MONIRAMENTO DO RISCO

A gestão também deve agir em função do monitoramento dos riscos, avaliando-os continuadamente, permitindo que o gerenciamento de riscos mantenha sua eficácia ao longo do tempo. O enfoque passa a ser o acompanhamento do nível atual de risco operacional e a efetividade das funções de gerenciamento. O desenho e a operação dos controles devem ser acompanhados e responder às mudanças nas condições da estrutura organizacional, mantendo assim a atualização do registro dos riscos. Avaliações independentes, provenientes de órgãos externos de controle como a Controladoria Geral da União ou auditorias independentes também auxiliam na identificação de desvios.

À medida que as atividades/operações da organização vão ocorrendo durante o tempo, o gerenciamento de riscos modifica-se, fazendo com que as respostas aos riscos não se mostrem mais eficazes, bem como as atividades de controle podem perder eficácia ou deixam de ser executadas e os objetivos podem ser alterados. A inserção de novos profissionais, mudanças na estrutura/direcionamento da instituição ou introdução de novos processos são fatores determinantes capazes de determinar se o atual funcionamento da gestão de risco ainda é eficaz (COSO, 2007).

De acordo com Penha e Parisi (2005), o monitoramento pode ser feito por meio de emissões periódicas de relatórios da situação dos riscos, distribuindo-o a todos os envolvidos e solicitando o envolvimento dos mesmos quanto aos principais pontos, bem como relatar eventuais novos riscos. Também sugerem reuniões regulares com os envolvidos visando reavaliar o plano de gestão de riscos e uma análise detalhada de todas as variações significativas do realizado versus planejado, reavaliando os riscos e o seu plano de gestão.

Hill e Dinsdale (2003) analisam o problema do feedback do sistema de gestão de riscos analisando dois fatores: o processo que está sendo utilizado e os resultados desse

processo. É importante examinar continuadamente como as decisões em relação a riscos estão sendo tomadas: Os objetivos estão sendo alcançados? Eles foram corretamente definidos? Os autores citam indicadores baseados em objetivos e processos, que visam obter um feedback essencial sobre o processo de aprendizagem e aprimoramento. Os resultados e o feedback da gestão de riscos são importantes não só para os servidores responsáveis pelo processo na instituição, mas também para o público em geral. Na figura 11, os autores descrevem alguns ciclos de feedback.

Figura 11 – Ciclos no Monitoramento da Gestão de Riscos

Fonte: Adaptado de Hill e Dinsdale (2003).

No mesmo contexto, Domokos et al. (2015) sustentam que a probabilidade de ocorrência de eventos de risco e/ou seus efeitos podem ser reduzidos com atividades de controle e monitoramento em um ambiente de controle que esteja adequadamente alinhado às características organizacionais com base no ciclo monitoramento de identificação-avaliação- resposta. Dentre as medidas, os autores destacam a observação da ocorrência e impacto do risco, acompanhamento e revisão das medidas tomadas, fornecimento de informações para a

Detectar condições externas à medida que elas se configuram, relacionando-as às estratégias e mudando o curso das ações conforme necessário (aprendizagem em “circuito único”).

Questionar, testar e mudar as estratégias quando elas parecem não corresponder à realidade (aprendizagem em “circuito duplo”).

Detectar as inadequações e adotar novas premissas e modelos mentais quando os existentes parecerem inadequados para a solução de um problema específico.

gerência, revisão da estrutura de gerenciamento de risco e, se necessário, o conjunto de critérios de gerenciamento de risco, tendo em vista quaisquer mudanças ocorridas.

De acordo com o COSO ERM (2007), o monitoramento pode ser conduzido de duas maneiras: mediante atividades contínuas ou de avaliações independentes. Geralmente, os mecanismos de administração de riscos corporativos são estruturados para fazer o próprio monitoramento de forma contínua, no mínimo até certo ponto. Quanto maior o alcance e a eficácia do monitoramento contínuo, menor a necessidade de avaliações independentes.

De forma similar, o Orange Book (2004) também já tratava do monitoramento na etapa denominada “revisando e relatando riscos”. De acordo com o normativo, a gestão do risco tem que ser revista e reportada por duas razões: a) monitorar se o perfil de risco está mudando ou não e b) obter a garantia de que o gerenciamento de riscos é eficaz e para identificar quando ações adicionais são necessárias. Devem ser implementados processos para avaliar se ainda existem riscos, se surgiram novos riscos, se a probabilidade e o impacto dos riscos foram alterados, se relatam mudanças significativas que ajustam as prioridades de risco e garantem a eficácia do controle. Além disso, o processo geral de gerenciamento de riscos deve ser submetido à revisão regular para garantir que continua sendo apropriado e eficaz.

Já a INTOSAI 9130 (2007) destaca que as deficiências na gestão de risco da entidade precisam ser divulgadas em um nível apropriado, relatando as questões mais importantes para a alta administração e a gerência, de modo que a entidade aprimore seus processos. O portfólio de riscos enfrentados e sua importância relativa também mudarão ao longo do tempo, assim como respostas efetivas aos riscos de outrora podem tornar-se irrelevantes ou até mesmo impossíveis de executar. Nesse sentido, as avaliações da eficácia do gerenciamento de risco variam em escopo e frequência, dependendo da importância dos grupos de risco e da importância das respostas ao risco e dos controles relacionados em seu gerenciamento.

Diante do exposto, com base nos resultados do monitoramento e das análises críticas, devem-se tomar decisões sobre como a política, o plano e a estrutura da gestão de riscos podem ser melhorados, visando melhorias na capacidade de gerenciar riscos da organização e em sua cultura de gestão de riscos (ISO, 2009).

No Brasil, o TCU (2018) destacou a importância da segregação de funções na etapa de monitoramento. As responsabilidades relativas ao monitoramento e à análise crítica devem estar claramente definidas na política e detalhadas nos planos, manuais ou normativos da gestão de riscos e contemplam atividades como monitoramento contínuo, análise crítica e auditorias.

A CGU ainda especifica, através de sua Política de Gestão de Riscos (Portaria CGU nº 915/2017), que o monitoramento deve ser realizado pela unidade responsável pelo processo organizacional, porém, também delega a todos os servidores da CGU a responsabilidade de monitorar os níveis dos riscos e suas medidas de tratamento (figura 12). Caso sejam identificadas mudanças ou fragilidades nos processos organizacionais, o servidor deverá reportar imediatamente o fato ao responsável pelo gerenciamento de riscos do processo em questão.

Figura 12 – Comunicação e Monitoramento

Fonte: Adaptado de CGU (2018).

Convém ressaltar a necessidade da incorporação do ciclo de gestão de riscos nas instituições, que são justamente enfatizadas nessa etapa. As respostas para a gestão de riscos são adequadas se a sua implementação resultar na redução de riscos e na realização de objetivos mais eficiente e favorável ao orçamento (GREIFER, 2001). É por isso que a implementação de ações e seus efeitos devem ser rastreados continuamente com atenção especial e revisados conforme necessário. O gerenciamento de riscos só atingirá seu objetivo se não aparecer apenas na operação da organização como um elemento obrigatório do sistema de controle interno, mas como uma parte orgânica e uma ferramenta ativa de gerenciamento (DOMOKOS et al. 2015). Monitoramento Analisar as ocorrências dos riscos. Detectar mudanças que possam requerer revisão dos controles e/ou do Plano de Tratamento. Identificar os riscos emergentes. Garantir que os controles sejam eficazes e eficientes.

Não obstante, Souza e Brasil (2017) discorrem que, por mais consistentes e adequados que sejam os controles internos de uma organização governamental, não é possível eliminar completamente a ocorrência de erros e irregularidades, ainda que praticadas de forma isolada por um colaborador ou terceiro em desacordo com as regras, princípios e orientações diretas da entidade.