O Plenário do Conselho Nacional de Previdência Social em sua 103ª Reunião Ordinária, realizada em 25.08.2004, no uso das atribuições que lhe são conferidas pela Lei nº 8.213, de 24 de julho de 1991; resolve:

Art. 1º Aprovar a implementação, no Ministério da Previdência Social e no Instituto Nacional do Seguro Social, do Modelo de Gerenciamento de Risco conforme descrito no anexo desta resolução, para prevenção e combate à fraude previdenciária.

Art. 2º Determinar que seja elaborado e apresentado ao CNPS um plano de ação da Assessoria de Gerenciamento de Risco - AGR para o ano de 2005.

Art. 3º Esta Resolução entra em vigor na data de sua publicação.

AMIR LANDO

Presidente do Conselho

1. Introdução

1.1 O que é Risco?

Risco, segundo a Australian Standard AZ/NZS 4360-1999, é:

"a chance de acontecer algo que causará impacto nos objetivos, e que pode ser mensurado em termos de conseqüências e probabilidade"

Os riscos podem se apresentar como problemas a serem enfrentados, como por exemplo, os obstáculos que nos impedem de cumprir as tarefas diárias, de desenvolver e implementar projetos ou de atingir objetivos e metas planejados ou, então, como oportunidades a serem aproveitadas.

1.2 O que é Gerenciamento de Riscos?

Ainda segundo a Standard AZ/NZS 4360-1999, Gerenciamento de Riscos pode ser definido como:

"a cultura, os processos e a estrutura direcionados ao efetivo gerenciamento de potenciais efeitos adversos e oportunidades".

O Gerenciamento de Riscos é planejado para que os riscos sejam gerenciados em toda a organização, desde os níveis estratégicos até os operacionais, passando por todas as áreas, atividades e funções.

2. Gerenciamento de Riscos no Ministério da Previdência Social - MPS

2.1 Missão da ASSESSORIA DE GERENCIAMENTO DE RISCOS - AGR

A missão da AGR é promover o aperfeiçoamento do sistema de controle interno no âmbito do MPS através da difusão da cultura do gerenciamento de riscos, de informações e da integração estratégica das áreas de controle.

2.2 Visão

A visão da AGR é de alcançar grau de excelência no Sistema de Controles Internos e no Gerenciamento de Riscos no âmbito do MPS.

2.3 Objetivos

Os objetivos da AGR são:

Monitorar a matriz de riscos no âmbito do MPS.

Promover a integração estratégica entre os diversos órgãos de controle.

Gerenciar informações estratégicas.

2.4 Atribuições

De acordo com a Portaria Ministerial nº 1.081 de 15 de outubro de 2002, a Assessoria de Gerenciamento de Risco, diretamente subordinada ao Ministro de Estado, tem por finalidade:

estabelecer políticas e coordenar os esforços para o gerenciamento de riscos de fraudes;

definir, em conjunto com as áreas da Previdência Social, metodologias, controles e normas de segurança;

promover a cultura de gerenciamento de riscos; e

celebrar convênios com instituições públicas ou privadas para a troca de conhecimentos e de informações.

3. Processo de Gerenciamento de Riscos

O processo de Gerenciamento de Risco adotado no âmbito do MPS consta das seguintes etapas:

3.1 Estabelecimento do Contexto

Tem como objetivo definir os parâmetros básicos dentro dos quais os riscos deverão ser gerenciados e fornecer orientação para decisões, por meio de estudos mais detalhados, no processo de gerenciamento dos riscos.

O conhecimento do negócio é o ponto chave de qualquer gerenciamento de riscos.

3.1.1 Contexto Estratégico

Análise do relacionamento entre a Instituição e seu meio, identificando suas forças, fraquezas, oportunidades e ameaças.

Esta contextualização inclui aspectos financeiros, legais, operacionais, de imagem, políticos, sociais, competitivos e culturais.

3.1.2 Contexto Organizacional

Identificação das estratégias, objetivos e metas maiores da organização.

3.1.3 Contexto do Gerenciamento de Riscos

Definição de aspectos como:

Objetivos e metas do projeto de Gerenciamento de Riscos;

Extensão do projeto quanto a escopo, tempo e local;

Estudos necessários e seus escopos, objetivos e recursos;

Extensão e detalhamento das atividades de Gerenciamento de Riscos a serem executadas.

Definição de questões específicas, tais como:

As responsabilidades e atribuições das áreas da organização participantes do Gerenciamento de Risco.

Relacionamento do Gerenciamento de Risco com outros projetos ou áreas da organização.

3.1.4 Estrutura de análise

Definição de uma estrutura lógica para identificação e análise dos riscos a fim de garantir que todos os riscos significativos sejam destacados.

3.1.5 Critérios de avaliação

Definição de critérios que possibilitem categorizar os riscos, de forma sistemática, em todos os processos ou atividades da organização.

3.2 Identificação de Riscos

Determinação dos eventos e resultados que podem influir nos processos e conseqüentemente no alcance dos objetivos da organização.

3.2.1 O que pode acontecer?

Relacionar os eventos que podem afetar cada um dos itens definidos na estrutura de avaliação.

3.2.2 Como e porque isto pode acontecer?

Identificar e analisar todas as causas e cenários possíveis para os riscos identificados.

3.3 Análise dos Riscos

Determinação das conseqüências do risco em termos de impacto e probabilidade de ocorrência dos riscos.

As análises variam segundo as informações e dados disponíveis:

Qualitativa - baseadas no conhecimento de especialistas, são estimativas subjetivas, que refletem opiniões individuais ou de grupos.

Semiquantitativa - expressas por valores numéricos atribuídos às estimativas subjetivas.

Quantitativa - estimativas feitas através de cálculos ou baseadas em estatísticas, a partir da análise histórica dos registros de eventos.

3.4 Avaliação dos Riscos

Estimar o nível do risco, por meio da combinação do grau de probabilidade e de impacto, que determina a Matriz de Riscos.

Mensurado o impacto que um risco pode causar, é necessário estabelecer as prioridades para tratamento (priorização dos esforços e dos gastos) e disponibilizar dados para acompanhamento da evolução deste tratamento.

3.5 Tratamento dos Riscos

3.5.1 Identificação das opções

Impedir o risco não praticando as atividades que o geram. Importante observar que impedimentos inadequados de ocorrência de um risco podem aumentar outros riscos.

Reduzir o risco através da redução da probabilidade de sua ocorrência ou de suas conseqüências. A redução dos riscos tem relação com a melhoria ou implementação de controles.

Transferir o risco total ou parcialmente por meio de seguros, contratos, parcerias etc. A transferência de um risco motiva o surgimento de outro, que é o de que a organização/área para a qual foi transferido não o gerencie efetivamente.

3.5.2 Avaliação das opções

Avaliar as opções de tratamento, considerando a redução do risco e os benefícios ou oportunidades provenientes desta redução.

Selecionar a melhor opção por meio de análises, dentre as quais a do custo de implementação comparado ao benefício a ser obtido.

3.5.3 Elaboração de um Plano de Tratamento

Documentar as opções escolhidas e a forma de implementação, identificando responsabilidades, elaborando programas de trabalho, definindo resultados esperados, especificando recursos necessários, estabelecendo a forma de avaliação de desempenho e reavaliação do processo.

3.5.4 Implementação do Plano de Tratamento

A implementação do plano de tratamento dos riscos é responsabilidade da área de negócio mais capaz de controlar estes riscos.

A implementação do plano de tratamento deve ser monitorada através de um sistema de gerenciamento que detalhe a metodologia, determine as responsabilidades e estabeleça os prazos.

3.6 Monitoramento e Revisão

Reavaliações contínuas da eficácia das atividades desenvolvidas, comparando o realizado em relação ao planejado.

3.6.1 Monitoramento dos Riscos

Verificar se houve alterações nas prioridades dos riscos, em virtude de alteração das probabilidades ou das conseqüências dos eventos.

Poucos são os riscos que não se alteram após o tratamento.

3.6.2 Monitoramento do Plano

Controlar a implementação efetiva do plano de tratamento.

Verificar se a execução das recomendações está ocorrendo de forma adequada.

Verificar se não houve alteração nos fatores que afetam a adequação ou custo das opções de tratamento escolhidas.

3.6.3 Monitoramento do Sistema de Gerenciamento

Desenvolver melhorias contínuas no processo de Gerenciamento de Riscos, através de revisões regulares.

Estabelecer indicadores de desempenho e sucesso das atividades relacionadas ao Gerenciamento de Riscos.

3.7 Comunicação e Consulta

Processo de comunicação e registro dos dados históricos.

3.7.1 Plano de Comunicação

Estabelecer um plano através de fluxos de comunicação entre as pessoas, áreas ou organizações, internas e externas, envolvidas no processo de Gerenciamento de Riscos.

Estabelecer o plano de comunicação na etapa inicial do processo e utilizá-lo para comunicar as questões relativas ao risco e ao processo de gerenciamento deste risco.

3.7.2 Documentação

Registrar cada etapa do processo de Gerenciamento de Riscos, incluindo planejamentos, prazos e responsáveis, bem como todas as alterações detectadas no decorrer do processo.