Os inquéritos de avaliação da satisfação deverão ser atualizados com itens referentes à GR Previamente deverão ser realizados pré testes.

94

No que respeita ao papel da AI no processo, e conforme resulta do exposto pela revisão da literatura, constatámos que o novo paradigma de AI se baseia numa visão dos processos, sendo fortemente focalizada nos riscos de gestão. Neste sentido, a AI assume-se intimamente relacionada com a GR, e de igual modo a GR com o CI. Quando os auditores internos avaliam se o CI é adequado, questionam se este é adequado para os riscos da organização. A tabela que apresentamos de seguida pretende demonstrar que os controlos existem, porque existem riscos, e os riscos existem porque a organização tem objetivos:

Tabela 18 – Relação entre Auditoria Interna, Gestão do Risco e Controlo Interno Fonte: Elaboração própria

No domínio do SPP o fim último da auditoria é a avaliação da eficiência, da economia, da legalidade, da regularidade e eficácia dos programas e políticas desenvolvidas pelos organismos públicos. Por tal, assegurar as funções de consultoria e garantia na organização afigura-se indispensável para uma manutenção consistente do processo de gestão dos riscos organizacionais.

Concretamente no caso da AI do Município da Maia verificamos que esta se constitui como um importante instrumento de apoio à gestão de topo. Não obstante, a gestão dos riscos da organização não é considerada no planeamento anual das auditorias internas. Acresce o facto de que a avaliação efetuada neste âmbito, tem vindo a acontecer por uma equipa externa, mas de forma esporádica, sendo que os resultados desta avaliação também não se encontram inseridos no SG do município.

Daqui decorre que encaramos como essencial a reflexão para os seguintes aspetos: ▪ Consideração do “risco” no planeamento e realização das Auditorias Internas; ▪ Realização periódica de uma avaliação independente ao processo de Gestão do

Risco e sua integração no Sistema de Gestão.

Uma vez que os trabalhos de auditoria têm por base a amostragem, pois o auditor não se pode debruçar sobre todas as áreas, há que estabelecer critérios. A definição das áreas a auditar irá conduzir todo o enfoque de atuação da AI. Esta definição deverá traduzir-se na elaboração de um planeamento de atividades, o qual poderá ter em conta várias reflexões, como p.ex. a criticidade dos processos, pedidos da gestão de topo e/ou das UO, alterações da macroestrutura, legais, normativas ou regulamentares, recursos disponíveis, entre outros.

95

Atendendo ao facto de que pretendemos direcionar esforços para as áreas de maior risco considerar o “risco” na conceção do planeamento de atividades de AI do Município da Maia apresenta-se como um critério a não descurar. O objetivo é fornecer segurança objetiva da eficácia das atividades de GR no município. No que respeita à avaliação deste processo, de facto, a AI assume um papel preponderante pois visa assegurar que os principais riscos da organização estão a ser geridos de forma adequada e que o SCI está a funcionar eficazmente. Concretamente, a sua atuação passa por avaliar se:

▪ O processo de gestão dos riscos foi aplicado de forma apropriada e se todos os seus elementos são adequados e suficientes;

▪ O processo de gestão dos riscos está de acordo com as necessidades estratégicas e os objetivos da organização;

▪ Todos os riscos críticos foram identificados e são alvo de tratamento;

▪ Os controlos definidos são implementados corretamente, de acordo com os objetivos do processo e se são adequados e eficazes;

▪ A organização define e mantém mecanismos de monitorização para o tratamento dos riscos.

Desta feita, a realização de uma avaliação ao processo de GR assume-se como um fator de credibilização do mesmo. É neste sentido que propomos que o Município da Maia sujeite o processo de GR, de forma sistemática, integrada e periódica a uma avaliação independente. O Manual de Gestão dos Riscos institui em que termos devem ser conduzidas as avaliações independentes a este processo.

Complementarmente, apresentamos no Apêndice XVI um conjunto de questões que, de acordo com os procedimentos que constituem o processo, se propõem a constituir uma checklist de suporte aos trabalhos de auditoria neste âmbito.

4.2.4 Vantagens na Implementação do Modelo Integrado de Gestão do Risco

Indo ao encontro do até então exposto, o processo de GR prevê identificar e avaliar os riscos para a tomada de decisão com vista a que a organização evolua e prospere. Adotar uma estrutura sólida, robusta e confiável de GR não significa que a organização vá ter mais ou menos sucesso, mas sim que estará mais consciente e preparada para eventos que se podem traduzir em ameaças ou oportunidades.

Neste âmbito, o papel da gestão de topo é tirar partido do risco, ou seja, considerá-lo como o valor central da organização, podendo assim obter contrapartidas e, consequentemente contribuir para a prossecução dos objetivos organizacionais. A mais-valia de um compromisso explícito relativamente à implementação do modelo integrado de GR poderá representar inúmeros benefícios, não só para a organização, mas também para os seus trabalhadores e restantes partes interessadas. Por tal, adequar a abordagem e práticas atuais da gestão dos riscos do Município da Maia aos princípios da ISO 31000 (2009) e manter essas práticas alinhadas com as diretrizes da ISO 9001 (2015), poderá trazer consideráveis vantagens:

96

Tabela 19 – Vantagens na Implementação do Modelo Integrado de Gestão do Risco Fonte: Elaboração própria

Melhora o comprometimento e envolvimento internos

Implementar uma Gestão do Risco integrada prevê que exista comunicação, tanto no sentido ascendente como descendente. O Município da Maia ao estabelecer e manter adequados mecanismos de comunicação, estimula o comprometimento de todos os trabalhadores na realização dos objetivos da organização, envolvendo-os na identificação do que pode desviar do resultado pretendido. Por outro lado, a visão de se estabelecer objetivos, atender aos riscos e implementar os controlos necessários, é uma visão que desbloqueia obstáculos entre quem avalia e quem toma decisões, ou seja, os auditores e a gestão de topo.

ISO 9 0 0 1 ( 2 0 1 5 ) ISO 31000 (2009)

Auxílio à organização na adequação às exigências legais e regulamentares

O Município da Maia ao considerar todos os riscos inerentes ao seu funcionamento irá certamente contemplar na sua apreciação os riscos políticos e legais, ou seja, riscos relacionados com a emissão de diretrizes, políticas e estratégias por parte da União Europeia e do Governo que possam eventualmente comprometer e afetar a sua capacidade em prestar serviços. Neste sentido, esta consciência auxiliará o município a implementar mecanismos de controlo com vista a tentar mitigar estes riscos. ISO 9 0 0 1 ( 2 0 1 5 ) ISO 31000 (2009)

Sistematiza o planeamento estratégico e a gestão dos riscos

Desenvolver um modelo sistemático de gestão dos riscos, antevê que o Município da Maia sempre que as circunstâncias externas se alterarem, proceda à revisão dos objetivos e dos riscos. Ou seja, que terá em conta os riscos que poderão ser relevantes para a organização e que eventualmente poderão mudar as variáveis da atividade de forma significativa.

ISO 31000 (2009) ISO 31000 (2009) IS O 9 0 0 1 ( 2 0 1 5 )

Transparência e melhoria da reputação e imagem do município

Existe uma dimensão relevante para o contexto do Município da Maia - os Stakeholders. Ao comunicar a política de gestão dos riscos de forma transparente a organização revela preocupação em considerar o risco no planeamento estratégico e consequentemente preocupação com o dever de cuidar dos bens dos cidadãos. Esta política de transparência além de proteger todas as partes interessadas melhora as relações com as mesmas e isso inclui os trabalhadores, munícipes, fornecedores, empresas, associações e população em geral, o que se traduz na melhoria da imagem institucional. ISO 9 0 0 1 ( 2 0 1 5 ) ISO 31000 (2009)

Potenciar o investimento na certificação

Uma vez que o Município da Maia se encontra certificado integralmente pelo referencial da gestão da qualidade, a implementação do processo de Gestão do Risco agrega um valor significativo ao Sistema de Gestão, na medida em que o próprio sistema já se encontra estruturado e sistematizado. Isto permite potenciar o investimento realizado aquando a implementação da certificação, como p.ex. as pessoas, ferramentas, procedimentos, metodologias e outros recursos.

ISO 9 0 0 1 ( 2 0 1 5 ) ISO 31000 (2009)

Melhorar o desempenho organizacional

A adoção de uma gestão estruturada dos riscos possibilita ao Município da Maia antecipar não só ameaças, que possam afetar o bom funcionamento do Sistema de Gestão, mas também oportunidades que poderão trazer inovação. Neste sentido, o município estará preparado para agir num contexto de incerteza e aumentar a probabilidade de conseguir atingir os seus objetivos.

ISO 9 0 0 1 ( 2 0 1 5 ) ISO 31000 (2009)

97

4.2.5 Recomendações à Implementação do Modelo Integrado de Gestão do Risco Apresentada a proposta do modelo, e considerando o exposto pelos académicos e profissionais da GR, fazemos alusão aos aspetos a ter em conta e às fases a considerar para a efetiva implementação do modelo no Município da Maia. Relativamente aos aspetos a considerar salientamos:

Comprometimento da Gestão de Topo

Existe uma condição essencial para a implementação do modelo no Município da Maia. Esta condição passa por garantir que a gestão de topo compreende a dimensão e as consequências que um processo desta natureza representa para a autarquia. O Executivo Municipal deve manifestar claramente o seu compromisso e envolvimento com este processo.

Ligar a Gestão do Risco à Estratégia Organizacional

É importante ter em conta que a visão do município em estabelecer objetivos, atendendo aos riscos e implementando os controlos necessários, é uma visão que facilita a tomada de decisão em ambientes de incerteza. A identificação dos riscos organizacionais deverá ter em conta os objetivos estratégicos definidos.

Assumir uma Abordagem Integrada

Gerir o risco, pressupõe assumir o risco. O facto do Município da Maia adotar um enfoque holístico perante o risco, permite-lhe identificar uma ampla gama de riscos e evitar que riscos críticos não sejam devidamente tratados. A integração das práticas de gestão dos riscos nos processos de planeamento e de decisão é fundamental para uma efetiva gestão dos riscos organizacionais.

Comunicar e Partilhar a Informação

A existência formal do processo implica o seu conhecimento pelas partes interessadas do município. Comunicar as decisões de acordo com a política de gestão dos riscos definida internamente é essencial para o envolvimento de todos, evidencia transparência e favorece a confiança. Os documentos de gestão municipal configuram-se como suportes credíveis de comunicação sobre os riscos da organização.

Definir as Estratégias de Gestão dos Riscos

A consciência de que identificar e avaliar os riscos, por si só, não garante o sucesso permite o reconhecimento da necessidade de os tratar. Há que definir estratégias adequadas de tratamento dos riscos, proceder à sua priorização e implementar ações para tirar partido das oportunidades, minimizar as ameaças, explorar os pontos fortes e trabalhar os pontos fracos.

Determinar Indicadores-Chave

Outro aspeto essencial é o acompanhamento dos riscos que podem pôr em causa os objetivos do Município da Maia. É fundamental medir, para observarmos se estamos a gerir adequadamente o risco. O desempenho é o driver, ou seja, monitorizar quais os objetivos que não foram atingidos e os que estão em causa e se as medidas que adotamos sobre os fatores de risco foram eficazes ou não.

Alinhar Gestão do Risco e Controlo de Gestão

A prossecução dos objetivos estratégicos do Município da Maia deverá ter como apoio adequados mecanismos de controlo e ferramentas. Estes sistemas de controlo e estas ferramentas deverão suportar os vários procedimentos da gestão dos riscos organizacionais, mas também servir de base à tomada de decisão ao facultar informação relevante para a graduação e quantificação dos riscos.

Assegurar a existência de Cultura de Risco

Finalmente é fundamental que a gestão de topo assegure a integração e enraizamento da cultura de risco na cultura organizacional. A cultura de risco inclui a determinação do apetite pelo risco, das estratégias de tratamento dos riscos e dos mecanismos de controlo implementados. Esta responsabilidade da gestão de topo em disseminar a cultura de risco pela organização vai ao encontro do seu envolvimento com o processo.

Tabela 20 – Aspetos a considerar na Implementação do Modelo Integrado de Gestão do Risco Fonte: Elaboração própria

98

No que concerne às fases a seguir para uma efetiva implementação de uma GR integrada no Município da Maia revela-se indispensável desenvolver as seguintes ações:

a) Informar e Preparar a Gestão de Topo

O promotor para a implementação do processo de GR no município é a gestão de topo. Em primeiro lugar é essencial que todo o executivo assuma o processo e se identifique com o mesmo. O seu comprometimento é vital para o seu sucesso. Neste sentido, deverão ser comunicadas as implicações inerentes relativamente à implementação do processo, vantagens, desvantagens, custos e necessidades de recursos.

b) Formar a Equipa

A implementação do processo poderá ser desenvolvida pelo recrutamento de uma equipa externa, de uma equipa constituída por trabalhadores da organização, ou de uma equipa mista. Cabe à gestão de topo decidir qual a forma de recrutamento da equipa, os elementos que a devem constituir e respetivas responsabilidades.

c) Estabelecer Prazos

O desenvolvimento da implementação do processo deverá ter como suporte um cronograma72_,

no qual devem ficar definidas as ações a implementar, responsáveis e datas previstas de conclusão. A responsabilidade de diligenciar a sua operacionalização é do dirigente municipal afeto ao processo/subprocesso alvo da implementação. A elaboração deste cronograma deverá ter em conta o âmbito do processo de GR e a dinâmica do SG do município, o que inclui, o ciclo anual de revisão do sistema organizacional e a necessidade da organização em dar cumprimento ao exigido legalmente pelo CPC.

d) Elaborar o Manual de Gestão dos Riscos

O Manual de Gestão dos Riscos73, conforme anteriormente referido, deverá constituir-se como o documento formal do município que apresenta a política instituída e assumida pela organização no que respeita à GR. No geral, este documento suporta a apreciação dos riscos, a definição das estratégias para o seu tratamento e a sua monitorização, propondo-se a disseminar a cultura de risco na organização.

e) Informar e Preparar todos os Trabalhadores

O reconhecimento assumido por parte do executivo municipal (gestão de topo) com o processo permite convencer e motivar a equipa que vai operacionalizar o processo, e isso inclui não só os dirigentes municipais (gestão intermédia), como o pessoal técnico e operacional (gestão operacional). A preparação dos trabalhadores poderá passar pela organização de sessões de esclarecimento, ou ações de formação e sensibilização internas, com vista a comunicar as implicações da implementação do processo no seio organizacional, nomeadamente o contributo para a melhoria do desempenho dos serviços prestados pelas diversas UO.