos ou propor recomendações que venham a fortalecer os controles internos existentes.

5.2.2.6.3 Periodicidade do Monitoramento

No subitem 5.2.1.3 “Política de Gestão de Riscos”, foi mostrado que as IFES podem editar resolução regulamentando a gestão de riscos na organização e que um dos pontos a ser abordado é a periodicidade do monitoramento dos riscos.

Pelos motivos já expostos no subitem 5.2.2.6.2.1 “Atividades de Monitoramento Contínuo”, acredita-se ser do interesse do gestor manter os riscos residuais atualizados. Porém, devido as suas inúmeras atribuições, é possível que não o consiga fazê-lo. Por esse motivo, é recomendável que a resolução editada pelo Conselho de Administração da IFES, ou órgão equivalente, estabeleça a frequência mínima para que esses riscos sejam monitorados. O ideal é que esse monitoramento seja realizado pelo menos duas vezes ao ano.

5.2.2.7 Informação e Comunicação

Um sistema de informação é eficaz quando ele propicia informações adequadas, de forma tempestiva, preferencialmente em tempo real e no nível correto de detalhes ao maior número de pessoas possível. Dados imprecisos podem gerar riscos não identificados ou avaliações deficientes, implicando em decisões gerenciais inadequadas.

O processo de informação e comunicação se inicia na concepção da estrutura da gestão de riscos, em especial por meio da política de gestão de riscos e do arcabouço para definição dos objetivos passíveis de gerenciamento.

É por meio da política de gestão de riscos que informações preciosas são divulgadas, tais como a necessidade do engajamento de todos os servidores no processo de gestão de riscos, o apetite a riscos, periodicidade do monitoramento etc. Já o arcabouço para definição dos objetivos passíveis de gerenciamento permite que os colaboradores

tomem conhecimento da missão da organização, dos macroprocessos, dos processos ou macro objetivos e dos objetivos estratégicos e operacionais (subprocessos).

No que se refere ao processo de gestão de riscos, os relatórios gerados a partir do sistema de informação, utilizado para registrar os componentes da gestão de riscos, têm um papel primordial.

A possibilidade de disponibilização desses relatórios a todos os colaboradores permite que eles tenham acesso às informações de outras unidades, o que facilita na compreensão de suas próprias atividades.

Importante frisar que a gama de relatórios gerados pelo sistema de informação não inviabiliza a realização de reuniões para discutir questões críticas referentes ao risco, especialmente pelo Comitê de Gestão de Riscos.