Gestão de riscos corporativos


O que é?

Nos termos da Política de Gestão de Riscos Corporativos (GRC) da Anvisa, Portaria nº 854 de 30 de maio de 2017, em seu art. 4º, inciso XXII, risco é efeito da incerteza, evento capaz de afetar positivamente (oportunidade) ou negativamente (ameaça) os objetivos, processos de trabalho, programas e projetos nos níveis estratégico, tático ou operacional. Os riscos surgem da incerteza natural dos cenários econômico, político e social e podem se apresentar como desafios ou oportunidades, na medida em que dificultem ou facilitem o alcance dos objetivos organizacionais (ABNT, 2009).

O instrumento de governança para lidar com a incerteza é a Gestão de Riscos Corporativos (GRC). A gestão de riscos permite tratar com eficiência as incertezas, seja pelo aproveitamento das oportunidades, seja pela redução da probabilidade e/ou impacto de eventos negativos, a fim de melhorar a capacidade de gerar valor e fornecer garantia razoável do cumprimento dos seus objetivos.

A Gestão de Riscos Corporativos é um processo contínuo, que consiste no desenvolvimento de um conjunto de ações destinadas a controlar riscos corporativos capazes de afetar os objetivos de programas, projetos ou processos de trabalho da Anvisa nos níveis estratégico, tático e operacional (BRASIL, 2017).

A Gestão de Riscos visa identificar, analisar, avaliar, priorizar, tratar e monitorar riscos corporativos capazes de afetar os objetivos, programas, projetos ou processos de trabalho da Anvisa nos níveis estratégico, tático e operacional.

Por que existe?

Na Anvisa, a Gestão de Riscos Corporativos (GRC) atende às recomendações da Controladoria Geral da União (CGU) e aos requisitos da INC nº 01/2016 MPDG e CGU. Para atender a essa recomendação, foi instituída a Política de Gestão de Riscos Corporativos da Anvisa (Portaria n° 854/2017), que estabelece os objetivos, princípios, conceitos, diretrizes, atribuições e responsabilidades a serem observadas para a execução da gestão de riscos corporativos, bem como orienta quanto à identificação, análise, avaliação, tratamento, monitoramento e comunicação dos riscos corporativos na Agência.

A Gestão de Riscos visa a identificar, analisar, avaliar, priorizar, tratar e monitorar riscos corporativos capazes de afetar os objetivos, programas, projetos ou processos de trabalho da Anvisa nos níveis estratégico, tático e operacional. Seu objetivo é fortalecer a governança, o cumprimento da missão da Agência e o alcance dos objetivos institucionais, além de promover maior transparência e aprimorar o ambiente de controles internos da gestão da Anvisa.

Como funciona?

Inspirada em metodologias consagradas como a ISO 31000, COSO ERM e M_o_R - Management of Risk (ABNT, 2009; COSO, 2004; OGC, 2010), a Aplan, empenhou-se no desenvolvimento de uma metodologia sob medida para a Agência e o método pretende aglutinar o modelo de governança definido na Portaria n° 854/2017, os documentos que norteiam sua execução, as ações da Secretaria Executiva do Comitê responsável pela Gestão de Riscos Corporativos e do Comitê Gestor da Estratégia, além do processo de trabalho junto aos Agentes de Riscos (os donos do risco são os gestores de unidade organizacional); tudo isso em um conjunto de passos inter-relacionados que pretendem trazer uma estrutura padronizada, indutiva e focada em resultados.

A Figura 1, a seguir, apresenta o framework da metodologia de Gestão de Riscos Corporativos da Anvisa:

Figura 1 - Framework da metodologia de GRC da Anvisa/ Fonte: Assessoria de Planejamento - Aplan/Anvisa

A gestão de riscos na Anvisa está, portanto, suportada por:

  • quatro documentos orientadores, quatro ações inerentes ao processo de trabalho da Secretaria Executiva;
  • quatros etapas inerentes ao processo de GRC estrito sensu, a ser aplicado em conjunto ou individualmente pelos Agentes de Riscos em suas respectivas unidades organizacionais;
  •  um processo continuo e transversal relacionado à comunicação e monitoramento dos riscos entre as partes interessadas.

Importa que todas essas ações estejam em alinhamento com o mapa estratégico e cadeia de valor da Anvisa, amparadas pelas melhores informações disponíveis, em um processo dinâmico e cíclico, focado em resultados e na melhoria da governança da Agência.

Para otimizar a aplicação do método e o desdobramento das etapas do processo, a Aplan propôs o Ciclo de GRC (figura 2) e a aplicação de sua dinâmica em um Canvas Ágil de Gestão de Riscos Corporativos – essa última é uma ferramenta de autoria própria e inspirada na metodologia Agile e no Business Model Canvas de gestão estratégica; além de um portal para registro do risco e um painel de controle para a gestão da carteira de riscos.

Figura 2 – Ciclo de GRC da Anvisa/ Fonte: Assessoria de Planejamento - Aplan/Anvisa

 

O Canvas Ágil de GRC foi construído para otimizar o processo de GRC na Anvisa, inicialmente, em oficinas com gestores e especialistas no projeto/processo ou frente de risco definida, a fim de coletar e registar informações pertinentes às etapas do processo de forma dinâmica e ágil. Ele contempla as três primeiras etapas de: “Identificação”, “Estimativa e Avaliação” e “Planejamento da Resposta” ao risco. Cada uma dessas etapas permite uma reflexão quanto ao evento de risco a ser tratado e contém uma linha de tempo abrangendo “Passado”, “Presente” e “Futuro” favorecendo uma imersão nas discussões quanto ao risco.

Figura 3 – Canvas Ágil de GRC da Anvisa/ Fonte: Assessoria de Planejamento - Aplan/Anvisa

Na sequência, cumpridas as etapas de identificação, estimativa e avaliação de cada evento e cientes dos limites de tolerância ao risco adotados na Anvisa, temos elementos suficientes para composição do nível de risco. É por meio do nível de risco, derivado dos níveis de probabilidade e impacto, que é possível comunicar às partes interessadas a magnitude do evento de risco.

Ao final da etapa de Planejamento da Resposta, teremos elementos suficientes para a consolidação das informações e registros no Sistema de Gestão de Riscos Corporativos e os resultados representados no Painel de Gestão de Riscos da Anvisa (figura 4). O sistema armazenará o resultado da análise, e cabe a apreciação e monitoramento desse registro pelos gerentes superiores. Os riscos de nível mais elevado passam a ser comunicados e monitorados de maneira mais atuante.

A Figura 4, a seguir, traz um espelho do Painel de Gestão de Riscos da Anvisa.

 

Figura 4 – Painel de Gestão de Riscos da Anvisa/ Fonte: Assessoria de Planejamento - Aplan/Anvisa

 

Acesse aqui a íntegra da Política de Gestão de Riscos Corporativos da Anvisa

Acesse aqui o Guia Prático de GRC da Anvisa

 

REFERÊNCIAS

ABNT. ABNT NBR ISO 31000 Gestao de Riscos - Princípios e Diretrizes. [s.l.] Associação Brasileira de Normas Técnicas, 2009.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO 31000: Gestão de riscos - Princípios e diretrizes. [s.l: s.n.].

BRASIL. Instrução Normativa N 01/2016. Brasília, DF: Ministério do Planejamento Orçamento e Gestão, Controladoria Geral da União, 2016.

BRASIL. Agência Nacional de Vigilância Sanitária - ANVISA. PORTARIA No 854, DE 30 DE MAIO DE 2017Brasília, DFANVISA, , 2017.