Propósito

A gestão de riscos e controles internos são mecanismos de governança corporativa e parte integrante das atividades organizacionais. Seu propósito é a proteção de valor da organização, ao contribuir para a melhoria do desempenho, apoiar o alcance dos objetivos e a tomada de decisões, por meio de atividades coordenadas para controlar e mitigar os riscos. Ao ser implementada e mantida, possibilita:

  • Assegurar que os responsáveis pela tomada de decisão, em todos os níveis, tenham acesso tempestivo a informações suficientes quanto aos riscos aos quais a organização está exposta;

  • Contribuir para a probabilidade de alcance dos objetivos da organização, por meio da redução dos riscos a níveis aceitáveis pelos gestores e demais partes interessadas;

  • Agregar valor à organização por meio da melhoria dos processos na tomada de decisão e do tratamento adequado dos riscos e dos impactos negativos decorrentes de sua materialização; e

  • Alinhar a gestão de riscos com a governança corporativa, governança de segurança da informação, governança de continuidade de negócios, governança de tecnologia da informação e governança referente à privacidade e proteção dos dados.

Estrutura de Gestão de Riscos e Controles Internos

O Serpro adota a estrutura de gestão de riscos e controles internos padronizada na norma ISO 31000:2018, que define componentes que fornecem os fundamentos e os arranjos organizacionais para a concepção, implementação, monitoramento, análise crítica e melhoria contínua da gestão de riscos e controles internos por toda a organização.

A estrutura de gestão de riscos e controles internos do Serpro utiliza o Modelo das Três Linhas (2020), propagado pelo Instituto de Auditores Internos dos Estados Unidos, representado por meio da Figura a seguir.

aaaaa.png

A estrutura de gestão de riscos e controles internos do Serpro utiliza o Modelo das Três Linhas (2020), propagado pelo Instituto de Auditores Internos dos Estados Unidos, A 1a linha é exercida por todas as Unidades Organizacionais por meio dos empregados e gestores, responsáveis pela gestão dos riscos e dos controles em suas áreas de atuação. Devem identificar, avaliar, controlar e reduzir as incertezas que possam interferir no alcance dos objetivos organizacionais. Na 1a linha estão inseridos os Comitês Táticos de Gestão de Riscos e Controles Internos das Diretorias - COGRC, responsáveis por apoiar o monitoramento dos planos de tratamento de riscos e controles, dirimir temas transversais que permeiam Superintendências distintas dentro da mesma Diretoria e por prover informações consolidadas para serem submetidas ao Comitê Estratégico.

A 2a linha é exercida por diversas unidades organizacionais que possuem sob sua gestão uma pluralidade de competências orientadas pela adoção de boas práticas e metodologias aplicadas às funções, que são: controle financeiro, segurança, qualidade, gerenciamento de riscos, conformidade, integridade e privacidade e proteção de dados.

As diferentes unidades organizacionais são responsáveis, nas respectivas áreas de atuação, pelo suporte e monitoramento das funções da 1a linha, de forma a assegurar que as suas atividades sejam desenvolvidas e executadas de forma apropriada.

No que se refere à Gestão de Riscos e Controles Internos, a área de Gestão de Riscos e Controles Internos atua como consultora da 1a linha e submete informações consolidadas ao Comitê Estratégico de Governança, Riscos, Controles e Segurança da Informação - COGRS, à Diretoria Executiva - DIREX, ao Comitê de Auditoria - COAUD, ao Conselho de Administração -CA e ao Conselho Fiscal - CF.

A 3a linha é exercida pela Auditoria Interna, responsável por aferir a adequação do controle interno, a efetividade do gerenciamento dos riscos e dos processos de governança.

No exercício de suas atividades típicas na terceira linha, a Auditoria Interna também interage e se comunica com a Diretoria Executiva, o Conselho Fiscal, os demais órgãos estatutários, os colegiados de governança e os órgãos de gestão na primeira e segunda linhas, assim como externamente com a entidade fechada de previdência complementar, os órgãos de controle ou outros provedores de serviços de avaliação ou de consultoria, pautando-se pelos princípios da cooperação e da preservação da imparcialidade, sendo vedado assumir responsabilidades próprias da gestão, de deliberação ou quaisquer outras incompatíveis com as atribuições de auditoria interna.

A Auditoria Interna atua como órgão auxiliar ao Sistema de Controle Interno do Poder Executivo Federal - SCI e apoia o controle externo por previsão constitucional, estando sujeita à orientação normativa e à supervisão técnica pelo órgão central do SCI, atribuição exercida pela Secretaria Federal de Controle Interno – SFC da Controladoria-Geral da União – CGU, adotando padrões compatíveis com os elementos obrigatórios da Estrutura Internacional de Práticas Profissionais (IPPF), as Normas Internacionais e o Código de Ética definidos pelo The Institute of Internal Auditors (The IIA).

Dimensões da Gestão de Riscos no Serpro e fatores de riscos

Os fatores de risco do Serpro são revisados anualmente para reavaliar seu alinhamento à estratégia empresarial, ao cenário de atuação e à eficácia das ações de mitigação dos riscos, que são acompanhadas periodicamente pelos órgãos colegiados.

Tais riscos são monitorados periodicamente, priorizando aqueles com maior avaliação de impacto e probabilidade, para os quais são elaborados planos de ação para sua mitigação. A cultura preventiva e voltada a resultados está se consolidando no Serpro, e o gerenciamento de riscos é uma das ferramentas para mudar, renovar e se transformar continuamente.

Os riscos foram identificados no Serpro considerando os seguintes cenários e desafios:

Dimensões da Gestão de Riscos no Serpro e fatores de riscos.png

Riscos Operacionais

Trata, de forma geral, os riscos associados aos processos organizacionais. Ressalta-se que os processos são definidos por meio da Arquitetura de processos/cadeia de valor do Serpro.

Os principais riscos operacionais que podem afetar o Serpro estão relacionados a falhas ou vulnerabilidades em sua infraestrutura de serviços que podem prejudicá-los. Em relação aos fornecedores, há risco clássico de empresas de TI – a concentração de serviços em tecnologias e soluções em poucos fornecedores.

Como uma das diversas ações de tratamento deste risco, pode-se citar a disponibilização de capacidades críticas que remetem a funcionalidades e características essenciais para as plataformas tecnológicas que viabilizam a oferta de produtos e serviços inovadores em larga escala, com qualidade, agilidade e sustentabilidade (IA, Big Data, Analytics, IoT, Nuvem, SOC para Segurança da Informação), além da análise de tecnologias substitutas e forte trabalho de negociação realizado com grandes fornecedores de tecnologia para que, apesar da concentração, seja mantido o equilíbrio econômico e financeiro dos contratos.

Quanto aos riscos financeiros, os mais significativos continuam sendo os associados às restrições orçamentárias e à inadimplência dos clientes do setor público, que podem dificultar o recebimento dos contratos e afetar a capacidade de pagamentos. Importantes ações de mitigação estão em execução pela Empresa, como: fortalecimento da marca, diversificação da carteira de clientes privados, inclusive com a expansão ao mercado internacional e ampliação da oferta de novos produtos, ações estas que contribuirão para a sustentabilidade da Empresa.

Já os riscos de não conformidade – que incluem riscos legais e regulatórios – estão associados às alterações legais e normativas sem o devido tratamento no Serpro.

Riscos de Projetos Estratégicos

Inclui os riscos associados aos projetos estratégicos da Empresa definidos pela área responsável pela Organização, Processos e Projetos, a área responsável pelos Controles, Riscos e Conformidade realiza o monitoramento dos riscos e controles internos dos projetos estratégicos priorizados pela Diretoria Executiva por meio do Plano Anual de Riscos e Controles Internos.

Riscos Estratégicos

Referem-se aos riscos definidos no momento do planejamento estratégico, associados à estratégia da empresa. O foco é o acompanhamento de fatores que podem tornar vulnerável o alcance dos objetivos estratégicos. Estes riscos, de mais alto nível e importância para o Serpro, são identificados anualmente considerando cenários externos e informações estratégicas como os cenários regulatório do setor público, econômico e de tecnologia. Na identificação dos riscos estratégicos, os principais fatores de risco que influenciam o Serpro foram considerados:

Riscos Estratégicos.png

Riscos do Negócio do Serpro

São riscos que prejudicam o atingimento da missão, visão ou valores do Serpro, atualizados anualmente, em processo semelhante ao dos riscos estratégicos. São riscos relacionados à estratégia de longo prazo.

Política e Metodologia para Gestão de Riscos

A Política de Gestão de Riscos empresariais é a base do Sistema de Gestão de Riscos do Serpro, ao definir as diretrizes, responsabilidades, premissas e determinações da gestão dos riscos no Serpro. Considera a análise de fatores que prejudicam o alcance dos objetivos empresariais e na detecção de oportunidades empresariais e, por isso, é atualizada periodicamente. A versão corrente, atualizada em 2023, inclui definições sobre consequências positivas dos riscos, maior frequência de monitoramento dos riscos, a dimensão de riscos ao negócio do Serpro e novas atribuições dos gestores e primeira linha da gestão de riscos.

Nesta política, está prevista a execução da gestão de riscos conforme uma metodologia e descrita como processo operacional transversal na empresa. Na Metodologia, as etapas para gestão dos riscos estão organizadas conforme a ilustrado abaixo.

Política e Metodologia para Gestão de Riscos.png

Demais Conteúdos

      Política / Metodologia:

Política Corporativa de Gestão de Riscos e Controles Internos

Metodologia de Gestão de Riscos e Controles Internos  (Publicado em 03/2024)

Vídeos:

Vídeo Prático Sobre Gestão de Riscos