A IMPLEMENTAÇÃO DA GESTÃO DO RISCO NO CHTS

Transcrição

1 II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE A IMPLEMENTAÇÃO DA GESTÃO DO RISCO NO CHTS Rita Moutinho Auditora Interna Coimbra, 30 de Maio de 2012

2 II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de INTRODUÇÃO 2008 MGR Processo de Gestão de Existências 2009 MGR Processo de Gestão de Facturação e Cobranças Processo de Gestão de Imobilizado 2010 Plano de Gestão de Riscos de Corrupção e Infracções Conexas 2011 Relatório de Execução do PGRCIC º WS Gestão de Risco 2012 Relatório de Execução do PGRCIC º ao 6º WS Gestão de Risco 2012 Julho - WS Gestão de Risco por MGR Setembro - Relatório Trimestral de Execução do PGRCIC Dezembro - Relatório de Execução do PGRCIC -2012

3 II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de AGENDA Enquadramento Internacional Enquadramento Legal Plano de Gestão do Risco de Corrupção e Infracções Conexas (PGRCIC): Apresentação do PGRCIC; Âmbito das Responsabilidades de Cada Interveniente; Metodologia de Gestão de Risco: Matrizes de Gestão de Risco Relatório Anual de Execução do Plano.

4 ENQUADRAMENTO INTERNACIONAL II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de Conclusões: Maior exigência em termos de análise do risco e mecanismos de resposta; Nunca será possível antecipar todos os riscos; Investir nas capacidades de gestão do risco.

5 ENQUADRAMENTO LEGAL II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de Convenção Contra a Corrupção, adoptada pela Assembleia Geral das Nações Unidas de 2003 Resolução Assembleia República n.º 47/2007: ( ) conflitos de interesses ( ) Conselho de Prevenção da Corrupção (CPC) Lei n.º 54/2008: ( ) actividades de risco agravado ( ) aquisições ( ) sem concurso ( ); Conselho de Prevenção da Corrupção (CPC) Deliberação de 6 Maio 2009: ( ) Alerta ( ) entidades do sector público empresarial, para a necessidade de prevenção acrescida ( ) procedimento de ajuste directo; Conselho de Prevenção da Corrupção (CPC) - Recomendação n.º 1/2009: ( ) os órgãos dirigentes máximos ( ) devem ( ): Elaborar o PGRCIC ( ); Definir os responsáveis ( ) Gestão do Plano; Elaborar o Relatório anual sobre a execução do Plano; Remeter os referidos Relatórios ao CPC e aos Órgãos de superintendência, tutela e controlo.

6 II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de GESTÃO DO RISCO Gerir os riscos para atingir os Objectivos Prevenir / Desencorajar Detectar

7 II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de PGRCIC O PPRG é um instrumento de gestão estratégica e operacional no sentido de identificar, medir, acompanhar e controlar os riscos chave que a organização enfrenta na prossecução da sua missão e objectivos. Fonte: Tribunal de Contas Publicado no Site do CHTS Índice I. Introdução II. Caracterização do CHTS, EPE III. Identificação dos Riscos de Corrupção e Infracções Conexas 1. Áreas susceptíveis de Risco 2. Avaliação do Risco Inerente IV. Medidas Preventivas dos Riscos 1. Medidas Adoptadas 2. Medidas a Adoptar V. Acompanhamento, Avaliação e Actualização do Plano VI. Metodologia de Gestão do Risco Funções e Responsabilidades Lista de Anexos: A- Regulamento Interno do CHTS, EPE B- Plano de Gestão de Riscos de Corrupção e Infracções Conexas (PGRCIC), por Processos / Serviços

8 PGRCIC APRESENTAÇÃO DO PLANO Matrizes de Gestão de Risco já elaboradas em acções de AI anteriores: B3 - Matriz de Gestão do Risco do Processo de Gestão de Imobilizado B5 - Matriz de Gestão do Risco do Processo de Gestão de Facturação e Cobranças B6 - Matriz de Gestão do Risco do Processo de Gestão de Admissão de Doentes (desdobramento da Matriz elaborada na acção de AI anterior) B7 - Matriz de Gestão do Risco do Processo de Gestão de Existências Matrizes de Gestão de Risco elaboradas especificamente para o Plano: B1 - Matriz de Gestão do Risco do Processo de Gestão de Compras (elaborada com base na matriz da IGF e adaptada à realidade do CHTS) B2 - Matriz de Gestão do Risco do Processo de Gestão de Instalações e Equipamentos B4 - Matriz de Gestão do Risco do Processo de Gestão de Recursos Humanos (inclui a Matriz de Gestão de Contratos de Serviços Médicos, elaborada no âmbito de uma acção de AI) Fonte: Anexo B do PGRCIC do CHTS II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de

9 II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de Conselho de Administração PGRCIC RESPONSABILIDADES Como Órgão dirigente máximo do CHTS, é responsável pela execução e acompanhamento do PGRCIC. Auditoria Interna Órgão responsável por: elaboração do Relatório Anual de Execução do Plano, a submeter à aprovação do CA e a enviar ao CPC, Órgãos de superintendência, tutela e controlo; validação dos Relatórios Trimestrais Globais de Execução do Plano elaborados pela CGP; apoio na consolidação da revisão e actualização do Plano. Comissão de Gestão do Plano Fonte: PGRCIC do CHTS Tem a responsabilidade de Gerir o Plano, desenvolvendo as seguintes actividades: receber e comunicar ao CA e à AI as ocorrências de risco verificadas; efectuar ao CA propostas consolidadas de revisão e actualização do Plano (com o apoio de AI); elaborar os Relatórios Trimestrais de Execução Global do Plano e enviar à AI para validação e posterior aprovação pelo CA.

10 PGRCIC RESPONSABILIDADES II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de Gestores Intermédios / Directores de Serviço Fonte: PGRCIC do CHTS Responsáveis pela implementação, execução e acompanhamento do Plano, desenvolvendo as seguintes actividades: submeter à aprovação do CA propostas concretas para a implementação das medidas preventivas; assegurar a eficácia dessas medidas nos prazos previstos; identificar e comunicar à CGP as ocorrências de risco verificadas; elaborar os Relatórios Trimestrais de Execução do Plano, na área de competência de cada um e enviar à CGP: Verificação das medidas implementadas; Identificação dos motivos de eventuais atrasos face ao previsto; Verificação do efeito obtido com as medidas implementadas; Avaliação do Risco Residual (quando adequado); Recomendação de medidas correctivas, quando adequado; Identificação e classificação de novos factores de risco surgidos após a elaboração do Plano inicial; Definição de medidas a adoptar para prevenir e minimizar esses novos riscos; Emissão do Relatório de Execução a enviar à CGP.

11 GESTÃO DO RISCO RESPONSABILIDADES O PAPEL DO AUDITOR INTERNO na Gestão do Risco: AI não se pode envolver em actividades que comprometam a sua independência e objectividade. A identificação dos riscos é da responsabilidade exclusiva da gestão. Fonte: XVI Conferência Anual IPAI Auditoria interna orientada para o risco Fonte:IIA The role of Internal Auditing in Enterprise-Wide Risk Management de 29/Set/2004 II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de

12 GESTÃO DO RISCO RESPONSABILIDADES II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de

13 METODOLOGIA DE GESTÃO DO RISCO II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de Modelo de COSO Enterprise Risk Management of Committee of Sponsoring Organizations of the Treadway Commission Risco: Qualquer potencial evento que possa afectar a concretização dos objectivos estabelecidos pelo CHTS, aplicado a todas as suas actividades. Publicado na Infonet Gestão do Risco: É um processo que envolve a: Identificação, Avaliação, Gestão, Controlo, Comunicação e Monitorização dos potenciais eventos de risco.

14 II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de PGRCIC MATRIZ DE GESTÃO DE RISCO Metodologia de gestão do risco do manual da ACSS, tendo-se optado por uma aplicação simplificada do modelo de COSO; AI teve um envolvimento mais abrangente que o recomendado, determinado pelo nível de maturidade da Gestão de Risco na Organização. Avaliação do Risco Resposta ao Risco Factor Potencial de Risco (afectam a concretização dos objectivos) AI Medidas Preventivas (para minimizar o efeito dos eventos de risco) AI/Dir Serv. Probabilidade de Ocorrência Dir Serv. Responsável Dir Serv. Impacto Esperado Dir Serv. Prazo de Implementação Dir Serv.

15 PGRCIC MATRIZ DE GESTÃO DE RISCO II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de Avaliação do Risco Baixa Média Alta Probabilidade de Ocorrência (P) Reduzida possibilidade de ocorrência. Moderada possibilidade de ocorrência. Forte possibilidade de ocorrência. Impacto Esperado (I) Impacto reduzido ou muito reduzido, nas áreas: económica, financeira, operacional e clínica. Impacto pouco significativo ou moderado, em pelo menos uma das áreas. Impacto significativo ou elevado, em pelo menos uma das áreas.

16 Probabilidade de Ocorrência PGRCIC MATRIZ DE GESTÃO DE RISCO II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de Benefício Alta Avaliação do Risco AB AM MM AA Prioritário DEFINIÇÃO DE PRIORIDADES Alto Resposta ao Risco Custo/Benefício Prioritário BB BM MB BA MA Baixa Baixo Impacto Esperado Alto Baixo Baixo Custo Alto

17 Fonte: Seminário promovido pelo Conselho de Prevenção da Corrupção; Lisboa, 22 de Março de 2010

18 PGRCIC RELATÓRIO ANUAL DE EXECUÇÃO II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de Fases do Trabalho a Realizar por AI: Monitorização (validar que a gestão de risco opera de forma continua e efectiva) 1) Auto-Avaliação da implementação das medidas preventivas e reavaliação do risco; 2) Reuniões com os responsáveis para efectuar o ponto de situação das medidas implementadas e identificação das áreas a desenvolver na fase 3); 3) Solicitação de informação de base à selecção de amostras para: verificação documental: das medidas implementadas; dos resultados obtidos; realização de testes à eficácia operacional dos controlos de prevenção; 4) Identificação de novos factores de risco e recomendação de novas medidas preventivas; 5) Emissão do Relatório Anual de Execução do Plano.

19 PGRCIC RELATÓRIO ANUAL DE EXECUÇÃO II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de ) Auto-Avaliação da Implementação das Medidas Preventivas e Reavaliação do Risco: a) Preenchimento do ficheiro de Auto-Avaliação de forma sucinta. Informo que o mesmo fará parte dos anexos do Relatório de AI a emitir. b) O preenchimento deve ser centralizado no Responsável por cada Matriz, que, quando aplicável, deverá articular-se com os diversos responsáveis envolvidos na implementação das medidas e proceder à recolha da informação necessária; c) Para garantir o cumprimentos dos prazos acordados, solicito que o mesmo seja remetido devidamente preenchido até ao próximo dia 29 de Novembro. Medidas Adoptadas Auto-Avaliação em: Medidas Por Adoptar Reavaliação do Risco ovos Factores Potenciais de Risco Evidências Resultados Evidências Motivos P I

20 PGRCIC RELATÓRIO ANUAL DE EXECUÇÃO II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de ) Reuniões com os Responsáveis por cada processo proposta de calendário: A) Dia 6 Dez. 10:30 h B1 - MGR do Processo de Gestão de Compras; B) Dia 7 Dez. 10:30 h B4 - MGR do Processo de Gestão de Recursos Humanos; C) Dia 13 Dez. 10:30 h - B2 MGR do Processo de Gestão de Instalações e Equipamentos; D) Dia 14 Dez. 11:30 h B6 - MGR do Processo de Gestão de Admissão de Doentes SU; E) Incluído na AI em curso B6 - MGR do Processo de Gestão de Admissão de Doentes CE; F) Dia 15 Dez. 15:30 h - B3 - MGR do Processo de Gestão de Imobilizado; G) Dia 19 Dez. 10:30 h - B7 - MGR do Processo de Gestão de Existências Farmácia; H) Dia 20 Dez. 10:30 h - B7 - MGR do Processo de Gestão de Existências Aprovisionamento; I) Dia 21 Dez. 10:30 h - B5 - MGR do Processo de Gestão de Facturação e Cobranças.

21 PGRCIC RELATÓRIO ANUAL DE EXECUÇÃO II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de ) Solicitação de informação de base à selecção de amostras para: verificação documental: das medidas implementadas; dos resultados obtidos; realização de testes à eficácia dos controlos implementados; 4) Identificação de novos factores de risco e recomendação de novas medidas preventivas. Resultados da Acção de AI de Acompanhamento da Execução do PGRCIC - Nov. Fev Medidas Adoptadas Medidas Por Adoptar Responsável Reavaliação do Risco Evidências Resultados Evidências Motivos P I Descrição Novas Medidas Preventivas / Correctivas Prazo Execução

22 II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de PGRCIC RELATÓRIO ANUAL DE EXECUÇÃO 5) Emissão do Relatório Anual de Execução do PGRIC: N 2120 Gestão de Risco (Normas do IIA): A AI deve avaliar a eficácia do processo de gestão de risco e contribuir para a sua melhoria..a opinião do auditor resulta da avaliação de:. O modelo de gestão do risco está bem estruturado e funciona efectivamente; Os riscos chave estão todos identificados e a resposta a esses factores de risco traduzem-se em controlos eficazes; Os riscos são avaliados com fiabilidade e comunicados; Opinião do Auditor: Objectiva, independente e com segurança razoável. Padrão/Referência: As medidas preventivas definidas no PGRCIC são eficazes e garantem que os factores de alta sensibilidade ao risco estão a ser geridos de forma adequada.

23 II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de NOVOS PARADIGMAS DA AI Sistema de Controlo Interno Processos de Gestão do Risco Auditoria Baseada no Risco Gerir os riscos para atingir os Objectivos

24 II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE Obrigada Rita Moutinho Coimbra, 30 de Maio de

25 DEFINIÇÃO DE AUDITORIA INTERNA II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de A auditoria interna é uma actividade independente, de garantia e de consultoria, destinada a acrescentar valor e a melhorar as operações de uma organização. Ajuda a organização a alcançar os seus objectivos, através de uma abordagem sistemática e disciplinada, na avaliação e melhoria da eficácia dos processos de gestão de risco, de controlo e de governação. IIA

26 II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de CONFLITO DE INTERESSES CONFLITO DE INTERESSE Qualquer relação real ou aparente que seja contrária aos melhores interesses da organização. Um conflito de interesses prejudica a capacidade do indivíduo cumprir com objectividade os seus deveres e responsabilidades. (IIA, IPPF, Glossário)

27 II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de RISCO Risco Inerente Aquele que é próprio da natureza do factor de risco. Não está relacionado com a existência de controlos. (IIA, Practice Advisory ) Risco Corrente É o risco gerido com o modelo e controlos existentes. (IIA, Practice Advisory ) Risco Residual Aquele que resta após a implementação das medidas preventivas e de controlos eficazes. O nível de risco que ao gestores estão dispostos a aceitar. (IIA, Practice Advisory )

28 II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de ERM Enterprise Risk Management (ERM) É um processo estruturado e coerente que envolve toda a Organização e que visa identificar, avaliar e decidir sobre as respostas adequadas às oportunidades e ameaças que afectam a realização dos seus objectivos. (IIA, Position Statement The Role of internal Audit in Enterprise-wide Risk Management ) Gerir os riscos para atingir os Objectivos

29 II FÓRUM DOS AUDITORES INTERNOS DA SAÚDE, Coimbra 30 de Maio de MEDIDAS PREVENTIVAS MEDIDAS PREVENTIVAS As medidas preventivas visam actuar sobre a origem do risco, evitando e/ou minimizando os efeitos dos potenciais factores de risco, ou seja, pretende-se reduzir a probabilidade de ocorrência do factor de risco e o seu impacto negativo ao mínimo aceitável. (PGRCIC CHTS)