• P. 22: Para funcionar adequadamente, o GRCorp necessita ter estabelecido e formalizado uma estrutura de governança clara. Essa estrutura definirá atribuições e reponsabilidades de cada agente nos diferentes níveis e práticas de GRCorp no que diz respeito aos riscos, indicando, por exemplo, quem identificará e avaliará os riscos, quem tomará as decisões sobre o tratamento dos riscos, quem monitorará os riscos, e quem fiscalizará o processo como um todo. P. 24: As funções de GRCorp devem ser descritas, formalizadas, aprovadas e divulgadas na política de GRCorp de abrangência corporativa. Esta deve representar o conjunto de princípios, ações, papéis e responsabilidades necessários a identificação, avaliação, resposta e monitoramento dos riscos aos quais a empresa está exposta. Três documentos podem constituir o arcabouço para a comunicação das práticas de GRCorp: 1) Política de gestão de riscos, divulgada para o mercado (a exemplo das divulgações da política de negociação de títulos mobiliários, ou da política de transações com partes relacionadas); 2) Norma de gestão de riscos (ou documento equivalente), de divulgação interna e que estabelece procedimentos na tomada de riscos, responsabilidades, inclusive de relato, prestação de contas, segregação de funções, fronteiras de atuação, e o sistema geral de governança da gestão de riscos; e 3) Código de conduta, de divulgação interna e externa, cujo objetivo é promover princípios éticos e refletir a identidade e a cultura da organização, complementando as obrigações legais e regulamentares. P. 47: O conselho de administração (CA) deve ser o responsável por determinar os objetivos estratégicos e o perfil de riscos da organização. Definir seu perfil consiste em identificar o grau de apetite a riscos da organização, bem como as faixas de tolerância a desvios em relação aos níveis de riscos determinados como aceitáveis. O CA deve estabelecer também a política de responsabilidade da diretoria em: i) avaliar a quais riscos a organização pode ficar exposta; ii) desenvolver procedimentos para administrá-los; e iii) avaliar, discutir e aprovar a política de riscos proposta pelo comitê executivo de riscos. P.58: Comunicação Considerações sobre os processos de comunicação e as diretrizes de comunicação e compartilhamento de informações sobre riscos no âmbito da organização.

• 5. ESTRUTURA 5.1 Generalidades O propósito da estrutura da gestão de riscos é apoiar a organização na integração da gestão de riscos em atividades significativas e funções. [...] 5.2 Liderança e comprometimento Convém que a Alta Direção e os órgãos de supervisão, onde aplicável, assegurem que a gestão de riscos esteja integrada em todas as atividades da organização, e convém que demonstrem liderança e comprometimento por: personalizar e implementar os componentes da estrutura; emitir uma declaração ou política que estabeleça uma abordagem, plano ou curso de ação da gestão de riscos; assegurar que os recursos necessários sejam alocados para gerenciar riscos; atribuir autoridades, responsabilidades e responsabilização nos níveis apropriados dentro da organização. [...] 5.3 Integração [...] A governança orienta o rumo da organização, suas relações externas e internas e as regras, processos e práticas necessárias para alcançar o seu propósito. As estruturas de gestão traduzem a direção da governança para a estratégia e os objetivos associados requeridos para alcançar níveis desejados de desempenho sustentável e viabilidade a longo prazo. Determinar a responsabilização pela gestão de riscos e os papéis de supervisão no âmbito de uma organização é parte integrante da governança da organização. [...] 5.4 Concepção 5.4.2 Articulando o comprometimento com a gestão de riscos [...] 5.4.3 Atribuindo papéis organizacionais, autoridades, responsabilidades e responsabilizações [...] Convém que a Alta Direção e os órgãos de supervisão, onde aplicável, assegurem que as autoridades, responsabilidade e responsabilizações para os papéis pertinentes à gestão de riscos sejam atribuídas e comunicadas a todos os níveis da organização, e convém que: enfatizem que a gestão de riscos é uma responsabilidade principal; identifiquem indivíduos que possuam responsabilização e tenham autoridade para gerenciar riscos (proprietários dos riscos). 5.4.4 Alocando recursos [...] 5.4.5 Estabelecendo comunicação e consulta Convém que a organização estabeleça uma abordagem aprovada para comunicação e consulta para apoiar a estrutura e facilitar a aplicação eficaz de gestão de riscos. [...] 6. Processo O processo de gestão de riscos envolve a aplicação sistemática de políticas, procedimentos e práticas para as atividades de comunicação e consulta, estabelecimento do contexto e avaliação, tratamento, monitoramento, análise crítica, registro e relato de riscos. 6.6 Monitoramento e análise crítica O propósito do monitoramento e análise crítica é assegurar e melhorar a qualidade e eficácia da concepção, implementação e resultados do processo. Convém que o monitoramento contínuo e a análise crítica periódica do processo de gestão de riscos e seus resultados sejam uma parte planejada do processo de gestão de riscos, com responsabilidades claramente estabelecidas.

• P.20: La Gerencia de riesgos de la entidad, consta de ocho componentes interrelacionados. Éstos fueron derivados de la manera como la administración lleva a cabo un negocio y fueron integrados con el proceso de gestión. Los componentes son: ambiente interno; establecimiento de objetivos; identificación de eventos; evaluación de riesgos; respuesta a los riesgos; actividades de control; información y comunicación; monitoreo. P.22: Los miembros del directorio deben conocer sus responsabilidades y los límites de su autoridad. Por este motivo deberá existir un vínculo claro y conciso entre los deberes de las personas y el modo de realizarlos. La gerencia superior principalmente proporciona un asesoramiento. Sin embargo, ellos también proporcionan directrices, aprueban estrategias y ciertas transacciones y políticas de forma que desempe+en un papel importante en el fortalecimiento de la cultura organizacional. P.44: También se necesita de métodos para que los empleados comuniquen la información basada en riesgos a su gerencia de línea, a través de la organización. Los empleados de línea que tratan los temas operativos críticos cada día son a menudo los mejor situados para reconocer los problemas cuando surgen. Para que tal información sea reportada, debe haber canales abiertos de comunicación y una clara disposición de atención. Si la cultura corporativa es una de “matar al mensajero”, el personal no comunicará los problemas a los superiores y los riesgos no serán identificados oportunamente.

• P.5: O corpo administrativo: [...] estabelece estruturas e processos para governança, incluindo comitês auxiliares, conforme necessário; delega responsabilidades e oferece recursos à gestão para atingir os objetivos da organização; determina o apetite organizacional a riscos e exerce a supervisão do gerenciamento de riscos (incluindo controle interno). P. 8: O corpo administrativo, a gestão e a auditoria interna têm responsabilidades distintas, mas todas as atividades precisam estar alinhadas com os objetivos da organização. A base para uma coerência bem-sucedida é a coordenação, colaboração e comunicação regulares e eficazes.

• P. 21: 5. Components and Principles [...] The five components are: Governance and Culture: Governance and culture together form a basis for all other components of enterprise risk management. Governance sets the entity`s tone, reinforcing the importance of enterprise risk management, and establishing oversight responsibilities for it. Culture is reflected in decision-making; Strategy and Objective-Setting: Enterprise risk management is integrated into the entity`s strategic plan through the process of setting strategy and business objectives. With an understanding of business context, the organization can gain insight into internal and external factors and their effect on risk. An organization sets its risk appetite in conjunction with strategy-setting. The business objectives allow strategy to be put into practice and shape the entity´s day-to-day operations and priorities; Performance: An organization identifies and assesses risks that may affect an entity`s ability to achieve its strategy and business objectives. As part of that pursuit, the organization identifies and assesses risks that may affect the achievement of that strategy and business objectives; It prioritizes risks according to their severity and considering the entity`s risk appetite. The organization then selects risk responses and monitors performance for change. In this way, it develops a portfolio view of the amount of risk the entity has assumed in the pursuit of its strategy and entity- level business objectives; Review and Revision: By reviewing enterprise risk management capabilities and practices, and the entity`s performance relative to its targets, an organization can consider how well the enterprise risk management capabilities and practices have increased value over time and will continue to drive value in light of substantial changes; Information, Communication, and Reporting: Communication is the continual, iterative process of obtaining information and sharing it throughout the entity. Management uses relevant information from both internal and external sources to support enterprise risk management. The organization leverages information systems to capture, process, and manage data and information. By using information that applies to all components, the organization reports on risk, culture, and performance. P. 31: Enterprise Risk Management Structures Entities with complex structures may have several committees, each with different but overlapping management membership. This multi-committee structure is then aligned with the operating structure and reporting lines, which allows management to make business decisions as needed, with a full understanding of the risks embedded in those decisions. Regardless of the particular management committee structure established, it is common to clearly state the authority of the committee, the management members who are a part of the committee, the frequency of meetings, and the specific responsabilities and operating principles. In small entities, enterprise risk management oversight may be less formal, with management being much more involved in day-to-day execution. Authority and Responsibilities [...] Key roles typically include the following: . Individuals in a management role who have the authority and responsibility to make decisions and oversee business practices to achieve strategy and business objectives. Within the management team, the chief risk officer is often responsible for providing expertise and coordinating risk considerations. . Other personnel who understand both the entity´s standards of conduct and business objectives in relation to their area of responsibility and the related enterprise risk management practices at their respective levels of the entity.

• P. 53: A estrutura de gestão de riscos é a maneira como a entidade se organiza para gerenciar os riscos do seu negócio, representando o conjunto de componentes e arranjos organizacionais para a concepção, a implementação, o monitoramento, a análise crítica e a melhoria contínua da gestão de riscos através de toda a organização. Inclui a política de gestão de riscos, os manuais e guias, os recursos, a definição de objetivos e de papéis e responsabilidades que permitirão incorporar a gestão de riscos em todos os níveis da organização. O processo de gestão de riscos representa o conjunto de atividades contínuas, realizado pelas pessoas em todos os níveis da entidade, desde a definição das estratégias até o nível das atividades operacionais, concebido para identificar riscos que possam afetar a capacidade da organização em atingir os seus objetivos e para apoiar tomadas de decisões e ações que forem necessárias para mantê-los em níveis compatíveis com os limites de exposição a riscos previamente estabelecidos, de maneira a fornecer segurança razoável do cumprimento dos objetivos. [...] Assim, a instância máxima de governança e a alta administração têm a responsabilidade de assegurar a existência, o monitoramento e a avaliação de um sistema efetivo de gestão de riscos e controle interno, bem como de utilizar as informações resultantes desse sistema para apoiar seus processos decisórios e gerenciar riscos estratégicos. P.65-66: Política de gestão de riscos Respondidas aquelas perguntas e tomadas as decisões, passa-se à definição da política de gestão de riscos. De acordo com a ISO 31000:2009, esse documento deve explicitar: (a) os objetivos e o comprometimento da organização em relação à gestão de riscos; (b) a justificativa da organização para gerenciar riscos; (c) as ligações entre os objetivos e políticas da organização com a política de gestão de riscos; (d) as responsabilidades para gerenciar riscos; (e) a forma com que são tratados conflitos de interesses; (f) o comprometimento de tornar disponíveis os recursos necessários para auxiliar os responsáveis pelo gerenciamento dos riscos; (g) a forma com que o desempenho da gestão de riscos será medido e reportado; e (h) o comprometimento de analisar criticamente e melhorar periodicamente a política e a estrutura da gestão de riscos em resposta a um evento ou mudança nas circunstâncias. Processo de gestão de riscos Aprovada a política de gestão de riscos e definida a responsabilidade das partes interessadas, o próximo passo consiste na definição do processo de gestão de riscos.

• CONTROL Risk Management 238 Governing bodies of public sector entities need to ensure that effective systems of risk management are established as part of the framework of control. Risk can be defined as a measure of uncertainty, and comprises those factors that can facilitate or prevent the achievement of organizational objectives. Risk management can be viewed as a process of: understanding the organizational objectives; identifying the risks associated with achieving the objectives; assessing the risks, including the likelihood and potential impact of specific risks; developing and implementing programs/procedures to address identified risks; and monitoring and evaluating risks and the programs/procedures in place to address risks. 240 The governing body needs to identify internal and external risks on an ongoing basis so it can react to (or initiate) changes in an appropriate and timely manner.

• Art. 2º Para os efeitos do disposto neste Decreto, considera-se: [...] IV - gestão de riscos - processo de natureza permanente, estabelecido, direcionado e monitorado pela alta administração, que contempla as atividades de identificar, avaliar e gerenciar potenciais eventos que possam afetar a organização, destinado a fornecer segurança razoável quanto à realização de seus objetivos. [...] Art. 17. A alta administração das organizações da administração pública federal direta, autárquica e fundacional deverá estabelecer, manter, monitorar e aprimorar sistema de gestão de riscos e controles internos com vistas à identificação, à avaliação, ao tratamento, ao monitoramento e à análise crítica de riscos que possam impactar a implementação da estratégia e a consecução dos objetivos da organização no cumprimento da sua missão institucional, observados os seguintes princípios: I - implementação e aplicação de forma sistemática, estruturada, oportuna e documentada, subordinada ao interesse público; II - integração da gestão de riscos ao processo de planejamento estratégico e aos seus desdobramentos, às atividades, aos processos de trabalho e aos projetos em todos os níveis da organização, relevantes para a execução da estratégia e o alcance dos objetivos institucionais; IV - utilização dos resultados da gestão de riscos para apoio à melhoria contínua do desempenho e dos processos de gerenciamento de risco, controle e governança.

• Art. 6º O estatuto da empresa pública, da sociedade de economia mista e de suas subsidiárias deverá observar regras de governança corporativa, de transparência e de estruturas, práticas de gestão de riscos e de controle interno, composição da administração e, havendo acionistas, mecanismos para sua proteção, todos constantes desta Lei. Art. 9º A empresa pública e a sociedade de economia mista adotarão regras de estruturas e práticas de gestão de riscos e controle interno que abranjam: I - ação dos administradores e empregados, por meio da implementação cotidiana de práticas de controle interno; II - área responsável pela verificação de cumprimento de obrigações e de gestão de riscos; III - auditoria interna e Comitê de Auditoria Estatutário. [...] § 2º A área responsável pela verificação de cumprimento de obrigações e de gestão de riscos deverá ser vinculada ao diretor-presidente e liderada por diretor estatutário, devendo o estatuto social prever as atribuições da área, bem como estabelecer mecanismos que assegurem atuação independente.

• P.37: COMUNICAÇÃO E CONSULTA Durante todas as etapas ou atividades do processo de gestão de riscos deve haver uma efetiva comunicação informativa e consultiva entre a organização e as partes interessadas, internas e externas, para: a) auxiliar a estabelecer o contexto apropriadamente e assegurar que as visões e percepções das partes interessadas, incluindo necessidades, suposições, conceitos e preocupações sejam identificadas, registradas e levadas em consideração; b) auxiliar a assegurar que os riscos sejam identificados e analisados adequadamente, reunindo áreas diferentes de especialização; c) garantir que todos os envolvidos estejam cientes de seus papéis e responsabilidades, e avalizem e apoiem o tratamento dos riscos.

• Da Estrutura do Modelo de Gestão de Riscos Art. 16. Na implementação e atualização do modelo de gestão de riscos, a alta administração, bem como seus servidores ou funcionários, deverá observar os seguintes componentes da estrutura de gestão de riscos: I – ambiente interno: [...] II– fixação de objetivos: [...] III – identificação de eventos: [...] IV – avaliação de riscos: [...] V – resposta a riscos: [...] VI – atividades de controles internos: [...] VII – informação e comunicação: [...] VIII – monitoramento: [...] Da Política de Gestão de Riscos Art. 17. A política de gestão de riscos, a ser instituída pelos órgãos e entidades do Poder Executivo federal em até doze meses a contar da publicação desta Instrução Normativa, deve especificar ao menos: I – princípios e objetivos organizacionais; II – diretrizes sobre: a) como a gestão de riscos será integrada ao planejamento estratégico, aos processos e às políticas da organização; b) como e com qual periodicidade serão identificados, avaliados, tratados e monitorados os riscos; c) como será medido o desempenho da gestão de riscos; d) como serão integradas as instâncias do órgão ou entidade responsáveis pela gestão de riscos; e) a utilização de metodologia e ferramentas para o apoio à gestão de riscos; e f) o desenvolvimento contínuo dos agentes públicos em gestão de riscos; e III – competências e responsabilidades para a efetivação da gestão de riscos no âmbito do órgão ou entidade.

• P. 5: Papéis da primeira linha: liderar e dirigir ações (incluindo gerenciamento de riscos) e aplicação de recursos para atingir os objetivos da organização; manter um diálogo contínuo com o corpo administrativo e reportar: resultados planejados, reais e esperados, vinculados aos objetivos da organização; e riscos; estabelecer e manter estruturas e processos apropriados para o gerenciamento de operações e riscos (incluindo controle interno); garantir a conformidade com as expectativas legais, regulatórias e éticas. P. 6: Papéis da segunda linha: fornecer expertise complementar, apoio, monitoramento e questionamento quanto ao gerenciamento de riscos, incluindo o desenvolvimento, implantação e melhoria contínua das práticas de gerenciamento de riscos (incluindo controle interno) nos níveis de processo, sistemas e entidade; e o atingimento dos objetivos de gerenciamento de riscos, como: conformidade com leis, regulamentos e comportamento ético aceitável; controle interno; segurança da informação e tecnologia; sustentabilidade; e avaliação da qualidade. Fornecer análises e reportar sobre a adequação e eficácia do gerenciamento de riscos (incluindo controle interno). P.7: São necessárias colaboração e comunicação entre os papéis de primeira e segunda linha da gestão e auditoria interna, para garantir que não haja duplicação, sobreposição ou lacunas desnecessárias.

• Norma 2050 - Coordenação e Confiança: O chefe executivo de auditoria deveria compartilhar informações, coordenar atividades e considerar depositar confiança no trabalho de outros prestadores internos e externos de serviços de avaliação e consultoria, para assegurar a cobertura apropriada e minimizar a duplicação de esforços. [...] Outra abordagem para coordenar a cobertura da avaliação é um modelo de avaliação combinada, em que a auditoria interna pode coordenar os esforços de avaliação com as funções da segunda linha de defesa, como uma função de conformidade, para reduzir a natureza, a frequência e a redundância das atividades de auditoria interna. Exemplos das atividades de coordenação incluem: garantir o entendimento comum das técnicas, métodos e terminologia da avaliação; permitir o acesso a programas de trabalho, papéis de trabalho e relatórios entre as partes; confiar no trabalho um do outro, para minimizar a duplicação de esforços; reunir-se frequentemente para, se necessário, ajustar o momento adequado dos trabalhos planejados, com base nos resultados dos trabalhos concluídos.

• P. 8: Consultando Principais Stakeholders: O CAE deve consultar os principais stakeholders para cumprir com os requisitos das normas relacionadas à Norma 2010 – Planejamento. A comunicação contínua é vital para permitir ajustes ágeis às mudanças. Além disso, a comunicação contínua ajuda a garantir que a alta administração, o conselho e a atividade de auditoria interna compartilhem um entendimento comum dos riscos e prioridades de avaliação da organização. Stakeholders a Considerar: [...]Funções da segunda linha.

• 13. Os Assessores e Assessorias Especiais de Controle Interno (AECI) nos Ministérios integram a segunda linha de defesa e podem ter sua atuação complementada por outras estruturas específicas definidas pelas próprias organizações. 31. Em face da complexidade inerente à execução das políticas públicas – o que demanda esforço e articulação entre as instituições envolvidas em seu processo de avaliação – o SCI e os AECI devem trabalhar de forma articulada e integrada, com sinergia e mediante clara definição de papéis, de forma a racionalizar recursos e maximizar os resultados decorrentes de sua atuação. 102. O Responsável pela UAIG deve compartilhar informações e coordenar as atividades da unidade com outras instâncias prestadoras de serviços de avaliação e consultoria, tais como outras UAIG com competência concorrente, órgãos de controle externo ou de defesa do patrimônio público ou colaboradores de outros órgãos ou entidades públicas que atuem na função de especialistas.

• Art. 3º À Assessoria Especial de Controle Interno compete: I - assessorar o Ministro de Estado nas áreas de controle, risco, transparência e integridade da gestão; II - assistir o Ministro de Estado no pronunciamento estabelecido no art. 52 da Lei nº 8.443, de 16 de julho de 1992 ; III - prestar orientação técnica ao Secretário-Executivo, aos gestores do Ministério e aos representantes indicados pelo Ministro de Estado em conselhos e comitês, nas áreas de controle, risco, transparência e integridade da gestão; IV - prestar orientação técnica e acompanhar os trabalhos das unidades do Ministério com vistas a subsidiar a elaboração da prestação de contas anual do Presidente da República e do relatório de gestão; V - prestar orientação técnica na elaboração e na revisão de normas internas e de manuais; VI - apoiar a supervisão ministerial da entidade vinculada, em articulação com as respectivas unidades de auditoria interna, inclusive quanto ao planejamento e aos resultados dos trabalhos; VII - auxiliar na interlocução sobre assuntos relacionados com a ética, a ouvidoria e a correição entre as unidades responsáveis no Ministério e os órgãos de controle interno e externo e de defesa do Estado; VIII - acompanhar processos de interesse do Ministério junto aos órgãos de controle interno e externo e de defesa do Estado; IX - acompanhar a implementação das recomendações da Controladoria-Geral da União e das deliberações do Tribunal de Contas da União, relacionadas ao Ministério da Justiça e da Segurança Pública, e atender outras demandas provenientes dos órgãos de controle interno e externo e de defesa do Estado; e X - apoiar as ações de capacitação nas áreas de controle, risco, transparência e integridade da gestão.

• P. 101-102: Estrutura de gerenciamento de riscos e controles 1.3.2. Os grupos de pessoas que integram as três linhas de defesa na estrutura de gerenciamento de riscos e controles por toda a organização têm clareza quanto aos seus papéis, entendem os limites de suas responsabilidades e como seus cargos se encaixam na estrutura geral de gestão de riscos e controles da organização, especialmente quanto aos seguintes aspectos: [...] b) Na segunda linha de defesa, o pessoal que integra funções de coordenação de atividades de gestão de riscos e/ou de gerenciamento de riscos específicos por toda a organização: I. apoia e facilita os gestores no estabelecimento de processos de gerenciamento de riscos que sejam eficazes em suas áreas de responsabilidade; II. fornece metodologias e ferramentas a todas as áreas, por toda a organização, com a finalidade de identificar e avaliar riscos; III. define, orienta e monitora funções e responsabilidades pela gestão de riscos em todas as áreas, por toda a organização; IV. estabelece uma linguagem comum de gestão de riscos, incluindo medidas comuns de probabilidade, impacto e categorias de riscos; V. orienta a integração do gerenciamento de riscos nos processos organizacionais e de gestão, e promovem competência para suportá-la; VI. comunica ao dirigente máximo e aos gestores executivos o andamento do gerenciamento de riscos em todas as áreas, por toda a organização.

• Processo O processo de gestão de riscos envolve a aplicação sistemática de políticas, procedimentos e práticas para as atividades de comunicação e consulta, estabelecimento do contexto e avaliação, tratamento, monitoramento, análise crítica, registro e relato de riscos. 6.6 Monitoramento e análise crítica O propósito do monitoramento e análise crítica é assegurar e melhorar a qualidade e eficácia da concepção, implementação e resultados do processo. Convém que o monitoramento contínuo e a análise crítica periódica do processo de gestão de riscos e seus resultados sejam uma parte planejada do processo de gestão de riscos, com responsabilidades claramente estabelecidas.

• 3. Modelo Conceitual de Implementação de GRCorp 3.1 Passo 1 – Identificar e classificar os riscos 3.2 Passo 2 – Avaliar os riscos 3.3 Passo 3 – Implementar a função de gestão de riscos e estrutura de controles internos 3.4 Passo 4 – Monitorar 3.4.1 Definir medidas de desempenho 3.4.2 Preparar relatórios periódicos de riscos e controle 3.4.3 Registrar e quantificar as perdas ocasionadas pela materialização dos eventos de riscos P.15: Outras etapas do processo de GRCorp são o monitoramento e a comunicação dos riscos. O primeiro envolve o constante acompanhamento, por parte do conselho e da diretoria, da eficácia e adequação do processo. Já a comunicação contribui para que o ambiente corporativo reflita os valores e a cultura de riscos desejada pela organização. P.42: Respostas aos riscos devem ser desenvolvidas começando com os riscos encontrados no quadrante superior direito (os riscos-chave), que concentra eventos de grande probabilidade e grande impacto, ou seja, de alta severidade. À medida que o seu grau de severidade diminui de intensidade, os riscos podem ser monitorados e tratados em periodicidades mais espaçadas, conforme ilustrado. Mas, de forma nenhuma, os chamados riscos de severidade média (os de baixa probabilidade e alto impacto, ou alta probabilidade e baixo impacto) ou baixa devem ser ignorados, especialmente os primeiros. Respeitando as características de cada organização, os riscos-chave devem ser monitorados pela administração, e os riscos secundários devem ser monitorados pelos gestores das camadas inferiores da organização. É preciso levar em consideração, ainda, a quantidade de riscos em questão, de tal forma que seu gerenciamento não se torne demasiadamente custoso ou difícil para a organização, com a devida atenção aos efeitos da agregação de grande número de riscos de baixo impacto ou baixa probabilidade. A organização precisa, com base em sua área de atuação e perfil, fazer uma avaliação criteriosa de como gerenciar esses riscos, levando em conta seu impacto para a organização e para a sociedade, estando permanentemente atenta às externalidades geradas por sua atuação. P.45: É de vital importância a preparação de relatórios periódicos de riscos, assegurando que os resultados reportados cheguem até a diretoria e o CA. Sua frequência depende do tipo de organização e do tipo de risco que está sendo reportado. Para uma empresa financeira, pode ser fundamental que o relatório seja diário e reportado à administração. Para outra organização, na qual o risco relevante é o contencioso ou o estratégico de longo prazo, o relatório periódico pode ser necessário apenas quando surgirem informações novas que justifiquem a sua elaboração. [...] Cabe à administração a avaliação contínua da adequação e da eficácia de seu modelo de GRCorp. Este deve ser constantemente monitorado, com o objetivo de assegurar a presença e o funcionamento de todos os seus componentes ao longo do tempo. O monitoramento regular ocorre no curso normal das atividades de gestão. Já o escopo e a frequência de avaliações ou revisões específicas dependem, normalmente, de uma avaliação do perfil de riscos e da eficácia dos procedimentos regulares de monitoramento.

• P. 65: 8. Performance This component of the Framework focuses on practices that support the organization in making decisions and achieving strategy and business objectives. To that end, organizations use their operating structure to develop a practice that: identifies new and emerging risks so that management can deploy risk responses in a timely manner; assesses the severity of risk, with an understanding of how the risk may change depending on the level of the entity; prioritizes risks, allowing management to optimize the allocation of resources in response to those risks; identifies and selects responses to risk; develops a portfolio view to enhance the ability for the organization to articulate the amount of risk assumed in the pursuit of strategy and entity-Ievel business objectives. P. 67: Identifying Risk The organization identifies new, emerging, and changing risks to the achievement of the entity`s strategy and business objectives. It undertakes risk identification activities to first establish an inventory of risks, and then to confirm existing risks as being still applicable and relevant. P. 72: Assessing Risk Risks identified and included in an entity`s risk inventory are assessed in arder to understand the severity of each to the achievement of an entity´s strategy and business objectives. Risk assessments inform the selection of risk responses. Given the severity of risks identified, management decides on the resources and capabilities to deploy in arder for the risk to remain within the entity`s risk appetite. P. 79: Prioritize Risks Organizations prioritize risks in order to inform decision-making on risk responses and optimize the allocation of resources. Given the resources available to an entity, management must evaluate the trade-offs between allocating resources to mitigate one risk compared to another. The prioritization of risks, given their severity, the importance of the corresponding business objective, and the entity`s risk appetite helps management in its decision-making. P. 81: Choosing Risk Responses For all risks identified, management selects and deploys a risk response. Management considers the severity and prioritization of the risk as well as the business context and associated business objectives. P. 84: Developing a Portfolio View A portfolio view of risk can be developed in a variety of ways. One method is to focus on major risk categories across operating units, or on risk for the entity as a whole, using metrics such as risk-adjusted capital or capital at risk.

• P. 5: Papéis da primeira linha: liderar e dirigir ações (incluindo gerenciamento de riscos) e aplicação de recursos para atingir os objetivos da organização; manter um diálogo contínuo com o corpo administrativo e reportar: resultados planejados, reais e esperados, vinculados aos objetivos da organização; e riscos; estabelecer e manter estruturas e processos apropriados para o gerenciamento de operações e riscos (incluindo controle interno); garantir a conformidade com as expectativas legais, regulatórias e éticas. P. 6: Papéis da segunda linha: fornecer expertise complementar, apoio, monitoramento e questionamento quanto ao gerenciamento de riscos, incluindo o desenvolvimento, implantação e melhoria contínua das práticas de gerenciamento de riscos (incluindo controle interno) nos níveis de processo, sistemas e entidade; e o atingimento dos objetivos de gerenciamento de riscos, como: conformidade com leis, regulamentos e comportamento ético aceitável; controle interno; segurança da informação e tecnologia; sustentabilidade; e avaliação da qualidade. Fornecer análises e reportar sobre a adequação e eficácia do gerenciamento de riscos (incluindo controle interno).

• P.13-14: Abordagem dos elementos do processo Esta abordagem verifica se cada elemento do processo de gerenciamento de riscos está no lugar. É essencial validar as declarações de intenção da administração por meio de evidências de auditoria suficientes para comprovar que o elemento está sendo satisfeito na prática. A representação da administração, apenas, raramente seria suficiente. A ISO 31000 identifica sete componentes do processo de gerenciamento de riscos: Elemento 1 – Comunicação: o gerenciamento razoável dos riscos requer uma comunicação estruturada e contínua e consulta com os afetados pelas operações da organização ou atividade. Elemento 2 – Estabelecer o Contexto: O ambiente externo (político, social, etc) e interno (objetivos, estratégias, estruturas, ética, disciplina, etc) da organização ou atividade devem ser entendidos antes que toda a gama de riscos possa ser identificada. Elemento 3 – Identificação de Riscos: Identificar riscos deve ser um processo formal e estruturado que considere fontes de risco, áreas de impacto e eventos potenciais, além de suas causas e consequências. Elemento 4 – Análise de Riscos: A organização deve utilizar uma técnica formal para considerar a consequência e a probabilidade de cada risco. Elemento 5 – Avaliação de Riscos: A organização deve ter um mecanismo para classificar a importância relativa de cada risco, de modo que uma prioridade de tratamento possa ser estabelecida. Elemento 6 – Tratamento de Riscos: o gerenciamento razoável dos riscos exige decisões racionais acerca do tratamento dos riscos. Este tratamento consiste, classicamente, em evitar a atividade a partir da qual o risco surge, compartilhar o risco, gerenciar o risco através da aplicação de controles ou aceitar o risco e não realizar nenhuma outra ação. Elemento 7 – Monitorar e Revisar: Monitorar inclui verificar o andamento dos planos de tratamento, monitorar controles e sua eficácia, garantir que atividades proscritas sejam evitadas e verificar que o meio ambiente não mudou de uma forma que afetaria os riscos. P. 6: Monitoramento e Avaliação Um elemento crítico de um sistema sensato de gerenciamento de riscos é o monitoramento, para garantir que o desempenho seja o desejado. O monitoramento pode ser feito de duas formas: por meio de atividades contínuas ou avaliações separadas. Essa combinação de monitoramento contínuo com avaliações separadas garantirá que o ERM mantenha sua eficácia com o passar do tempo. [...] O monitoramento contínuo é incorporado às atividades operacionais normais e recorrentes de uma empresa. Ele pode ser mais eficaz do que avaliações separadas, porque é conduzido em tempo real, reagindo dinamicamente a condições em constante mudança e está enraizado na organização. Os problemas serão frequentemente identificados mais rapidamente pelos processos de monitoramento contínuo, já que avaliações separadas ocorrem após a ocorrência do fato. Algumas entidades com atividades sensatas de monitoramento contínuo irão, contudo, conduzir uma avaliação separada de ERM ou de porções do mesmo. O nível percebido de objetividade é maior para avaliações separadas do que para automonitoramento.

• P.36: 5.1 VISÃO GERAL DO PROCESSO DE GESTÃO DE RISCOS O processo de gestão de riscos consiste na identificação, análise e avaliação de riscos, na seleção e implementação de respostas aos riscos avaliados, no monitoramento de riscos e controles, e na comunicação sobre riscos com partes interessadas, internas e externas, durante toda a aplicação do processo. Ele é aplicável a ampla gama das atividades da organização em todos os níveis, incluindo estratégias, decisões, operações, processos, funções, projetos, produtos, serviços e ativos, e é suportado pela cultura e pela estrutura (ambiente) de gestão de riscos da entidade.

• PRIORIZAÇÃO DE PROCESSOS P. 38 Ainda que a gestão de riscos deva ser parte integrante de todos os processos organizacionais (princípio previsto pela ISO 31000), ela não deve ser aplicada a todos os seus processos com a mesma intensidade, visto que os recursos da organização são limitados. [...] Quando se define o escopo da gestão de riscos em uma organização, é necessário apontar quais processos organizacionais serão submetidos a um arranjo de gestão de riscos mais rigoroso. A priorização de processos organizacionais é importante para orientar a alocação de recursos para a gestão de riscos, bem como quando se planeja uma estratégia gradual de implantação dessa abordagem.

• P.42: Respostas aos riscos devem ser desenvolvidas começando com os riscos encontrados no quadrante superior direito (os riscos-chave), que concentra eventos de grande probabilidade e grande impacto, ou seja, de alta severidade. À medida que o seu grau de severidade diminui de intensidade, os riscos podem ser monitorados e tratados em periodicidades mais espaçadas, conforme ilustrado. Mas, de forma nenhuma, os chamados riscos de severidade média (os de baixa probabilidade e alto impacto, ou alta probabilidade e baixo impacto) ou baixa devem ser ignorados, especialmente os primeiros. Respeitando as características de cada organização, os riscos-chave devem ser monitorados pela administração, e os riscos secundários devem ser monitorados pelos gestores das camadas inferiores da organização. É preciso levar em consideração, ainda, a quantidade de riscos em questão, de tal forma que seu gerenciamento não se torne demasiadamente custoso ou difícil para a organização, com a devida atenção aos efeitos da agregação de grande número de riscos de baixo impacto ou baixa probabilidade. A organização precisa, com base em sua área de atuação e perfil, fazer uma avaliação criteriosa de como gerenciar esses riscos, levando em conta seu impacto para a organização e para a sociedade, estando permanentemente atenta às externalidades geradas por sua atuação.

• A best practice for board risk reporting is: the reporting system should be tailored to the needs of the organization and exhibit the following characteristics: reporting is sufficiently detaild to allow the board members to recognize and understand the key risks facing the organization and interconnectedness; identifying five to 20 key risks seems optimal; some organizations elect to report on more; reporting is routine and occurs frequently. Reporting includes updates n the status of management action plans related to key risks; although primary reporting should be to the designated committes or individual directors, every director receives informative risk reports; directors are trained to understand the organization’s keys risks and the management of them. For some directors, this will necessitate training in ERM generally; risk oversight is independent of the organization´s CEO, but the CEO is part of the risk-management dialog. Risk reporting is direct to the board members without filtering, scrubbing, or diluting; the entire reporting process is iterative. Information flows both ways – to the board and from the board in the form of feedback on the actual risk management and the quality of the reporting itself.

• P. 2: A goal of developing an effective set of KRIs is to identify relevant metrics that provide useful insights about potential risks that may have an impact on the achievement of the organization’s objectives. Therefore, the selection and design of effective KRIs starts with a firm grasp of organizational objectives and risk-related events that might affect the achievement of those objectives. Linkage of top risks to core strategies helps pinpoint the most relevant information that might serve as an effective leading indicator of an emerging risk. In the simple illustration below, management has an objective to achieve greater profitability by increasing revenues and decreasing costs. They have identified four strategic initiatives that are critical to accomplishing those objectives. Several potential risks have been identified that may have an impact on one or more of four key strategic initiatives. Mapping key risks to core strategic initiatives puts management in a position to begin identifying the most critical metrics that can serve as leading key risk indicators to help them oversee the execution of core strategic initiatives. As shown below, KRIs have been identified for each critical risk. Mapping KRIs to critical risks and core strategies reduces the likelihood that management becomes distracted by other information that may be less relevant to the achievement of enterprise objectives.

• P. 16: Conforme a Política de Gestão de Riscos do TCU, são os seguintes os princípios que regem a gestão de riscos no TCU. Ser dirigida, apoiada e monitorada pela alta administração: a alta administração tem a responsabilidade de conduzir o processo de implantação, de manter o sistema funcionando com eficiência e economicidade, de gerenciar os riscos-chave para o TCU e liderar pelo exemplo, demonstrando efetivo compromisso com a gestão de riscos. P. 29: Os riscos-chave identificados serão monitorados a cada ciclo de avaliação da estratégia organizacional pela Seplan, em conjunto com o gestor do risco.

• P. 65: 8. Performance This component of the Framework focuses on practices that support the organization in making decisions and achieving strategy and business objectives. To that end, organizations use their operating structure to develop a practice that: Identifies new and emerging risks so that management can deploy risk responses in a timely manner. Assesses the severity of risk, with an understanding of how the risk may change depending on the level of the entity. Prioritizes risks, allowing management to optimize the allocation of resources in response to those risks. Identifies and selects responses to risk. Develops a portfolio view to enhance the ability for the organization to articulate the amount of risk assumed in the pursuit of strategy and entity-Ievel business objectives. […] P. 79: Prioritize Risks Organizations prioritize risks in order to inform decision-making on risk responses and optimize the allocation of resources. Given the resources available to an entity, management must evaluate the trade-offs between allocating resources to mitigate one risk compared to another. The prioritization of risks, given their severity, the importance of the corresponding business objective, and the entity`s risk appetite helps management in its decision-making. P. 81: Choosing Risk Responses For all risks identified, management selects and deploys a risk response. Management considers the severity and prioritization of the risk as well as the business context and associated business objectives. P. 84: Developing a Portfolio View A portfolio view of risk can be developed in a variety of ways. One method is to focus on major risk categories across operating units, or on risk for the entity as a whole, using metrics such as risk-adjusted capital or capital at risk.

• p.7 5.2.1 Estabelecendo uma política de continuidade de negócios: convém que a Alta Direção estabeleça a política de continuidade de negócios em termos de objetivos da organização e as suas obrigações e assegure-se de que: é uma declaração concisa de alto nível da intenção e direcionamento da Alta Direção para o SGCN; é apropriada à finalidade da organização (dado seu tamanho, a natureza e a complexidade, e a fim de refletir sua cultura, dependências e ambiente de funcionamento); fornece uma estrutura para definir objetivos; inclui compromissos claros com relação aos requisitos aplicáveis, incluindo obrigações legais e regulamentares; inclui comprometimento com a melhoria contínua do SGCN. p. 8: 5.3 Papéis, responsabilidades e autoridades organizacionais: convém que a Alta Direção assegure a atribuição e comunicação de responsabilidades e autoridades dentro do SGCN. p. 42 8.4.4. Planos de continuidade do negócio. 8.4.4.1 Generalidades - os Planos de continuidade do negócio estabelecem como as equipes responderão a disrupções e retomaão as atividades no âmbito do SGCN. p. 50 8.5 Programa de exercícios - 8.5.2 Exercícios robustos e realistas identificam áreas para aprimoramento, mesmo em procedimentos bem projetados.

• A gestão de continuidade de negócios é o processo através do qual uma organização se prepara para futuros incidentes que poderiam comprometer a missão central da organização e sua viabilidade a longo prazo. Tais incidentes incluem eventos locais como incêndios em edifícios, eventos regionais como terremotos ou eventos nacionais como doenças pandêmicas. Os principais componentes da BCM são: apoio da Administração - a administração deve demonstrar seu apoio à preparação, manutenção e prática adequadas de plano de continuidade de negócios (business continuity plan – BCP), por meio de alocação dos recursos, pessoas e fundos orçados adequados; avaliação de Riscos e Mitigação de Riscos - os riscos em potencial devido a ameaças como incêndios, inundações, etc., devem ser identificados e a proba- bilidade e possível impacto sobre o negócio devem ser determinados. Isso deve ser feito no nível do local e da divisão, para garantir que os riscos de todos os eventos críveis sejam compreendidos e adequadamen- te gerenciados; análise de Impacto Sobre os Negócios (business im- pact analysis – BIA) - a BIA é usada para identificar processos de negócios que sejam essenciais para manter a unidade de negócios em funcionamento durante um desastre e para determinar em quanto tempo esses processos integrais devem ser recuperados após um desastre; estratégia de Recuperação e Continuidade de Negócios - essa estratégia aborda todas as etapas, pessoas e recursos verdadeiramente necessários para recuperar um processo de negócios crítico; conscientização e Treinamento - a educação e a conscientização do programa de BCM e dos planos de BC são fundamentais para a execução do plano; exercícios - os funcionários devem participar regu- larmente dos exercícios agendados do programa de BCM e dos planos de BC; manutenção - os recursos e a documentação de BCM devem ser mantidos para garantir que permaneçam eficazes e alinhados com as prioridades do negócio.