Prévia do material em texto
Estágio Setorial de Gestão de Riscos e Controles Internos da Gestão 4º Centro de Gestão, Contabilidade e Finanças do Exército 4º CGCFEx “Gerindo recursos para gerar poder de combate” Apostila de Gestão de Riscos nº 2 GESTÃO DE RISCOS Apresentação Inicial A segunda parte deste documento traz conceitos importantes a respeito do processo de Gestão de Riscos, e visa facilitar o entendimento dos leitores sobre a execução do processo na Unidade Gestora. O material foi elaborado com o intuito de facilitar a aprendizagem autônoma, abordando conteúdos especialmente selecionados, adotando uma linguagem que facilite seu estudo a distância. Todo conteúdo foi extraído de legislações atinentes ao tema, mas ele não substitui o que consta nas fontes originais. Bom estudo e sucesso no aprendizado! 1. Processo de Gestão de Riscos No âmbito do Exército Brasileiro o processo de gestão de riscos consiste na aplicação sistemática de políticas, procedimentos e práticas de gestão para identificar, analisar, avaliar, priorizar, tratar e monitorar os riscos e, deverá empregar o modelo das linhas de defesa, cuja finalidade é estabelecer a comunicação entre partes interessadas no gerenciamento de riscos e controles por meio do esclarecimento das competências e responsabilidades essenciais. O processo de gestão de riscos possui os seguintes componentes: a. ambiente interno: incluem, entre outros elementos, integridade, valores éticos, maneira pela qual a gestão delega autoridade e responsabilidades, estrutura de governança organizacional e políticas e práticas. O ambiente interno é a base de todos os outros componentes da estrutura de gestão de riscos; b. fixação de objetivos: em todos os níveis do EB, os objetivos organizacionais deverão ser fixados e alinhados à missão e à visão da organização, visando à identificação de eventos que potencialmente impeçam sua consecução; c. identificação de eventos: deverão ser identificados e relacionados os eventos que possam influenciar no cumprimento dos objetivos das OM, sendo classificados como riscos ou oportunidades; d. avaliação de riscos: os riscos deverão ser avaliados sob a perspectiva de probabilidade e impacto de sua ocorrência, do inter-relacionamento com outros riscos e quanto à condição de inerentes e residuais; e. resposta a riscos: as OM deverão adotar uma estratégia em resposta aos riscos avaliados, podendo ser aquelas descritas no Art. 16 do Manual Técnico da Metodologia de Gestão de Riscos do Exército Brasileiro (EB20-MT02.001) e também descritas na Apostila anterior; 2 f. atividade de controle: são procedimentos estabelecidos para reduzir a magnitude dos riscos que a OM tenha optado tratar. Incluem controles preventivos e de detecção, além de planos de contingência previamente preparados, os quais darão respostas à materialização dos riscos. São exemplos de atividades de controle: 1) procedimentos de autorização e aprovação; 2) segregação de funções (autorização, execução, registro, controle); 3) controles de acesso a recursos e registros; 4) verificações; 5) conciliações; 6) avaliação de desempenho e revisão de operações, processos e atividades; 7) supervisão; 8) normatização interna; e 9) capacitação e treinamento. g. informação e comunicação: tem como objetivo identificar, coletar e disseminar informações relevantes e oportunas sobre o gerenciamento dos riscos para todos aqueles que possam influenciar ou ser influenciados pelos riscos; e h. monitoramento: tem como objetivo acompanhar e avaliar a execução das atividades de controle por meio de ações gerenciais contínuas e/ou avaliações independentes, buscando assegurar que estas funcionem como previsto e que sejam modificadas, com oportunidade, por meio de planos de ação. 1.1. Ambiente Interno O ambiente interno propicia disciplina e estrutura, influenciando o modo pelo qual as estra- tégias e os objetivos são estabelecidos e a forma como os riscos são identificados, avaliados e geri - dos. O ambiente interno influencia o desempenho e o funcionamento das atividades de controle, dos sistemas de informação e comunicação, bem como das atividades de monitoramento. O ambiente interno é influenciado pela história e cultura do Exército, compreendendo ele- mentos como valores éticos, competência e desenvolvimento pessoal, além do reconhecimento da importância da gestão de riscos. As informações do ambiente interno poderão ser obtidas por meio do diagnóstico do SI- PLEx e do Planejamento Estratégico Organizacional, de pesquisas internas, relatórios em geral e dos órgãos do Sistema de Controle Interno do EB, entre outros. A identificação de forças/fraquezas e oportunidades/ameaças ocorre durante a análise dos ambientes interno e externo, respectivamente, de modo a registrar os pontos fortes e fracos e suas influências nos macroprocessos/processos da OM. Para a realização da identificação de forças/fra- quezas e oportunidades/ameaças, consta no Manual Técnico da Metodologia de Gestão de Riscos 3 do Exército Brasileiro sugestão para a utilização da Matriz SWOT Cruzada, conforme modelo abaixo: Matriz SWOT Cruzada 1.2. Fixação de Objetivos A UGV/OM deverá identificar os seus objetivos, como condição prévia, para que possa rea- lizar a identificação dos eventos, a avaliação de riscos e adoção das respostas a riscos. É necessário que os objetivos existam para que a OM possa identificar e avaliar os riscos quanto a sua realização, bem como adotar as medidas necessárias para administrá-los. A definição dos processos críticos que mais impactam na consecução dos objetivos da OM poderá ser feita estabelecendo uma correlação entre os processos e seus objetivos. A UGV/OM rea- lizará a priorização dos processos críticos resultante da correlação entre os referidos processos e os objetivos levantados, mediante preenchimento da Matriz de Priorização de Processos Críticos, pre- vista no Manual Técnico da Metodologia de Gestão de Risco do EB, abaixo reproduzida: 4 Após a priorização dos processos mais críticos a serem analisados, devem-se definir os obje- tivos do processo em análise. Do exemplo acima, verifica-se, a título de exemplificação, o preenchi- mento da “Tabela de Objetivos dos Processos Críticos”: Processo Crítico Objetivos do Processo P2 Objetivo do processo nº 3 Objetivo do processo nº 4 Objetivo do processo nº 1 Objetivo do processo nº 5 Objetivos do processo crítico As informações coletadas, em conjunto com as informações do processo (normas, fluxogra- ma das atividades, descrição das tarefas e responsáveis), são fundamentais para a realização das de- mais etapas do gerenciamento riscos e controles internos da gestão. 1.3. Identificação de Eventos Conforme citação constante no Manual Técnico da Metodologia de Gestão de Riscos do EB é neste componente, que a UG/OM identifica os eventos que, se ocorrerem, afetarão a organização, por possuírem efeitos adversos na sua capacidade de implementar adequadamente a estratégia e al- cançar os objetivos. Durante o processo de identificação de eventos, estes poderão ser diferenciados em riscos ou oportunidades. 5 Os eventos que representam riscos exigem avaliação e pronta resposta da OM, em contra- partida os eventos que representam oportunidades devem ser potencializados e canalizados para o Cmt/Ch/Dir da OM a fim de que sejam definidas as estratégias para maximização desses eventos. A Figura abaixo apresenta uma visão ampla entre evento, causa e consequência. A utilização de numeradores nos objetivos, riscos, fatores de risco e controles facilitará a gestão de riscos da OM. O processo de identificação de riscos requer a participação de pessoal com conhecimento do processo, visão holística das atividades e rotinas nos seus diferentes níveis.A técnica a ser uti- lizada na identificação de eventos de risco deve ser a que melhor se adapta ao grupo. Dentre as prin- cipais técnicas e fontes de consulta estão: a. questionários; b. workshops; c. brainstorming; d. lições aprendidas; e. inspeções; f. auditorias; g. fluxogramas etc. 6 Realizada a identificação dos riscos, lista-se os riscos identificados, com base nos objetivos do processo. Cabe destacar que os riscos identificados devem ser entendidos como parte de um con- texto, e não de forma isolada. A UGV/OM deverá elaborar uma tabela para listar os riscos identifi- cados, conforme exemplo abaixo, retirado do Manual Técnico da Metodologia de Gestão de Riscos do EB: 1.4. Avaliação de Riscos Os riscos são impulsionados por uma grande quantidade de causas internas e externas (fato- res de riscos) e estes riscos afetam a implementação da estratégia e o cumprimento dos objetivos das UG/OM. Por isso que as UG/OM devem reconhecer a importância de compreender essas causas e os respectivos riscos que emanam delas. A técnica “Gravata Borboleta” (bow-tie) poderá ser utilizada pela UG/OM para analisar os riscos identificados, relacionando os fatores de risco (causas) que influenciam na sua concretização e as consequências decorrentes. A “Gravata Borboleta” é considerada uma evolução do diagrama de causa e efeito (Diagrama de Ishikawa). Para facilitar a compreensão da gravata borboleta, ob- serva-se a figura abaixo, transcrita do Manual EB20-MT02.001: 7 Os conceitos atinentes a fonte de riscos, fatores de riscos, vulnerabilidades, etc foram abor- dados na Apostila nº 1 do presente estágio, daí sugerimos que o Aluno consulte a apostila retrocida- da ou o Manual Técnico da Metodologia de Gestão de Riscos do EB, caso necessite aprofundar-se no tópico e facilitar seu aprendizado. A UG/OM poderá criar um portfólio de fatores de riscos que facilitará a análise de causa e efeito da relação entre os fatores de riscos e os riscos de um determinado processo. A tabela apre- sentada abaixo, retirada do Manual EB20-MT02.001 ilustra um exemplo, não exaustivo, de fatores de risco. 8 Após identificação e listagem dos riscos, alinhados aos objetivos dos processos e da UG/ OM, identificação dos fatores de riscos e da sua respectiva consequências sobre os objetivos da UG/OM, inicia-se a descrição completa dos riscos, conforme art. 40 do Manual Técnico da Meto- dologia da Gestão de Riscos do EB (EB20-MT02.001), como segue: Devido à <CAUSA (FATOR DE RISCO)>, poderá acontecer <DESCRIÇÃO DO EVENTO >, o que poderá levar a <DESCRIÇÃO DO IMPACTO/EFEITO/CONSEQUÊNCIAS> impactando no/na <OBJETIVO DE PROCESSO > A UG/OM deverá sinalizar no mapa do processo os fatores de risco e os riscos com bandei- ras vermelhas (red flags), conforme modelo abaixo: 9 Os riscos inerentes são avaliados sem considerar a execução de controles para mitigá-los. Dentro desse conceito, é necessário elaborar a avaliação de riscos inerentes (probabilidade x impac- to), cujo resultado será o grau de criticidade do risco (magnitude) consolidado na Matriz de Riscos e Controles, conforme ilustrado no Anexo E do Manual EB20-MT02.001. 10 A avaliação de riscos visa a auxiliar na definição de prioridades e opções de tratamento aos riscos identificados e possui dois parâmetros: a. atribuir a probabilidade de os riscos acontecerem; e b. estimar o impacto das consequências para o processo. O impacto sobre os objetivos de um processo poderá recair sobre uma ou mais dimensões, tais como: a. prazo; b. orçamentário-financeiro; c. qualidade; d. escopo; e. imagem ou reputação etc. Para determinar os níveis de risco (extremo, alto, médio e baixo), deve-se utilizar as escalas de probabilidade e impacto, constantes das tabelas abaixo especificadas, cuja finalidade é estabele- cer o resultado da combinação desses dois fatores. Critérios para Avaliação Qualitativa da Probabilidade dos Riscos Classificação da probabilida- de Descrição Nível MUITO ALTA Evento se reproduz muitas vezes, se repete seguidamente, de maneira assídua, numerosa e, não raro, de modo acelerado. Interfere de modo claro no ritmo das atividades, sendo evidente para os que conhecem o processo. 5 ALTA Evento usual, corriqueiro. Devido à sua ocorrência habitual ou conhe- cida em uma dezena ou mais de casos, aproximadamente, seu histórico é amplamente conhecido por parte de gestores e operadores do proces- so. 4 MÉDIA Evento esperado, que se reproduz com frequência reduzida, porém constante. Seu histórico de ocorrência é de conhecimento da maioria dos gestores e operadores do processo. 3 BAIXA Evento casual, inesperado. Muito embora raro, há histórico conhecido de sua de ocorrência por parte dos principais gestores e operadores do processo. 2 MUITO BAIXA Evento extraordinário para os padrões conhecidos da gestão e operação do processo. Embora possa assumir dimensão estratégica para a manu- tenção do processo, não há histórico disponível de sua ocorrência. 1 11 Critérios para Avaliação Qualitativa do Impacto dos Riscos Classificação do Impacto Descrição Nível MUITO ALTO Interrupção abrupta de operações, atividades, projetos, programas ou processos da organização, impactando fortemente outros processos, causando impactos de muito difícil reversão nos objetivos. 5 ALTO Interrupção de operações, atividades, projetos, programas ou processos da organização, causando impactos de difícil reversão nos objetivos. 4 MÉDIO Interrupção de operações ou atividades da organização, de projetos, programas ou processos, causando impactos significativos nos objeti- vos, porém recuperáveis. 3 BAIXO Degradação de operações, atividades, projetos, programas ou processos da organização, causando impactos pequenos nos objetivos. 2 MUITO BAIXO Degradação de operações, atividades, projetos, programas ou processos da organização, porém causando impactos mínimos nos objetivos (de tempo, prazo, custo, quantidade, qualidade, acesso, escopo, imagem etc) relacionados ao atendimento de metas, padrões ou à capacidade de entrega de produtos/serviços às partes interessadas (clientes internos/ externos e beneficiários). 1 As Tabelas abaixo transcritas do Manual EB20-MT02.001 apresentam um extrato da Matriz de Riscos e Controles e a escala dos níveis de riscos, respectivamente, decorrentes da combinação dos fatores probabilidade e impacto. 12 Com o objetivo de facilitar a visualização e, ao mesmo tempo, priorizar uma forma de trata- mento de cada risco, o resultado da avaliação dos riscos será apresentado em uma matriz, chamada de Matriz de Exposição a Riscos, permitindo o acompanhamento dos riscos. O modelo da Matriz de Exposição a Riscos abaixo apresentada, demonstra os pontos de cru- zamento da probabilidade de ocorrência e do impacto dos riscos. Desta forma, pela divisão da Ma- triz em quadrantes, pode-se avaliar o nível dos riscos. Quanto maior for a probabilidade e o impacto de um risco, maior será seu nível de criticidade. O desafio para os gestores de risco é buscar a redução da criticidade dos riscos agindo sobre a probabilidade de ocorrência e o impacto decorrente ou em ambos, colocando-os em um nível que aumente a possibilidade de atingir os objetivos. 13 O nível de risco do processo é obtido através do resultado da média aritmética do produto entre a probabilidade e o impacto dos riscos inerentes elencados no processo e serve como fator de comparação entre processos distintos. As tabelas abaixo apresentadas e retiradas do Manual Técnico da Metodologia de Gestão de Riscos do EB (EB20-MT02.001), apresentam um exemplo de avaliação de níveis de riscos do pro- cesso e a escala de nível de risco do processo, respectivamente. As referidas tabelas serão utilizadas pelas UG/OM na avaliação dos níveis de riscos dos processos críticos selecionados. 14 1.5. Respostas a Riscos Após a finalização do processo relativo ao componente de avaliação de riscos, é iniciado o processodo componente respostas a riscos. A UG/OM deve identificar qual estratégia seguir (aceitar, compartilhar, evitar ou mitigar) em relação aos riscos mapeados e avaliados. A escolha da estratégia dependerá do nível de exposi- ção a riscos previamente estabelecido pela organização, em confronto com a avaliação que se fez do risco e da relação custo benefício. A priorização deve estar embasada na Matriz de Exposição a Riscos. O risco no quadrante vermelho deve receber prioridade no tratamento, conforme visualizado na Figura 5. 15 1.6. Atividades de Controles As atividades de controles incluem uma gama de controles internos da gestão preventivos e de detecção, bem como a preparação prévia de planos de contingência, caso a OM tenha opta- do pelas estratégias de compartilhamento e mitigação na fase - Resposta a Riscos. O entendimento sobre o fluxo das atividades do processo e o desenho dos controles permi- tem avaliar se o dimensionamento destes controles atende ou não ao objetivo esperado. 1.6.1. Princípios dos Controles No tocante aos princípios, os controles estabelecidos pela UG/OM devem: a. ser preferencialmente automatizados ou, se não for possível, uma combinação de contro- les manuais e informatizados; b. possuir objetivos claramente definidos a fim de se obter razoável garantia de atingimento das metas, utilização eficiente e eficaz dos recursos, confiabilidade e integridade das informações, cumprimento dos normativos aplicáveis ou salvaguarda dos ativos; c. não serem criados desnecessariamente; d. ter a periodicidade de uso definida: diário, quinzenal, mensal etc; e. possuir responsáveis designados; f. ser continuamente acompanhados e avaliados ao longo do tempo, no que diz respeito ao seu desenho e operação; e g. ter o custo menor do que o benefício gerado. 16 1.6.2. Classificação dos Controles Os controles possuem a seguinte classificação: a. preventivo: desenhado para prevenir a ocorrência de eventos indesejáveis. Reduz a pro- babilidade de os fatores de risco virem a contribuir para a concretização desses eventos; e b. de detecção: desenhado para detectar eventos indesejados. Aponta a manifestação/ocor- rência de um risco, sendo necessário um plano de contingência para atenuar o impacto nos objetivos do processo. 1.6.3. Outras Observações Veja na figura abaixo o posicionamento dos controles preventivos, de detecção e planos de contingência em relação à causa, ao evento e às consequências. A fim de garantir que os possíveis riscos foram identificados, analisados e avaliados, e que os controles preventivos e de detecção e os planos de contingência foram elaborados e implementa- dos, faz-se necessário realizar a análise da Matriz de Riscos e Controles, conforme apresentado no Anexo G do Manual EB20-MT02.001 e abaixo transcrito. 17 O resultado desta análise implicará em recomendações de melhorias na gestão de riscos, as quais poderão ser implementadas por meio do Plano de Ação , conforme Anexo H do Manual EB20-MT02.001, conforme abaixo apresentada. Após a execução dos planos de ação, faz-se necessário reavaliar os riscos considerando os controles internos implementados, momento em que passam a ser denominados residuais estimados. O gestor deverá estimar um novo grau de criticidade para os riscos, bem como para o pro- cesso. A Tabela abaixo apresenta um extrato da Matriz de Riscos e Controles, definindo níveis de risco após a avaliação dos riscos residuais estimados, inclusive o nível de risco residual estimado do processo. 18 A Figura abaixo, apresenta a Matriz de Exposição a Riscos Residuais Estimados após a rea- valiação. 1.7. Informação e Comunicação O acesso a informações confiáveis, íntegras e tempestivas é vital para que a gestão de riscos e controles internos da gestão seja adequada e eficaz no alcance de seus objetivos. O fluxo da comu- nicação deve permitir que as informações possam chegar a todas organizações e pessoas que te- nham a necessidade de conhecê-las. A comunicação em direção à sociedade também é objeto de controle, reduzindo riscos de respostas inadequadas às necessidades da população. 19 Risco 7 A comunicação entre as estruturas de Gestão de Riscos e Integridade seguem a cadeia de co- mando e, em casos específicos, o canal técnico. A OM deve utilizar sua área de comunicação corporativa para operacionalizar o processo de comunicação dos riscos corporativos. 1.8. Monitoramento A Matriz de Riscos e Controles (Anexo E) será a principal ferramenta de monitoramento do processo de gestão riscos da OM. Além deste documento, o Relatório Anual de Gestão de Riscos (Anexo B) será de fundamental importância para o acompanhamento dos trabalhos realizados pela Organização. De forma clara e objetiva, o monitoramento envolve três procedimentos: a. verificar se o plano de ação proposto foi executado. Para isso deve-se utilizar 3 (três) indi- cadores: 1) executado; 2) em execução; e 3) não executado. b. acompanhar a evolução das condições dos riscos identificados e analisados. Neste caso, deve-se verificar se as condições listadas na Matriz SWOT Cruzada e na Técnica da Gravata Borbo- leta sofreram mudanças e/ou alterações; e c. avaliar a eficácia dos controles. O controle será considerado eficaz quando atender a sua finalidade na totalidade. Ainda nesta fase, faz-se necessário reavaliar os riscos, considerando a eficácia dos controles, momento em que passam a ser denominados residuais efetivos. O gestor deverá, por fim, constatar o real grau de criticidade dos riscos, bem como do nível de risco do processo. O processo de monitoramento é de responsabilidade direta dos PRisC. A Tabela abaixo, extraída do Manual Técnico da Metodologia de Gestão de Riscos do EB, apresenta um extrato da Matriz de Riscos e Controles, definindo níveis de risco após a avaliação dos riscos residuais efetivos. 20 A Figura abaixo apresenta a posição dos riscos residuais efetivos na Matriz de Exposição a Riscos Residuais Efetivos, após a reavaliação. Após a finalização do processo de gestão de riscos a AGRiC elaborará o Relatório Anual de Gestão de Riscos 2. Estudo de Caso Para finalizar o processo de aprendizagem deste módulo, realizar uma revisão direcionada dos componentes do processo de gestão de riscos e consolidar conhecimentos adquiridos e aperfei- çoados durante a leitura deste documento, que serão úteis para a realização da gestão de riscos nas UG/OM, iremos apresentar o estudo de caso constante dos anexos do Manual EB20-MT02.001, com abordagem diferente da constante do Manual supracitado, para adequá-lo aos objetivos e ao público-alvo deste estágio. 21 Risco 7 2.1 Estudo de Caso - Anexo L do Manual EB20-MT02.001 O Senhor foi designado membro da Equipe de Gestão de Riscos, Integridade e Controle da Seção em que trabalha. Com base em um processo crítico hipotético de sua seção, acompanhe os passos necessários para execução da Gestão de Riscos a fim de proporcionar garantia razoável para alcance dos objetivos desse processo. 2.1.2. Nível de Criticidade dos Processos Defina o nível de criticidade dos processos (Oficialização da demanda, Planejamento da contratação, Seleção do fornecedor e Gestão do contrato) que constituem o macroprocesso de Aqui- sições Públicas, utilizando a Matriz de Priorização dos Processos Críticos (Anexo L). Mapeamento do Processo “Seleção do Fornecedor” 22 Modelo da Matriz de Priorização de Processos 23 Matriz de Priorização de Processos Preenchida 2.1.3. Objetivos dos Processos Defina os objetivos do processo, utilizando a Matriz de Riscos e Controles (Anexo M). 24 2.1.4. Identificação dos Riscos Inerentes Identifique os riscos inerentes do processo, utilizando a Matriz de Riscos e Controles (Ane- xo M), acima exposta. 2.1.5. Análise dos Riscos Inerentes do Processo Analise os riscos inerentes do processo, relacionando-os com os fatores de risco que lhes dão origem e com as consequências que podem surgir, utilizando a Técnicada gravata borboleta (Anexo N) e depois transcreva-os para a Matriz de Riscos e Controles (Anexo M). Modelo da Gravata Borboleta Gravata Borboleta - Preenchida 25 26 Registro dos objetivos, riscos, fatores de riscos e consequências na Matriz de Riscos e Con- troles. 2.1.6. Indicação dos Ricos no Fluxograma do Processo Identifique os riscos (eventos) e os fatores de riscos (causas) no fluxograma do processo “Seleção do fornecedor” (Anexo O). 27 2.1.7. Avaliação dos Riscos Inerentes do Processo Realize a avaliação dos riscos inerentes do processo, utilizando a Matriz de Riscos e Contro- les (Anexo M). 28 2.1.8. Matriz de Exposição a Riscos – Riscos Inerentes Confeccione a matriz de exposição a riscos para os riscos inerentes do processo, utilizando a Matriz de Exposição a Risco inerentes (Anexo P). 29 Item nº 2.1.9. Nível de Risco do Processo Modelo da Matriz de Exposição a Riscos. Matriz Preenchida. 30 2.1.9. Nível de Risco do Processo Riscos – Riscos Inerentes Realize a avaliação do nível de risco do processo, utilizando a Matriz de Riscos e Controles. A avaliação do Nivel de Risco do Processo, neste nosso caso está indicada no item 2.1.7. desta Con- clusão. 2.1.10. Seleção da Estratégia de Tratamento dos Riscos Defina na coluna “Resposta a Risco” a estratégia a ser adotada para cada risco inerente ava- liado, utilizando a Matriz de Riscos e Controles (Anexo M). 2.1.11. Definição dos Controles e Planos de Contingência – Riscos Inerentes Defina os controles necessários para mitigar os riscos e, se for o caso, os planos de contin- gência associados, utilizando a Matriz de Riscos e Controles. Obs: independentemente do resultado do quesito anterior, utilize a Análise da Matriz de Riscos e Controles (Anexo Q) para responder aos quesitos seguintes. 31 2.1.12. Análise da Matriz de Riscos e Controles - Estratégias de tratamento Com base na Matriz de Riscos e Controles constante do item anterior, analise a estratégia de tratamento dos riscos selecionada, em relação aos riscos e fatores de risco sem controles e aos pla- nos de contingência definidos. 2.1.13. Elaboração do Plano de Ação Das conclusões da análise da Matriz de Riscos e Controles, elabore um Plano de Ação – 5W2H que venha responder às demandas dos controles e planos de contingências implantados. (Anexo R). 32 Plano de Ação - 5W2H Plano de Ação – 5W2H – Exemplo Preenchido 33 a a a a 2.1.14. Avaliação dos Riscos Residuais Estimados Realize a avaliação dos riscos residuais estimados e do nível de risco do processo, utilizando a Matriz de Riscos e Controles. 2.1.15. Elaboração da Matriz de Exposição a Riscos – Riscos Estimados Confeccione a matriz de exposição a riscos para os riscos residuais estimados, utilizando a segunda matriz . 34 Matriz de Exposição a Riscos Residuais Estimados Matriz de Exposição a Riscos Residuais Estimados – Modelo Preenchido 35 2.1.16. Monitoramento do Plano de Ação Realize o monitoramento do Plano de Ação elaborado no item 2.1.13, verificando se o mes- mo foi executado, preenchendo a coluna ‘Situação’ do Plano de Ação – 5W2H. 2.1.17. Monitoramento na Matriz de Riscos e Controles Considerando que o plano de contingência associado ao controle de detecção C1 ainda está em elaboração, que o controle preventivo para o risco R5 não foi elaborado e que não houve evolu- ção das condições dos riscos identificados e analisados, realize o monitoramento na Matriz abaixo. 36 2.1.18. Monitoramento na Matriz de Riscos e Controles Realize a avaliação dos riscos residuais efetivos e do nível de risco do processo, utilizando a Matriz de Riscos e Controles abaixo especificada. 37 2.1.19. Monitoramento na Matriz de Riscos e Controles Confeccione a matriz de exposição a riscos para os riscos residuais efetivos, utilizando a ter- ceira matriz (Anexo P). 38 Matriz de Exposição a Riscos Residuais Efetivos Matriz de Exposição a Riscos Residuais Efetivos - Modelo Preenchido 39 2.1.20. Análise das Matrizes de Exposição a Riscos Inerentes e Residuais Analise as matrizes de exposição a riscos 1, 2 e 3 (Anexo P), a fim de verificar a magnitude dos riscos depois da implantação dos controles internos da gestão e conclua sobre a necessidade de elaboração de novo Plano de Ação – 5W2H. 40 2.1.21. Análise da Matriz de Riscos e Controles Analise a Matriz de Riscos e Controles, a fim de verificar o nível de risco do processo de- pois da implantação dos controles internos da gestão e conclusão sobre a necessidade de elaboração de novo Plano de Ação – 5W2H. 41 2.1.22. Elaboração do Portfólio de Riscos Prioritários Ao final do processo será elaborado o Portfólio de Riscos Prioritários (contendo de 10 a 20 riscos) que servirá de base para a execução da gestão de riscos da OM para o próximo ano. 2.1.23. Elaboração do Relatório Anual de Gestão de Riscos Após a execução completa da gestão de riscos será elaborado o Relatório Anual de Gestão de Riscos e encaminhado ao Escalão Superior. Segue ao final desta Apostila o Anexo I, ao qual consta o “Modelo Comentado do Relatório Anual de Gestão de Riscos” - Anexo B ao Manual Técnico da Metodologia de Gestão de Riscos do Exército Brasileiro (EB20-MT-02.001), 1a Edição, 2019. 3. Conclusão A presente apostila foi elaborada basicamente com o conteúdo do Manual Técnico da Meto- dologia de Gestão de Riscos do Exército Brasileiro (EB20-MT02.001), adicionada de algumas ob- servações, informações e arranjos para tornar o conteúdo mais didático e facilitar o processo de aprendizagem. A finalidade desta apostila foi apresentar aos alunos a metodologia, os critérios e técnicas para a execução do Processo de Gestão de Riscos em uma UG/OM, independentemente de seu porte ou de autonomia administrativa, previstos no Manual Técnico EB20-MT02.001. Por fim, recomenda-se aos instruendos lerem os demais arquivos do módulo de apoio os quais ajudarão na massificação dos conhecimentos já apresentados sobre Gestão de Riscos. Feito isto, estará finalizada a 2ª Parte deste Estágio Setorial. Lembra-se que os arquivos comple- mentares do módulo servem como subsídio para aprofundamento dos conhecimentos dos interessa- dos. FIM 42 Anexo II 43 44 45 46 Apostila de Gestão de Riscos nº 2 GESTÃO DE RISCOS 1. Processo de Gestão de Riscos