Governança pública
Gestão de riscos: glossário
Accountability pública – obrigação que têm as pessoas, físicas ou jurídicas, públicas ou privadas, às quais se tenha confiado recursos públicos, de assumir as responsabilidades de ordem fiscal, gerencial e programática que lhes foram conferidas, e de informar a sociedade e a quem lhes delegou essas responsabilidades sobre o cumprimento de objetivos e metas e o desempenho alcançado na gestão dos recursos públicos. É, ainda, obrigação imposta a uma pessoa ou entidade auditada de demonstrar que administrou ou controlou os recursos que lhe foram confiados em conformidade com os termos segundo os quais eles lhe foram entregues (TCU, 2011). Ver também Responsabilização.
Aceitar risco – ver Resposta a risco.
Alta administração – gestores que integram o nível executivo mais elevado da organização com poderes para estabelecer as políticas, os objetivos e conduzir a implementação da estratégia para realizar os objetivos da organização.
Análise de riscos – processo de compreender a natureza e determinar o nível (magnitude, severidade) de um risco ou combinação de riscos, mediante a combinação das consequências e de suas probabilidades (ABNT, 2009).
Apetite a risco – quantidade de risco em nível amplo que uma organização está disposta a aceitar na busca de seus objetivos (INTOSAI, 2007). Quantidade e tipo de riscos que uma organização está preparada para buscar, reter ou assumir (ABNT, 2009a).
Arranjos de contingência – acordos que estabelecem como as partes devem proceder caso um ou mais riscos se concretizem.
Atividade – termo genérico utilizado para expressar operações, ações ou transações que uma organização, pessoa ou entidade realiza com vistas ao alcance de objetivos determinados, refletindo os fluxos de trabalho cotidianos que formam os processos de trabalho (TCU, 2012).
Atividades de controle – ações estabelecidas por meio de políticas e procedimentos que ajudam a garantir o cumprimento das diretrizes determinadas pela administração para mitigar os riscos à realização dos objetivos (COSO, 2013).
Avaliação de riscos – processo de comparar os resultados da análise de riscos com os critérios de risco da organização, para determinar se um risco e/ou sua magnitude é aceitável ou tolerável (ABNT, 2009).
Consequência – resultado de um evento que afeta positiva ou negativamente os objetivos da organização.
Controles internos – ver Atividades de controle.
Critérios de auditoria – referências usadas para mensurar ou avaliar o objeto de auditoria (ISSAI 100; ISA/NBCTA Estrutura Conceitual para trabalhos de asseguração). O referencial que indica o estado requerido ou desejado ou a expectativa em relação ao objeto de auditoria. Reflete como deveria ser a gestão, provendo o contexto para compreensão dos achados de auditoria e para a avaliação das evidências de auditoria (BRASIL, 2011).
Estrutura de gestão de riscos – conjunto de componentes que fornecem os fundamentos e os arranjos organizacionais para a concepção, implementação, monitoramento, análise crítica e melhoria contínua da gestão de riscos através de toda a organização (ABNT, 2009).
Evento – um incidente ou uma ocorrência de fontes internas ou externas à organização, que podem impactar a implementação da estratégia e a realização de objetivos de modo negativo, positivo ou ambos (INTOSAI, 2007). Eventos com impacto negativo representam riscos. Eventos com impacto positivo representam oportunidades; ocorrência ou mudança em um conjunto específico de circunstâncias, podendo consistir em alguma coisa não acontecer. A expressão “eventos potenciais” é muitas vezes utilizada para caracterizar riscos (ABNT, 2009).
Evitar risco – ver Resposta a risco.
Fonte de risco – elemento que, individualmente ou combinado, tem o potencial intrínseco para dar origem ao risco (ABNT, 2009).
Gerenciamento de riscos - aplicação de uma arquitetura (princípios, estrutura e processo) para identificar riscos, analisar e avaliar se devem ser modificados por algum tratamento a fim de atender critérios de risco. Ao longo desse processo, comunica-se e consulta-se as partes interessadas, monitora-se e analisa-se criticamente os riscos e os controles que os modificam, a fim de assegurar que nenhum tratamento de risco adicional é requerido (ABNT, 2009).
Gerenciamento de riscos corporativos – processo efetuado pelo conselho de administração, gestores e outras pessoas, aplicado na definição da estratégia e através de toda a entidade, estruturado para identificar potenciais eventos que possam afetar a entidade e gerenciá-los para mantê-los dentro de seu apetite a risco, de modo a fornecer uma garantia razoável quanto à realização dos objetivos da entidade (COSO GRC, 2004; INTOSAI, 2007).
Gestão – estruturas responsáveis pelo planejamento, execução, controle, ação, enfim, pelo manejo dos recursos e poderes colocados à disposição de órgãos e entidades para a consecução de seus objetivos, com vistas ao atendimento das necessidades e expectativas dos cidadãos e demais partes interessadas (TCU, 2014).
Gestão de riscos – atividades coordenadas para dirigir e controlar uma organização no que se refere ao risco (ABNT, 2009).
Gestor – pessoa que ocupa função de gestão em qualquer nível hierárquico da organização.
Governança – conjunto de políticas e processos que moldam a maneira como uma organização é dirigida, administrada, controlada e presta contas do cumprimento das suas obrigações de accountability. No setor público, a governança compreende essencialmente os mecanismos de liderança, estratégia e controle postos em prática para avaliar, direcionar e monitorar a atuação da gestão, com vistas à condução de políticas públicas e à prestação de serviços de interesse da sociedade (BRASIL, 2014).
Identificação de riscos – processo de busca, reconhecimento e descrição de riscos; envolve a identificação das fontes de risco, os eventos, suas causas e suas consequências potenciais (ABNT, 2009), pode envolver análise de dados históricos, análises teóricas, opiniões de pessoas informadas e de especialistas, e as necessidades das partes interessadas.
Indicadores-chave de desempenho – número, percentagem ou razão que mede um aspecto do desempenho na realização de objetivos estratégicos e operacionais relevantes para o negócio, relacionados aos objetivos-chave da organização, com o objetivo de comparar esta medida com metas preestabelecidas (TCU, 2010d, adaptado).
Indicadores-chave de risco – número, percentagem ou razão estabelecido para monitorar as variações no desempenho em relação à meta para o cumprimento de objetivos estratégicos e operacionais relevantes para o negócio, relacionados aos objetivos-chave da organização (TCU, 2010d, adaptado).
Macroprocessos – processos mais abrangentes da organização. Representam conjuntos de atividades agregadas, em nível de abstração amplo, que formam a cadeia de valor de uma organização, explicitando como ela opera para cumprir sua missão e atender as necessidades de suas partes interessadas (BRASIL, 2011). Ver também Processo.
Mapa de processo - representação gráfica da sequência de atividades que compõem um processo, fornecendo uma visão dos fluxos operacionais do trabalho, incluindo, a depender do nível de análise que se deseja realizar, a evidenciação dos agentes envolvidos, os prazos, o fluxo de documentos, o processo decisório (BRASIL, 2003).
Matriz de avaliação de riscos – papel de trabalho que estrutura e sistematiza a identificação de riscos, a análise de riscos e a avaliação de riscos, incluindo a avaliação de controles internos e outras respostas a riscos, podendo incluir as decisões sobre o tratamento de riscos.
Matriz de risco – matriz gráfica que exprime o conjunto de combinações de probabilidade e impacto de riscos e serve para classificar os níveis de risco.
Medidas de contingência – ações previamente planejadas que devem ser executadas caso um ou mais riscos se concretizem.
Mitigar risco – ver Resposta a risco.
Monitoramento – verificação, supervisão, observação crítica ou identificação da situação, executadas de forma contínua, a fim de identificar mudanças em relação ao nível de desempenho requerido ou esperado. Monitoramento pode ser aplicado a riscos, a controles, à estrutura de gestão de riscos e ao processo de gestão de riscos.
Nível de risco – magnitude de um risco ou combinação de riscos, expressa em termos da combinação das consequências [impacto] e de suas probabilidades (ABNT, 2009).
Objetivos-chave – os macro-objetivos, macroprodutos ou resultados finalísticos que geram, preservam e entregam de valor público em benefício do conjunto da sociedade ou de alguns grupos específicos reconhecidos como destinatários legítimos de bens e serviços públicos (SERRA, 2008).
Obrigações de accountability – ver Accountability pública.
Órgão de governança – conselho de administração, diretoria colegiada ou órgãos com responsabilidade de supervisão geral da direção estratégica de entidades e das responsabilidades relacionadas às obrigações de accountability.
Parceria - arranjo estabelecido a fim de possibilitar um relacionamento colaborativo entre as partes (denominadas parceiras) visando o alcance de objetivos específicos previamente acordados entre eles.
Parte interessada (stakeholder) – pessoa ou organização que pode afetar, ser afetada, ou perceber-se afetada por uma decisão ou atividade da organização (ABNT, 2009).
Plano de gestão de riscos – esquema dentro da estrutura de gestão de riscos que especifica a abordagem, os componentes de gestão e os recursos a serem aplicados para gerenciar riscos, incluindo, tipicamente, procedimentos, práticas, atribuição de responsabilidades, sequência e cronologia das atividades (ABNT, 2009). Um manual ou complemento à política de gestão de riscos que pode ser aplicado a um determinado produto, processo e projeto, em parte ou em toda a organização (ABNT, 2009, adaptado).
Política de gestão de riscos – documento que contém a declaração das intenções e diretrizes gerais relacionadas à gestão de riscos e estabelece claramente os objetivos e o comprometimento da organização em relação à gestão de riscos. Não se trata de uma declaração de propósitos genérica, mas de um documento que, além de declarar os princípios, explica porque a gestão de riscos é adotada, o que se pretende com ela, onde, como e quando ela é aplicada, quem são os responsáveis em todos os níveis, dentre outros aspectos (ABNT, 2009).
Processo – conjunto de atividades inter-relacionadas ou interativas que transformam insumos (entradas) em produtos/serviços (saídas) com valor agregado. Processos são geralmente planejados e realizados de maneira contínua para agregar valor na geração de produtos e serviços. Processos podem ser agrupados em macroprocessos e subdivididos em subprocessos (BRASIL, 2011).
Processo de avaliação de riscos – processo global representado pelo conjunto de métodos e técnicas que possibilitam a identificação de riscos, a análise de riscos e a avaliação de riscos que possam impactar os objetivos de organizações, programas, projetos e atividades. Envolve a identificação das fontes de risco, dos eventos e de sua probabilidade de ocorrência, de suas causas e suas consequências potenciais, das áreas de impacto, das circunstâncias envolvidas, inclusive aquelas relativas a cenários alternativos (ABNT, 2009, adaptado).
Processo de gestão de riscos – aplicação sistemática de políticas, procedimentos e práticas de gestão em atividades de comunicação, consulta, estabelecimento do contexto, e na identificação, análise, avaliação, tratamento, monitoramento e análise crítica de riscos (ABNT, 2009). Sinônimo de gerenciamento de riscos.
Processos de governança – os processos que integram os mecanismos de liderança, estratégia e controle e que permitem aos responsáveis pela governança a avaliar, direcionar e monitorar a atuação da gestão (BRASIL, 2014).
Responsabilização (accountability) – responsabilidade de uma organização ou indivíduo sobre suas decisões e atividades e prestação de contas a seus órgãos de governança, autoridades legais e, de modo mais amplo, às demais partes interessadas no que se refere a essas decisões e atividades (ABNT, 2010). Ver também Accountability pública.
Responsáveis pela governança – pessoas ou organizações com responsabilidade de supervisão geral da direção estratégica da entidade e das obrigações de accountability da organização (ISSAI 1003).
Respostas a risco – opções e ações gerenciais para tratamento de riscos. Inclui evitar o risco pela decisão de não iniciar ou descontinuar a atividade que dá origem ao risco porque o risco está além do apetite a risco da organização e outra resposta não é aplicável; transferir ou compartilhar o risco com outra parte; aceitar o risco por uma escolha consciente; ou mitigar o risco diminuindo sua probabilidade de ocorrência ou minimizando suas consequências (INTOSAI, 2007).
Risco – possibilidade de um evento ocorrer e afetar adversamente a realização de objetivos (COSO GRC, 2004); possibilidade de algo acontecer e ter impacto nos objetivos, sendo medido em termos de consequências e probabilidades (BRASIL, 2010c); efeito da incerteza nos objetivos (ABNT, 2009).
Risco de controle – possibilidade de que os controles adotados pela administração não sejam eficazes para tratar o risco a que se propõe.
Risco de oportunidade – risco associado a aproveitar oportunidades que podem gerar benefícios à organização.
Risco estratégico – risco de longo prazo ou risco de oportunidade relacionado aos objetivos estratégicos e às estratégias adotadas para alcançá-los.
Risco inerente – o risco intrínseco à natureza do negócio, do processo ou da atividade, independentemente dos controles adotados.
Risco operacional – risco de perdas resultantes direta ou indiretamente de falha ou inadequação de processos internos, pessoas e sistemas ou de eventos externos.
Risco residual – o risco retido de forma consciente ou não pela administração, que remanesce mesmo após o tratamento de riscos.
Risco significativo – aquele com grande probabilidade de ocorrer e, se ocorrer, ter um impacto relevante nos objetivos (LONGO, 2011).
Riscos-chave – riscos estratégicos e riscos operacionais relevantes para o negócio, relacionados aos objetivos-chave da organização.
Transferir risco – Ver Repostas a riscos.
Tratamento de riscos – processo de implementar respostas a risco selecionadas. Ver Repostas a riscos.
Valor público – produtos e resultados gerados, preservados ou entregues pelas atividades de uma organização pública que representem respostas efetivas e úteis às necessidades ou demandas de interesse público e modifiquem certos aspectos do conjunto da sociedade ou de alguns grupos específicos reconhecidos como destinatários legítimos de bens e serviços públicos (SERRA, 2008).