4. RESULTS
5.2 Results from study
4.2.2.1 Resultados da Variável 2.2.1 – Processo de Avaliação de Riscos Quadro 42 – Resultados da Variável 2.2.1 – Processo de Avaliação de Riscos
(0) Incipiente (1) Inicial (2) Em Formação (3) Estabelecido
Ausência de processo para a avaliação de riscos. Entidade possui avaliação de riscos realizada de forma casuística, sem processo formalmente
estabelecido.
Entidade possui processo formalmente estabelecido para a avaliação de riscos. Processo de avaliação de riscos é realizado periodicamente (mínimo de uma vez ao ano), para a reavaliação dos riscos.
MAPA Não Não Não
Incra Não Não Não
Conab Sim Não Não
Fonte: Dados da pesquisa.
Para a análise da maturidade nesta variável foram solicitados às entidades estudadas os seguintes documentos: Normas e regulamentos referentes aos processos de avaliação de riscos corporativos; Relatórios de avaliação de riscos corporativos; Relatórios de avaliação de riscos das atividades dos principais processos.
O MAPA criou em 2015 o Grupo Executivo de Controle de Risco Operacional – GECRO (Portaria SE nº 1.674/2015), que tem entre suas atribuições “identificar os processos de trabalho e rotinas que apresentem maior sensibilidade à incidência de desconformidade no cumprimento dos atos normativos e legais vigentes”. Não obstante, ainda não existe evidência da realização de uma avaliação de risco.
O Incra não apresentou documentos para evidenciar o atendimento aos critérios da variável.
A Conab apresentou relatório de implantação da gestão de riscos na Superintendência de Operações Comerciais – SUOPE, no ano de 2015. De acordo com o relatório, os gestores da SUOPE receberam capacitação para a gestão de riscos, oportunidade em que foram realizados os procedimentos de identificação dos riscos, análise da significância e definição das respostas aos riscos de parte dos processos da Superintendência. Assim, a Conab atende ao critério do nível de maturidade (1) Inicial.
A existência de um processo formalmente estabelecido é necessária para que a avaliação de riscos seguindo um procedimento ordenado e sistemático, capaz de responder aos riscos decorrentes das exigências de desempenho e accountability da administração pública gerencial (BARRETT, 2000).
A revisão periódica é importante para verificação da relevância e identificação de novos riscos decorrentes de mudanças no ambiente, atribuições legais e políticas públicas de responsabilidade da entidade (COSO, 2013). A ausência de um processo formal para a avaliação de riscos e sua revisão periódica pode resultar em riscos não identificados, vieses na análise da significância e ausência de resposta aos riscos, prejudicando a realização dos objetivos da entidade.
4.2.2.2 Resultados da Variável 2.2.2 – Participantes da Avaliação de Riscos Quadro 43 – Resultados da Variável 2.2.2 – Participantes da Avaliação de Riscos
(0) Incipiente (1) Inicial (2) Em Formação (3) Estabelecido
Ausência de definição dos participantes do processo de avaliação de riscos. O processo de avaliação de riscos tem a participação do corpo diretivo e alta gerência da entidade.
O processo de avaliação de riscos tem a
participação da gerência e empregados, inclusive das funções de suporte relevantes para a realização dos objetivos da entidade. O processo de avaliação de riscos inclui benchmarking ou participação de auditor ou especialista externo à entidade.
MAPA Não Não Não
Incra Não Não Não
Conab Não Sim Não
Fonte: Dados da pesquisa.
Para a análise da maturidade nesta variável foram solicitados às entidades estudadas os seguintes documentos: Normas e regulamentos referentes aos processos de avaliação de riscos corporativos; Relatórios de avaliação de riscos corporativos; Relatórios de avaliação de riscos das atividades dos principais processos.
O MAPA e o Incra não apresentaram evidências de realização de avaliação de riscos. Na Conab, o relatório de implantação da gestão de riscos na SUOPE informa que a avaliação dos riscos foi realizada no âmbito de uma ação de capacitação que envolveu gerentes e empregados indicados de cada área da SUOPE. Nesse sentido, embora não tenha evidenciado o atendimento ao critério do nível de maturidade (1) Inicial, a avaliação de riscos da Conab atende ao critério do nível de maturidade (2) Em Formação.
A participação de um amplo conjunto de interessados na avaliação dos riscos da organização é necessária para que a identificação, análise e resposta aos riscos seja feita por indivíduos com diferentes perspectivas, experiência e conhecimento (GAO, 2001). Empregados e gerentes de níveis organizacionais inferiores possuem conhecimento e experiência em razão da realização cotidiana dos processos e atividades pelos quais são responsáveis. A alta gerência agrega a visão das conexões entre os processos e dos requisitos do produto final a ser entregue pela organização. O envolvimento da alta gerência e direção executiva na avaliação de riscos é
importante também para a definição das respostas aos riscos. Desse modo, uma avaliação de riscos que envolva apenas um conjunto restrito de participantes pode resultar em riscos não identificados, vieses na análise da significância e ausência de resposta aos riscos, prejudicando a realização dos objetivos da entidade.
4.2.2.3 Resultados da Variável 2.2.3 – Fatores Considerados na Avaliação de Riscos Quadro 44 – Resultados da Variável 2.2.3 – Fatores Considerados na Avaliação de Riscos
(0) Incipiente (1) Inicial (2) Em Formação (3) Estabelecido
Ausência de definição dos fatores que devem ser considerados na avaliação de riscos. O processo de avaliação de riscos considera fatores internos e externos à entidade. O processo de avaliação de riscos da entidade inclui mecanismos para a antecipar a identificação, análise e resposta a riscos decorrentes de mudanças (no ambiente externo, nas políticas públicas de responsabilidade da entidade e na liderança da entidade).
O processo de avaliação de riscos inclui o risco de fraude (incentivos e pressões, oportunidades, atitudes e
racionalizações, abordagens para burlar controles).
MAPA Não Não Não
Incra Não Não Não
Conab Sim Não Não
Fonte: Dados da pesquisa.
Para a análise da maturidade nesta variável foram solicitados às entidades estudadas os seguintes documentos: Normas e regulamentos referentes aos processos de avaliação de riscos corporativos; Relatórios de avaliação de riscos corporativos; Relatórios de avaliação de riscos das atividades dos principais processos.
O MAPA e o Incra não apresentaram evidências de realização de avaliação de riscos. Na Conab, o relatório de implantação da gestão de riscos na SUOPE informa que a metodologia aplicada na avaliação de riscos considera os fatores infraestrutura, pessoal, processo, tecnologia e ambiente externo, atendendo ao critério do nível de maturidade (1) Inicial.
O COSO (2013) ressalta a importância de que a avaliação de riscos leve em consideração um amplo conjunto de fatores internos e externos, inclusive decorrentes de fraude, e a importância de antecipar-se a riscos decorrentes de mudanças que podem causar grande impacto na organização. De outro modo, riscos significativos podem deixar de ser identificados, analisados e respondidos, prejudicando a realização dos objetivos da entidade.
4.2.2.4 Resultados da Variável 2.2.4 – Níveis Organizacionais da Avaliação de Riscos Quadro 45 – Resultados da Variável 2.2.4 – Níveis Organizacionais da Avaliação de Riscos
(0) Incipiente (1) Inicial (2) Em Formação (3) Estabelecido
Ausência de definição de níveis organizacionais na avaliação de riscos.
Avaliação de riscos em nível de atividade, para os processos mais relevantes para a realização dos objetivos da entidade. Avaliação de riscos levando em consideração as unidades e subunidades organizacionais. Avaliação de riscos em nível de entidade.
MAPA Não Não Não
Incra Não Não Não
Conab Parcial Não Não
Fonte: Dados da pesquisa.
Para a análise da maturidade nesta variável foram solicitados às entidades estudadas os seguintes documentos: Normas e regulamentos referentes aos processos de avaliação de riscos corporativos; Relatórios de avaliação de riscos corporativos; Relatórios de avaliação de riscos das atividades dos principais processos.
O MAPA e o Incra não apresentaram evidências de realização de avaliação de riscos. Na Conab, o relatório de implantação da gestão de riscos na SUOPE informa que a avaliação de risco foi feita em nível de atividade. Apesar disso, realizou-se apenas em parte das atividades de um dos processos da SUOPE. Assim, entende-se que a Conab atende apenas parcialmente ao critério do nível de maturidade (1) Inicial.
De acordo com o GAO (2001), é importante que os riscos sejam avaliados nos diversos níveis organizacionais. Enquanto os gerentes operacionais e funcionais possuem a visão dos processos e atividades pelas quais são responsáveis, os gerentes de unidade e a alta gerência possuem a visão das conexões entre os diferentes processos e sua influência nas entregas para as partes interessadas. A avaliação de riscos em nível de unidades e subunidades organizacionais deve incluir ainda considerações relacionadas ao âmbito de sua atuação, como leis e regulamentos locais, e características sociais e culturais específicas (COSO, 2013). Assim, a avaliação de riscos nesses níveis vai além da compilação dos riscos identificados nos níveis organizacionais inferiores. A ausência de avaliação de riscos nos níveis de entidade, unidades e subunidades pode resultar numa identificação de riscos incompleta, permitindo prejuízos à realização dos objetivos da organização.
4.2.2.5 Análise Comparativa da Subdimensão 2.2 – Identificação, Análise e Resposta aos Riscos
Quadro 46 – Análise Comparativa da Subdimensão 2.2 – Identificação, Análise e Resposta aos Riscos
Variáveis MAPA Incra Conab
2.2.1. Processo de Avaliação de Riscos
Não apresentou evidências de processo para a avaliação de riscos.
Não apresentou evidências de processo para a avaliação de riscos. Avaliação de riscos realizada de forma casuística. 2.2.2. Participantes da Avaliação de Riscos
Não apresentou evidências de participantes na avaliação de riscos.
Não apresentou evidências de participantes na avaliação de riscos. Gerentes dos processos e atividades avaliados. 2.2.3. Fatores Considerados na Avaliação de Riscos
Não apresentou evidências de fatores de avaliação de riscos.
Não apresentou evidências de fatores de avaliação de riscos. Fatores de risco internos e externos. 2.2.4. Níveis Organizacionais da Avaliação de Riscos
Não apresentou evidências de níveis organizacionais de avaliação de riscos.
Não apresentou evidências de níveis organizacionais de avaliação de riscos. Avaliação em nível de atividade, para um dos principais processos. Fonte: Dados da pesquisa.
A avaliação de riscos é importante para que uma organização cumpra seus objetivos, dando embasamento à elaboração dos controles internos, os quais devem concretizar a resposta aos riscos, conforme a sua avaliação. Constatou-se que MAPA e Incra ainda não realizam avaliações de riscos, enquanto a Conab apenas iniciou a implantação do seu processo. A ausência de um processo estruturado para a avaliação de riscos deixa os controles sem referência dos eventos que podem causar prejuízos a realização dos objetivos da entidade, diminuindo a eficácia da estrutura de controle interno.
O quadro a seguir apresenta os riscos identificados com embasamento nas características da subdimensão, diagnosticadas pela aplicação do modelo de maturidade desenvolvido neste trabalho, e as respectivas recomendações para o aprimoramento das estruturas de controle interno das entidades estudadas.
Quadro 47 – Riscos e Recomendações da Subdimensão 2.2 – Identificação, Análise e Resposta aos Riscos
Riscos Recomendações
(MAPA, Incra, Conab) Os riscos da entidade não sejam avaliados em razão da ausência de um processo formalmente definido.
(MAPA, Incra, Conab) A identificação, análise e resposta dos riscos da entidade não produzam resultados adequados por não terem sido realizadas de forma ordenada.
(MAPA, Incra, Conab) A avaliação de riscos da entidade deixe de ser relevante em razão de mudanças no ambiente de atuação, nas atividades realizadas, nas atribuições legais ou nas políticas públicas de sua responsabilidade.
(MAPA, Incra, Conab) Estabelecer um processo formal para a identificação, análise e resposta a riscos no âmbito da entidade, determinando a sua repetição periódica para a análise da relevância e ajuste da avaliação de riscos.
Continuação do Quadro 47 – Riscos e Recomendações da Subdimensão 2.2 – Identificação, Análise e Resposta aos Riscos
Riscos Recomendações
(MAPA, Incra, Conab) Não sejam identificados riscos significativos da entidade em razão da ausência de avaliação de riscos em parte dos níveis
organizacionais da entidade.
(MAPA, Incra, Conab) Não sejam identificados riscos significativos da entidade em razão da falta de coordenação entre as avaliações de riscos realizadas nos diversos níveis organizacionais da entidade.
(MAPA, Incra, Conab) Incluir no processo de avaliação de riscos da entidade a avaliação de riscos dos processos e atividades relevantes para a
realização de seus objetivos, a avaliação de riscos das unidades e departamentos que desempenham funções finalísticas e de suporte relevantes, e a avaliação de riscos em nível de entidade.
(MAPA, Incra) Não sejam definidas respostas adequadas a riscos significativos da entidade em razão da desconsideração de fatores internos e externos.
(MAPA, Incra, Conab) Não sejam definidas respostas adequadas a riscos significativos da entidade em razão da desconsideração de fatores de risco decorrentes de mudanças relevantes e fatores relacionados a fraude.
(MAPA, Incra) Incluir no processo de avaliação de riscos da entidade a consideração de fatores de risco internos e externos.
(MAPA, Incra, Conab) Incluir no processo de avaliação de riscos da entidade a antecipação da identificação, análise e resposta a mudanças relevantes e a consideração de fatores de risco de fraude (incentivos, pressões, oportunidades, racionalizações e abordagens para burlar controles). (MAPA, Incra, Conab) Não sejam identificados
riscos significativos para a entidade em razão da ausência de participantes com conhecimento, experiência e objetividade no processo de avaliação