MINISTÉRIO DA EDUCAÇÃO UNIVERSIDADE FEDERAL DO RIO …arquivos.info.ufrn.br/arquivos/201912511361c76965309a6c3... · 2019. 11. 29. · gestão de riscos e a governança estão

RA 014/2019 - AUDIN/UFRN

MINISTÉRIO DA EDUCAÇÃO

UNIVERSIDADE FEDERAL DO RIO GRANDE DO NORTE AUDITORIA INTERNA

Campus Universitário – Lagoa Nova – CEP: 59072-970 – Natal/RN Telefone: (84) 3342-2317 (ramal 350) E-mail: [email protected]

RELATÓRIO DE AUDITORIA

NATUREZA DA AUDITORIA: AVALIAÇÃO DA GESTÃO

PERÍODO PREVISTO: 05/07/2019 a 30/11/2019 PERÍODO DE REALIZAÇÃO: 11/07/2019 a 14/10/2019

UNIDADE: UNIVERSIDADE FEDERAL DO RIO

GRANDE DO NORTE (UFRN) CÓDIGO UO: 26243

RESPONSÁVEL: JOSÉ DANIEL DINIZ MELO CIDADE: NATAL/RN

RELATÓRIO Nº: 014/2019-AUDIN

1 INTRODUÇÃO

Em cumprimento ao Plano Anual de Auditoria Interna (PAINT), vimos apresentar o

resultado da ação de auditoria realizada por esta unidade, detalhada no PAINT 2019, no item

5 TRABALHOS PRIORITÁRIOS DE AUDITORIA INTERNA, e descrita na Ordem de

Serviço 011/2019, que tem como objetivo avaliar a implantação da gestão de riscos na UFRN,

com base nas Resoluções n.º 016/2017-CONSAD e n.º 076/2017-CONSAD, as quais

aprovaram respectivamente sua política e seu plano, bem como se as ações adotadas pela

Assessoria de Comunicação (ASSCOM), Superintendência de Comunicação (COMUNICA) e

Secretaria de Relações Internacionais (SRI) foram suficientes para mitigar os riscos

classificados como alto e muito alto.

A referida ação ocorreu no âmbito das unidades administrativas mencionadas no

parágrafo anterior, além da Secretaria de Governança Institucional (SGI) e da Secretaria de

Gestão de Processos (SGP), em virtude de suas competências regimentais, e do Comitê de

Governança, Riscos e Controle (CGRC)1, por se tratar de uma instância de gerenciamento de

riscos e integrar a segunda linha de defesa2.

1 Presidido pelo Reitor da UFRN. 2 Declaração de posicionamento do IIA: As três linhas de defesa no gerenciamento eficaz de riscos e controles.

mailto:[email protected]

2


2 ESCOPO

A IN 03/2017 do Ministério da Transparência e Controladoria-Geral da União, que

aprovou o Referencial Técnico da Auditoria Interna Governamental do Poder Executivo

Federal, conceitua a auditoria interna governamental como uma “atividade independente e

objetiva de avaliação e de consultoria, desenhada para adicionar valor e melhorar as

operações de uma organização. Deve buscar auxiliar as organizações públicas a realizarem

seus objetivos, a partir da aplicação de uma abordagem sistemática e disciplinada para

avaliar e melhorar a eficácia dos processos de governança, de gerenciamento de riscos e de

controles internos”.

Nesse contexto, compete à Auditoria Interna verificar se os controles internos, a

gestão de riscos e a governança estão funcionando de forma a garantir que os riscos sejam

identificados e administrados3.

Assim, de modo a alcançar os objetivos previstos no planejamento, foram elaboradas

três questões de auditoria e definidos os aspectos a serem analisados, conforme evidenciado

no Quadro 1.

Quadro 1 – Questões de auditoria e aspectos analisados

Questões de Auditoria Aspectos Q1: A política de gestão de riscos e o Comitê

de Governança, Riscos e Controle (CGRC)

foram instituídos nos moldes do que prevê a

IN 01/2016?

Conformidade na instituição da política de gestão de riscos e

criação do Comitê de Governança, Riscos e Controle (CGRC)

da UFRN com base na IN 01/2016, especificamente com o art.

17 e o capítulo V.

Q2: Os riscos da UFRN estão sendo

gerenciados de acordo com a política e o

plano de gestão de riscos?

Observância aos critérios, diretrizes e procedimentos da

política e do plano de gestão de riscos, aprovados por meio das

Resoluções n.º 016/2017-CONSAD e n.º 076/2017-CONSAD, respectivamente.

Q3: As ações implementadas pela ASSCOM,

COMUNICA e SRI têm sido suficientes para

mitigar os principais riscos relacionados aos

processos de trabalho cujo gerenciamento de

riscos já tenha sido realizado?

Definição das atividades de controle (ações preventivas e

planos de contingência);

Forma de acompanhamento da implementação das ações

preventivas e planos de contingência; e

Avaliação do risco residual.

Ressalta-se que não foi imposta restrição alguma aos exames realizados pela equipe

da Auditoria Interna.

Importa esclarecer ainda quais fatores contribuíram com a delimitação do escopo. No

item 3 deste relatório (DESENVOLVIMENTO DOS TRABALHOS) são apresentados os

normativos que dispõem sobre a gestão de riscos, tanto no âmbito do poder executivo federal

quanto na própria UFRN, dentre eles a Resolução n.º 076/2017-CONSAD, que aprovou o

plano de gestão de riscos da UFRN.

Considerando que a UFRN começou, efetivamente, a gerenciar os riscos de suas

unidades a partir de 2018, ao elaborar o PAINT 2019, algumas dessas unidades4 foram

contempladas na definição do escopo desta ação de auditoria, em especial no tocante à

terceira questão de auditoria.

3 Regimento Interno da Reitoria, art. 216, I, aprovado por meio da Resolução n.º 017/2019-CONSUNI. 4 Utilizou-se como critério para definir as unidades a serem analisadas, a quantidade de riscos classificados como

alto e muito alto.

3


3 DESENVOLVIMENTO DOS TRABALHOS

Os trabalhos tiveram início com a elaboração das matrizes de planejamento e

procedimentos. Em seguida, foram revisadas normas relativas à gestão de riscos, em especial

o Enterprise Risk Management (ERM) e Gestão de Riscos – Princípios e Diretrizes (ISO

31000), editadas pelo COSO5 e pela ABNT6 respectivamente.

Visando facilitar o entendimento relativo ao processo de implantação da gestão de

riscos na UFRN, serão evidenciados a seguir os normativos, internos e externos, que

nortearam esse processo.

Foi publicado em maio de 2016 a Instrução Normativa Conjunta 01/2016 do

Ministério do Planejamento, Orçamento e Gestão (MP) e a Controladoria-Geral da União

(CGU), dispondo sobre controles internos, gestão de riscos e governança.

Considerando o prazo de doze meses, a contar da data de publicação da referida IN,

para que os órgãos e entidades do poder executivo federal instituíssem suas políticas de gestão

de riscos, foi aprovada em maio de 2017 a Resolução 016/2017-CONSAD, dispondo sobre a

política de gestão de riscos da UFRN. Em junho de 2017, por sua vez, foi publicada a Portaria

1.107/2017-R, constituindo o Comitê de Governança, Riscos e Controle (CGRC).

No mês de novembro do mesmo ano, o Governo Federal editou o decreto n.º

9.203/2017, dispondo sobre a política de governança da administração pública federal direta,

autárquica e fundacional. O art. 17 deste decreto estabelece que a Administração Pública

federal deve instituir, manter, monitorar e aprimorar sistema de gestão de riscos e controles

internos com vistas à identificação, à avaliação, ao tratamento, ao monitoramento e à

análise crítica de riscos que possam impactar a implementação da estratégia e a

consecução dos objetivos da organização no cumprimento da sua missão institucional.

Nesse sentido, e considerando o prazo de 180 dias após a criação do CGRC, previsto

na Resolução n.º 016/2017-CONSAD, para que esse comitê elaborasse o plano de gestão de

riscos, em dezembro de 2017 foi publicada a Resolução n.º 076/2017-CONSAD, aprovando o

plano de gestão de riscos da UFRN.

No tocante à primeira questão de auditoria, foi analisado se a Resolução n.º 016/2017-

CONSAD, que instituiu a política de gestão de riscos da UFRN, observou todos os pré-

requisitos definidos na IN 01/16. Avaliou-se, também, o processo de capacitação previsto no

normativo interno e a efetiva atuação do Comitê de Governança, Riscos e Controle (CGRC).

Com relação à metodologia de gestão de riscos da UFRN, relacionada à segunda

questão de auditoria, foi necessário acompanhar a realização de algumas oficinas, de modo a

viabilizar a identificação de eventuais divergências entre a metodologia de gestão de riscos

empregada nas oficinas e o plano de gestão de riscos aprovado por meio da Resolução n.º

076/2017-CONSAD.

Por fim, quanto à terceira e última questão de auditoria, que objetiva avaliar a eficácia

das ações adotadas pelos gestores para mitigar os riscos classificados pela unidade como alto

e muito alto, foram encaminhadas três SAs para cada uma das unidades e agendadas reuniões

com seus respectivos gestores.

5 Committee of Sponsoring Organizations of the Treadway Commission, Comitê das Organizações

Patrocinadoras da Comissão Treadway em português. 6 Sigla para Associação Brasileira de Normas Técnicas.

4


4 RESULTADO DOS TRABALHOS

ASSUNTO: AVALIAÇÃO DA GESTÃO DE RISCOS

4.1 Informação 001 – Processo de implantação da gestão de riscos em andamento.

Ao desempenhar suas atribuições regimentais, a Auditoria Interna teve a oportunidade

de se aprofundar no universo da gestão de riscos da UFRN.

Nesse toar, visando facilitar a leitura deste relatório e possibilitar uma melhor

compreensão da avaliação realizada por esta unidade de Auditoria Interna, serão evidenciadas

a seguir as ações adotadas pela UFRN nos últimos anos relacionadas ao processo de

implantação da gestão de riscos.

Cumpre informar que a UFRN aprovou tanto sua política de gestão de riscos quanto o

seu plano no ano de 2017, por meio das Resoluções n.º 016/2017-CONSAD e n.º 076/2017-

CONSAD, respectivamente. De acordo com este normativo, a gestão de riscos seria

implementada de forma gradativa, tendo sido previsto um cronograma de cinco anos, prazo

necessário para abranger todas as unidades organizacionais da UFRN.

Para estabelecer o referido cronograma, foi necessário elaborar a cadeia de valor da

UFRN. Esse trabalho foi conduzido pela Secretaria de Gestão de Projetos (SPG) e validado

pelo Comitê de Governança de Riscos e Controle (CGRC).

Durante o processo de elaboração da cadeia de valor da UFRN, foram identificados 67

processos, relacionados a 25 macroprocessos7, conforme evidenciados na figura a seguir.

Figura 1 – Cadeia de valor da UFRN

7 Macroprocessos finalísticos (promover o ensino, a pesquisa e a extensão) somados aos processos de suporte

(níveis 1 e 2).

5


A implantação da gestão de riscos nas unidades organizacionais teve início em 2018,

por meio de um processo institucional conduzido pela SGP. Segundo essa secretaria, foi

utilizado um método de decisão multicritérios, denominado Electre III, para estabelecer a

ordem de aplicação da gestão de riscos nos processos.

O Regimento Interno da Reitoria, reformulado em junho de 2019, estabeleceu

competências relacionadas à gestão de riscos tanto à Secretaria de Gestão de Projetos (SGP)

quanto à Secretaria de Governança Institucional (SGI), transcritas a seguir:

Art. 172. À Secretaria de Gestão de Projetos compete:

(...)

IV – promover e compartilhar melhores práticas e conhecimentos em gestão de

projetos, de processos e de riscos;

V – realizar a interlocução entre gestores de projetos, processos e riscos e a gestão

da universidade;

(...)

VII – apoiar a adoção de ferramentas, métodos e técnicas de gestão de projetos, de

processos e de riscos;

(...)

IX – mapear o fluxo de informações, processos e trabalho e mapeamento de áreas

que apresentem incidência de risco relevante que possa vir afetar os resultados e as

metas institucionais.

Art. 176. À Secretaria de Governança Institucional compete:

I – propor plano estratégico de governança e gestão de riscos na Universidade;

II – monitorar e avaliar o sistema de gestão de riscos e controles internos;

(...)

XI – propor normas que visem melhorar a eficácia dos processos de governança, de

gerenciamento de riscos e de controles internos;

(...)

Considerando que tanto a SGP quanto a SGI estão inseridas no processo de

implantação da gestão de riscos na UFRN, decidiu-se agendar uma reunião, visando

compreender o papel de cada uma delas nesse processo.

Após a reunião, realizada em 23 de setembro de 2019, conclui-se que a SGP é a

responsável pela operacionalização da gestão de riscos na UFRN, ficando a cargo da SGI

ações voltadas à avaliação, direcionamento e monitoramento.

4.2 Informação 002: Adequabilidade no estabelecimento da política de gestão de riscos

aprovada por meio da Resolução n.º 016/2017-CONSAD e criação do Comitê de

Governança, Riscos e Controle (CGRC).

Primeiramente, cumpre ressaltar que a política de gestão de riscos da Universidade

Federal do Rio Grande do Norte deve orientar-se segundo os regramentos da Instrução

Normativa Conjunta do MP/CGU sob o n.º 01/2016.

Nesse sentido, mediante análise da Resolução n.º 016/2017 – CONSAD, constata-se a

sua adequação àquela instrução, mormente, por se vislumbrar às disposições correlatas aos

princípios e objetivos organizacionais, diretrizes, bem como competências e responsabilidades

para efetivação da gestão de risco.

Ademais, vale informar que o Comitê de Governança, Riscos e Controle (CGRC)

também fora instituído, por meio dessa resolução, em conformidade com a IN 01/2016 do

MP/CGU, inclusive, com as disposições acerca da sua composição e competências.

6


Assim, considera-se como respondida satisfatoriamente a primeira questão de

auditoria. No entanto, ao analisar a atuação do CGRC e a realização de capacitações na área

de gestão de riscos, previstos no art. 10 e art. 7º, IX, da Política de Gestão de Riscos da

UFRN, identificou-se algumas fragilidades, evidenciadas nos subitens 4.3 e 4.4.

4.3. Constatação 001: Atuação insuficiente do Comitê de Governança, Riscos e Controles

(CGRC).

Diante da importância do Comitê de Governança, Riscos e Controle (CGRC), em

especial na função de gerenciamento de riscos e conformidade (segunda linha de defesa), foi

encaminhada a SA 2019011/012 ao Gabinete do Reitor, solicitando informações relativas à

frequência de reuniões ocorridas em 2019, bem como acerca do procedimento utilizado para

validar e descrever os riscos mais críticos (riscos-chave).

4.3.1 Causa: Inexistência de uma cultura de supervisão de controles internos e de apoio ao

gestor na implementação das ações.

4.3.2 Manifestação da Unidade: Por meio de documento, encaminhado pela SGP,

denominado “FICHA DE EXPECTATIVA DE RESPOSTAS N.º 6/2019, o GABINETE DO

REITOR respondeu aos questionamentos de auditoria da seguinte forma:

Magnífico Reitor,

Em atenção à SA 2019-011-012, de 13/08/2019, (em anexo) apresentamos:

Questão 1:

Em resposta ao questionamento posto, informamos que o Comitê de Governança,

Riscos e Controle (CGRC), presidido pelo Magnífico Reitor, encontra-se em fase de

reformulação da agenda, tendo em vista a composição do novo reitorado e a

mudança regimental recente que ocorreu nesta casa (Reitoria), conforme a

Resolução Nº 017/2019-CONSUNI, de 19 de junho de 2019, que aprovou o

Regimento Interno da Reitoria da Universidade Federal do Rio Grande do Norte -

UFRN. Por esta razão, não houve ainda reunião no presente ano. Ressaltamos, por

fim, que a partir da reformulação do Regimento Interno da Reitoria, caberá a

Secretaria de Governança Institucional (SGI) acionar/convocar do Comitê para as

reuniões periódicas e que, neste momento, SGP e SGI estão em diálogo para

definição da regularidade desses encontros para publicização dessa agenda.

Questão 2:

O Comitê de Governança, Riscos e Controle (CGRC) analisa a Matriz de Riscos das

unidades cujos processos tiveram seus riscos mapeados. A matriz citada é o produto

da metodologia definida pela Resolução nº 076/17-CONSAD, de 21 de dezembro de

2017, que aprovou o Plano de Gestão de Riscos da UFRN. Neste documento se

apresenta o enquadramento dos Eventos de Riscos da unidade segundo critérios de

Probabilidade (ocorrência) e Impacto (dano). O Comitê analisa o documento e toma

decisão a respeito das ações de controle definidas pelos agentes dos processos

enquanto resposta aos eventos de riscos ora identificados, deliberando pelos

trabalhos e desdobramentos necessários no âmbito da UFRN de modo a garantir a

aderência às regulamentações, leis, códigos, normas e padrões.

Questão 3:

Quadro 1 – Quadro de riscos críticos validados pelo CGRC desde janeiro de 2018

Processos com riscos

mapeados

Quantidade

de eventos

classificados

como Baixo

Quantidade

de eventos

classificados

como Médio

Quantidade

de eventos

classificados

como Alto

Quantidade de

eventos

classificados

como Muito Alto

1. Promover as

interações com a

sociedade e divulgar

as atividades

instintividades da

05 07 12 14

7


UFRN (ASSCOM e

COMUNICA)

2. Evoluir os sistemas

integrados de gestão

(SINFO)

00 00 01 05

3. Gerir as ações para

segurança patrimonial

(DSP)

01 03 01 02

4. Gerir a atualização

do patrimônio imóvel

da UFRN (DMP)

00 01 02 04

5. Gerir Frotas (CGT) 01 00 00 06

6. Gerir políticas e

ações para

internacionalização

(SRI)

03 03 04 05

7. Editora

Universitária 01 02 04 11

4.3.3 Análise da Auditoria Interna: A gestão de riscos é uma prática recente e que, por

envolver questões relacionadas à mudança de cultura, não será implantada de forma

instantânea, mas sim gradativa. Para que o processo de implantação seja mais efetivo, faz-se

necessária a atuação de todos os atores envolvidos, desde a gestão operacional (primeira linha

de defesa) até as instâncias de gerenciamento de riscos (segunda linha de defesa), com

participação da Auditoria Interna (terceira linha de defesa).

Percebe-se, ao analisar a resposta da unidade, que o CGRC não se reuniu em 2019, o

que, de certa forma, fragiliza o processo de implantação. O CGRC, como uma instância

pertencente à segunda linha de defesa, deve facilitar e monitorar a implementação de

práticas eficazes de gerenciamento de riscos por parte da gerência operacional e auxiliar os

proprietários dos riscos a definir a meta de exposição ao risco e a reportar adequadamente

informações relacionadas a riscos em toda a organização8.

Nesse contexto, artigo publicado recentemente na rede mundial de computadores9,

que discutiu o papel da segunda linha de defesa no processo de gestão de riscos no âmbito do

setor público brasileiro, coloca como uma das possíveis causas para sua tímida atuação a

inexistência de uma cultura de supervisão de controles internos, de indução, de apoio ao

gestor na implementação. Complementa afirmando que existem dois atores perceptíveis: o

que faz (a gestão) e o que avalia (Auditoria Interna).

Ademais, vale informar que a resposta apresentada pela unidade no tocante à

validação dos principais riscos da UFRN foi adequada. No entanto, conforme mencionado

anteriormente, o referido procedimento não foi aplicado aos riscos em 2019, uma vez que o

CGRC ainda não se reuniu.

Esperava-se, ao solicitar informações acerca dos riscos mais críticos (riscos-chave),

que a gestão apresentasse suas descrições e não a quantidade de riscos classificados como

baixo, moderado, alto e muito alto dos processos mapeados no ano de 2018.

4.3.4 Benefício: Não financeiro.

8 Declaração de posicionamento do IIA: As três linhas de defesa no gerenciamento eficaz de riscos e controles. 9 “Linha de segunda, sobrecarga para primeiros e terceiros”, escrito por Marcus Braga (Doutor em Políticas

Públicas, Estratégias e Desenvolvimento pela UFRJ (GPP/PPED/IE/UFRJ). Auditor Federal de Finanças e

Controle), disponível em https://administradores.com.br/artigos/linha-de-segunda-sobrecarga-para-primeiros-e-

terceiros-1.

https://administradores.com.br/artigos/linha-de-segunda-sobrecarga-para-primeiros-e-terceiros-1https://administradores.com.br/artigos/linha-de-segunda-sobrecarga-para-primeiros-e-terceiros-1

8


4.3.5 Recomendação 001: Propor a inclusão em normativo interno da frequência mínima de

reuniões do Comitê de Governança, Riscos e Controle (CGRC) da UFRN. (SGI)


4.3.7 Recomendação 002: Disponibilizar a relação dos principais eventos de risco (riscos-

chave) da UFRN de todos os processos mapeados entre janeiro de 2018 e agosto de 2019.

(SGP)

4.4 Constatação 002: Capacitações em gestão de riscos limitadas às oficinas conduzidas

pela Secretaria de Gestão de Projetos (SGP).

O art. 7º da Resolução n.º 016/2017-CONSAD dispõe acerca das diretrizes da política

de gestão de riscos da UFRN, prevendo em seu inciso IX, que trata da política de capacitação

institucional, formações específicas em gestão de riscos. Sendo assim, a SA 2019011-009 foi

encaminhada à Diretoria de Desenvolvimento de Pessoas (DDP), por esta auditoria, com o

intuito de solicitar informações sobre a realização de capacitação na área de gestão de riscos

durante os anos de 2018 e 2019 no âmbito desta universidade.

4.4.1 Causa: Entendimento da gestão de que as noções básicas apresentadas nas oficinas de

riscos conduzidas pela Secretaria de Gestão de Projetos (SGP) são suficientes para capacitar

os gestores no tocante à gestão de riscos, dispensando assim a promoção de capacitações mais

abrangentes pela Diretoria de Desenvolvimento de Pessoas (DDP).

4.4.2 Manifestação da Unidade: Em atenção à SA 2019011-009, a DDP apresentou a

seguinte resposta por meio da mesa virtual:

“Considerando o disposto no artigo 7º, IX, da Resolução n.º 016/2017 - CONSAD, a

capacitação institucional em gestão de riscos nos exercícios de 2018 e 2019.1 foi

programada em formato de oficinas, como formação específica, nas unidades

administrativas com o objetivo de identificar os riscos de processo a partir do

mapeamento dos processos. As atividades foram conduzidas pela Secretaria de

Gestão de Projetos, setor responsável pela implementação da política de gestão de

riscos da UFRN.

Dessa forma, segue as oficinas realizadas com seus respectivos público alvo e carga

horária.

UNIDADE ANO

PÚBLICO

(SETORES)

Nº DE

OFICINAS

CARGA

HORÁRIA CONTEÚDO

PROGRAD

2019

PROGRAMAS E

PROJETOS 8 24

Conceitos de

Notação de Processos.

Conceitos em

Gestão de Riscos.

Mapeamento de processos.

Identificação de

Problemas em Processos.

Levantamento e

Classificação dos Eventos de

Riscos.

Construção dos Planos de Ação.

ACOMPANHAMENTO DE

CURSOS DE

GRADUAÇÃO

4 12

COPAV 6 18

PROAE

SECRETARIA 5 15

DATES 5 15

CASE 4 12

CGRU 6 18

CAPAP 4 12

RU 7 21

PROEX

2018

PROEX 3 9

PROGESP DAP, DDP e DAS 5 15

ASCOM ASCOM 3 9

COMUNICA COMUNICA 10 30

PROAD PATROMÔNIO

MÓVEL 3 9

SRI

CGT 3 9

DSP 3 9

SRI 6 18

SINFO SINFO 3 9

PPG PPG 8 24

TOTAL 96 288

9


4.4.3 Análise da Auditoria Interna: A capacitação acerca do tema não deve se restringir

apenas a um setor cuja missão precípua não constitui o desenvolvimento institucional de

servidores. Conforme constatado pela equipe de auditoria, não resta dúvidas que as noções

básicas apresentadas nas oficinas são muito enriquecedoras, facilitando o mapeamento dos

processos e o gerenciamento dos riscos. No entanto, é necessário a promoção de capacitações

pelo setor competente, qual seja, a Diretoria de Desenvolvimento de Pessoas (DDP), com

cargas horárias pré-fixadas, conteúdo programático mais abrangente e fornecimento de

certificado. A SGP atua no processo de implantação da gestão de riscos como um facilitador,

viabilizando o gerenciamento dos riscos e compartilhando as melhoras práticas de gestão de

projetos e processos.


4.4.5 Recomendação 001: Incluir capacitações em gestão de riscos no Plano de

Desenvolvimento de Pessoas – PDP, visando melhor qualificar os servidores sobre o tema,

tendo em vista a sua importância para o aprimoramento dos processos de trabalho da

universidade e consequentemente o alcance de seus objetivos. (DDP)

4.5 Constatação 003: Divergências entre a metodologia de gestão de riscos aplicada na

UFRN e o plano de gestão de riscos, aprovado por meio da Resolução n.º 076/2017-

CONSAD.

Após as reuniões realizadas com os gestores das unidades selecionadas e o

acompanhamento de algumas das oficinas de riscos promovidas pela SGP, percebeu-se

divergências entre a metodologia de gestão de riscos aplicada na UFRN e o plano de gestão

de riscos aprovado por meio da Resolução n.º 076/2017-CONSAD. Assim, foi encaminhada à

SGP a SA 2019011-018 com algumas pontuações acerca dessas divergências, de modo que a

unidade se posicionasse quanto a sua pertinência.

4.5.1 Causa: Imprevisibilidade intrínseca à definição de novas metodologias.

4.5.2 Manifestação da Unidade: A SGP apresentou a seguinte resposta por meio da mesa

virtual: “Em resposta à SA 2019011-018 destacamos que os pontos levantados são

pertinentes e serão objeto de correção perante o projeto de implementação de gestão

de riscos. Contudo, o ponto referente a cadeia de valor é necessária uma retificação,

porque a mesma se encontra reformulada e em um formato mais adequado no Plano

de Gestão da universidade de 2018”.

4.5.3 Análise da Auditoria Interna: O teor da resposta da SGP corrobora com os

apontamentos efetuados por esta unidade de Auditoria Interna ao reconhecer as divergências

apontadas, quais sejam, definição do gestor de riscos, ausência de relatórios semestrais sobre

a implementação das ações pelas unidades, frequência dos ciclos de monitoramento não

observados, dentre outros. Quanto à cadeia de valor, já se tinha conhecimento dessa nova

versão, inclusive, ela foi evidenciada no subitem 4.1 deste relatório (Informação 001). Ao

mencioná-la na SA 2019011-018, pretendia-se apenas alertar sobre a importância de

considerá-la no plano de gestão de riscos, caso ele venha a ser revisado.


10


4.5.5 Recomendação 001: Atualizar o plano de gestão de riscos da UFRN, aprovado por

meio da Resolução n.º 076/2017-CONSAD, de modo que ele reflita exatamente a

metodologia de gestão de riscos aplicada. (SGI e SGP)

4.6 Constatação 004: Implementação insatisfatória das ações propostas para mitigar os

riscos.

Após tomar conhecimento dos processos de trabalho cujos riscos haviam sido

gerenciados pela ASSCOM, COMUNICA e SRI, foram encaminhadas as SAs 2019011-014,

2019011-015 e 2019011-016, solicitando informações aceca da gestão de riscos, dentre elas o

status de implementação das ações propostas para mitigá-los. Além disso, foi encaminhada a

SA 2019011-017 à SGP, questionando se havia tido algum tipo de monitoramento no tocante à

implementação das referidas ações.

4.6.1 Causa: Necessidade de maior engajamento das unidades no processo de gestão de

riscos e falta de supervisão por parte da Secretaria de Gestão de Projetos (SGP).

4.6.2 Manifestação da Unidade: As SAs 2019011-014, 2019011-015 e 2019011-016 foram

respondidas pelas unidades e em virtude da sua extensão (grande quantidade de ações

propostas), essas informações não serão transcritas a seguir. Porém, no tópico seguinte é

realizada uma análise sobre os percentuais de ações concluídas da ASSCOM, COMUNICA e

SRI. No tocante à SA 2019011-017, a SGP apresentou a seguinte resposta por meio da mesa

virtual: “A ASCOM, SRI e COMUNICA não passaram por monitoramento das oficinas

realizadas no ano anterior. A ASCOM e COMUNICA passaram por um processo de

reformulação após a ação de gestão de riscos que culminou em uma reestruturação

organizacional e implementação de processos novos o que inviabilizou o

monitoramento dos processos relacionados aos dois setores.

A SRI está na lista da prioridade de monitoramento, mas neste momento estamos

validando um novo modelo para realizar esta avaliação para que possamos iniciar

este monitoramento na unidade”.

4.6.3 Análise da Auditoria Interna: Durante as reuniões realizadas com os responsáveis pela

ASSCOM e COMUNICA, foi mencionada a reestruturação que estava em curso nesses

setores. Foi comunicado também que a gestão da COMUNICA havia sido renovada e que o

novo gestor estava se inteirando do processo de gerenciamento de riscos. Apesar dessas

mudanças, que impactaria diretamente alguns riscos, foi possível apresentar o status das ações

que haviam sido propostas para mitigá-los. A SRI apresentou normalmente as respostas.

Com base nessas informações (mapas de risco), a equipe de auditoria passou a analisar

as ações que já haviam sido implementadas. Verificou-se um baixo percentual de ações

concluídas, considerando a média das unidades, (14%, 9% e 60% da ASSCOM, COMUNICA

e SRI, respectivamente). Entende-se que alguns fatores contribuíram com esse baixo

percentual, dentre eles a necessidade de maior engajamento das unidades, a falta de

supervisão da SGP e a consolidação das informações relacionadas à gestão de riscos

principalmente em planilhas.


4.6.5 Recomendação 001: Acompanhar de forma efetiva a implementação das ações

propostas para mitigar os riscos relacionados aos processos de suas respectivas unidades, em

especial aqueles classificados como alto e muito alto, buscando um maior engajamento de

todos os atores envolvidos. (ASSCOM, COMUNICA e SRI)

11



4.6.7 Recomendação 002: Supervisionar a implementação das ações preventivas e de

contingência propostas pelos servidores das unidades cujos riscos já tenham sido gerenciados,

emitindo relatórios de desempenho por unidade. (SGP)


4.6.9 Recomendação 003: Analisar os relatórios de desempenho elaborados pela SGP

relacionados à gestão de riscos com o objetivo de avaliar o engajamento das unidades e

reportar ao comitê quando necessário. (SGI)


4.6.11 Recomendação 004: Atuar junto às unidades quando o desempenho na implementação

das ações tiver sido avaliado pela SGI como insatisfatório. (CGRC)

4.7 Constatação 005 – Subutilização do sistema informatizado de consolidação das

informações relacionadas à gestão de riscos.

Nas interlocuções realizadas pela equipe de auditoria com os gestores da ASSCOM,

COMUNICA e SRI, percebeu-se que as informações relacionadas à gestão de risco estavam

sendo registradas principalmente em planilhas. Diante disso, foi encaminhado à SGP a SA

2019011-017, questionando se a UFRN utilizava algum sistema informatizado para consolidar

essas informações.

4.7.1 Causa: Priorização na realização das oficinas em detrimento da alimentação do sistema

de informação.

4.7.2 Manifestação da Unidade: Em atenção à SA 2019011-009, a DGP apresentou a

seguinte resposta por meio da mesa virtual:

“A UFRN utiliza o sistema GERIFES.net para consolidar as informações

relacionadas a gestão de riscos. As atividades estão sendo alimentadas no sistema até

o estabelecimento das atividades preventivas/de contingência. O estabelecimento do

risco residual foi realizada na fase externa da licitação, mas está pendente nas outras

unidades devido a necessidade de validação desse novo modelo de monitoramento

dos riscos. Neste momento a alimentação das informações no sistema estão sendo

realizadas pela SGP junto aos gestores de riscos aos quais foram designados”.

4.7.3 Análise da Auditoria Interna: Ao acessar o referido sistema, por meio do link

www.gerifes.net, foi possível observar o registro de alguns processos de trabalho, bem como

seus respectivos eventos de risco, sua classificação, a resposta definida pelos gestores e o

estabelecimento de atividades preventivas e/ou de contingência. Porém, apenas o “Pregão” e o

“RDC” (fase externa do processo licitatório) tiveram seus riscos residuais avaliados,

conforme informado pela SGP.

Com relação aos gestores de risco cadastrados no sistema, constatou-se que eles

coincidiam com os gestores das unidades. No entanto, ao analisar as respostas da ASSCOM,

COMUNICA e SRI, observou-se que os eventos de risco haviam sido distribuídos entre os

diversos servidores dessas unidades.

http://www.gerifes.net/

12


Conclui-se, portanto, que o sistema, apesar de estar sendo alimentado, não vem sendo

utilizado de forma adequada, ocasionado assim dificuldade na consolidação das informações

relacionadas à gestão de riscos, seu acesso pelos usuários e emissão de relatórios gerenciais.


4.7.5 Recomendação 001: Utilizar o GERIFES.net para registrar TODAS as etapas do

processo de gestão de riscos, visando facilitar o acesso às informações, tanto pelos gestores de

risco quanto pelos órgãos de gerenciamento, bem como acompanhar a implementação por

meios de indicadores e possibilitar a emissão de relatórios gerenciais.

13


5 CONCLUSÃO

Inicialmente, cumpre destacar que o gerenciamento de riscos no âmbito da UFRN

ainda está em fase de implantação, uma vez que foi estabelecido, consoante a Resolução no

076/2017-CONSAD, um cronograma de cinco anos para que todas as suas unidades

administrativas viessem a ser contempladas.

O desejável é que todas as unidades pudessem, concomitantemente, incorporar a

gestão de riscos aos seus processos. No entanto, por se tratar de um tema recente na

Administração Pública federal, que requer um acompanhamento por profissionais

qualificados, a UFRN optou por implementá-la de forma gradativa.

A gestão de riscos tem por objetivo garantir a eficácia dos processos de trabalho e,

consequentemente, ampliar a possibilidade de alcance dos objetivos estratégicos expressos no

Plano de Desenvolvimento Institucional (PDI) e no Plano de Gestão (PG). Para isso, faz-se

necessária a participação efetiva de todos os atores envolvidos, desde a gestão operacional

(primeira linha de defesa) até as instâncias de gerenciamento de riscos10 (segunda linha de

defesa) e a auditoria interna (terceira linha de defesa).

Compete à gestão operacional manter controles internos eficazes, a partir da avaliação,

controle e mitigação dos riscos, de modo a garantir que as atividades estejam de acordo com

as metas e objetivos pré-estabelecidos. Já as instâncias de gerenciamento de riscos, lida com

aspectos mais amplos, como apoiar a política de gestão de riscos, definir papéis e

responsabilidades, estabelecer metas para implementação e auxiliar a gestão no

desenvolvimento dos processos e controles. Por fim, a auditoria interna atua na avaliação do

processo de gestão de riscos e confiabilidade dos controles internos.

Essa ação de auditoria teve como objetivo avaliar o processo de implantação da gestão

de riscos na universidade e foi conduzida com o objetivo de responder a três questões de

auditoria evidenciadas no item 2 (Escopo).

Constatou-se que a política de gestão de riscos e o CGRC foram instituídos em

conformidade com a IN 01/2016, em especial o art. 17 e o capítulo V. Todavia, identificou-se

fragilidades na atuação do comitê e na realização de capacitações institucionais previstas na

política de gestão de riscos. Essas impropriedades foram evidenciadas nos subitens 4.3 e 4.4

deste relatório, as quais culminaram em recomendações de auditoria, visando estabelecer uma

frequência mínima de reuniões pelo CGRC e inserir cursos sobre gestão de riscos no

Programa de Capacitação e Qualificação (PCQ) a ser executado pela Diretoria de

Desenvolvimento de Pessoas (DDP).

Já no tópico 4.5, observou-se divergências entre a metodologia de gestão de riscos

aplicada na UFRN e o plano de gestão de riscos, aprovado por meio da Resolução nº

076/2017-CONSAD, tendo sido emitida recomendação com o objetivo de alinhá-las.

Nesse toar, constatou-se também no subitem 4.6 a falta de supervisão pela SGP no

tocante à implementação das ações propostas para mitigar os riscos da unidade analisadas

(ASSCOM, COMUNICA e SRI), bem como a ausência de monitoramento pelo CGRC, o que

acarretou, por parte desta terceira linha de defesa, recomendações para que os processos de

gerenciamento, acompanhamento e supervisão de riscos se revelem mais efetivos e eficazes.

10 O Comitê de Governança, Riscos e Controles (CGRC) é umas dessas instâncias de gerenciamento de riscos.

14


Ademais, cumpre ressaltar que se verificou, no decorrer deste trabalho, a subutilização

do sistema informatizado de consolidação das informações relacionadas à gestão de riscos por

parte das unidades auditadas. Assim, recomendou-se a utilização do GERIFES.net para

registrar todas as etapas do processo de gestão de riscos a fim de que se tenha qualidade e

confiabilidade nos trabalhos relacionados ao tema (subitem 4.7).

Portanto, mediante o exposto, conclui-se que o processo de gestão de riscos na

Universidade Federal do Rio Grande do Norte encontra-se em fase inicial e requer o

engajamento de todos os atores para que seus objetivos sejam efetivamente alcançados.

Sugere-se o encaminhamento deste relatório à SGP, SGI, COMUNICA, SRI,

ASSCOM e DDP. A Auditoria Interna coloca-se à disposição para a reunião de busca

conjunta de soluções, cuja data deve ser alinhada com os gestores das unidades envolvidas.

Natal, 14 de outubro de 2019.

Arnaldo Rodrigues Bezerra Neto Auditor – Matrícula 3124973

Membro da Equipe

Bruno José Pereira Silva Auditor – Matrícula 1756546

Coordenador da Equipe

De acordo,

Anailson Marcio Gomes

Auditor-Geral

Matrícula 1149391

MINISTÉRIO DA EDUCAÇÃOUNIVERSIDADE FEDERAL DO RIO GRANDE DO NORTESISTEMA INTEGRADO DE PATRIMÔNIO, ADMINISTRAÇÃO ECONTRATOS

FOLHA DE ASSINATURAS

Emitido em 14/10/2019

RELATÓRIO DE AUDITORIA (002) Nº 14/2019 - AUDIN/UFRN (11.32.01)

NÃO PROTOCOLADO)(Nº do Protocolo:

(Assinado digitalmente em 14/10/2019 14:52 ) ANAILSON MARCIO GOMES

AUDITOR GERAL

1149391

(Assinado digitalmente em 14/10/2019 14:39 ) BRUNO JOSE PEREIRA SILVA

AUDITOR

1756546

(Assinado digitalmente em 14/10/2019 14:24 ) ARNALDO RODRIGUES BEZERRA NETO

AUDITOR

3124973

Para verificar a autenticidade deste documento entre em informando seu número: https://sipac.ufrn.br/documentos/, ano: , tipo: , data de emissão: e o código de verificação: 14 2019 RELATÓRIO DE AUDITORIA (002) 14/10/2019

b4259c6ea7
https://sipac.ufrn.br/public/jsp/autenticidade/form.jsf

Documents

MINISTÉRIO DA EDUCAÇÃO UNIVERSIDADE FEDERAL DO RIO …arquivos.info.ufrn.br/arquivos/201912511361c76965309a6c3... · 2019. 11. 29. · gestão de riscos e a governança estão