Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
BOLETIM INTERNO ELETRÔNICO
Especial
N.º 16/2018
Data de Circulação:
27 de junho de 2018
“DELIBERAÇÃO CGR N.º 01/2018 – Institui o Plano de Gestão de Riscos.”
(Processo Administrativo SEI nº 18.0.000004200-1)
2 Tribunal Regional do Trabalho da 10ª Região
Boletim Interno Eletrônico Especial n.º 16/2018, ve iculado em 27 de junho de 2018.
DELIBERAÇÃO CGR N.º 01/2018, de 14 de junho de 2018.
O Comitê de Gestão de Riscos (CGR) na 2ª Reunião Extraordinária de 2018, realizada no dia 04/06/2018 (Ata 0924173 - SEI 18.0.000004200-1), presentes: a Excelentíssima Desembargadora Presidente, Maria Regina Machado Guimarães; o Senhor Secretário-Geral da Presidência, Charles Abrahão Chalub; o Senhor Diretor-Geral, Rafael Alves Bellinello; o Senhor Secretário-Geral Judiciário, Marco Aurélio Willman Saar de Carvalho, o Senhor Secretário de Administração, Gilvan Silva Pereira Ramos; o Senhor Secretário de Tecnologia da Informação e Comunicações, Gustavo de Almeida Rocha; a Senhora Secretária de Gestão de Pessoas, Marysol Bertolin Damasceno; o Senhor Secretário da Corregedoria Regional, Cláudio Luís Gonçalves Garcia; a Senhora Secretária de Orçamento e Finanças, Susan Carla Lavarini dos Santos e a Senhora Coordenadora de Gestão Estratégica, Fabiana Alves de Souza dos Santos. Ausência justificada em virtude de participação no curso da ENAMAT/TST a Excelentíssima Desembargadora Vice-Presidente, Márcia Mazoni Cúrcio Ribeiro;
CONSIDERANDO a necessidade de observar a Norma ABNT NBR ISO 31000:2009, que estabelece princípios e diretrizes para a gestão de riscos, adotada como Referencial Básico de Governança do Tribunal de Contas da União (TCU) aplicável a órgãos e entidades da Administração Pública;
CONSIDERANDO o Art.7º, III, da Política de Gestão de Riscos (RA nº 22/2018) que atribui ao CGR a competência para aprovar o Plano de Gestão de Riscos;
CONSIDERANDO, por fim, as discussões e decisões que tiveram lugar na 1ª Reunião Ordinária do CGR em 2018 e nesta Reunião;
DECIDIU
Art. 1ª Fica instituído o Plano de Gestão de Riscos, conforme Anexo I desta Deliberação.
Art. 2º Fica estabelecido o prazo de 60 dias para que a Diretoria Geral inicie projeto piloto de implantação da gestão de riscos, em áreas a ela subordinada, objetivando implantar, testar e avaliar a metodologia proposta no Plano de Gestão de Riscos, identificando, ainda, no referido documento, oportunidades de melhorias, adaptações e adequações à realidade do Tribunal.
§ 1º O projeto piloto a que se refere este artigo deverá ser finalizado no prazo de até 180 dias após a sua data de início.
§ 2º Dentre as atividades de finalização do projeto piloto, deverá estar a elaboração de relatório específico em que conste avaliação da metodologia pelo gestor do projeto piloto e pelas áreas envolvidas, identificando, de forma clara e objetiva, eventuais pontos de dúvida ou dificuldade e possíveis soluções.
§ 3º Após a finalização do projeto piloto, os documentos produzidos no âmbito do projeto deverão ser encaminhados à CDEST, que apresentará, no prazo de 60 dias, estudo com a finalidade de propor ou não revisão do Plano de Gestão de Riscos.
§ 4º A CDEST poderá propor, se necessário, Reunião Extraordinária do Comitê de Gestão de Riscos, como parte integrante das atividades de estudo e proposição de revisão do Plano de Gestão de Riscos, durante o período mencionado no § 3º.
3 Tribunal Regional do Trabalho da 10ª Região
Boletim Interno Eletrônico Especial n.º 16/2018, ve iculado em 27 de junho de 2018.
Art. 3º O Comitê de Gestão de Riscos poderá revisar e aprovar novas versões do Plano de Gestão de Riscos a qualquer tempo, por iniciativa de quaisquer de seus membros.
Art. 4º O Plano de Gestão de Riscos será disponibilizado na intranet do Tribunal.
MARIA REGINA MACHADO GUIMARÃES Desembargadora Presidente do Tribunal Regional do Trabalho da 10ª Região
Elaboração:
Seção de Cadastro de Servidores Ativos Coordenadoria de Pessoal e de Informações Funcionais
ANEXO I
MANUAL DE APOIO E ORIENTAÇÃO PARA O EFETIVO GERENCIAMENTO DE RISCOS.
SUMÁRIO
1. OBJETIVO .................................................................................................................................. 3
2. OBJETIVO ESPECÍFICO .......................................................................................................... 3
3. APLICABILIDADE .................................................................................................................... 4
4. TERMOS E DEFINIÇÕES ......................................................................................................... 4
5. RESPONSABILIDADES ........................................................................................................... 5
6. PROCESSO DE GESTÃO DE RISCOS .................................................................................... 7
Fluxo do Processo de Gestão de Risco ............................................................................................. 7
Processo de Gestão de Riscos........................................................................................................... 9
6.1. Comunicação e Consulta ................................................................................................. 10 6.2. Estabelecimento do Contexto .......................................................................................... 10 6.3. Processo de Avaliação de Riscos .................................................................................... 18
6.3.1. Identificação de Riscos ......................................................................... 18
6.3.2. Análise de Riscos .................................................................................. 19
6.3.3. Avaliação de Riscos .............................................................................. 19
6.4. Tratamento de Riscos ...................................................................................................... 20 6.5. Monitoramento e Análise Crítica .................................................................................... 21
7. METODOLOGIA ..................................................................................................................... 21
8. IMPLEMENTAÇÃO DA GESTÃO DE RISCOS ................................................................... 22
Anexo I - Manual de Gestão de Riscos .......................................................................................... 26
Objetivo do Manual ..................................................................................................................... 26 1. Escolha dos Processos de Trabalho ................................................................................ 26 2. Atividades da Gestão de Riscos ...................................................................................... 26 3. Preenchimento da matriz RACI ...................................................................................... 27 4. Estabelecimento do Contexto .......................................................................................... 28 5. Identificação de Riscos ................................................................................................... 29 6. Análise e Avaliação de Riscos ........................................................................................ 32 7. Tratamento de Riscos ...................................................................................................... 36 8. Monitoramento e Análise Crítica .................................................................................... 37 9. Comunicação e Consulta ................................................................................................. 40
Índice de Figuras Figura A – Fluxo do Processo de Gestão de Riscos ...................................................................... 7 Figura B – Fluxograma do Processo de Gestão de Risco .............................................................. 9 Figura C – Identificação de risco utilizando a técnica bow tie .................................................... 31
Índice de Formulários
Formulário 1 – Exemplo de Uso de Formulário de Identificação de Riscos ............................... 32 Formulário 2 – Exemplo de Uso de Formulário de Avaliação de Riscos .................................... 35 Formulário 3 – Exemplo de Uso do Formulário para Tratamento de Riscos .............................. 37 Formulário 4 – Exemplo de Uso Monitoramento e Análise Crítica ............................................ 38 Formulário 5 – Exemplo de Uso Comunicação de Riscos ........................................................... 41
Índice de Tabelas Tabela 1 – Fatores do Contexto Geral – Considerar no estabelecimento do Contexto
Específico ....................................................................................................................................... 11 Tabela 2 – Escala de Probabilidade ............................................................................................. 12 Tabela 3 – Impacto nas Dimensões do Objeto ............................................................................. 13 Tabela 4 – Escala de Impacto ...................................................................................................... 13 Tabela 5 – Matriz Impacto x Probabilidade ................................................................................. 14 Tabela 6 – Matriz Apetite de Risco ............................................................................................. 15 Tabela 7 – Matriz de Classificação de Riscos.............................................................................. 16 Tabela 8 – Diretrizes para Priorização do Tratamento de Riscos ................................................ 17 Tabela 9 – Definição da Eficácia dos Controles .......................................................................... 18 Tabela 10 – Exemplo de Uso Matriz RACI ................................................................................. 27 Tabela 11 – Exemplo de Estabelecimento do Contexto .............................................................. 28 Tabela 12 – Exemplos de Riscos ................................................................................................. 30 Tabela 13 – Exemplo de Uso de Níveis de Probabilidade ........................................................... 32 Tabela 14 – Exemplo de Uso de Dimensões do Impacto ............................................................ 33 Tabela 15 – Exemplo de Uso de Nível de Impacto...................................................................... 33 Tabela 16 – Exemplo de Uso de Matriz Impacto x Probabilidade .............................................. 34
Plano de Gestão de Riscos do TRT Décima Região Página 3
APRESENTAÇÃO
No cenário atual de imprevisibilidade, não há garantias que as organizações, públicas ou
privadas, cumprirão de forma efetiva sua missão e alcançarão, com plenitude, seus objetivos.
Somos uma coletividade complexa e sofremos influência interna e externa em todos os níveis e
de diversas naturezas. O efeito das incertezas com que nos deparamos ao realizarmos nossas
rotinas de trabalho e iniciativas é chamado de “risco”.
A partir dessa noção, é fundamental que tomemos medidas para elevar as chances de atingir os
resultados esperados, identificando tais incertezas e possibilidades de dificuldade ou de fracasso,
agindo para minimizá-las e mantendo um estado de alerta para que eventuais oportunidades
possam ser devidamente aproveitadas. Assim, cuidar da dimensão dos riscos torna-se atividade
essencial de gestão.
Para que seja possível gerir, é necessário planejar. O Plano de Gestão de Riscos representa o
instrumento de planejamento que nos auxiliará na melhoria contínua dos processos de trabalho,
levando em conta essa dimensão. A ideia é que, com o presente documento, seja possível
responder às perguntas: “Como vamos identificar e lidar adequadamente com os riscos a que
estamos expostos? Como podemos estar preparados para os novos riscos que surgirem? ”.
O objetivo do Plano de Gestão de Riscos, composto também pelo Manual de Gestão de Riscos,
é prover o Tribunal com ferramentas práticas e orientadoras do efetivo gerenciamento de riscos,
contribuindo para uma prestação de serviços de excelência em termos de eficiência, transparência
e economicidade.
1. OBJETIVO
Este documento objetiva definir e detalhar as fases, os procedimentos e os
instrumentos relativos ao processo de gestão de riscos no âmbito do Tribunal Regional do
Trabalho da Décima Região, conforme previsto na Política de Gestão de Riscos, instituída por
meio da Resolução Administrativa nº 22/2018, a fim de auxiliar sua implantação.
2. OBJETIVO ESPECÍFICO
Orientar a condução do processo de gestão de riscos de maneira estruturada, por
meio da padronização de procedimentos, práticas, linguagem, e, ainda, da melhor distribuição
das informações, de modo a contribuir para a integração dos processos organizacionais e tomada
de decisões, na plena execução dos objetivos organizacionais.
Plano de Gestão de Riscos do TRT Décima Região Página 4
3. APLICABILIDADE
Este documento é aplicável a todas as áreas e níveis de atuação, inclusive aos
Comitês Gestores, nos diversos processos de trabalho, projetos e ações do Tribunal, sem prejuízo
da observância concomitante de normas específicas.
4. TERMOS E DEFINIÇÕES
Apetite de Risco: nível de risco que o Tribunal Regional do Trabalho da 10ª
Região está disposto a aceitar.
Comunicação e consulta: consiste na manutenção de fluxo regular e constante
de informações com as partes interessadas, durante todas as fases do processo de gestão de
riscos.
Consequência: resultado de um evento que afeta os objetivos.
Controle: medida que modifica o risco.
Escala de impacto: define a natureza e os tipos de consequências, e como elas
serão medidas nas diversas áreas. Para definir o nível do impacto, é necessário primeiro
considerar as dimensões do objetivo do processo de trabalho avaliado.
Escala de probabilidade: define como a probabilidade será medida. Está
associada às chances de um evento ocorrer.
Escopo: são todos os produtos do processo de trabalho e seus requisitos ou
características.
Estabelecimento do contexto: diz respeito à definição dos parâmetros externos e
internos a serem levados em consideração ao gerenciar riscos e ao estabelecimento do escopo
e dos critérios de risco.
Evento: ocorrência gerada com base em fontes internas ou externas que pode
afetar a realização dos objetivos, causando impacto negativo, positivo ou ambos.
Fonte de risco: elemento que individualmente ou combinado tem o potencial
intrínseco de dar origem ao risco.
Gestão de riscos: atividades coordenadas para dirigir e controlar uma organização
no que se refere a riscos.
Gestores de Riscos: magistrados, Secretário-Geral da Presidência, Secretário-
Geral Judiciário, Diretor-Geral, Secretários, Diretores de Secretaria de Vara do Trabalho,
Assessor de Revista, Coordenadores, Chefes de Núcleo, Chefes de Gabinete, Chefes de
Seção e os responsáveis pelos processos de trabalho, projetos e ações desenvolvidos nos
níveis estratégicos, táticos ou operacionais do Tribunal Regional do Trabalho da Décima
Região. (Art. 8º da Resolução Administrativa TRT10 n.° 22/2018)
Identificação de riscos: processo de busca, reconhecimento e descrição de riscos.
Impacto: resultado ou efeito de um evento, podendo ser positivo ou negativo em
relação aos objetivos de uma organização.
ISO 31000:2009: norma internacional para gestão de riscos, que fornece
princípios e diretrizes abrangentes para auxiliar as organizações na análise e avaliação de
riscos. No Brasil, a edição dessa norma está a cargo da Associação Brasileira de Normas
Técnicas-(ABNT).
Plano de Gestão de Riscos do TRT Décima Região Página 5
Matriz de classificação de riscos: define como os riscos serão classificados
quanto à significância.
Matriz ‘Impacto x Probabilidade’: define como o nível de risco deve ser
determinado.
Matriz de riscos: ferramenta para classificar e apresentar riscos definindo faixas
para consequência e probabilidade.
Matriz SWOT: ferramenta que relaciona as oportunidades e ameaças presentes
no ambiente externo com as forças e fraquezas mapeadas no ambiente interno. A sigla
SWOT é uma abreviação das palavras Strengths (Forças), Weaknesses (Fraquezas),
Opportunities (Oportunidades) e Threats (Ameaças).
Monitoramento: verificação, supervisão, observação crítica ou identificação da
situação de risco, executadas de forma contínua, a fim de identificar mudanças no nível de
desempenho requerido ou esperado.
Análise crítica: atividade realizada para determinar a adequação, suficiência e
eficácia do assunto em questão para atingir os objetivos estabelecidos.
Nível de risco: magnitude de um risco, expressa em termos da combinação das
consequências e de suas probabilidades (likelihood).
Perfil de risco: descrição de um conjunto qualquer de riscos.
Plano de gestão de riscos: esquema dentro da estrutura da gestão de riscos, que
especifica a abordagem, os componentes de gestão e os recursos a serem aplicados para
gerenciar riscos.
Política de gestão de riscos: declaração das intenções e diretrizes gerais de uma
organização relacionadas à gestão de riscos.
Processo de gestão de riscos: aplicação sistemática de políticas, procedimentos
e práticas de gestão para as atividades de comunicação, consulta, estabelecimento do
contexto, e na identificação, análise, avaliação, tratamento, monitoramento e análise crítica
dos riscos.
Processo de trabalho: conjunto de atividades realizadas de forma sequencial e
contínua com o fim de obter produtos e serviços.
Proprietário do risco: pessoa ou unidade com a responsabilidade e a autoridade
para gerir um risco.
Risco: a possibilidade de que um evento ocorra e afete, positivamente (risco
positivo ou oportunidade) ou negativamente (risco negativo ou ameaça), os objetivos do
Tribunal.
Risco inerente: risco ao qual se estaria exposto caso não houvesse nenhum
controle implantado.
Risco residual: risco remanescente após seu tratamento.
Tratamento do risco: seleção e implementação de uma ou mais ações para
modificar os riscos.
5. RESPONSABILIDADES
Plano de Gestão de Riscos do TRT Décima Região Página 6
A Gestão de Riscos do Tribunal Regional do Trabalho da Décima Região é de
responsabilidade da Administração e será exercida de forma compartilhada por
magistrados, servidores, unidades e comitês.
O Comitê de Gestão de Riscos é responsável por:
propor a Política de Gestão de Riscos e encaminhá-la à Presidência para ulterior
deliberação pelo egrégio Tribunal Pleno;
deliberar sobre os temas que serão objeto do processo de gestão de riscos, observando
o disposto no Planejamento Estratégico;
aprovar a metodologia, o plano de gestão de riscos, as ferramentas de gestão e
técnicas de controle;
propor adequado grau de apetite de risco;
definir os critérios de riscos do Tribunal (apetite de risco, escala de impacto, escala
de probabilidade, matriz impacto x probabilidade e matriz de classificações de
riscos);
atuar como instância consultiva da Administração do Tribunal nas questões relativas
a riscos;
estimular a cultura de Gestão de Riscos;
fomentar práticas de Gestão de Riscos;
monitorar a execução da Política de Gestão de Riscos; e
acompanhar a realização da Política de Gestão de Riscos aprovada, propondo sua
revisão, quando pertinente.
Conforme definido no art. 8º da RA N° 22/2018, são considerados gestores de
riscos em seus respectivos âmbitos e escopos de atuação: os magistrados, o Secretário-Geral
da Presidência, o Secretário-Geral Judiciário, o Diretor-Geral, os Secretários, os Diretores de
Secretaria de Vara do Trabalho, o Assessor de Revista, os Coordenadores, os Chefes de
Núcleo, os Chefes de Gabinete, os Chefes de Seção e os responsáveis pelos processos de
trabalho, projetos e ações desenvolvidos nos níveis estratégicos, táticos ou operacionais do
Tribunal Regional do Trabalho da Décima Região.
Cabe aos gestores de riscos a responsabilidade de:
decidir sobre a escolha dos processos de trabalho que devem ter os riscos gerenciados
e tratados com prioridade em cada área técnica, à vista da importância no alcance dos
objetivos da Administração;
avaliar quanto aos níveis de risco aceitáveis, levando em consideração a tabela 6 do
subitem 6.2.1 deste Plano;
estabelecer quais riscos deverão ser priorizados para tratamento por meio de ações
de caráter imediato, a curto, médio ou longo prazos ou de aperfeiçoamento contínuo;
definir sobre as ações de tratamento a serem implementadas, bem como o prazo de
implementação e avaliação dos resultados obtidos.
As responsabilidades específicas para cada atividade da gestão de riscos serão
distribuídas em uma matriz RACI (Responsável, Aprovador, Consultado, Informado),
Plano de Gestão de Riscos do TRT Décima Região Página 7
baseada no modelo constante da tabela 10 do Manual de Gestão de Riscos (Anexo I):
Exemplo de Uso Matriz RACI.
6. PROCESSO DE GESTÃO DE RISCOS
Os Gestores de Risco deverão proceder ao mapeamento dos processos de trabalho
afetos a suas unidades, priorizando aqueles considerados mais críticos em suas áreas de
atuação, conforme métodos e critérios fixados pelos próprios gestores.
.
Após escolhidos os processos de trabalho pelos Gestores de Risco, dar-se-á
início ao processo de gestão de riscos, cujo fluxo consta da Figura A – Fluxo do Processo
de Gestão de Riscos. O processo é composto por sete atividades que interagem de forma
cíclica.
Uma visão dessa interação e consequente contribuição para a gestão de riscos
consta da Figura B – Fluxograma do Processo de Gestão de Riscos.
Fluxo do Processo de Gestão de Risco
Figura A – Fluxo do Processo de Gestão de Risco
Plano de Gestão de Riscos do TRT Décima Região Página 8
Fonte: Norma ABNT NBR ISSO 31000: 2009
Plano de Gestão de Riscos do TRT Décima Região Página 9
Processo de Gestão de Riscos Figura B – Fluxograma do Processo de Gestão de Risco
*O mapeamento dos processos de trabalho, e não apenas sua identificação, é imprescindível ao sucesso da gestão de risco.
Plano de Gestão de Riscos do TRT Décima Região Página 10
6.1. Comunicação e Consulta
O envolvimento das pessoas e unidades organizacionais no processo de
gestão de riscos é fortemente influenciado por ações de comunicação e consulta, de modo
que em todas as fases do processo - identificação, avaliação, tratamento e monitoramento
dos riscos - é fundamental incluir a constante interação com as partes interessadas.
A comunicação e a consulta têm como objetivo facilitar a troca de
informações, levando em consideração os aspectos de confidencialidade, integridade e
confiabilidade.
Assim, para cada projeto deve ser elaborado, de forma conjunta, com a
participação de integrantes de todas as áreas interessadas, um documento denominado
"Plano de Comunicação e Consulta”, contendo, no mínimo, as informações a seguir
relacionadas:
- o processo de trabalho e seu objetivo;
- a finalidade da ação de comunicação (por que);
- o destinatário da ação de comunicação (para quem);
- o responsável pela comunicação (comunicador);
- a periodicidade da comunicação (quando);
- a data/prazo limite para a ação ser realizada;
- o canal de comunicação a ser utilizado (reuniões, videoconferência, correio
eletrônico, comunicação instantânea, intranet, portal na internet, vídeos etc.); e
- o tipo de comunicação (relatórios, quadros, tabelas, matrizes de análise e
avaliação, planos, ofícios, notícias, comunicados, apresentações, formulários físicos e
eletrônicos etc.).
A aplicação prática da comunicação de riscos consta do Formulário 5:
Exemplo de Uso Comunicação de Risco, cujo teor poderá ser adaptado para atender a
necessidades específicas.
6.2. Estabelecimento do Contexto
O contexto do processo de gestão de riscos varia de acordo com as
necessidades do Tribunal. Ao estabelecer o contexto a instituição tem como propósito definir
os fatores internos e externos e os critérios de riscos. A definição desses fatores
parametrizará a atuação das demais atividades que compõem este documento.
Os fatores que interferem no contexto da organização deverão ser revisados
e atualizados junto com o ciclo de gestão de riscos.
Para auxiliar a definição de contexto podem ser empregadas diversas
ferramentas, dentre as quais se destaca a matriz SWOT, cujo preenchimento está
exemplificado na Tabela 1 – Fatores do Contexto Geral.
Cada gestor de riscos estabelecerá seu contexto específico, partindo dos
fatores internos e externos apresentados na Tabela 1. Ao estabelecê-lo, deverá ajustar os
fatores impactantes, as forças, fraquezas, oportunidades e ameaças inerentes ao objeto ou
Plano de Gestão de Riscos do TRT Décima Região Página 11
processo avaliado, excluindo os que não se aplicam ao processo de trabalho e incluindo os
que não estejam previstos.
Tabela 1 – Fatores do Contexto Geral – Considerar no estabelecimento do Contexto Específico
Internos
Pontos (Indicativos) Pontos Fortes
(S)
Pontos Fracos
(W)
Governança, estrutura organizacional,
funções e responsabilidades;
Políticas, objetivos e estratégias
implementadas para atingi-los;
Capacidades, entendidas em termos
de recursos e conhecimento (por
exemplo, capital, tempo, pessoas,
processos, sistemas e tecnologias);
Sistemas de informação, fluxos de
informação e processos de tomada de
decisão (formais e informais);
Relações com as partes interessadas
internas, e suas percepções e valores;
Cultura organizacional;
Normas, diretrizes e modelos
adotados pelo tribunal, e forma e
extensão das relações contratuais.
Externos
Pontos (Indicativos) Oportunidades
(O) Ameaças (T)
Ambientes cultural, social, político,
legal, regulatório, orçamentário,
tecnológico, econômico e natural,
quer seja internacional, nacional,
regional ou local;
Fatores–chave e tendências que
tenham impacto sobre os objetivos do
tribunal;
Relações com as partes interessadas
externas e suas percepções e valores.
Critérios de Risco
Os critérios de risco são utilizados para avaliar a significância do risco e
devem refletir os valores, os objetivos e os recursos da organização. Convém que os critérios
de risco sejam compatíveis com a Política de Gestão de Riscos aprovada pelo Tribunal Pleno.
Plano de Gestão de Riscos do TRT Décima Região Página 12
Compõem os critérios de risco:
a) Escala de probabilidade: define como a probabilidade será medida. A
probabilidade está associada às chances de um evento ocorrer.
A Tabela 2 – Escala de Probabilidade define a escala de probabilidade a ser
utilizada no processo de gestão de riscos. O gestor de riscos pode, quando necessário,
adequar somente os quantitativos da coluna “Ocorrências”.
Tabela 2 – Escala de Probabilidade
b) Escala de impacto: define a natureza e os tipos de consequências, e como
elas serão medidas nas diversas áreas. Para que o nível de impacto seja definido, é necessário
considerar quais são as dimensões (custo, prazo, escopo e qualidade) do objetivo do processo
de trabalho avaliado que serão influenciadas direta ou indiretamente, conforme Tabela 3 –
Impacto nas Dimensões do Objeto. O impacto está associado às consequências do evento
ocorrido.
Descritor Ocorências Nível
Muito Baixa Até 5 1
Baixa > 5 até 10 2
Média > 10 até 15 3
Alta > 15 até 20 4
Muito Alta > 20 5
Evento extraordinário, sem histórico disponível de
ocorrência.
Descrição
Escala de probabilidade
Evento repetitivo e constante, de ocorrência
numerosa, com histórico disponível ou não, mas
evidente para os que conhecem o processo.
Evento usual, de ocorrência habitual, com histórico
conhecido amplamente por parte dos gestores e
operadores do processo.
Evento esperado, de frequência reduzida, com
histórico conhecido pela maioria dos gestores e
operadores do processo.
Evento casual, com histórico conhecido de
ocorrência.
Plano de Gestão de Riscos do TRT Décima Região Página 13
Tabela 3 – Impacto nas Dimensões do Objeto
O gestor de riscos pode, quando necessário, adequar somente os quantitativos
das colunas “Custo” e “Prazo”.
Vale salientar que nem sempre o nível será o mesmo para todas as dimensões.
Caso isso aconteça, considerar-se-á o nível mais alto.
Após considerar o impacto nas dimensões do objetivo, chega-se aos níveis de
impacto, conforme apresentados na Tabela 4 – Escala de Impacto.
Tabela 4 – Escala de Impacto
Custo
(aumento %)
Prazo
(atraso %)
Escopo
(afetação)
Qualidade
(degradação)Nível
Até 5 Até 5 Insignificante Irrisória 1
> 5 até 10 > 5 até 10 Pouco Pouco 2
> 10 até 15 > 10 até 15 Significativa Relevante 3
> 15 até 20 > 15 até 20 Muito significativa Muito relevante 4
> 20 > 20 Ampla Grave 5
Impacto nas dimensões do objeto
Descritor Descrição Nível
Muito BaixoImpacto insignificante nos objetivos, com dispensa de medida de
reparação/recuperação.1
BaixoImpacto mínimo nos objetivos, com possibilidade de fácil
reparação/recuperação.2
MédioImpacto mediano nos objetivos, com possibilidade de
reparação/recuperação.3
AltoImpacto significante nos objetivos, com possibilidade remota de
reparação/recuperação.4
Muito AltoImpacto máximo nos objetivos, sem possibilidade de
reparação/recuperação.5
Escala de Impacto
Plano de Gestão de Riscos do TRT Décima Região Página 14
c) Matriz ‘Impacto x Probabilidade’: define como o nível de risco deve ser
determinado.
A Tabela 5 – Matriz Impacto x Probabilidade tem por finalidade apurar a
magnitude de um risco expresso, considerando a combinação entre a probabilidade e o
impacto.
Tabela 5 – Matriz Impacto x Probabilidade
20
3 6 9 12 15
5
Muito Alta
4
Alta
3
Média
2
Baixa
Imp
act
o
1
Muito Baixa
Legenda Nível de Risco
Extremo
Alto
Médio
Baixo
Probabilidade
1
Muito
Baixa
2
Baixa
3
Média
4
Alta
5
Muito
Alta
5 10 15 20 25
4 8 12 16
2
1 2 3 4 5
4 6 8 10
Plano de Gestão de Riscos do TRT Décima Região Página 15
d) Apetite de risco: nível de risco que o Tribunal Regional do Trabalho da 10ª
Região está disposto a aceitar - o nível em que um risco se torna aceitável ou inaceitável.
Esse parâmetro somente pode ser alterado pelo Comitê de Gestão de Riscos.
A Tabela 6 – Matriz Apetite de Risco apresenta o apetite de risco do Tribunal
Regional do Trabalho da 10ª Região. Não cabe aos gestores de riscos fazer adequações nesse
critério de risco.
Tabela 6 – Matriz Apetite de Risco
Legenda Nível de Risco
Extremo
Alto
Médio
Baixo
3
Média
4
Alta
Absolutamente Inaceitável
Imp
act
o
5
Muito Alta
Probabilidade
1
Muito Baixa
2
Baixa
3
Média
4
Alta
5
Muito Alta
Inaceitável
Aceitável2
Baixa
1
Muito BaixaOportunidade
Plano de Gestão de Riscos do TRT Décima Região Página 16
e) Matriz de Classificação de Riscos: define como os riscos serão classificados
quanto à significância.
A matriz de Classificação de Riscos é, na prática, uma máscara para a “Matriz
Impacto x Probabilidade” e serve para categorizar os riscos identificados em “Extremo”,
“Alto”, “Médio” ou “Baixo”. Tal matriz se encontra representada na Tabela 7 – Matriz de
Classificação de Riscos, sendo passível de adequações pelos gestores de risco na elaboração
do contexto específico.
Tabela 7 – Matriz de Classificação de Riscos
4
AltaExtremo
Baixo
Probabilidade
1
Muito Baixa
2
Baixa
3
Média
4
Alta
5
Muito Alta
Legenda Nível de Risco
Extremo
Alto
Médio
Baixo
Imp
act
o
5
Muito Alta
3
Média
1
Muito Baixa
Alto
2
BaixaMédio
Plano de Gestão de Riscos do TRT Décima Região Página 17
f) Diretrizes para priorização e tratamento: determina como os riscos serão
priorizados.
Como último critério de riscos, encontram-se as diretrizes para priorização do
tratamento de riscos cuja finalidade é auxiliar na avaliação da resposta mais adequada.
A Tabela 8 – Diretrizes para Priorização do Tratamento de Riscos contém as
diretrizes definidas pelo Comitê de Gestão de Riscos para o estabelecimento do contexto
geral. O gestor de riscos não pode fazer adequações nas diretrizes.
Tabela 8 – Diretrizes para Priorização do Tratamento de Riscos
Não se faz necessário adotar medidas especiais
de tratamento, exceto manter os controles já
existentes.
Baixo
Indica um nível de risco muito baixo, onde há
possíveis oportunidades de maior retorno que
podem ser exploradas.
Explorar as oportunidades, se determinado pelo
Secretário da Unidade, ou cargo equivalente.
Diretriz para Resposta
Extremo
Indica um nível de risco absolutamente
inaceitável, muito além do apetite a risco da
organização.
Qualquer risco encontrado nessa área deve ter
uma resposta imediata. Admite-se postergar o
tratamento somente mediante deliberação do
CGR.
AltoIndica um nível de risco inaceitável, isto é, além
do apetite a risco da organização.
Qualquer risco encontrado nessa área deve ter
uma resposta em um intervalo de tempo definido
pelo Secretário da Unidade, ou cargo
equivalente. Admite-se postergar o tratamento
somente mediante parecer do Secretário da
Unidade, ou cargo equivalente.
Nível de
RiscoDescrição
MédioIndica um nível de risco aceitável, dentro do
apetite a risco da organização.
Plano de Gestão de Riscos do TRT Décima Região Página 18
g) Definição da eficácia dos controles: estabelece critérios objetivos para
análise dos controles implementados e para cálculo do risco residual.
A Tabela 9 – Definição da Eficácia dos Controles estabelece os níveis de
eficácia do controle e seu respectivo multiplicador. Tais informações serão utilizadas no
preenchimento do Formulário 2 do Manual de Gestão de Riscos (Anexo I): Exemplo de Uso
do Formulário de Avaliação de Riscos. O gestor de riscos não pode fazer adequações nessa
definição.
Tabela 9 – Definição da Eficácia dos Controles
6.3. Processo de Avaliação de Riscos
O processo de avaliação de riscos consiste na identificação, análise e avaliação
de riscos.
A finalidade do processo de avaliação de riscos é proporcionar aos tomadores
de decisão e às partes responsáveis entendimento aprimorado dos riscos que poderiam afetar
o alcance dos objetivos, bem como a adequação e a eficácia dos controles em uso.
Fornece uma base para decisões sobre a abordagem mais apropriada a ser
utilizada para tratar os riscos.
6.3.1. Identificação de Riscos
Consiste na busca, reconhecimento e descrição de riscos, mediante
identificação das fontes de risco, eventos, suas causas e consequências potenciais. Tem como
finalidade gerar uma lista abrangente de riscos, baseada em eventos que possam evitar,
reduzir, acelerar ou atrasar a realização dos objetivos.
Eficácia do
ControleSituação do Controle Existente
Multiplicador do
Risco Inerente
Inexistente Ausência completa de controle. 1,00
Fraco
Controle depositado na esfera de conhecimento pessoal
dos operadores do processo, em geral, realizado de
maneira manual.
0,80
Mediano
Controle pode falhar por não contemplar todos os
aspectos relevantes do risco ou porque seu desenho ou as
ferramentas que o suportam não são adequados.
0,60
Satisfatório
Controle formalizado e sustentado por ferramentas
adequadas que, embora não contemple todos os aspectos
relevantes, mitiga o risco razoavelmente.
0,40
Forte
Controle formalizado que mitiga o risco associado em
todos os aspectos relevantes, podendo ser enquadrado
num nível de "melhor prática".
0,20
Plano de Gestão de Riscos do TRT Décima Região Página 19
Deverá ser realizada nas fases iniciais do processo de trabalho, visto que sua
identificação em fases posteriores implicaria retrabalho e assunção de maiores custos.
Recomenda-se que a identificação inclua todos os riscos, inclusive os
provenientes de fontes não controladas pela área do respectivo gestor de riscos, bem como
os efeitos cumulativos, as causas, as consequências e as reações em cadeia.
Várias técnicas de apoio podem ser utilizadas para melhorar a exatidão na
identificação de riscos, a exemplo de brainstorming, questionários, entrevistas, checklist,
matriz SWOT, análise de dados históricos, análises de premissas, opiniões especializadas,
necessidades das partes interessadas e diagramas de causa e efeito.
A aplicação prática da identificação dos riscos pode ser verificada no
Formulário 1 – Exemplo de Uso do Formulário de Identificação de Riscos do Anexo I –
Manual de Gestão de Riscos.
6.3.2. Análise de Riscos
A análise de riscos visa a compreender os riscos existentes na organização,
fornecer subsídios para avaliá-los e contribuir para a tomada das decisões estratégicas sobre
os riscos, bem como sobre a forma mais adequada e rentável de tratamento.
A análise de riscos envolve, ainda, a apreciação das causas e das fontes de
riscos, suas consequências negativas, e a probabilidade de que essas consequências venham
a ocorrer.
Os fatores que afetam as consequências e a probabilidade de ocorrência dos
riscos devem ser identificados e confrontados com os controles existentes, a fim de testar
sua eficácia e a eficiência.
A combinação da probabilidade com as consequências (expressas em termos
de impactos tangíveis e intangíveis) serve para determinar o nível e o tipo do risco.
Por conta da interdependência dos diversos riscos e das suas fontes, a análise
poderá ser realizada em diferentes níveis de detalhe, a depender do risco, da finalidade da
análise, das informações, dos dados e dos recursos disponíveis.
Serão utilizadas escalas quantitativas para estimar a probabilidade e o
impacto, representadas na Tabela 2 – Escala de Probabilidade e na Tabela 4 – Escala de
Impacto, constantes do tópico “Critérios de Riscos”.
Os riscos identificados podem ser registrados no Formulário 1 – Exemplo de
Uso do Formulário de Identificação de Riscos, ou diretamente no Formulário 2 – Exemplo
de Uso do Formulário de Avaliação de Riscos, ambos do Anexo I – Manual de Gestão de
Riscos.
6.3.3. Avaliação de Riscos
A finalidade da avaliação de riscos é comparar o nível de risco encontrado
durante o processo de análise com os critérios de riscos definidos no Estabelecimento do
Contexto Geral.
Utiliza os resultados da análise de riscos como subsídio para a tomada de
decisões sobre quais riscos necessitam ser tratados e com qual prioridade.
Plano de Gestão de Riscos do TRT Décima Região Página 20
A avaliação deve considerar a probabilidade de ocorrência, bem como o
impacto sobre os objetivos. Quanto maior a probabilidade e o impacto, maior será o nível do
risco.
A aplicação da avaliação de riscos pode ser verificada no Formulário 2 –
Exemplo de Uso do Formulário de Avaliação de Riscos do Anexo I – Manual de Gestão de
Riscos.
6.4. Tratamento de Riscos
Tem como objetivo a implementação de uma ou mais ações de resposta aos
riscos. Pode ser deflagrado quando, nas etapas de análise e avaliação, forem fornecidas
informações suficientes para determinar as ações necessárias capazes de reduzir os riscos a
níveis aceitáveis.
Esta fase envolve a identificação e avaliação dos controles existentes, além
de contemplar a preparação e a implementação das ações em planos de tratamento. A
finalidade desses planos é documentar como as opções de tratamento escolhidas serão
efetuadas.
A implementação do tratamento pode gerar novos controles ou modificar os
existentes.
Tratar riscos envolve um processo cíclico composto por:
avaliação do tratamento de riscos já realizado;
decisão se os níveis de risco residual são toleráveis;
se não forem toleráveis, definição e implementação de um novo tratamento para os
riscos; e,
avaliação da eficácia desse tratamento.
A fase inicial do tratamento de riscos é a elaboração do Plano de Tratamento
de Riscos, que deve levar em consideração: a) a eficácia das ações já existentes; b) as
restrições organizacionais, técnicas e estruturais; c) os requisitos legais; d) a análise
custo/benefício; e) as ações a serem realizadas; f) os responsáveis; g) as prioridades; e h) os
prazos de execução.
São opções de tratamento de riscos, que podem ser consideradas e aplicadas
individualmente ou combinadas:
a) Evitar o risco: não iniciar ou descontinuar a atividade que dará origem ao risco;
b) Transferir o risco: compartilhar ou transferir uma parte do risco a terceiros;
c) Mitigar o risco: reduzir o impacto ou a probabilidade de ocorrência do risco;
d) Aceitar o risco: aceitar ou tolerar o risco sem que nenhuma ação específica seja
tomada, pois ou o nível do risco é considerado baixo ou a capacidade da organização para
tratar o risco é limitada ou o custo é desproporcional ao benefício.
A fase final do tratamento de riscos é a implementação do Plano de
Tratamento de Riscos aprovado pela autoridade competente conforme o nível organizacional
(estratégico, tático ou operacional) de ocorrência do risco.
Mesmo após o tratamento de determinado risco, pode haver risco residual.
Para que o risco residual seja aceito, é imprescindível considerar o apetite de risco que o
Plano de Gestão de Riscos do TRT Décima Região Página 21
Tribunal Regional do Trabalho da 10ª Região está disposto a se expor na busca de seus
objetivos.
A aplicação prática do registro para o tratamento de riscos pode ser verificada
no Formulário 3 – Exemplo de Uso do formulário para Tratamento de Riscos do Anexo I –
Manual de Gestão de Riscos.
6.5. Monitoramento e Análise Crítica
Esta fase poderá ser periódica ou acontecer em resposta a um fato específico.
Suas finalidades são:
a) proporcionar controles eficazes e eficientes no projeto e na operação;
b) obter informações adicionais para melhorar a avaliação dos riscos;
c) analisar os eventos, as mudanças, e aprender com o sucesso ou fracasso do
tratamento do risco;
d) detectar mudanças nos contextos externo e interno, incluindo alterações nos
critérios de risco e no próprio risco, as quais podem exigir a revisão da forma assim como
da prioridade do tratamento dos riscos;
e) identificar os riscos emergentes, que poderão surgir após o processo de análise
crítica, reiniciando o ciclo do processo de gestão de riscos.
A aplicação prática do registro para monitoramento e melhoria pode ser
verificada no Formulário 4 – Exemplo de Uso do Formulário para Monitoramento e Análise
Crítica do Anexo I – Manual de Gestão de Riscos. Outros formulários podem ser criados
conforme a necessidade específica.
7. METODOLOGIA
A metodologia de Gestão de Riscos do TRT 10 é composta pela Política, pelo
Plano e pelo Manual de Gestão de Riscos, os quais foram baseados na norma ABNT NBR
ISO 31000:2009.
O fluxo do processo de gestão de riscos definido por esta norma encontra-se
na Figura 1, apresentada no item 6 - Processo de Gestão de Riscos.
As unidades poderão adequar sua metodologia, agregando processos e
atividades de acordo com suas especificidades, desde que estejam de acordo com as regras
determinadas nos critérios estabelecidos neste Plano.
Plano de Gestão de Riscos do TRT Décima Região Página 22
8. IMPLEMENTAÇÃO DA GESTÃO DE RISCOS
Recomenda-se o uso dos modelos e formulários que integram o presente
plano ou que constam do Manual de Gestão de Riscos e que estarão disponíveis no sistema
SEI.
O primeiro ciclo do processo de gestão de riscos, conforme previsto no art.
11 da Resolução Administrativa N°22/2018, iniciar-se-á a partir da publicação deste Plano
de Gestão de Riscos.
A implementação ocorrerá de forma paulatina e progressiva, eleito como
macroprocesso piloto o de Aquisições e Contratos.
Os demais macroprocessos/processos de trabalho a serem tratados serão
ulteriormente definidos pelo CGR.
Plano de Gestão de Riscos do TRT Décima Região Página 24
ANEXO A
Plano de Gestão de Riscos do TRT Décima Região Página 25
MANUAL DE APOIO E ORIENTAÇÃO PARA O EFETIVO GERENCIAMENTO DE RISCOS.
Plano de Gestão de Riscos do TRT Décima Região Página 26
Anexo A
Manual de Gestão de Riscos
Objetivo do Manual
Este manual tem como objetivo auxiliar a aplicação das recomendações
elencadas no Plano de Gestão de Riscos do TRT10 e adota seus termos, anexos e definições.
Sua estrutura segue o processo de Gestão de Riscos da norma ABNT NBR ISO 31000:2009.
1. Escolha dos Processos de Trabalho
Cabe aos Gestores de Risco, conforme as responsabilidades definidas no Plano
de Gestão de Riscos, escolherem os processos de trabalho que devam ter os riscos
gerenciados e tratados com prioridade em cada área técnica, a partir dos
macroprocessos/processos eleitos pelo CGR.
Podem ser levados em consideração os seguintes critérios de escolha: o
alinhamento do processo com os objetivos estratégicos do TRT10, o impacto em caso de
incidentes ou o custo do processo.
Para fins didáticos, será utilizada neste manual, como exemplo hipotético de
processo de trabalho, a “Fase de Planejamento de Contratação – Termo de Referência (TR)”.
2. Atividades da Gestão de Riscos
O fluxo do processo de Gestão de Riscos acontece ao longo de sete atividades,
definidas a seguir:
I. Comunicação e consulta;
II. Estabelecimento do contexto;
III. Identificação de riscos; Processo de avaliação
IV. Análise de Riscos; e de riscos
V. Avaliação de riscos;
VI. Tratamento de riscos;
VII. Monitoramento e análise crítica;
Plano de Gestão de Riscos do TRT Décima Região Página 27
3. Preenchimento da matriz RACI
A Matriz RACI apresenta a relação entre papéis desempenhados e atividades
ou artefatos a serem entregues para um projeto. RACI é o acrônimo (em inglês) para os
seguintes termos:
Responsável pela execução (Responsible): efetivamente quem executa a atividade;
Aprovador (Accountable): papel do responsável pelo aceite formal da tarefa ou produto
entregue. Este pode delegar a função para outros profissionais, entretanto ele é quem se
responsabiliza pelo recebimento do trabalho;
Consultado (Consulted): pessoa detentora de informação ou conhecimento capaz de
agregar valor ou é essencial para a implementação;
Informado (Informed): pessoa ou grupos de pessoas que precisam ser notificados de
resultados ou ações tomadas, mas não precisam estar envolvidos no processo de tomada de
decisão.
Tabela 10 – Exemplo de Uso Matriz RACI
Comitê de Gestão
de RiscosSecretário
Coordenadores
ou Assessores#nome 1 #nome 2 #nome 3
Estabelecer o
Contexto
Específico
I I A/C R C C
Identificar Riscos I I I C C R
Analisar Riscos I I I C C R
Avaliar Riscos I I I A R C
Tratar os Riscos I I I A R C
Elaborar o Plano
de tratamento de
Riscos
I I A C R C
Monitoramento e
Análise CríticaR/I C C R C C
Comunicar e
ConsultarR/I C C R C C
Capacitar
EnvolvidosR/A C C C C C
Gestor do Risco: #nome1
Processo: Fase de Planejamento e Contratação Objetivo: Elaborar o termo de referência necessário à contratação em
conformidade com a legislação vigente.
Plano de Gestão de Riscos do TRT Décima Região Página 28
O preenchimento da matriz RACI deve ser realizado de acordo com a estrutura
organizacional da unidade que realiza a gestão do risco. Preferencialmente, o nome dos
envolvidos deve constar do cabeçalho da matriz, evitando-se o uso de cargos ou descrições
genéricas.
4. Estabelecimento do Contexto
Tem como propósito definir os fatores, internos ou externos, para os quais o risco
deverá ser gerido. A definição desses fatores servirá de insumo à atuação das demais
atividades que compõem este manual.
Devido à complexidade intrínseca à atividade de estabelecimento do contexto,
recomenda-se o envolvimento de todas as partes interessadas no processo de Gestão dos
Riscos, independentemente do nível hierárquico ou da área de atuação.
Outro fator determinante para a efetividade da atividade de estabelecimento é a
abrangência do contexto a ser utilizado. Dessa forma, recomenda-se que seja considerado o
maior número possível de elementos que contribuem, direta ou indiretamente, para
potencializar o risco.
A fim de auxiliar nessa tarefa, lista não exaustiva de categorias de eventos a
serem consideradas foi elaborada e encontra-se organizada na Tabela 1 do Plano de Gestão
– Fatores a serem considerados no contexto interno e externo – Contexto Geral.
O Gestor de Riscos deve definir os eventos e os contextos interno e externo
considerados no processo de trabalho e estabelecer os Critérios de Riscos adotados. Tais
informações devem se embasar no Contexto Geral a ser definido pelo Comitê de Gestão de
Riscos (Anexo IX).
Para o exemplo abordado por este manual (Elaboração de Termo de Referência),
foram estabelecidas as categorias de eventos incluídos na Tabela 11 – Exemplo de
Estabelecimento do Contexto.
Tabela 11 – Exemplo de Estabelecimento do Contexto
Internos
Pontos Fortes (S) Pontos Fracos (W)
Funções e responsabilidades definidas;
Recente normatização dos
procedimentos de aquisições;
Apoio da Escola Judicial para a
capacitação;
Boa infraestrutura e ambiente de
trabalho.
Força de trabalho insuficiente;
Multiplicidade de atividades dos
envolvidos na elaboração dos TR;
Deficiência de capacitação e
treinamento.
Plano de Gestão de Riscos do TRT Décima Região Página 29
Externos
Oportunidades (O) Ameaças (T)
Utilização de documentos de
checagem de dados e modelos de TRs
disponibilizados por outros órgãos como
AGU e MPOG;
Capacitação gratuita oferecida
por órgãos como ESAF e TCU.
Cortes orçamentários;
Política restritiva de reposição de
Recursos Humanos (CSJT);
Não criação de cargos
(Legislativo);
Precária relação com fornecedores e
contratados;
Quanto aos critérios de risco, foram mantidos aqueles definidos no
estabelecimento do contexto do Plano de Gestão de Riscos, Tabela 1 do Plano de Gestão –
Fatores do Contexto Geral.
5. Identificação de Riscos
Tem como propósito conhecer quais riscos podem influenciar o cumprimento
dos objetivos do Tribunal.
A fim de proporcionar uma visão mais concreta de riscos, disponibiliza-se a Tabela 12 –
Exemplo de Riscos, na qual constam algumas hipóteses de eventos possíveis de ocorrer e
afetar, positivamente (risco positivo ou oportunidade) ou negativamente (risco negativo ou
ameaça), os objetivos do Tribunal.
Plano de Gestão de Riscos do TRT Décima Região Página 30
Tabela 12 – Exemplos de Riscos
Para auxiliar a identificação de riscos, podem ser utilizadas técnicas e
ferramentas como brainstorming, questionários, entrevistas, checklist, análise SWOT
(forças, fraquezas, oportunidades e ameaças), análise de dados históricos, análise de
premissas, opiniões especializadas, necessidades das partes interessadas e diagramas de
causa e efeito.
Nesse sentido, recomenda-se, também, responder às seguintes questões:
Qual o objetivo do processo de trabalho a ser submetido à gestão de riscos?
Riscos Estratégicos Riscos Físicos e Ambientais
Visão estratégica mal compreendida Falta de manutenção da estrutura física
Plano estratégico não definido Ataques terroristas
Estrutura organizacional inapropriada Desastres naturais
Falta de integração entre processos
organizacionaisRiscos de Conformidade e Contratuais
Partes interessadas não identificadas Ausência de norma interna
Falta de apoio da alta administração Desconformidade com a legislação externa
Ausência de Plano de Continuidade de Negócios Existência de cláusulas contratuais exorbitantes
Riscos de TIC Mudanças nos requisitos de entrega dos serviços
Requisitos de Segurança da Informação não
definidos
Recebimento dos serviços em desconformidade
com os requisitos contratuais
Falta de Integração dos Sistemas de TIC Ingerência nas relações com fornecedores
Ausência do controle de acesso aos Sistemas de
TICRiscos Operacionais e de Recursos Humanos
Obsolescência dos Sistemas de TICFunções e responsabilidades definidas
inadequadamente
Sistemas de TIC não escalonáveisFalta de adequada capacitação da força de
trabalho
Falhas nos projetos de TIC Não adequação da força de trabalho
Plano de Gestão de Riscos do TRT Décima Região Página 31
Quais as causas associadas aos eventos?
Quais os eventos que podem impactar o objetivo?
Quais as consequências decorrentes da concretização dos eventos?
Outra técnica que permite uma visão mais clara a respeito dos eventos, suas
causas e consequências é a bow tie:
Figura C – Identificação de risco utilizando a técnica bow tie
Exemplificativamente, segue análise de um risco relacionado ao evento
“Provimento do pedido de impugnação do Edital”:
Processo de Trabalho: Fase de Planejamento de Contratação;
Objetivo do Processo de Trabalho: elaborar o Termo de Referência necessário à
contratação, em conformidade com a legislação vigente;
Causa: inobservância dos requisitos legais definidos na Lei 10.520/2002;
Evento: provimento do pedido de impugnação do Edital;
Consequência: atraso na realização da contratação pleiteada;
Descrição do risco: devido à inobservância dos requisitos legais definidos na Lei nº
10.520/2002, poderá haver o provimento do pedido de impugnação do Edital, o que poderá
ocasionar o atraso na realização da contratação pleiteada.
Plano de Gestão de Riscos do TRT Décima Região Página 32
Transportando as informações do exemplo para o formulário de identificação de
riscos, teremos o resultado do Formulário 1 – Exemplo de Uso de Formulário de
Identificação de Riscos.
Formulário 1 – Exemplo de Uso de Formulário de Identificação de Riscos
6. Análise e Avaliação de Riscos
Tem como propósito definir o nível de risco, a partir dos níveis de probabilidade
e de impacto.
A probabilidade está associada às chances de o evento ocorrer, enquanto o
impacto está associado às consequências do evento ocorrido.
No exemplo adotado, a partir da escala de probabilidade (Tabela 2 do Plano de
Gestão) considerar-se-á o nível de probabilidade descrito na Tabela 13 – Exemplo de Uso
de Níveis de Probabilidade:
Tabela 13 – Exemplo de Uso de Níveis de Probabilidade
* As ocorrências serão coletadas em um intervalo de tempo definido pelo Gerente do Processo de Trabalho.
Para definir o nível de impacto, recomenda-se avaliar quais as dimensões (custo,
prazo, escopo e qualidade) do objetivo do processo de trabalho serão influenciadas direta ou
indiretamente. No caso hipotético adotado, a partir dos critérios definidos na Tabela 3 do
Plano de Gestão, será considerado o impacto descrito na Tabela 14 – Exemplo de Uso de
Dimensões do Impacto.
ID
1
Inobservância dos
requisitos
legais definidos na Lei
10.520/2002
Provimento do pedido de
impugnação do Edital
Atraso na realização da
contratação pleiteada
Processo de Trabalho:
Fase de Planejamento de ContrataçãoCompilado por: #nome2
Data: 16/02/2018
Objetivo do Processo de Trabalho:
Elaborar o Termo de Referência necessário à contratação
em conformidade com a legislação vigente.
Gestor do Risco Avaliador: #nome3
Data: 19/02/2018
Causa Evento Consequência
Descritor Descrição Ocorrências Nível
Média
Evento esperado, de frequência reduzida, com
histórico conhecido pela maioria dos gestores e
operadores do processo.
>10 até 15 3
Plano de Gestão de Riscos do TRT Décima Região Página 33
Tabela 14 – Exemplo de Uso de Dimensões do Impacto
* Os padrões aceitáveis para o custo, prazo, escopo e qualidade serão definidos pelo Gestor do Processo de
Trabalho.
Visando definir os valores das dimensões da Tabela 3 – Impacto nas Dimensões
do Objetivo, é necessário, sempre, ter em vista o objetivo do processo de trabalho. Assim,
para o preenchimento da Tabela 14 – Exemplo de Uso de Dimensões do Impacto, tomando
por base o objetivo de elaborar o Termo de Referência necessário à contratação, considerou-
se que:
O custo não sofrerá variação importante, na hipótese de o risco de impugnação se
materializar;
O prazo sofrerá forte atraso, estimado em mais de 20%, pois o termo de referência
será revisto;
O escopo, que para este exemplo é o Termo de Referência, será afetado
insignificantemente;
A qualidade do objetivo será afetada de forma irrisória.
Nem sempre o nível será o mesmo para todas as dimensões. Nessa hipótese,
considerar-se-á o nível mais alto. Foi o caso do exemplo adotado, em que as dimensões
“Custo”, “Escopo” e “Qualidade” tiveram níveis de impacto baixos, contudo, o nível da
dimensão “Prazo” foi 5, assim, este será o valor considerado para o nível de impacto.
Após considerar as dimensões, a partir dos critérios definidos na Tabela 2 do
Plano de Gestão, chega-se ao Nível de Impacto disposto na Tabela 15 – Exemplo de Uso de
Nível de Impacto:
Tabela 15 – Exemplo de Uso de Nível de Impacto
Pela descrição do Nível de Impacto da tabela anterior, é possível afirmar que,
caso não seja revisto, o Termo de Referência certamente não atenderá ao objetivo do
Custo
(aumento %)Prazo (atraso %) Escopo (afetação)
Qualidade
(degradação)Nível
até 5 insignificante irrisória
> 20 5
Descritor Descrição Nível
Muito AltoImpacto máximo nos objetivos, sem possibilidade de
reparação/recuperação.5
Plano de Gestão de Riscos do TRT Décima Região Página 34
processo de trabalho (elaborar o TR necessário à contratação, em conformidade com a
legislação vigente).
Finalmente, para que o nível do risco seja definido, os níveis de probabilidade e
de impacto são relacionados: Nível do Risco (15) = Nível de Probabilidade (3) x Nível de
Impacto (5).
O resultado desse relacionamento encontra-se na matriz da Tabela 16 – Exemplo
de Uso Matriz Impacto x Probabilidade.
Tabela 16 – Exemplo de Uso de Matriz Impacto x Probabilidade
Dessa forma, o nível do risco é considerado extremo, ou seja, trata-se de um
risco absolutamente inaceitável (Tabelas 6 – Matriz Apetite de Risco e 7 – Matriz de
Classificação de Riscos do Plano de Gestão).
O próximo passo é preencher o Formulário 2 – Exemplo de Uso de Formulário
de Avaliação de Riscos, com as informações levantadas até esta atividade e, ainda, com os
dados do risco residual (item 6.1 do Plano de Gestão de Riscos) e a resposta ao risco (item
7 do Plano de Gestão de Riscos).
5
Muito Alta
15
Extremo
Imp
act
o
Legenda Nível de Risco
Extremo = Absolutamente
Inaceitável
Alto = Inaceitável
Médio = Aceitável
Baixo = Oportunidade
Probabilidade
3
Média
Plano de Gestão de Riscos do TRT Décima Região Página 35
Formulário 2 – Exemplo de Uso de Formulário de Avaliação de Riscos
*Detalhes sobre Eficácia – Tabela 9 – Definição da Eficácia dos Controle; **Detalhes sobre as diretrizes – Tabela 8 – Diretrizes para Priorização do Tratamento de Riscos
ID Eventos Causas Consequências Probabilidade Impacto Nível Descrição Diretriz**Resposta
ao Risco
Revisão do
documento
baseada na
experiência.
Fraco 0,8
Alto Mitigar1
Provimento do
pedido de
impugnação do
Edital.
Inobservância
dos
requisitos
legais
definidos na
Lei
10.520/2002
Atraso na
realização da
contratação
pleiteada
3 5 15 12
Processo de Trabalho:
Fase de Planejamento de ContrataçãoCompilado por: #nome2
Data: 16/02/2018
Objetivo do Processo de Trabalho:
Elaborar o Termo de Referência necessário à contratação em conformidade com a
legislação vigente.
Gestor do Risco Avaliador: #nome3
Data: 16/02/2018
Riscos Identificados Avaliação Risco InerenteRisco
Residual
Recomendação para
tratamento do RiscoControles Existentes
Eficácia*
Plano de Gestão de Riscos do TRT Décima Região Página 36
6.1. Risco residual e resposta ao risco.
Como se vê, no formulário 2 é necessário preencher, também, a coluna
“Controles Existentes”, atribuindo a eficácia para o cálculo do risco residual.
O resultado do “Risco Residual” é encontrado multiplicando-se o Nível de Risco
Inerente (15) pelo multiplicador (0,80). A eficácia e seu respectivo multiplicador encontram-
se na Tabela 9 – Definição da Eficácia dos Controles.
Existindo mais de um controle, deve-se calcular o risco residual de cada um e
submetê-los à média aritmética simples.
A coluna “Diretriz” será definida de acordo com os níveis definidos na Tabela 8
– Diretrizes para Priorização do Tratamento de Riscos, levando-se em consideração o valor
do “Risco Residual” encontrado (12).
7. Tratamento de Riscos
Tem como propósito determinar a resposta mais adequada para modificar a
probabilidade ou o impacto de um risco. Essa resposta conta com as seguintes opções:
Evitar: descontinuar as atividades que geram o risco;
Transferir: compartilhar ou transferir uma parte do risco a terceiros.
Vale salientar que nem todos os riscos são totalmente transferíveis, como, por
exemplo, os riscos associados à reputação ou à imagem;
Mitigar: reduzir a probabilidade, o impacto, ou ambos; e
Aceitar: avaliar se os demais tipos de respostas ao risco são viáveis.
Em algumas situações, como risco de baixo nível ou custo desproporcional
ao benefício do tratamento, a opção mais adequada é aceitar ou reter o risco.
Uma vez que os tipos de respostas foram elencados, resta saber em quais
situações eles deverão ser aplicados. Para isso, devem-se considerar alguns aspectos, como:
avaliar os custos-benefícios de cada resposta; avaliar o efeito de cada resposta sobre a
probabilidade e o impacto; considerar os riscos cujo tratamento não é economicamente
justificável; avaliar os riscos secundários introduzidos pelo tratamento, entre outros.
Dando continuidade à hipótese utilizada, e tendo como base o Formulário 2 –
Exemplo de Uso de Formulário de Avaliação de Riscos, o tipo de resposta a ser utilizado
deverá ser aplicado dentro do intervalo de tempo definido pelo Gestor do Risco, conforme
recomenda a Tabela 8 – Diretrizes para Priorização do Tratamento de Riscos.
O tratamento do risco não garante a sua eliminação, já que, para alguns deles,
isso não é factível. Esse tipo de risco é classificado como residual e geralmente deverá ser
aceito.
Plano de Gestão de Riscos do TRT Décima Região Página 37
Assim, o próximo passo é preencher o Formulário 3 - Tratamento de Riscos, conforme exemplo a seguir:
Formulário 3 – Exemplo de Uso do Formulário para Tratamento de Riscos
8. Monitoramento e Análise Crítica
Tem como propósito monitorar regularmente e sugerir melhorias durante todas as atividades do processo de Gestão de Riscos. Aplicando-
a ao evento de “Provimento do pedido de impugnação do Edital” e considerando o tratamento realizado pela atividade, faz-se necessário monitorar as
ID Eventos Causas ConsequênciasAção de
implementaçãoResponsável Prazo Data
MITIGAR
Alterar o controle
existente, criando lista
de checagem
de conformidade
FAVORÁVEL
Não há custos
financeiros na instituição
do controle (lista de
checagem).
#nome1 3 meses
#nome1 6 meses
Identificar a
quantidade de
Termos de
Referência
impugnados por
inconformidade
com a Lei
10.520/2002,
antes e depois da
aplicação do
controle.
DESFAVORÁVEL
O risco
residual é alto, mas o
investimento é grande para a
mitigação pretendida.
Implementação
MITIGAR
Criar uma seção de
análise de Termo de
referência
Processo de Trabalho:
Fase de Planejamento de Contratação
Objetivo do Processo de Trabalho:
Elaborar o Termo de Referência necessário à contratação em conformidade com a legislação vigente.
Riscos Prioritários
Opções de
Tratamento
Relação Custo-Benefício
(Favorável/Desfavorável)
1
Provimento
do pedido
de
impugnação
do Edital
Inobservância
dos
requisitos
legais
definidos na
Lei
10.520/2002
Atraso na
realização da
contratação
pleiteada
Compilado por: #nome2
Data: 16/02/2018
Gestor do Risco Avaliador: #nome3
Data: 16/02/2018
Monitoramento
do Risco e seu
Tratamento
Plano de Gestão de Riscos do TRT Décima Região Página 38
tendências do evento, bem como assegurar a eficácia e eficiência do tratamento, por exemplo, por meio da observação de todos os Termos de Referência
do setor, para verificar quantos foram impugnados por inconformidade com a Lei nº 10.520/2002.
A atividade de Monitoramento e Análise Crítica pode gerar recomendações de melhorias para as demais atividades. O Formulário para
Monitoramento e Análise Crítica é um exemplo de ferramenta para melhoria de tratamento de riscos. Outros modelos podem ser criados, de acordo
com a necessidade específica. Para o exemplo tratado neste manual, foi preenchido o Formulário 4 – Exemplo de Uso Monitoramento e Análise Crítica.
Formulário 4 – Exemplo de Uso Monitoramento e Análise Crítica
ID Eventos Causas Consequências Responsável Status
TendênciaMelhoria
Requerida
1
Provimento
do pedido
de
impugnação
do Edital
Inobservância
dos
requisitos
legais
definidos na
Lei
10.520/2002
Atraso na
realização da
contratação
pleiteada
Revisão do
documento
baseada na
experiência
Lista de
checagem
dos
requisitos
legais
Extremo Alto ↓ Sim #nome1
Processo de Trabalho:
Fase de Planejamento de ContrataçãoCompilado por: #nome2
Data: 16/02/2018
Objetivo do Processo de Trabalho:
Elaborar o Termo de Referência necessário à contratação em conformidade com a
legislação vigente
Gestor do Risco Avaliador: #nome3
Data: 19/02/2018
Riscos Controles
Existentes*
Novos
Controles*
Nível do
Risco
Risco
residual
Plano de Gestão de Riscos do TRT Décima Região Página 39
Tendência
↑ Aumento
↔ Estável
↓ Diminuição
Completo
Em Implementação
Atrasado
Não Aplicável
Status da Melhoria
Plano de Gestão de Riscos do TRT Décima Região Página 40
9. Comunicação e Consulta
Tem como propósito auxiliar todas as atividades do processo de Gestão de
Riscos, de forma a permitir a comunicação eficiente, bem como a consulta às informações
pertinentes ao exercício de cada uma delas.
Dar-se-á ao longo de todo o processo de gestão de riscos, devendo ocorrer em
todas as atividades. Trata-se de um processo cíclico que deve ser executado sempre que
necessário objetivando sua melhoria contínua.
O Formulário 5 – Exemplo de Uso Comunicação de Riscos deste manual
exemplifica forma de reporte de riscos (item 6.1 do Plano de Gestão de Riscos).
PLANO DE GESTÃO DE RISCOS
Formulário 5 – Exemplo de Uso Comunicação de Riscos
Método de Comunicação
Internet
Intranet
Malote Digital
Reunião
SEI
Treinamento
Frequência
Ad hoc
Esporádica
MensalCoordenadoria Y #nome4 Provimento do pedido de impugnação
do Edital.Reunião 30/01/2018Informar
Secretaria X #nome2 Provimento do pedido de impugnação
do Edital.e-mail 20/01/2018Informar
Demandante da
Contratação#nome3
Provimento do pedido de impugnação
do Edital.Memorando 25/01/2018Consular
Processo de Trabalho:
Fase de Planejamento de Contratação
Compilado por: #nome2
Data: 16/02/2018
Objetivo do Processo de Trabalho:
Elaborar o Termo de Referência necessário à contratação em conformidade com a legislação vigenteGestor do Risco Avaliador: #nome3
Data: 19/02/2018
Parte Interessada Comunicador Descrição do Risco Método de Comunicação Data da ComunicaçãoFinalidade
Propósito
Informar
Consultar
Frequência
Ad hoc
Anual
Bimestral
Esporádica
Mensal
Semanal
Semestral
Trimestral
PLANO DE GESTÃO DE RISCOS