Skip to main content

Incluir um Controle Interno em um Risco

Objetivo

A funcionalidade Controles Internos permite vincular controles internos a um risco, registrando responsáveis, classificações, fatores mitigados e histórico de alterações para apoiar a avaliação da eficácia dos controles.

Quando utilizar

Use esta funcionalidade quando for necessário:

  • associar um controle interno a um risco;
  • registrar classificações de controle e seus percentuais de mitigação;
  • definir responsável e data de revisão do controle;
  • melhorar a precisão da análise residual do risco.

Como realizar esta ação

  1. Certifique-se de que a opção Deseja incluir Controle(s) Interno(s) na Gestão de Riscos? esteja configurada como Sim na tela de parametrização global.
  2. Acesse o menu principal: Políticas da Qualidade > Riscos > Gestão de Riscos.
  3. Na listagem de registros, localize e edite o risco desejado.
  4. Dentro do risco, navegue até a aba superior Análises do Risco.
  5. No painel de análises, localize o bloco de listagem e clique no botão azul + Análise posicionado no canto superior direito do bloco.
  6. No modal de "Nova Análise" que se abre, preencha os campos obrigatórios de identificação inicial:
    • Unidade Gerencial (selecione a unidade correspondente);
    • Data da Análise e Data da Próxima Análise;
    • Diretriz para resposta.
  7. Logo abaixo, preencha as métricas base do risco: os campos numéricos de Probabilidade, Severidade / Impacto e Índice de Detecção.
  8. Mude para a aba Controles Internos (dentro do mesmo registro ou no menu de abas do risco) e clique em + Controle para abrir o modal de inclusão do controle.
  9. Preencha os dados cadastrais (Título, Tipo de Controle, Responsável, Data de Revisão e a Descrição da Atividade de Controle).
  10. Associe os parâmetros técnicos e selecione as classificações desejadas para o cálculo da eficácia.
  11. Clique em Salvar para fechar o modal do controle.
  12. Retorne à aba de Análises do Risco: o sistema aplicará a mitigação calculada e preencherá automaticamente o campo de leitura dinâmica chamado Valor ajustado por mitigação para... (como, por exemplo, o campo Valor ajustado por mitigação para Probabilidade), exibindo a nota final corrigida.

Campos e configurações

CampoDescrição
Título do ControleNome do controle interno vinculado ao risco.
Unidade GerencialUnidade considerada na análise do risco.
Tipo de ControleTipo do controle, como preventivo, detectivo ou outro configurado.
Responsável pelo ControleUsuário responsável pelo controle.
Data da RevisãoData prevista para revisão do controle.
Fator(es) Mitigado(s)Define quais fatores da análise terão ajuste por mitigação, como probabilidade ou severidade.
Mitigação do ControleValor calculado automaticamente pelo sistema com base nas classificações selecionadas.
Descrição da Atividade de ControleDescreve a atividade executada pelo controle interno.

Parâmetros de controle interno

Após preencher os dados iniciais, o EPA exibe os parâmetros de controle interno já configurados na parametrização do sistema.

Para cada parâmetro:

  • selecione a classificação correspondente;
  • confira a porcentagem de mitigação exibida pelo sistema;
  • revise o impacto dessas classificações sobre o cálculo da mitigação total.

Listagem dos controles

Depois de salvar, o EPA exibe na listagem os controles internos vinculados ao risco, conforme a unidade gerencial filtrada.

Ao editar um controle já criado, podem ser exibidas áreas complementares como:

AbaDescrição
Auditorias do ControleReúne informações de auditoria relacionadas ao controle interno.
Histórico de AlteraçõesExibe todas as modificações realizadas no controle, com data, usuário e campos alterados.

Regras de funcionamento

  • A parametrização dos controles internos precisa existir antes da inclusão do controle no risco.
  • Se o campo Data da Revisão for preenchido, o responsável pelo controle poderá visualizar a box Revisão do Controle Interno na tela principal.
  • A Mitigação do Controle corresponde à média aritmética das porcentagens das classificações selecionadas.
  • Os fatores ajustados por mitigação são arredondados automaticamente para o valor mais próximo definido nos parâmetros do risco.
  • Depois da criação do controle, o vínculo passa a influenciar a análise residual do risco conforme a configuração adotada.

Detalhamento da Lógica de Mitigação e Arredondamento

O cálculo e o rebaixamento dos índices de risco funcionam sob critérios matemáticos rigorosos de acordo com a quantidade de controles ativos:

  • Cenário com Controle Único: O sistema reduz o valor original informado pelo usuário aplicando diretamente o percentual de eficácia do controle.

    • Exemplo Prático: Se o usuário insere uma nota de Probabilidade = 4 e o controle interno associado possui 45% de mitigação, o sistema realiza a operação matemática:

      4 * 0,45 = 1,8

      Como o EPA não trabalha com casas decimais flutuantes na matriz, ele faz o arredondamento aritmético automático para o número inteiro mais próximo parametrizado no risco. Nesse caso, o valor 1,8 é arredondado para cima, gerando uma Probabilidade ajustada = 2.

  • Cenário com Múltiplos Controles (Mesmo Fator e Mesma Unidade): Quando a mesma Unidade Gerencial possui dois ou mais controles agindo sobre o mesmo fator (por exemplo, dois controles mitigando a Probabilidade), o sistema aplica uma fórmula de impacto residual acumulado para evitar que a mitigação ultrapasse 100%:

    Mitigação Total = 1 - [(1 - C1) * (1 - C2) * ... * (1 - Cn)]

    • Exemplo Prático em Cascata: Se existirem o Controle 1 (Eficácia de 80%, ou 0,80) e o Controle 2 (Eficácia de 50%, ou 0,50), o cálculo executado será:

      Mitigação Total = 1 - [(1 - 0,80) * (1 - 0,50)] Mitigação Total = 1 - [0,20 * 0,50] Mitigação Total = 1 - 0,10 = 0,90 (90%)

      Entendimento do fluxo: O controle mais forte (80%) age primeiro e abate o risco principal, restando apenas 20% de exposição residual. O segundo controle (50%) aplica sua força apenas sobre essa sobra de 20% (metade de 20% é 10%). A soma das forças resulta em 90% de mitigação total (80% + 10%).

Fluxo de Validação por Auditoria e Impacto Visual

O desconto da mitigação não é estático; ele monitora as avaliações do módulo de auditoria em tempo real:

  1. Gatilho de Bloqueio por Ineficácia: O EPA consulta o histórico de avaliações na aba de gerenciamento (Políticas da Qualidade > Risco > Gestão de Risco > Auditorias de Controle Interno).
  2. Regra de Aplicação: O valor reduzido só constará na análise se o campo de avaliação da auditoria estiver em branco (sem auditoria realizada ainda) ou marcado explicitamente com o status "Eficiente".
  3. Corte do Benefício: Se uma auditoria for aberta através do botão Criar Auditoria e finalizada com o parecer técnico de "Ineficiente", o sistema remove instantaneamente qualquer desconto na análise. O fator do risco volta a ser contabilizado pelo valor cheio (sem mitigação).
  4. Atualização da Matriz de Criticidade: Quando o controle está elegível e ativo, o resultado final ajustado é enviado para a matriz global (Políticas da Qualidade > Risco > Gestão de Risco > Matriz de Riscos). O registro muda de posição no gráfico de calor ("Visão por Criticidade"), movendo-se para quadrantes de menor risco (rebaixando faixas de Muito Alta/Alta para Moderada/Baixa, conforme o impacto do cálculo).

Lógica de cálculo e mitigação automática

O EPA processa a aplicação dos percentuais de mitigação sobre as análises registradas seguindo critérios específicos de cálculo e agrupamento:

  • Aplicação em Controle Único: Se um controle estiver configurado para mitigar o fator "Probabilidade" em 45% e o usuário informar um valor original igual a 4, o sistema realizará o cálculo base (4 x 0,45 = 1,8) e efetuará o arredondamento automático para o valor mais próximo definido nos parâmetros do risco, resultando em uma Probabilidade ajustada de 2.

  • Múltiplos Controles (Fator e Unidade Idênticos): Quando houver mais de um controle interno associado ao mesmo fator de análise e para a mesma unidade gerencial, o sistema aplicará a fórmula matemática descrita abaixo:

    Mitigação Total = 1 - [(1 - C1) * (1 - C2) * ... * (1 - Cn)]

  • Mecanismo Cascata: Sob o modelo de múltiplos controles, o controle que possuir o maior índice de eficácia atuará prioritariamente reduzindo a primeira fração do risco. Os controles subsequentes exercerão impacto sequencial apenas sobre o risco residual restante (o que sobra). Por exemplo, combinando um Controle 1 (80% de eficácia) e um Controle 2 (50% de eficácia): o primeiro reduz o risco em 80% (restando 20%), e o segundo aplica 50% sobre os 20% restantes (gerando +10%), totalizando uma mitigação final consolidada de 90%.

Impacto da Auditoria na Análise Residual

A influência dos controles internos cadastrados sobre os fatores de criticidade e sobre a matriz do sistema depende diretamente do status de auditoria técnica do controle:

  • Vínculo com Matriz de Riscos: O valor apurado no cálculo de mitigação será automaticamente refletido nos quadrantes da tela de visão por criticidade (Políticas da Qualidade > Risco > Gestão de Risco > Matriz de Riscos), rebaixando os índices de probabilidade ou impacto.
  • Bloqueio por Ineficácia: O ajuste redutor só é concedido se a respectiva avaliação realizada na aba de auditorias (Políticas da Qualidade > Risco > Gestão de Risco > Auditorias de Controle Interno) estiver registrada com o parecer "Eficiente" ou se o campo de avaliação estiver totalmente em branco/sem valor. Caso o apontamento da auditoria determine o controle como "Ineficiente", o EPA anula a mitigação e nenhum desconto será computado na análise do risco.

Atenção

note

O controle interno deve ser cadastrado com informações completas para que a mitigação calculada represente corretamente a realidade do processo.

warning

Antes de usar essa funcionalidade, confirme se os parâmetros e as classificações do controle interno já foram criados em Cadastros Básicos.

Banner Gigi