Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
RA 014/2019 - AUDIN/UFRN
MINISTÉRIO DA EDUCAÇÃO
UNIVERSIDADE FEDERAL DO RIO GRANDE DO NORTE AUDITORIA INTERNA
Campus Universitário – Lagoa Nova – CEP: 59072-970 – Natal/RN Telefone: (84) 3342-2317 (ramal 350) E-mail: [email protected]
RELATÓRIO DE AUDITORIA
NATUREZA DA AUDITORIA: AVALIAÇÃO DA GESTÃO
PERÍODO PREVISTO: 05/07/2019 a 30/11/2019 PERÍODO DE REALIZAÇÃO: 11/07/2019 a 14/10/2019
UNIDADE: UNIVERSIDADE FEDERAL DO RIO
GRANDE DO NORTE (UFRN) CÓDIGO UO: 26243
RESPONSÁVEL: JOSÉ DANIEL DINIZ MELO CIDADE: NATAL/RN
RELATÓRIO Nº: 014/2019-AUDIN
1 INTRODUÇÃO
Em cumprimento ao Plano Anual de Auditoria Interna (PAINT), vimos apresentar o
resultado da ação de auditoria realizada por esta unidade, detalhada no PAINT 2019, no item
5 TRABALHOS PRIORITÁRIOS DE AUDITORIA INTERNA, e descrita na Ordem de
Serviço 011/2019, que tem como objetivo avaliar a implantação da gestão de riscos na UFRN,
com base nas Resoluções n.º 016/2017-CONSAD e n.º 076/2017-CONSAD, as quais
aprovaram respectivamente sua política e seu plano, bem como se as ações adotadas pela
Assessoria de Comunicação (ASSCOM), Superintendência de Comunicação (COMUNICA) e
Secretaria de Relações Internacionais (SRI) foram suficientes para mitigar os riscos
classificados como alto e muito alto.
A referida ação ocorreu no âmbito das unidades administrativas mencionadas no
parágrafo anterior, além da Secretaria de Governança Institucional (SGI) e da Secretaria de
Gestão de Processos (SGP), em virtude de suas competências regimentais, e do Comitê de
Governança, Riscos e Controle (CGRC)1, por se tratar de uma instância de gerenciamento de
riscos e integrar a segunda linha de defesa2.
1 Presidido pelo Reitor da UFRN. 2 Declaração de posicionamento do IIA: As três linhas de defesa no gerenciamento eficaz de riscos e controles.
mailto:[email protected]
2
RA 014/2019 - AUDIN/UFRN
2 ESCOPO
A IN 03/2017 do Ministério da Transparência e Controladoria-Geral da União, que
aprovou o Referencial Técnico da Auditoria Interna Governamental do Poder Executivo
Federal, conceitua a auditoria interna governamental como uma “atividade independente e
objetiva de avaliação e de consultoria, desenhada para adicionar valor e melhorar as
operações de uma organização. Deve buscar auxiliar as organizações públicas a realizarem
seus objetivos, a partir da aplicação de uma abordagem sistemática e disciplinada para
avaliar e melhorar a eficácia dos processos de governança, de gerenciamento de riscos e de
controles internos”.
Nesse contexto, compete à Auditoria Interna verificar se os controles internos, a
gestão de riscos e a governança estão funcionando de forma a garantir que os riscos sejam
identificados e administrados3.
Assim, de modo a alcançar os objetivos previstos no planejamento, foram elaboradas
três questões de auditoria e definidos os aspectos a serem analisados, conforme evidenciado
no Quadro 1.
Quadro 1 – Questões de auditoria e aspectos analisados
Questões de Auditoria Aspectos Q1: A política de gestão de riscos e o Comitê
de Governança, Riscos e Controle (CGRC)
foram instituídos nos moldes do que prevê a
IN 01/2016?
Conformidade na instituição da política de gestão de riscos e
criação do Comitê de Governança, Riscos e Controle (CGRC)
da UFRN com base na IN 01/2016, especificamente com o art.
17 e o capítulo V.
Q2: Os riscos da UFRN estão sendo
gerenciados de acordo com a política e o
plano de gestão de riscos?
Observância aos critérios, diretrizes e procedimentos da
política e do plano de gestão de riscos, aprovados por meio das
Resoluções n.º 016/2017-CONSAD e n.º 076/2017-CONSAD, respectivamente.
Q3: As ações implementadas pela ASSCOM,
COMUNICA e SRI têm sido suficientes para
mitigar os principais riscos relacionados aos
processos de trabalho cujo gerenciamento de
riscos já tenha sido realizado?
Definição das atividades de controle (ações preventivas e
planos de contingência);
Forma de acompanhamento da implementação das ações
preventivas e planos de contingência; e
Avaliação do risco residual.
Ressalta-se que não foi imposta restrição alguma aos exames realizados pela equipe
da Auditoria Interna.
Importa esclarecer ainda quais fatores contribuíram com a delimitação do escopo. No
item 3 deste relatório (DESENVOLVIMENTO DOS TRABALHOS) são apresentados os
normativos que dispõem sobre a gestão de riscos, tanto no âmbito do poder executivo federal
quanto na própria UFRN, dentre eles a Resolução n.º 076/2017-CONSAD, que aprovou o
plano de gestão de riscos da UFRN.
Considerando que a UFRN começou, efetivamente, a gerenciar os riscos de suas
unidades a partir de 2018, ao elaborar o PAINT 2019, algumas dessas unidades4 foram
contempladas na definição do escopo desta ação de auditoria, em especial no tocante à
terceira questão de auditoria.
3 Regimento Interno da Reitoria, art. 216, I, aprovado por meio da Resolução n.º 017/2019-CONSUNI. 4 Utilizou-se como critério para definir as unidades a serem analisadas, a quantidade de riscos classificados como
alto e muito alto.
3
RA 014/2019 - AUDIN/UFRN
3 DESENVOLVIMENTO DOS TRABALHOS
Os trabalhos tiveram início com a elaboração das matrizes de planejamento e
procedimentos. Em seguida, foram revisadas normas relativas à gestão de riscos, em especial
o Enterprise Risk Management (ERM) e Gestão de Riscos – Princípios e Diretrizes (ISO
31000), editadas pelo COSO5 e pela ABNT6 respectivamente.
Visando facilitar o entendimento relativo ao processo de implantação da gestão de
riscos na UFRN, serão evidenciados a seguir os normativos, internos e externos, que
nortearam esse processo.
Foi publicado em maio de 2016 a Instrução Normativa Conjunta 01/2016 do
Ministério do Planejamento, Orçamento e Gestão (MP) e a Controladoria-Geral da União
(CGU), dispondo sobre controles internos, gestão de riscos e governança.
Considerando o prazo de doze meses, a contar da data de publicação da referida IN,
para que os órgãos e entidades do poder executivo federal instituíssem suas políticas de gestão
de riscos, foi aprovada em maio de 2017 a Resolução 016/2017-CONSAD, dispondo sobre a
política de gestão de riscos da UFRN. Em junho de 2017, por sua vez, foi publicada a Portaria
1.107/2017-R, constituindo o Comitê de Governança, Riscos e Controle (CGRC).
No mês de novembro do mesmo ano, o Governo Federal editou o decreto n.º
9.203/2017, dispondo sobre a política de governança da administração pública federal direta,
autárquica e fundacional. O art. 17 deste decreto estabelece que a Administração Pública
federal deve instituir, manter, monitorar e aprimorar sistema de gestão de riscos e controles
internos com vistas à identificação, à avaliação, ao tratamento, ao monitoramento e à
análise crítica de riscos que possam impactar a implementação da estratégia e a
consecução dos objetivos da organização no cumprimento da sua missão institucional.
Nesse sentido, e considerando o prazo de 180 dias após a criação do CGRC, previsto
na Resolução n.º 016/2017-CONSAD, para que esse comitê elaborasse o plano de gestão de
riscos, em dezembro de 2017 foi publicada a Resolução n.º 076/2017-CONSAD, aprovando o
plano de gestão de riscos da UFRN.
No tocante à primeira questão de auditoria, foi analisado se a Resolução n.º 016/2017-
CONSAD, que instituiu a política de gestão de riscos da UFRN, observou todos os pré-
requisitos definidos na IN 01/16. Avaliou-se, também, o processo de capacitação previsto no
normativo interno e a efetiva atuação do Comitê de Governança, Riscos e Controle (CGRC).
Com relação à metodologia de gestão de riscos da UFRN, relacionada à segunda
questão de auditoria, foi necessário acompanhar a realização de algumas oficinas, de modo a
viabilizar a identificação de eventuais divergências entre a metodologia de gestão de riscos
empregada nas oficinas e o plano de gestão de riscos aprovado por meio da Resolução n.º
076/2017-CONSAD.
Por fim, quanto à terceira e última questão de auditoria, que objetiva avaliar a eficácia
das ações adotadas pelos gestores para mitigar os riscos classificados pela unidade como alto
e muito alto, foram encaminhadas três SAs para cada uma das unidades e agendadas reuniões
com seus respectivos gestores.
5 Committee of Sponsoring Organizations of the Treadway Commission, Comitê das Organizações
Patrocinadoras da Comissão Treadway em português. 6 Sigla para Associação Brasileira de Normas Técnicas.
4
RA 014/2019 - AUDIN/UFRN
4 RESULTADO DOS TRABALHOS
ASSUNTO: AVALIAÇÃO DA GESTÃO DE RISCOS
4.1 Informação 001 – Processo de implantação da gestão de riscos em andamento.
Ao desempenhar suas atribuições regimentais, a Auditoria Interna teve a oportunidade
de se aprofundar no universo da gestão de riscos da UFRN.
Nesse toar, visando facilitar a leitura deste relatório e possibilitar uma melhor
compreensão da avaliação realizada por esta unidade de Auditoria Interna, serão evidenciadas
a seguir as ações adotadas pela UFRN nos últimos anos relacionadas ao processo de
implantação da gestão de riscos.
Cumpre informar que a UFRN aprovou tanto sua política de gestão de riscos quanto o
seu plano no ano de 2017, por meio das Resoluções n.º 016/2017-CONSAD e n.º 076/2017-
CONSAD, respectivamente. De acordo com este normativo, a gestão de riscos seria
implementada de forma gradativa, tendo sido previsto um cronograma de cinco anos, prazo
necessário para abranger todas as unidades organizacionais da UFRN.
Para estabelecer o referido cronograma, foi necessário elaborar a cadeia de valor da
UFRN. Esse trabalho foi conduzido pela Secretaria de Gestão de Projetos (SPG) e validado
pelo Comitê de Governança de Riscos e Controle (CGRC).
Durante o processo de elaboração da cadeia de valor da UFRN, foram identificados 67
processos, relacionados a 25 macroprocessos7, conforme evidenciados na figura a seguir.
Figura 1 – Cadeia de valor da UFRN
7 Macroprocessos finalísticos (promover o ensino, a pesquisa e a extensão) somados aos processos de suporte
(níveis 1 e 2).
5
RA 014/2019 - AUDIN/UFRN
A implantação da gestão de riscos nas unidades organizacionais teve início em 2018,
por meio de um processo institucional conduzido pela SGP. Segundo essa secretaria, foi
utilizado um método de decisão multicritérios, denominado Electre III, para estabelecer a
ordem de aplicação da gestão de riscos nos processos.
O Regimento Interno da Reitoria, reformulado em junho de 2019, estabeleceu
competências relacionadas à gestão de riscos tanto à Secretaria de Gestão de Projetos (SGP)
quanto à Secretaria de Governança Institucional (SGI), transcritas a seguir:
Art. 172. À Secretaria de Gestão de Projetos compete:
(...)
IV – promover e compartilhar melhores práticas e conhecimentos em gestão de
projetos, de processos e de riscos;
V – realizar a interlocução entre gestores de projetos, processos e riscos e a gestão
da universidade;
(...)
VII – apoiar a adoção de ferramentas, métodos e técnicas de gestão de projetos, de
processos e de riscos;
(...)
IX – mapear o fluxo de informações, processos e trabalho e mapeamento de áreas
que apresentem incidência de risco relevante que possa vir afetar os resultados e as
metas institucionais.
Art. 176. À Secretaria de Governança Institucional compete:
I – propor plano estratégico de governança e gestão de riscos na Universidade;
II – monitorar e avaliar o sistema de gestão de riscos e controles internos;
(...)
XI – propor normas que visem melhorar a eficácia dos processos de governança, de
gerenciamento de riscos e de controles internos;
(...)
Considerando que tanto a SGP quanto a SGI estão inseridas no processo de
implantação da gestão de riscos na UFRN, decidiu-se agendar uma reunião, visando
compreender o papel de cada uma delas nesse processo.
Após a reunião, realizada em 23 de setembro de 2019, conclui-se que a SGP é a
responsável pela operacionalização da gestão de riscos na UFRN, ficando a cargo da SGI
ações voltadas à avaliação, direcionamento e monitoramento.
4.2 Informação 002: Adequabilidade no estabelecimento da política de gestão de riscos
aprovada por meio da Resolução n.º 016/2017-CONSAD e criação do Comitê de
Governança, Riscos e Controle (CGRC).
Primeiramente, cumpre ressaltar que a política de gestão de riscos da Universidade
Federal do Rio Grande do Norte deve orientar-se segundo os regramentos da Instrução
Normativa Conjunta do MP/CGU sob o n.º 01/2016.
Nesse sentido, mediante análise da Resolução n.º 016/2017 – CONSAD, constata-se a
sua adequação àquela instrução, mormente, por se vislumbrar às disposições correlatas aos
princípios e objetivos organizacionais, diretrizes, bem como competências e responsabilidades
para efetivação da gestão de risco.
Ademais, vale informar que o Comitê de Governança, Riscos e Controle (CGRC)
também fora instituído, por meio dessa resolução, em conformidade com a IN 01/2016 do
MP/CGU, inclusive, com as disposições acerca da sua composição e competências.
6
RA 014/2019 - AUDIN/UFRN
Assim, considera-se como respondida satisfatoriamente a primeira questão de
auditoria. No entanto, ao analisar a atuação do CGRC e a realização de capacitações na área
de gestão de riscos, previstos no art. 10 e art. 7º, IX, da Política de Gestão de Riscos da
UFRN, identificou-se algumas fragilidades, evidenciadas nos subitens 4.3 e 4.4.
4.3. Constatação 001: Atuação insuficiente do Comitê de Governança, Riscos e Controles
(CGRC).
Diante da importância do Comitê de Governança, Riscos e Controle (CGRC), em
especial na função de gerenciamento de riscos e conformidade (segunda linha de defesa), foi
encaminhada a SA 2019011/012 ao Gabinete do Reitor, solicitando informações relativas à
frequência de reuniões ocorridas em 2019, bem como acerca do procedimento utilizado para
validar e descrever os riscos mais críticos (riscos-chave).
4.3.1 Causa: Inexistência de uma cultura de supervisão de controles internos e de apoio ao
gestor na implementação das ações.
4.3.2 Manifestação da Unidade: Por meio de documento, encaminhado pela SGP,
denominado “FICHA DE EXPECTATIVA DE RESPOSTAS N.º 6/2019, o GABINETE DO
REITOR respondeu aos questionamentos de auditoria da seguinte forma:
Magnífico Reitor,
Em atenção à SA 2019-011-012, de 13/08/2019, (em anexo) apresentamos:
Questão 1:
Em resposta ao questionamento posto, informamos que o Comitê de Governança,
Riscos e Controle (CGRC), presidido pelo Magnífico Reitor, encontra-se em fase de
reformulação da agenda, tendo em vista a composição do novo reitorado e a
mudança regimental recente que ocorreu nesta casa (Reitoria), conforme a
Resolução Nº 017/2019-CONSUNI, de 19 de junho de 2019, que aprovou o
Regimento Interno da Reitoria da Universidade Federal do Rio Grande do Norte -
UFRN. Por esta razão, não houve ainda reunião no presente ano. Ressaltamos, por
fim, que a partir da reformulação do Regimento Interno da Reitoria, caberá a
Secretaria de Governança Institucional (SGI) acionar/convocar do Comitê para as
reuniões periódicas e que, neste momento, SGP e SGI estão em diálogo para
definição da regularidade desses encontros para publicização dessa agenda.
Questão 2:
O Comitê de Governança, Riscos e Controle (CGRC) analisa a Matriz de Riscos das
unidades cujos processos tiveram seus riscos mapeados. A matriz citada é o produto
da metodologia definida pela Resolução nº 076/17-CONSAD, de 21 de dezembro de
2017, que aprovou o Plano de Gestão de Riscos da UFRN. Neste documento se
apresenta o enquadramento dos Eventos de Riscos da unidade segundo critérios de
Probabilidade (ocorrência) e Impacto (dano). O Comitê analisa o documento e toma
decisão a respeito das ações de controle definidas pelos agentes dos processos
enquanto resposta aos eventos de riscos ora identificados, deliberando pelos
trabalhos e desdobramentos necessários no âmbito da UFRN de modo a garantir a
aderência às regulamentações, leis, códigos, normas e padrões.
Questão 3:
Quadro 1 – Quadro de riscos críticos validados pelo CGRC desde janeiro de 2018
Processos com riscos
mapeados
Quantidade
de eventos
classificados
como Baixo
Quantidade
de eventos
classificados
como Médio
Quantidade
de eventos
classificados
como Alto
Quantidade de
eventos
classificados
como Muito Alto
1. Promover as
interações com a
sociedade e divulgar
as atividades
instintividades da
05 07 12 14
7
RA 014/2019 - AUDIN/UFRN
UFRN (ASSCOM e
COMUNICA)
2. Evoluir os sistemas
integrados de gestão
(SINFO)
00 00 01 05
3. Gerir as ações para
segurança patrimonial
(DSP)
01 03 01 02
4. Gerir a atualização
do patrimônio imóvel
da UFRN (DMP)
00 01 02 04
5. Gerir Frotas (CGT) 01 00 00 06
6. Gerir políticas e
ações para
internacionalização
(SRI)
03 03 04 05
7. Editora
Universitária 01 02 04 11
4.3.3 Análise da Auditoria Interna: A gestão de riscos é uma prática recente e que, por
envolver questões relacionadas à mudança de cultura, não será implantada de forma
instantânea, mas sim gradativa. Para que o processo de implantação seja mais efetivo, faz-se
necessária a atuação de todos os atores envolvidos, desde a gestão operacional (primeira linha
de defesa) até as instâncias de gerenciamento de riscos (segunda linha de defesa), com
participação da Auditoria Interna (terceira linha de defesa).
Percebe-se, ao analisar a resposta da unidade, que o CGRC não se reuniu em 2019, o
que, de certa forma, fragiliza o processo de implantação. O CGRC, como uma instância
pertencente à segunda linha de defesa, deve facilitar e monitorar a implementação de
práticas eficazes de gerenciamento de riscos por parte da gerência operacional e auxiliar os
proprietários dos riscos a definir a meta de exposição ao risco e a reportar adequadamente
informações relacionadas a riscos em toda a organização8.
Nesse contexto, artigo publicado recentemente na rede mundial de computadores9,
que discutiu o papel da segunda linha de defesa no processo de gestão de riscos no âmbito do
setor público brasileiro, coloca como uma das possíveis causas para sua tímida atuação a
inexistência de uma cultura de supervisão de controles internos, de indução, de apoio ao
gestor na implementação. Complementa afirmando que existem dois atores perceptíveis: o
que faz (a gestão) e o que avalia (Auditoria Interna).
Ademais, vale informar que a resposta apresentada pela unidade no tocante à
validação dos principais riscos da UFRN foi adequada. No entanto, conforme mencionado
anteriormente, o referido procedimento não foi aplicado aos riscos em 2019, uma vez que o
CGRC ainda não se reuniu.
Esperava-se, ao solicitar informações acerca dos riscos mais críticos (riscos-chave),
que a gestão apresentasse suas descrições e não a quantidade de riscos classificados como
baixo, moderado, alto e muito alto dos processos mapeados no ano de 2018.
4.3.4 Benefício: Não financeiro.
8 Declaração de posicionamento do IIA: As três linhas de defesa no gerenciamento eficaz de riscos e controles. 9 “Linha de segunda, sobrecarga para primeiros e terceiros”, escrito por Marcus Braga (Doutor em Políticas
Públicas, Estratégias e Desenvolvimento pela UFRJ (GPP/PPED/IE/UFRJ). Auditor Federal de Finanças e
Controle), disponível em https://administradores.com.br/artigos/linha-de-segunda-sobrecarga-para-primeiros-e-
terceiros-1.
https://administradores.com.br/artigos/linha-de-segunda-sobrecarga-para-primeiros-e-terceiros-1https://administradores.com.br/artigos/linha-de-segunda-sobrecarga-para-primeiros-e-terceiros-1
8
RA 014/2019 - AUDIN/UFRN
4.3.5 Recomendação 001: Propor a inclusão em normativo interno da frequência mínima de
reuniões do Comitê de Governança, Riscos e Controle (CGRC) da UFRN. (SGI)
4.3.6 Benefício: Não financeiro.
4.3.7 Recomendação 002: Disponibilizar a relação dos principais eventos de risco (riscos-
chave) da UFRN de todos os processos mapeados entre janeiro de 2018 e agosto de 2019.
(SGP)
4.4 Constatação 002: Capacitações em gestão de riscos limitadas às oficinas conduzidas
pela Secretaria de Gestão de Projetos (SGP).
O art. 7º da Resolução n.º 016/2017-CONSAD dispõe acerca das diretrizes da política
de gestão de riscos da UFRN, prevendo em seu inciso IX, que trata da política de capacitação
institucional, formações específicas em gestão de riscos. Sendo assim, a SA 2019011-009 foi
encaminhada à Diretoria de Desenvolvimento de Pessoas (DDP), por esta auditoria, com o
intuito de solicitar informações sobre a realização de capacitação na área de gestão de riscos
durante os anos de 2018 e 2019 no âmbito desta universidade.
4.4.1 Causa: Entendimento da gestão de que as noções básicas apresentadas nas oficinas de
riscos conduzidas pela Secretaria de Gestão de Projetos (SGP) são suficientes para capacitar
os gestores no tocante à gestão de riscos, dispensando assim a promoção de capacitações mais
abrangentes pela Diretoria de Desenvolvimento de Pessoas (DDP).
4.4.2 Manifestação da Unidade: Em atenção à SA 2019011-009, a DDP apresentou a
seguinte resposta por meio da mesa virtual:
“Considerando o disposto no artigo 7º, IX, da Resolução n.º 016/2017 - CONSAD, a
capacitação institucional em gestão de riscos nos exercícios de 2018 e 2019.1 foi
programada em formato de oficinas, como formação específica, nas unidades
administrativas com o objetivo de identificar os riscos de processo a partir do
mapeamento dos processos. As atividades foram conduzidas pela Secretaria de
Gestão de Projetos, setor responsável pela implementação da política de gestão de
riscos da UFRN.
Dessa forma, segue as oficinas realizadas com seus respectivos público alvo e carga
horária.
UNIDADE ANO
PÚBLICO
(SETORES)
Nº DE
OFICINAS
CARGA
HORÁRIA CONTEÚDO
PROGRAD
2019
PROGRAMAS E
PROJETOS 8 24
Conceitos de
Notação de Processos.
Conceitos em
Gestão de Riscos.
Mapeamento de processos.
Identificação de
Problemas em Processos.
Levantamento e
Classificação dos Eventos de
Riscos.
Construção dos Planos de Ação.
ACOMPANHAMENTO DE
CURSOS DE
GRADUAÇÃO
4 12
COPAV 6 18
PROAE
SECRETARIA 5 15
DATES 5 15
CASE 4 12
CGRU 6 18
CAPAP 4 12
RU 7 21
PROEX
2018
PROEX 3 9
PROGESP DAP, DDP e DAS 5 15
ASCOM ASCOM 3 9
COMUNICA COMUNICA 10 30
PROAD PATROMÔNIO
MÓVEL 3 9
SRI
CGT 3 9
DSP 3 9
SRI 6 18
SINFO SINFO 3 9
PPG PPG 8 24
TOTAL 96 288
9
RA 014/2019 - AUDIN/UFRN
4.4.3 Análise da Auditoria Interna: A capacitação acerca do tema não deve se restringir
apenas a um setor cuja missão precípua não constitui o desenvolvimento institucional de
servidores. Conforme constatado pela equipe de auditoria, não resta dúvidas que as noções
básicas apresentadas nas oficinas são muito enriquecedoras, facilitando o mapeamento dos
processos e o gerenciamento dos riscos. No entanto, é necessário a promoção de capacitações
pelo setor competente, qual seja, a Diretoria de Desenvolvimento de Pessoas (DDP), com
cargas horárias pré-fixadas, conteúdo programático mais abrangente e fornecimento de
certificado. A SGP atua no processo de implantação da gestão de riscos como um facilitador,
viabilizando o gerenciamento dos riscos e compartilhando as melhoras práticas de gestão de
projetos e processos.
4.4.4 Benefício: Não financeiro.
4.4.5 Recomendação 001: Incluir capacitações em gestão de riscos no Plano de
Desenvolvimento de Pessoas – PDP, visando melhor qualificar os servidores sobre o tema,
tendo em vista a sua importância para o aprimoramento dos processos de trabalho da
universidade e consequentemente o alcance de seus objetivos. (DDP)
4.5 Constatação 003: Divergências entre a metodologia de gestão de riscos aplicada na
UFRN e o plano de gestão de riscos, aprovado por meio da Resolução n.º 076/2017-
CONSAD.
Após as reuniões realizadas com os gestores das unidades selecionadas e o
acompanhamento de algumas das oficinas de riscos promovidas pela SGP, percebeu-se
divergências entre a metodologia de gestão de riscos aplicada na UFRN e o plano de gestão
de riscos aprovado por meio da Resolução n.º 076/2017-CONSAD. Assim, foi encaminhada à
SGP a SA 2019011-018 com algumas pontuações acerca dessas divergências, de modo que a
unidade se posicionasse quanto a sua pertinência.
4.5.1 Causa: Imprevisibilidade intrínseca à definição de novas metodologias.
4.5.2 Manifestação da Unidade: A SGP apresentou a seguinte resposta por meio da mesa
virtual: “Em resposta à SA 2019011-018 destacamos que os pontos levantados são
pertinentes e serão objeto de correção perante o projeto de implementação de gestão
de riscos. Contudo, o ponto referente a cadeia de valor é necessária uma retificação,
porque a mesma se encontra reformulada e em um formato mais adequado no Plano
de Gestão da universidade de 2018”.
4.5.3 Análise da Auditoria Interna: O teor da resposta da SGP corrobora com os
apontamentos efetuados por esta unidade de Auditoria Interna ao reconhecer as divergências
apontadas, quais sejam, definição do gestor de riscos, ausência de relatórios semestrais sobre
a implementação das ações pelas unidades, frequência dos ciclos de monitoramento não
observados, dentre outros. Quanto à cadeia de valor, já se tinha conhecimento dessa nova
versão, inclusive, ela foi evidenciada no subitem 4.1 deste relatório (Informação 001). Ao
mencioná-la na SA 2019011-018, pretendia-se apenas alertar sobre a importância de
considerá-la no plano de gestão de riscos, caso ele venha a ser revisado.
4.5.4 Benefício: Não financeiro.
10
RA 014/2019 - AUDIN/UFRN
4.5.5 Recomendação 001: Atualizar o plano de gestão de riscos da UFRN, aprovado por
meio da Resolução n.º 076/2017-CONSAD, de modo que ele reflita exatamente a
metodologia de gestão de riscos aplicada. (SGI e SGP)
4.6 Constatação 004: Implementação insatisfatória das ações propostas para mitigar os
riscos.
Após tomar conhecimento dos processos de trabalho cujos riscos haviam sido
gerenciados pela ASSCOM, COMUNICA e SRI, foram encaminhadas as SAs 2019011-014,
2019011-015 e 2019011-016, solicitando informações aceca da gestão de riscos, dentre elas o
status de implementação das ações propostas para mitigá-los. Além disso, foi encaminhada a
SA 2019011-017 à SGP, questionando se havia tido algum tipo de monitoramento no tocante à
implementação das referidas ações.
4.6.1 Causa: Necessidade de maior engajamento das unidades no processo de gestão de
riscos e falta de supervisão por parte da Secretaria de Gestão de Projetos (SGP).
4.6.2 Manifestação da Unidade: As SAs 2019011-014, 2019011-015 e 2019011-016 foram
respondidas pelas unidades e em virtude da sua extensão (grande quantidade de ações
propostas), essas informações não serão transcritas a seguir. Porém, no tópico seguinte é
realizada uma análise sobre os percentuais de ações concluídas da ASSCOM, COMUNICA e
SRI. No tocante à SA 2019011-017, a SGP apresentou a seguinte resposta por meio da mesa
virtual: “A ASCOM, SRI e COMUNICA não passaram por monitoramento das oficinas
realizadas no ano anterior. A ASCOM e COMUNICA passaram por um processo de
reformulação após a ação de gestão de riscos que culminou em uma reestruturação
organizacional e implementação de processos novos o que inviabilizou o
monitoramento dos processos relacionados aos dois setores.
A SRI está na lista da prioridade de monitoramento, mas neste momento estamos
validando um novo modelo para realizar esta avaliação para que possamos iniciar
este monitoramento na unidade”.
4.6.3 Análise da Auditoria Interna: Durante as reuniões realizadas com os responsáveis pela
ASSCOM e COMUNICA, foi mencionada a reestruturação que estava em curso nesses
setores. Foi comunicado também que a gestão da COMUNICA havia sido renovada e que o
novo gestor estava se inteirando do processo de gerenciamento de riscos. Apesar dessas
mudanças, que impactaria diretamente alguns riscos, foi possível apresentar o status das ações
que haviam sido propostas para mitigá-los. A SRI apresentou normalmente as respostas.
Com base nessas informações (mapas de risco), a equipe de auditoria passou a analisar
as ações que já haviam sido implementadas. Verificou-se um baixo percentual de ações
concluídas, considerando a média das unidades, (14%, 9% e 60% da ASSCOM, COMUNICA
e SRI, respectivamente). Entende-se que alguns fatores contribuíram com esse baixo
percentual, dentre eles a necessidade de maior engajamento das unidades, a falta de
supervisão da SGP e a consolidação das informações relacionadas à gestão de riscos
principalmente em planilhas.
4.6.4 Benefício: Não financeiro.
4.6.5 Recomendação 001: Acompanhar de forma efetiva a implementação das ações
propostas para mitigar os riscos relacionados aos processos de suas respectivas unidades, em
especial aqueles classificados como alto e muito alto, buscando um maior engajamento de
todos os atores envolvidos. (ASSCOM, COMUNICA e SRI)
11
RA 014/2019 - AUDIN/UFRN
4.6.6 Benefício: Não financeiro.
4.6.7 Recomendação 002: Supervisionar a implementação das ações preventivas e de
contingência propostas pelos servidores das unidades cujos riscos já tenham sido gerenciados,
emitindo relatórios de desempenho por unidade. (SGP)
4.6.8 Benefício: Não financeiro.
4.6.9 Recomendação 003: Analisar os relatórios de desempenho elaborados pela SGP
relacionados à gestão de riscos com o objetivo de avaliar o engajamento das unidades e
reportar ao comitê quando necessário. (SGI)
4.6.10 Benefício: Não financeiro.
4.6.11 Recomendação 004: Atuar junto às unidades quando o desempenho na implementação
das ações tiver sido avaliado pela SGI como insatisfatório. (CGRC)
4.7 Constatação 005 – Subutilização do sistema informatizado de consolidação das
informações relacionadas à gestão de riscos.
Nas interlocuções realizadas pela equipe de auditoria com os gestores da ASSCOM,
COMUNICA e SRI, percebeu-se que as informações relacionadas à gestão de risco estavam
sendo registradas principalmente em planilhas. Diante disso, foi encaminhado à SGP a SA
2019011-017, questionando se a UFRN utilizava algum sistema informatizado para consolidar
essas informações.
4.7.1 Causa: Priorização na realização das oficinas em detrimento da alimentação do sistema
de informação.
4.7.2 Manifestação da Unidade: Em atenção à SA 2019011-009, a DGP apresentou a
seguinte resposta por meio da mesa virtual:
“A UFRN utiliza o sistema GERIFES.net para consolidar as informações
relacionadas a gestão de riscos. As atividades estão sendo alimentadas no sistema até
o estabelecimento das atividades preventivas/de contingência. O estabelecimento do
risco residual foi realizada na fase externa da licitação, mas está pendente nas outras
unidades devido a necessidade de validação desse novo modelo de monitoramento
dos riscos. Neste momento a alimentação das informações no sistema estão sendo
realizadas pela SGP junto aos gestores de riscos aos quais foram designados”.
4.7.3 Análise da Auditoria Interna: Ao acessar o referido sistema, por meio do link
www.gerifes.net, foi possível observar o registro de alguns processos de trabalho, bem como
seus respectivos eventos de risco, sua classificação, a resposta definida pelos gestores e o
estabelecimento de atividades preventivas e/ou de contingência. Porém, apenas o “Pregão” e o
“RDC” (fase externa do processo licitatório) tiveram seus riscos residuais avaliados,
conforme informado pela SGP.
Com relação aos gestores de risco cadastrados no sistema, constatou-se que eles
coincidiam com os gestores das unidades. No entanto, ao analisar as respostas da ASSCOM,
COMUNICA e SRI, observou-se que os eventos de risco haviam sido distribuídos entre os
diversos servidores dessas unidades.
http://www.gerifes.net/
12
RA 014/2019 - AUDIN/UFRN
Conclui-se, portanto, que o sistema, apesar de estar sendo alimentado, não vem sendo
utilizado de forma adequada, ocasionado assim dificuldade na consolidação das informações
relacionadas à gestão de riscos, seu acesso pelos usuários e emissão de relatórios gerenciais.
4.7.4 Benefício: Não financeiro.
4.7.5 Recomendação 001: Utilizar o GERIFES.net para registrar TODAS as etapas do
processo de gestão de riscos, visando facilitar o acesso às informações, tanto pelos gestores de
risco quanto pelos órgãos de gerenciamento, bem como acompanhar a implementação por
meios de indicadores e possibilitar a emissão de relatórios gerenciais.
13
RA 014/2019 - AUDIN/UFRN
5 CONCLUSÃO
Inicialmente, cumpre destacar que o gerenciamento de riscos no âmbito da UFRN
ainda está em fase de implantação, uma vez que foi estabelecido, consoante a Resolução no
076/2017-CONSAD, um cronograma de cinco anos para que todas as suas unidades
administrativas viessem a ser contempladas.
O desejável é que todas as unidades pudessem, concomitantemente, incorporar a
gestão de riscos aos seus processos. No entanto, por se tratar de um tema recente na
Administração Pública federal, que requer um acompanhamento por profissionais
qualificados, a UFRN optou por implementá-la de forma gradativa.
A gestão de riscos tem por objetivo garantir a eficácia dos processos de trabalho e,
consequentemente, ampliar a possibilidade de alcance dos objetivos estratégicos expressos no
Plano de Desenvolvimento Institucional (PDI) e no Plano de Gestão (PG). Para isso, faz-se
necessária a participação efetiva de todos os atores envolvidos, desde a gestão operacional
(primeira linha de defesa) até as instâncias de gerenciamento de riscos10 (segunda linha de
defesa) e a auditoria interna (terceira linha de defesa).
Compete à gestão operacional manter controles internos eficazes, a partir da avaliação,
controle e mitigação dos riscos, de modo a garantir que as atividades estejam de acordo com
as metas e objetivos pré-estabelecidos. Já as instâncias de gerenciamento de riscos, lida com
aspectos mais amplos, como apoiar a política de gestão de riscos, definir papéis e
responsabilidades, estabelecer metas para implementação e auxiliar a gestão no
desenvolvimento dos processos e controles. Por fim, a auditoria interna atua na avaliação do
processo de gestão de riscos e confiabilidade dos controles internos.
Essa ação de auditoria teve como objetivo avaliar o processo de implantação da gestão
de riscos na universidade e foi conduzida com o objetivo de responder a três questões de
auditoria evidenciadas no item 2 (Escopo).
Constatou-se que a política de gestão de riscos e o CGRC foram instituídos em
conformidade com a IN 01/2016, em especial o art. 17 e o capítulo V. Todavia, identificou-se
fragilidades na atuação do comitê e na realização de capacitações institucionais previstas na
política de gestão de riscos. Essas impropriedades foram evidenciadas nos subitens 4.3 e 4.4
deste relatório, as quais culminaram em recomendações de auditoria, visando estabelecer uma
frequência mínima de reuniões pelo CGRC e inserir cursos sobre gestão de riscos no
Programa de Capacitação e Qualificação (PCQ) a ser executado pela Diretoria de
Desenvolvimento de Pessoas (DDP).
Já no tópico 4.5, observou-se divergências entre a metodologia de gestão de riscos
aplicada na UFRN e o plano de gestão de riscos, aprovado por meio da Resolução nº
076/2017-CONSAD, tendo sido emitida recomendação com o objetivo de alinhá-las.
Nesse toar, constatou-se também no subitem 4.6 a falta de supervisão pela SGP no
tocante à implementação das ações propostas para mitigar os riscos da unidade analisadas
(ASSCOM, COMUNICA e SRI), bem como a ausência de monitoramento pelo CGRC, o que
acarretou, por parte desta terceira linha de defesa, recomendações para que os processos de
gerenciamento, acompanhamento e supervisão de riscos se revelem mais efetivos e eficazes.
10 O Comitê de Governança, Riscos e Controles (CGRC) é umas dessas instâncias de gerenciamento de riscos.
14
RA 014/2019 - AUDIN/UFRN
Ademais, cumpre ressaltar que se verificou, no decorrer deste trabalho, a subutilização
do sistema informatizado de consolidação das informações relacionadas à gestão de riscos por
parte das unidades auditadas. Assim, recomendou-se a utilização do GERIFES.net para
registrar todas as etapas do processo de gestão de riscos a fim de que se tenha qualidade e
confiabilidade nos trabalhos relacionados ao tema (subitem 4.7).
Portanto, mediante o exposto, conclui-se que o processo de gestão de riscos na
Universidade Federal do Rio Grande do Norte encontra-se em fase inicial e requer o
engajamento de todos os atores para que seus objetivos sejam efetivamente alcançados.
Sugere-se o encaminhamento deste relatório à SGP, SGI, COMUNICA, SRI,
ASSCOM e DDP. A Auditoria Interna coloca-se à disposição para a reunião de busca
conjunta de soluções, cuja data deve ser alinhada com os gestores das unidades envolvidas.
Natal, 14 de outubro de 2019.
Arnaldo Rodrigues Bezerra Neto Auditor – Matrícula 3124973
Membro da Equipe
Bruno José Pereira Silva Auditor – Matrícula 1756546
Coordenador da Equipe
De acordo,
Anailson Marcio Gomes
Auditor-Geral
Matrícula 1149391
MINISTÉRIO DA EDUCAÇÃOUNIVERSIDADE FEDERAL DO RIO GRANDE DO NORTESISTEMA INTEGRADO DE PATRIMÔNIO, ADMINISTRAÇÃO ECONTRATOS
FOLHA DE ASSINATURAS
Emitido em 14/10/2019
RELATÓRIO DE AUDITORIA (002) Nº 14/2019 - AUDIN/UFRN (11.32.01)
NÃO PROTOCOLADO)(Nº do Protocolo:
(Assinado digitalmente em 14/10/2019 14:52 ) ANAILSON MARCIO GOMES
AUDITOR GERAL
1149391
(Assinado digitalmente em 14/10/2019 14:39 ) BRUNO JOSE PEREIRA SILVA
AUDITOR
1756546
(Assinado digitalmente em 14/10/2019 14:24 ) ARNALDO RODRIGUES BEZERRA NETO
AUDITOR
3124973
Para verificar a autenticidade deste documento entre em informando seu número: https://sipac.ufrn.br/documentos/, ano: , tipo: , data de emissão: e o código de verificação: 14 2019 RELATÓRIO DE AUDITORIA (002) 14/10/2019
b4259c6ea7
https://sipac.ufrn.br/public/jsp/autenticidade/form.jsf