Glossário
Definições e conceitos no âmbito do tema Gestão de Riscos
ANÁLISE DE RISCOS: processo de compreensão, classificação e determinação do nível do risco; envolve analisar as possíveis causas e consequências dos riscos de modo a mensurar seu impacto e probabilidade de ocorrência, aplicar os controles internos aos riscos e estimar o nível de risco real, registrar os resultados obtidos para fins de avaliação e tratamento do risco.
ANÁLISE DO AMBIENTE: consiste em colher informações para apoiar a identificação de eventos de risco, bem como contribuir para a escolha de ações mais adequadas para assegurar o alcance dos objetivos do processo de trabalho/atividade.
ATIVIDADE: pode ser concebida como uma cadeia de ações ou Tarefas (em ambos os casos, necessariamente dependentes em sua maior escala e com início e fim identificáveis) indispensáveis à obtenção de um dado objetivo. Uma Atividade pode tanto ser uma cadeia complexa, de maior escala e que exija a formalidade de tratamento por meio de um Processo Administrativo, quanto um conjunto de menor escala, ao qual é possível associar um tratamento de equivalente dimensão.
AUTORIDADE COMPETENTE: responsável por prover os recursos necessários à gestão de riscos; identificar responsáveis; iniciar as atividades de gestão de riscos; aprovar pontos importantes relativos à gestão de riscos tais como: objetivo, restrições e aprimoramentos da metodologia do CEFET-MG.
AVALIAÇÃO DE RISCO: processo de confrontar os resultados da análise de risco com a análise de contexto e com os limites de exposição a risco aceitáveis pela instituição para decidir os riscos que necessitam de tratamento, sua prioridade para tratamento, o tipo de tratamento adequado.
CAUSA: condição que dá origem à possibilidade de um evento ocorrer, também chamada de fator de risco e pode ter origem no ambiente interno ou externo.
CONSEQUÊNCIA: resultado de um evento de risco sobre os objetivos da atividade/processo.
CONTROLE INTERNO: conjunto de diretrizes, regras, procedimentos e protocolos, entre outros, estabelecidos e operacionalizados de forma integrada para responder aos riscos, visando essencialmente aumentar a probabilidade de que os objetivos e metas estabelecidos para a instituição sejam alcançados, de forma eficaz, eficiente, efetiva e econômica.
EVENTO: um incidente ou uma ocorrência de fontes internas ou externas à instituição, que podem impactar a implementação da estratégia e a realização de objetivos de modo negativo, positivo ou ambos. Eventos com impacto negativo representam riscos. Eventos com impacto positivo representam oportunidades.
EFETIVIDADE: conceito relacionado à capacidade de ser eficiente e eficaz ao mesmo tempo, ou seja, compreende realizar entregas efetivas e de impacto para a instituição. Diz respeito à relação entre os resultados alcançados e as transformações ocorridas.
GESTÃO DE RISCOS: processo composto por um conjunto de atividades estruturadas e coordenadas para dirigir e controlar a instituição no que se refere aos riscos que possam afetar negativamente o alcance de seus objetivos e metas. Este processo contempla atividades de identificação, análise, avaliação, tratamento e monitoramento de eventos de risco com maior probabilidade de ocorrência e de impacto, bem como observância à conformidade, às regras e à comunicação com partes envolvidas em assuntos relacionados a risco.
GESTÃO DE RISCOS À INTEGRIDADE: aplicação do processo de gestão de riscos com a finalidade específica de prevenir ou mitigar os riscos de ocorrência de corrupção e fraudes, condutas ilegais e/ou antiéticas, visando fornecer segurança razoável quanto ao cumprimento dos objetivos institucionais.
GESTOR DE RISCO: responsável por executar as atividades de gestão de riscos e coordenar esforços para identificar e estimar riscos, propor melhorias necessárias para mitigar riscos, além de comunicar os resultados de análises a todos os interessados.
GOVERNANÇA: conjunto de mecanismos de liderança, estratégia e controle postos em prática para avaliar, direcionar e monitorar a gestão, com vistas à condução de políticas públicas e à prestação de serviços de interesse da sociedade.
IDENTIFICAÇÃO DE RISCOS: etapa de levantamento preliminar e de descrição de riscos potenciais nos processos de trabalho institucionais, contendo as fontes do risco, suas causas, os evento e suas consequências.
INTEGRIDADE: alinhamento consistente e aderência da instituição e de seus agentes públicos aos valores éticos, princípios e normas para garantir e priorizar os interesses públicos sobre os interesses privados.
MATRIZ DE RISCO: matriz gráfica que exprime o conjunto de combinações de probabilidade e impacto de riscos para classificar os níveis de risco.
MODELO DE TRÊS LINHAS DE DEFESA: propõe que, para se resguardar eficazmente dos riscos, a instituição deve estruturar a gestão dos riscos e controles contemplando três linhas de defesa: a primeira linha ocorre durante a execução dos processos de trabalho, sendo responsabilidade primária dos gestores e agentes públicos que os executam; a segunda linha ocorre na supervisão, monitoramento e orientação dos gestores da primeira linha na implementação do gerenciamento de riscos e controles e na verificação de conformidade, o que é realizado pelos órgãos de governança (no caso, Comitê de Governança e Diretoria de Governança e Desenvolvimento Institucional); por fim, a terceira linha de defesa ocorre na avaliação (no sentido de assurance) realizada no âmbito dos processos de auditoria interna independente e baseada em risco.
MONITORAMENTO: verificação, supervisão, observação crítica ou identificação da situação, executadas de forma contínua, a fim de identificar mudanças no nível de desempenho requerido ou esperado. O monitoramento pode ser aplicado a riscos, a controles, à estrutura de gestão de riscos e ao processo de gestão de riscos.
NÍVEL DE ACEITAÇÃO DE RISCO: quantidade de risco em nível amplo que o CEFET-MG está disposto a aceitar.
NÍVEL DE RISCOS: magnitude de um risco ou combinação de riscos, expressa em termos da combinação das consequências [impacto] e de suas probabilidades (ABNT, 2009).
PLANILHA DOCUMENTADORA: instrumento utilizado para a gestão de riscos no CEFET-MG, dotada das configurações necessárias para aplicação da metodologia.
PLANO DE AÇÃO: instrumento organizado para possibilitar e direcionar a execução de um programa, visando atingir os melhores resultados. O plano se utiliza de uma metodologia estabelecida para definir objetivos específicos e as metas a serem alcançados, as atividades a serem realizadas e seu cronograma, os responsáveis pela execução das atividades e pelo seu monitoramento e avaliação.
PLANO DE INTEGRIDADE: documento elaborado pela unidade de gestão da integridade, aprovado pela alta administração, destinado à prevenção, detecção, punição e saneamento de práticas de corrupção, fraudes, irregularidades e desvios éticos e de conduta, visando orientar e guiar o comportamento dos agentes públicos.
PROBABILIDADE: medida da possibilidade de ocorrência de um evento de risco.
PROCESSO: Conjunto de documentos avulsos, oficialmente reunidos e ordenados no decurso de uma ação administrativa, que constitui uma unidade de arquivamento.
PROCESSO DE TRABALHO: termo que encampa, sob uma única denominação, os três tipos de processos organizacionais: Processos Finalísticos, Processos Meio e Processos de Gestão.
RESPONSÁVEL TÉCNICO: responsável por fornecer informações sobre os processos/atividade de trabalho que fazem parte da análise de riscos. Essas informações auxiliam a tomada de decisões sobre controles a serem implementados.
RISCO: evento ou condição incerta que, caso ocorra, terá um efeito negativo sobre os objetivos e na execução adequada dos processos e no alcance de seus objetivos, sendo avaliado em termos de seu impacto e da probabilidade de vir a ocorrer.
RISCO DE INTEGRIDADE: vulnerabilidade que pode favorecer ou facilitar a ocorrência de práticas de corrupção, fraudes, irregularidades e/ou desvios éticos e de conduta, podendo comprometer os objetivos da instituição.
RISCO INERENTE: é o risco ao qual uma instituição está exposta sem considerar quaisquer ações gerenciais que possam reduzir a probabilidade de sua ocorrência ou seu impacto. (Art. 2º, XIV, IN Conjunta MP/CGU Nº 01/2016).
RISCO REAL: é o risco ao qual a instituição está realmente exposta, após ser levado em consideração a implementação das ações gerenciais previstas para o tratamento do risco inerente. (Art. 2º, XIV, IN Conjunta MP/CGU Nº 01/2016 ).