Propósito

A gestão de riscos e controles internos são mecanismos de governança corporativa e parte integrante das atividades organizacionais. Seu propósito é a proteção de valor da organização, ao contribuir para a melhoria do desempenho, apoiar o alcance dos objetivos e a tomada de decisões, por meio de atividades coordenadas para controlar e mitigar os riscos. Ao ser implementada e mantida, possibilita:

  • Assegurar que os responsáveis pela tomada de decisão, em todos os níveis, tenham acesso tempestivo a informações suficientes quanto aos riscos aos quais a organização está exposta;
  • Contribuir para a probabilidade de alcance dos objetivos da organização, por meio da redução dos riscos a níveis aceitáveis pelos gestores e demais partes interessadas;
  • Agregar valor à organização por meio da melhoria dos processos na tomada de decisão e do tratamento adequado dos riscos e dos impactos negativos decorrentes de sua materialização; e
  • Alinhar a gestão de riscos com a governança corporativa, governança de segurança da informação, governança de continuidade de negócios, governança de tecnologia da informação e governança referente à privacidade e proteção dos dados.

Estrutura de Gestão de Riscos e Controles Internos

O Serpro adota a estrutura de gestão de riscos e controles internos padronizada na norma ISO 31000:2018, que define componentes que fornecem os fundamentos e os arranjos organizacionais para a concepção, implementação, monitoramento, análise crítica e melhoria contínua da gestão de riscos e controles internos por toda a organização.


A estrutura de gestão de riscos e controles internos do Serpro utiliza o Modelo das Três Linhas (2020), propagado pelo Instituto de Auditores Internos dos Estados Unidos, A 1a linha é exercida por todas as Unidades Organizacionais por meio dos empregados e gestores, responsáveis pela gestão dos riscos e dos controles em suas áreas de atuação. Devem identificar, avaliar, controlar e reduzir as incertezas que possam interferir no alcance dos objetivos organizacionais. Na 1a linha estão inseridos os Comitês Táticos de Gestão de Riscos e Controles Internos das Diretorias - COGRC, responsáveis por apoiar o monitoramento dos planos de tratamento de riscos e controles, dirimir temas transversais que permeiam Superintendências distintas dentro da mesma Diretoria e por prover informações consolidadas para serem submetidas ao Comitê Estratégico.

aaaaa.png

A 2a linha é exercida por diversas unidades organizacionais que possuem sob sua gestão uma pluralidade de competências orientadas pela adoção de boas práticas e metodologias aplicadas às funções, que são: controle financeiro, segurança, qualidade, gerenciamento de riscos, conformidade, integridade e privacidade e proteção de dados.

As diferentes unidades organizacionais são responsáveis, nas respectivas áreas de atuação, pelo suporte e monitoramento das funções da 1a linha, de forma a assegurar que as suas atividades sejam desenvolvidas e executadas de forma apropriada.

No que se refere à Gestão de Riscos e Controles Internos, a área de Gestão de Riscos e Controles Internos atua como consultora da 1a linha e submete informações consolidadas ao Comitê Estratégico de Governança, Riscos, Controles e Segurança da Informação - COGRS, à Diretoria Executiva - DIREX, ao Comitê de Auditoria - COAUD, ao Conselho de Administração -CA e ao Conselho Fiscal - CF.

A 3a linha é exercida pela Auditoria Interna, responsável por aferir a adequação do controle interno, a efetividade do gerenciamento dos riscos e dos processos de governança.

No exercício de suas atividades típicas na terceira linha, a Auditoria Interna também interage e se comunica com a Diretoria Executiva, o Conselho Fiscal, os demais órgãos estatutários, os colegiados de governança e os órgãos de gestão na primeira e segunda linhas, assim como externamente com a entidade fechada de previdência complementar, os órgãos de controle ou outros provedores de serviços de avaliação ou de consultoria, pautando-se pelos princípios da cooperação e da preservação da imparcialidade, sendo vedado assumir responsabilidades próprias da gestão, de deliberação ou quaisquer outras incompatíveis com as atribuições de auditoria interna.

A Auditoria Interna atua como órgão auxiliar ao Sistema de Controle Interno do Poder Executivo Federal - SCI e apoia o controle externo por previsão constitucional, estando sujeita à orientação normativa e à supervisão técnica pelo órgão central do SCI, atribuição exercida pela Secretaria Federal de Controle Interno – SFC da Controladoria-Geral da União – CGU, adotando padrões compatíveis com os elementos obrigatórios da Estrutura Internacional de Práticas Profissionais (IPPF), as Normas Internacionais e o Código de Ética definidos pelo The Institute of Internal Auditors (The IIA).

Dimensões da Gestão de Riscos no Serpro e fatores de riscos

Os fatores de risco do Serpro são revisados anualmente para reavaliar seu alinhamento à estratégia empresarial, ao cenário de atuação e à eficácia das ações de mitigação dos riscos, que são acompanhadas periodicamente pelos órgãos colegiados.
dimensoes e Tipos.png

Tais riscos são monitorados periodicamente, priorizando aqueles com maior avaliação de impacto e criticidade dos processos, para os quais são elaborados planos de ação para sua mitigação. A cultura preventiva e voltada a resultados está se consolidando no Serpro, e o gerenciamento de riscos é uma das ferramentas para mudar, renovar e se transformar continuamente.

Riscos Operacionais

Trata, de forma geral, os riscos associados aos processos organizacionais. Ressalta-se que os processos são definidos por meio da Arquitetura de processos/cadeia de valor do Serpro.
Os principais riscos operacionais que podem afetar o Serpro estão relacionados a falhas ou vulnerabilidades em sua infraestrutura de serviços que podem prejudicá-los. Em relação aos fornecedores, há risco clássico de empresas de TI – a concentração de serviços em tecnologias e soluções em poucos fornecedores.

Como uma das diversas ações de tratamento deste risco, pode-se citar a disponibilização de capacidades críticas que remetem a funcionalidades e características essenciais para as plataformas tecnológicas que viabilizam a oferta de produtos e serviços inovadores em larga escala, com qualidade, agilidade e sustentabilidade (IA, Big Data, Analytics, IoT, Nuvem, SOC para Segurança da Informação), além da análise de tecnologias substitutas e forte trabalho de negociação realizado com grandes fornecedores de tecnologia para que, apesar da concentração, seja mantido o equilíbrio econômico e financeiro dos contratos.

Quanto aos riscos financeiros, os mais significativos continuam sendo os associados às restrições orçamentárias e à inadimplência dos clientes do setor público, que podem dificultar o recebimento dos contratos e afetar a capacidade de pagamentos. Importantes ações de mitigação estão em execução pela Empresa, como: fortalecimento da marca, diversificação da carteira de clientes privados, inclusive com a expansão ao mercado internacional e ampliação da oferta de novos produtos, ações estas que contribuirão para a sustentabilidade da Empresa.

Já os riscos de não conformidade – que incluem riscos legais e regulatórios – estão associados às alterações legais e normativas sem o devido tratamento no Serpro.

Em 2021 houve ênfase na identificação e tratamento de riscos relacionados à privacidade e proteção de dados em toda a Empresa. Foram mapeados 74 riscos operacionais e um risco estratégico relacionado. A redução destes riscos é ponto crítico para a imagem e reputação da Empresa e segurança dos usuários do Serpro.

Riscos de Projetos Estratégicos

Inclui os riscos associados aos projetos estratégicos da Empresa definidos pela área responsável pela Organização, Processos e Projetos, a área responsável pelos Controles, Riscos e Conformidade realiza o monitoramento dos riscos e controles internos dos projetos estratégicos priorizados pela Diretoria Executiva por meio do Plano Anual de Riscos e Controles Internos.

Riscos Estratégicos

Referem-se aos riscos definidos em época de planejamento estratégico, pois estão associados à estratégia da Empresa. O foco encontra-se no
acompanhamento de fatores que podem tornar vulnerável o alcance dos objetivos estratégicos. Na gestão estratégica do risco, o foco está na inserção do risco na esfera de temas prioritários de gestão e, conforme definido no Estatuto Social.

Estes riscos, do mais alto nível e importância para o Serpro, são anualmente identificados considerando cenários externos e informações estratégicas como:

• Cenário regulatório do setor público: abrange notícias e trabalhos dos órgãos de controle, tais como TCU e CGU, bem como relacionados à Sest. Inclui ainda o acompanhamento de projetos em discussão no  Congresso Nacional, e que podem afetar a Empresa e seu mercado de atuação. As principais fontes são: veículos de imprensa, acórdãos e decisões dos órgãos de controle, Leis, resoluções, portarias e decretos que podem afetar o Serpro;
• Cenário econômico do país e perspectivas para o setor público;
• Cenário de Tecnologia: evolução do cenário tecnológico voltado para a construção e prestação de soluções digitais, e seus efeitos para as soluções do Serpro. As principais fontes de consulta são sites especializados, boletins de fornecedores de hardware e software e consultorias independentes.

Os fatores internos que influenciam o cenário de riscos são:

• Base corporativa de riscos;
• Anuário de Inteligência: publicação anual do Serpro elaborada por especialistas da Empresa, com avaliações e cenários para as perspectivas usadas no Planejamento Estratégico do ano corrente;
• Indicadores de acompanhamento do Planejamento Estratégico do ano corrente;
• Revisão do PETI do ano corrente e PDTI do ano seguinte;
• Realização dos Painéis Estratégicos e aprovação do Planejamento Estratégico.

As Diretorias estabeleceram planos de ação para o tratamento, o monitoramento e a mitigação dos riscos estratégicos ao longo do ano de 2021.

Política e Metodologia para Gestão de Riscos

Um importante instrumento para o gerenciamento de riscos e controles internos no Serpro é a Política Corporativa de Gestão de Riscos e Controles Internos aprovada pelo Conselho de Administração em 28/01/2020, com a publicação da Deliberação RI-004/2020. Nela está prevista a adoção de uma Metodologia, que se propõe a estabelecer e estruturar as etapas necessárias para a gestão de riscos operacionais, tendo como principal insumo os processos definidos por meio da Cadeia de Valor e/ou Arquitetura de Processos do Serpro.

A metodologia está em conformidade com a ISO 31000:2018, COSO ERM e IIA. O marco regulatório que orienta os órgãos e as entidades públicas sobre as medidas para a sistematização de práticas relacionadas à gestão de riscos e aos controles internos é a Instrução Normativa Conjunta MP/CGU no 01, de 10 de maio de 2016, complementada pela Resolução CGPAR no 18/2016, pelo Decreto no 8.945/2016 e pela Lei no 13.303/2016.

Na Metodologia, o Processo de Gestão de Riscos e Controles Internos (RI-158/2021) é definido por meio das seguintes etapas, a saber:

1 - Definição de escopo e contexto
2 - Identificação e análise dos riscos
3 - Avaliação dos riscos e controles
4 - Priorização para tratamento dos riscos
5 - Definição dos controles de respostas aos riscos
6 - Validação dos resultados das etapas anteriores
7 - Comunicação e consulta
8 - Registro, relato e contingência
9 - Análise crítica e monitoramento
10 - Implementação dos controles de respostas aos riscos

A aplicação da metodologia de gestão de riscos operacionais e controles internos do Serpro é descentralizada, ou seja, as Unidades Organizacionais devem executar o processo de gerenciamento de riscos na Unidade Organizacional sob sua responsabilidade, com base nas diretrizes e orientações apresentadas neste documento.

A área de Gestão de Riscos e Controles Internos está apta a prestar o apoio às Unidades Organizacionais, durante todas as etapas do processo, auxiliando e orientando quanto à correta aplicação deste processo.

  • Demais Conteúdos:

Política:

     Política Corporativa de Gestão de Riscos e Controles Internos

Vídeos:

     Vídeo Prático Sobre Gestão de Riscos