MINISTÉRIO PÚBLICO DA UNIÃO
MINISTÉRIO PÚBLICO MILITAR
PROCURADORIA-GERAL DE JUSTIÇA MILITAR
MINISTÉRIO PÚBLICO DA UNIÃO
MINISTÉRIO PÚBLICO MILITAR
PROCURADORIA-GERAL DE JUSTIÇA MILITAR
Portaria nº 87 /PGJM, de 09 de maio de 2022.
|
|
Aprova a Metodologia de Gestão de Riscos do Ministério Público Militar |
O PROCURADOR-GERAL DE JUSTIÇA MILITAR, no uso de suas atribuições legais, tendo em vista o disposto no artigo 124, inciso XX e XXII da Lei Complementar nº 75, de 20 de maio de 1993, nos termos da delegação de competência instituída pela Portaria nº 308/PGR, de 28 de maio de 1996, resolve:
Art. 1º Aprovar a Metodologia de Gestão de Riscos do Ministério Público Militar, na forma estabelecida no Anexo desta Portaria.
Art. 2º Esta Portaria entra em vigor na data de sua publicação.
ANTÔNIO PEREIRA DUARTE
ANEXO
Metodologia de Gestão de Riscos do Ministério Público Militar (1ª edição, 2022)
A gestão de riscos é o conjunto de atividades coordenadas que tem o objetivo de gerenciar e controlar uma organização em relação a potenciais ameaças, seja qual for a sua manifestação, e também suas oportunidades de melhorias. O objetivo primordial da gestão de riscos é trazer eficiência e eficácia, fazendo com que a instituição atinja os objetivos traçados da forma mais satisfatória possível.
Gerenciar riscos é saber adotar medidas com o potencial de prevenir ou eliminar riscos, que é qualquer acontecimento, desconhecido ou incerto, que possa impedir o sucesso dos objetivos institucionais. É também saber identificar oportunidades que possam gerar valor para a organização. Trata-se de uma série de processos específicos com o objetivo de fazer com que a Instituição não seja prejudicada pelos riscos apontados, os quais apresentam diferentes impactos e probabilidades de acontecer. Fazer a gestão de riscos é estabelecer estratégias que tragam equilíbrio entre as metas e objetivos a serem alcançados e os riscos que os rodeiam.
2. Seleção do objeto que passará pela gestão de riscos
Serão objetos principais da gestão de riscos os processos prioritários da cadeia de valor do MPM, o planejamento estratégico institucional e os processos prioritários de todas as áreas da instituição. O objetivo é conseguir selecionar os processos que de fato são os mais relevantes para o funcionamento da instituição.
Objetos principais da gestão de riscos:
processos prioritários da cadeia de valor do MPM
planejamento estratégico institucional
processos prioritários de todas as áreas da instituição
Como forma de definir seus processos prioritários, as áreas do MPM deverão utilizar o método de priorização de processos (MPP), o qual tem por finalidade classificar os processos da unidade visando estabelecer quais terão prioridade no levantamento e gerenciamento dos riscos e controles internos da gestão. No MPP são definidos critérios por meio dos quais os processos serão avaliados e classificados, de forma a definir os mais relevantes.
No MPM, as áreas deverão observar, no mínimo, os critérios a seguir, como forma de priorizar seus processos, havendo liberdade para que as unidades utilizem, adicionalmente aos critérios mínimos estabelecidos, outros critérios que também julgarem relevantes. Os critérios buscam conseguir selecionar os processos que de fato são os mais relevantes para o funcionamento da instituição.
Critérios mínimos de seleção de processos prioritários:
Conexão do processo com o planejamento estratégico, sendo mais relevantes aqueles diretamente ligados aos objetivos estratégicos
Processos que, caso possuam mau funcionamento, podem gerar relevantes efeitos negativos no funcionamento e/ou na imagem institucional
Processos que, caso falhem, podem acarretar perdas financeiras e patrimoniais expressivas para a instituição
Outros critérios que as áreas responsáveis julgarem relevantes
A escolha de todos os processos selecionados como relevantes a terem os riscos gerenciados deverá possuir justificativa por parte da unidade, detalhando quais critérios de escolha foram usados, de forma a se ter segurança razoável de que foram os mais relevantes para o funcionamento do MPM os selecionados.
3. Seleção da equipe que participará da gestão de riscos do objeto selecionado
Uma vez definido o processo que passará pela gestão de riscos, deve ser definida a equipe que fará a gestão de riscos do processo selecionado, recomendando-se que sejam selecionadas pessoas das várias etapas do processo de forma a mapear os potenciais riscos existentes em todas as etapas. Recomenda-se que, apesar de serem necessárias pessoas das várias etapas do processo, não sejam equipes muito grandes, pois dificulta a articulação entre as pessoas.
A equipe selecionada deve conter pessoas das várias etapas do processo, de forma a mapear os riscos de cada etapa.
4. Definição do contexto do objeto
Uma vez selecionado o processo que passará pela gestão de riscos é necessário definir seus objetivos e suas principais etapas (descrição resumida do processo).
Definição do contexto:
Definição do objetivo do processo
Definição de suas etapas (descrição resumida do processo)
5. Processo de Gestão de riscos
Uma vez selecionado o objeto da gestão de riscos, selecionada a equipe e definido seu contexto, inicia-se o processo de gestão de riscos.
O processo de gestão de riscos será composto pelas seguintes fases:
Mapeamento dos eventos de risco
Definição das causas e mapeamento dos seus controles mitigadores
Mapeamento das consequências
Cálculo do nível de risco real (NRR)
Propostas de tratamento
5.1 Mapeamento dos eventos de riscos
A equipe responsável deve mapear todos os eventos de risco que podem atrapalhar a correta execução e atingimento dos objetivos do processo selecionado. Eventos de risco são problemas que podem atrapalhar o correto e eficiente trâmite do processo.
É obrigatório que no mapeamento dos eventos de risco sejam considerados os eventos de risco de integridade. Os riscos à integridade são relacionados a fraudes, corrupção, uso do cargo público para lograr qualquer tipo de vantagem pessoal indevida, impactando nos objetivos institucionais.
A identificação dos riscos deve ser feita em oficinas de trabalho e deve-se buscar a participação de pessoas que conheçam bem o objeto da gestão de riscos. Devem ser utilizadas técnicas que permitam a coleta do maior número de riscos, tais como brainstorm, entrevistas, visitas técnicas, pesquisas, etc.
5.2 Definição das causas e mapeamento dos controles mitigadores
Após o mapeamento dos eventos de risco, a equipe deve mapear suas possíveis causas, ou seja, deve mapear todos os fatores que podem contribuir para a ocorrência do risco. Cada risco deve ter suas respectivas causas mapeadas. Após a definição das causas deve-se mapear todos os controles já existentes para mitigar cada uma delas. A avaliação nesse momento se refere aos controles que de fato a instituição já aplica para mitigar as causas dos eventos de risco.
5.3 Mapeamento das consequências
Após o mapeamento das causas dos eventos de risco, a equipe deve mapear suas possíveis consequências, ou seja, deve mapear tudo o que a ocorrência do evento de risco acarretaria para a instituição. Cada risco deve ter suas consequências mapeadas.
5.4 Cálculo do nível de risco real (NRR)
Após o mapeamento das causas e das consequências dos eventos de risco e de seus respectivos controles mitigadores já existentes, deve-se definir o nível de risco real (NRR), que é aquele nível de risco que sobra após a mitigação dos riscos pelos controles existentes já implementados pela unidade. Para encontrar o NRR é necessário que sejam avaliadas as probabilidades reais e os impactos reais dos eventos de risco, após terem sido tratados pelos controles já implementados.
A probabilidade real é a possibilidade/chance de ocorrência do evento de risco após a aplicação dos controles existentes;
O impacto real é o efeito que as consequências da ocorrência do evento de risco geram no objeto que está tendo o risco gerenciado e no funcionamento da instituição.
Deve-se avaliar o nível de risco considerando a situação real, com os controles existentes em funcionamento. Alguns modelos chamam isso de risco residual, ou seja, após o funcionamento dos controles, mas de fato esse é o nível de risco ao qual o gestor está realmente exposto, por isso o chamamos de risco real.
As probabilidades e os impactos são dados por meio das escalas a seguir:
|
Probabilidade |
Descrição |
|
Muito alta |
A ocorrência do evento de risco é quase certa, pois não há controles para a maioria das causas relevantes dos riscos. |
|
Alta |
A ocorrência do evento de risco é elevada, pois há várias causas relevantes dos riscos sem controles ou com controles inadequados. |
|
Média |
A ocorrência do evento de risco é intermediária, pois há algumas poucas causas relevantes dos riscos sem controles ou com controles inadequados. |
|
Baixa |
A ocorrência do evento de risco é baixa, pois pelo menos as principais causas dos riscos possuem controles suficientes e adequados. |
|
Muito baixa |
A ocorrência do evento de risco é improvável, pois há controles suficientes e adequados para todas as causas possíveis do evento de risco. |
|
Impacto |
Descrição |
|
Muito alto |
O impacto do evento de risco é muito alto, pois acarreta extremo impacto no objetivo do objeto da gestão de riscos ou tem extremo potencial de gerar danos patrimoniais, financeiros, de segurança pessoal ou de funcionamento e imagem da instituição. |
|
Alto |
O impacto do evento de risco é alto, pois acarreta relevante impacto no objetivo do objeto da gestão de riscos ou tem relevante potencial de gerar danos patrimoniais, financeiros, de segurança pessoal ou de funcionamento e imagem da instituição. |
|
Médio |
O impacto do evento de risco é mediano, pois acarreta substancial impacto no objetivo do objeto da gestão de riscos ou tem substancial potencial de gerar danos patrimoniais, financeiros, de segurança pessoal ou de funcionamento e imagem da instituição. |
|
Baixo |
O impacto do evento de risco é pequeno, pois acarreta apenas pequeno impacto no objetivo do objeto da gestão de riscos ou tem apenas pequeno potencial de gerar danos patrimoniais, financeiros, de segurança pessoal ou de funcionamento e imagem da instituição. |
|
Muito baixo |
O impacto do evento de risco é muito pequeno, pois acarreta impacto muito pequeno no objetivo do objeto da gestão de riscos e também tem potencial muito pequeno de gerar danos patrimoniais, financeiros, de segurança pessoal ou de funcionamento e imagem da instituição. |
Da combinação das probabilidades com os impactos temos 25 níveis de risco possíveis, conforme tabela a seguir:
|
Impacto |
Muito alto |
15 |
19 |
22 |
24 |
25 |
|
Alto |
10 |
14 |
18 |
21 |
23 |
|
|
Médio |
6 |
9 |
13 |
17 |
20 |
|
|
Baixo |
3 |
5 |
8 |
12 |
16 |
|
|
Muito baixo |
1 |
2 |
4 |
7 |
11 |
|
|
|
Muito baixa |
Baixa |
Média |
Alta |
Muito alta |
|
|
|
Probabilidade |
|||||
O nível do risco é dado pelo número inscrito em cada célula da matriz e não é obtido por qualquer fórmula matemática. São 25 possíveis níveis de risco, em que cada nível está associado a uma estimativa de probabilidade e de impacto. A matriz ordena os possíveis níveis de risco, desde o mais baixo, ao qual é atribuído o nível 1 (evento muito raro, de impacto muito baixo), até o mais elevado, ao qual se atribui o nível 25 (evento praticamente certo e de impacto muito alto)
Algumas considerações importantes sobre o uso das matrizes de Impacto x Probabilidade:
A) O impacto é a dimensão mais importante: um evento de impacto muito alto e de probabilidade de ocorrência muito baixa deve preocupar o gestor muito mais do que o oposto, um evento de probabilidade muito alta e impacto muito baixo.
B) Atribuição de valores arbitrários à probabilidade e impacto: Deve-se evitar o uso de matrizes que “calculam” o nível do risco pela soma ou multiplicação desses valores, dado o risco de distorção trazido por matrizes simétricas, que consideram como do mesmo nível os riscos descritos no item anterior (evento de impacto muito alto e de probabilidade de ocorrência muito baixa e um evento de probabilidade muito alta e impacto muito baixo). Na matriz acima apresentada, um risco com probabilidade rara e impacto muito alto é classificado como de nível 15, enquanto outro risco de probabilidade praticamente certa e impacto muito baixo é considerado de nível 11, ou seja, é bem menos prioritário para a ação do gestor do que o de nível 15.
O nível de rico real (NRR) será classificado nas seguintes faixas:
|
Nível de risco real (NRR) |
Faixa de risco |
|
Crítico |
19 a 25 |
|
Alto |
10 a 18 |
|
Moderado |
7 a 9 |
|
Pequeno |
1 a 6 |
Possibilidades de tratamento dos riscos:
|
Tratamento |
Descrição |
|
Aceitar |
Não há necessidade de adotar quaisquer medidas;
|
|
Mitigar |
Desenvolver medidas para reduzir a probabilidade do evento de risco acontecer e/ou para mitigar suas consequências caso ocorram. Nesse caso deverá ser informado prazo de implementação das novas medidas e respectivos responsáveis. |
|
Transferir |
Compartilhar o risco com terceiros, como no caso de contratação de seguros. Nesse caso deve haver informação sobre em que prazo, de que forma será feito e o responsável pelo compartilhamento.
|
|
Evitar |
Descontinuar a atividade, interromper o processo de trabalho. Nesse caso deve haver informação sobre em que prazo, de que forma será feito e o responsável por descontinuar o processo ou atividade.
|
A forma de tratamento a ser escolhida dependerá do apetite a risco fixado, conforme mecanismo de governança estipulado na Política de Gestão de Riscos.
O monitoramento do processo de gerenciamento de riscos envolve a verificação
contínua e periódica da qualidade do processo de seleção do objeto da gestão de riscos, de forma a selecionar objetos relevantes para a instituição; da completude do levantamento dos eventos de risco; da qualidade da avaliação do nível de risco real (NRR) e das medidas de tratamento implementadas, verificando se estão adequadas para mitigar os eventos de risco mapeados.
O monitoramento será feito em parceria entre as áreas responsáveis pelo objeto da gestão de riscos e o Núcleo de Gestão de Riscos (NGR), em periodicidade bienal. Cabe informar que o responsável primário pelo monitoramento é a área responsável pelo objeto da gestão de riscos, sendo assessorada pelo NGR.
A governança da gestão de riscos no MPM será feita pelo Comitê de Governança Institucional (CGI), pelo Comitê de Gestão de Riscos (CGR), pelo Núcleo de Gestão de Riscos (NGR) e pelos gestores de risco, conforme atribuições definidas na Política de Gestão de Riscos.
 | Documento assinado eletronicamente por ANTÔNIO PEREIRA DUARTE, Procurador-Geral de Justiça Militar, em 20/06/2022, às 09:49, conforme art. 1º, III, "b", da Lei 11.419/2006. |
 | A autenticidade do documento pode ser conferida no site http://sei.mpm.mp.br/sei/controlador_externo.php?acao=documento_conferir&id_orgao_acesso_externo=0 informando o código verificador 1092150 e o código CRC AF9C701C. |
| 19.03.0000.0007329/2018-33 | SGI1092150v22 |