Incluir um Controle Interno em um Risco
Objetivo
A funcionalidade Controles Internos permite vincular controles internos a um risco, registrando responsáveis, classificações, fatores mitigados e histórico de alterações para apoiar a avaliação da eficácia dos controles.
Quando utilizar
Use esta funcionalidade quando for necessário:
- associar um controle interno a um risco;
- registrar classificações de controle e seus percentuais de mitigação;
- definir responsável e data de revisão do controle;
- melhorar a precisão da análise residual do risco.
Como realizar esta ação
- Certifique-se de que a opção
Deseja incluir Controle(s) Interno(s) na Gestão de Riscos?esteja configurada comoSimna tela de parametrização global. - Acesse o menu principal:
Políticas da Qualidade > Riscos > Gestão de Riscos. - Na listagem de registros, localize e edite o risco desejado.
- Dentro do risco, navegue até a aba superior Análises do Risco.
- No painel de análises, localize o bloco de listagem e clique no botão azul
+ Análiseposicionado no canto superior direito do bloco. - No modal de "Nova Análise" que se abre, preencha os campos obrigatórios de identificação inicial:
- Unidade Gerencial (selecione a unidade correspondente);
- Data da Análise e Data da Próxima Análise;
- Diretriz para resposta.
- Logo abaixo, preencha as métricas base do risco: os campos numéricos de Probabilidade, Severidade / Impacto e Índice de Detecção.
- Mude para a aba Controles Internos (dentro do mesmo registro ou no menu de abas do risco) e clique em
+ Controlepara abrir o modal de inclusão do controle. - Preencha os dados cadastrais (Título, Tipo de Controle, Responsável, Data de Revisão e a Descrição da Atividade de Controle).
- Associe os parâmetros técnicos e selecione as classificações desejadas para o cálculo da eficácia.
- Clique em Salvar para fechar o modal do controle.
- Retorne à aba de Análises do Risco: o sistema aplicará a mitigação calculada e preencherá automaticamente o campo de leitura dinâmica chamado
Valor ajustado por mitigação para...(como, por exemplo, o campoValor ajustado por mitigação para Probabilidade), exibindo a nota final corrigida.
Campos e configurações
Modal de inclusão do controle interno
| Campo | Descrição |
|---|---|
| Título do Controle | Nome do controle interno vinculado ao risco. |
| Unidade Gerencial | Unidade considerada na análise do risco. |
| Tipo de Controle | Tipo do controle, como preventivo, detectivo ou outro configurado. |
| Responsável pelo Controle | Usuário responsável pelo controle. |
| Data da Revisão | Data prevista para revisão do controle. |
| Fator(es) Mitigado(s) | Define quais fatores da análise terão ajuste por mitigação, como probabilidade ou severidade. |
| Mitigação do Controle | Valor calculado automaticamente pelo sistema com base nas classificações selecionadas. |
| Descrição da Atividade de Controle | Descreve a atividade executada pelo controle interno. |
Parâmetros de controle interno
Após preencher os dados iniciais, o EPA exibe os parâmetros de controle interno já configurados na parametrização do sistema.
Para cada parâmetro:
- selecione a classificação correspondente;
- confira a porcentagem de mitigação exibida pelo sistema;
- revise o impacto dessas classificações sobre o cálculo da mitigação total.
Listagem dos controles
Depois de salvar, o EPA exibe na listagem os controles internos vinculados ao risco, conforme a unidade gerencial filtrada.
Ao editar um controle já criado, podem ser exibidas áreas complementares como:
| Aba | Descrição |
|---|---|
| Auditorias do Controle | Reúne informações de auditoria relacionadas ao controle interno. |
| Histórico de Alterações | Exibe todas as modificações realizadas no controle, com data, usuário e campos alterados. |
Regras de funcionamento
- A parametrização dos controles internos precisa existir antes da inclusão do controle no risco.
- Se o campo
Data da Revisãofor preenchido, o responsável pelo controle poderá visualizar a boxRevisão do Controle Internona tela principal. - A
Mitigação do Controlecorresponde à média aritmética das porcentagens das classificações selecionadas. - Os fatores ajustados por mitigação são arredondados automaticamente para o valor mais próximo definido nos parâmetros do risco.
- Depois da criação do controle, o vínculo passa a influenciar a análise residual do risco conforme a configuração adotada.
Detalhamento da Lógica de Mitigação e Arredondamento
O cálculo e o rebaixamento dos índices de risco funcionam sob critérios matemáticos rigorosos de acordo com a quantidade de controles ativos:
-
Cenário com Controle Único: O sistema reduz o valor original informado pelo usuário aplicando diretamente o percentual de eficácia do controle.
-
Exemplo Prático: Se o usuário insere uma nota de Probabilidade = 4 e o controle interno associado possui 45% de mitigação, o sistema realiza a operação matemática:
4 * 0,45 = 1,8Como o EPA não trabalha com casas decimais flutuantes na matriz, ele faz o arredondamento aritmético automático para o número inteiro mais próximo parametrizado no risco. Nesse caso, o valor
1,8é arredondado para cima, gerando uma Probabilidade ajustada = 2.
-
-
Cenário com Múltiplos Controles (Mesmo Fator e Mesma Unidade): Quando a mesma Unidade Gerencial possui dois ou mais controles agindo sobre o mesmo fator (por exemplo, dois controles mitigando a Probabilidade), o sistema aplica uma fórmula de impacto residual acumulado para evitar que a mitigação ultrapasse 100%:
Mitigação Total = 1 - [(1 - C1) * (1 - C2) * ... * (1 - Cn)]-
Exemplo Prático em Cascata: Se existirem o Controle 1 (Eficácia de 80%, ou 0,80) e o Controle 2 (Eficácia de 50%, ou 0,50), o cálculo executado será:
Mitigação Total = 1 - [(1 - 0,80) * (1 - 0,50)]Mitigação Total = 1 - [0,20 * 0,50]Mitigação Total = 1 - 0,10 = 0,90 (90%)Entendimento do fluxo: O controle mais forte (80%) age primeiro e abate o risco principal, restando apenas 20% de exposição residual. O segundo controle (50%) aplica sua força apenas sobre essa sobra de 20% (metade de 20% é 10%). A soma das forças resulta em 90% de mitigação total (80% + 10%).
-
Fluxo de Validação por Auditoria e Impacto Visual
O desconto da mitigação não é estático; ele monitora as avaliações do módulo de auditoria em tempo real:
- Gatilho de Bloqueio por Ineficácia: O EPA consulta o histórico de avaliações na aba de gerenciamento (
Políticas da Qualidade > Risco > Gestão de Risco > Auditorias de Controle Interno). - Regra de Aplicação: O valor reduzido só constará na análise se o campo de avaliação da auditoria estiver em branco (sem auditoria realizada ainda) ou marcado explicitamente com o status "Eficiente".
- Corte do Benefício: Se uma auditoria for aberta através do botão
Criar Auditoriae finalizada com o parecer técnico de "Ineficiente", o sistema remove instantaneamente qualquer desconto na análise. O fator do risco volta a ser contabilizado pelo valor cheio (sem mitigação). - Atualização da Matriz de Criticidade: Quando o controle está elegível e ativo, o resultado final ajustado é enviado para a matriz global (
Políticas da Qualidade > Risco > Gestão de Risco > Matriz de Riscos). O registro muda de posição no gráfico de calor ("Visão por Criticidade"), movendo-se para quadrantes de menor risco (rebaixando faixas de Muito Alta/Alta para Moderada/Baixa, conforme o impacto do cálculo).
Lógica de cálculo e mitigação automática
O EPA processa a aplicação dos percentuais de mitigação sobre as análises registradas seguindo critérios específicos de cálculo e agrupamento:
-
Aplicação em Controle Único: Se um controle estiver configurado para mitigar o fator "Probabilidade" em 45% e o usuário informar um valor original igual a 4, o sistema realizará o cálculo base (4 x 0,45 = 1,8) e efetuará o arredondamento automático para o valor mais próximo definido nos parâmetros do risco, resultando em uma Probabilidade ajustada de 2.
-
Múltiplos Controles (Fator e Unidade Idênticos): Quando houver mais de um controle interno associado ao mesmo fator de análise e para a mesma unidade gerencial, o sistema aplicará a fórmula matemática descrita abaixo:
Mitigação Total = 1 - [(1 - C1) * (1 - C2) * ... * (1 - Cn)] -
Mecanismo Cascata: Sob o modelo de múltiplos controles, o controle que possuir o maior índice de eficácia atuará prioritariamente reduzindo a primeira fração do risco. Os controles subsequentes exercerão impacto sequencial apenas sobre o risco residual restante (o que sobra). Por exemplo, combinando um Controle 1 (80% de eficácia) e um Controle 2 (50% de eficácia): o primeiro reduz o risco em 80% (restando 20%), e o segundo aplica 50% sobre os 20% restantes (gerando +10%), totalizando uma mitigação final consolidada de 90%.
Impacto da Auditoria na Análise Residual
A influência dos controles internos cadastrados sobre os fatores de criticidade e sobre a matriz do sistema depende diretamente do status de auditoria técnica do controle:
- Vínculo com Matriz de Riscos: O valor apurado no cálculo de mitigação será automaticamente refletido nos quadrantes da tela de visão por criticidade (
Políticas da Qualidade > Risco > Gestão de Risco > Matriz de Riscos), rebaixando os índices de probabilidade ou impacto. - Bloqueio por Ineficácia: O ajuste redutor só é concedido se a respectiva avaliação realizada na aba de auditorias (
Políticas da Qualidade > Risco > Gestão de Risco > Auditorias de Controle Interno) estiver registrada com o parecer "Eficiente" ou se o campo de avaliação estiver totalmente em branco/sem valor. Caso o apontamento da auditoria determine o controle como "Ineficiente", o EPA anula a mitigação e nenhum desconto será computado na análise do risco.
Atenção
O controle interno deve ser cadastrado com informações completas para que a mitigação calculada represente corretamente a realidade do processo.
Antes de usar essa funcionalidade, confirme se os parâmetros e as classificações do controle interno já foram criados em Cadastros Básicos.
