Dentre os benefícios do gerenciamento de riscos para as instituições do setor público destaca-se, por exemplo, o amadurecimento da governança, uma vez que os decisores levarão em conta os riscos a que a organização está exposta no esforço de atingimento de seus objetivos, projetos e políticas públicas. Outro resultado de destaque promovido pela gestão de riscos é o aprimoramento de controles e processos, o que gera a redução de desperdícios e de ineficiências, por exemplo. 

Com o objetivo de reunir informações elementares sobre o tema e de orientar o gestor público sobre questões inerentes ao processo de gestão de riscos dentro das instituições, a Controladoria-Geral da União (CGU) desenvolveu o conteúdo abaixo, estruturado em formato de perguntas e respostas, que busca esclarecer questões como quais são as áreas responsáveis pela gestão de riscos nas organizações públicas;  qual o papel da alta administração dos órgãos e entidades em relação ao tema; o que é um "mapa de calor" em gestão de riscos; e como iniciar a implementação da gestão de riscos”; dentre outras.

 PERGUNTAS

1) O que são riscos?
2) Por que é importante gerenciar os riscos?
3) Quais são os princípios que devem ser observados na implementação da gestão de riscos?
4) Quais são as principais normas internacionais sobre gestão de riscos?
5) Quais Leis, Decretos e Normas aplicáveis ao Executivo Federal tratam de gestão de riscos?
6) Quais são as principais categorias de riscos aplicáveis ao setor público?
7) O que é um "mapa de calor" em gestão de riscos?
8) Qual o papel da alta administração dos órgãos e entidades em relação à gestão de riscos?
9) Quais áreas são responsáveis pela gestão de riscos nas organizações públicas?
10) Como iniciar a implementação da gestão de riscos no meu órgão ou entidade?
11) É necessário um sistema informático estruturante para apoiar as organizações públicas na implementação da gestão de riscos?

 1) O que são riscos?

Risco é o efeito da incerteza quanto à ocorrência de determinado evento sobre os objetivos de uma organização (ISO 31000:2018). O risco pode ser mensurado a partir da aferição da probabilidade de ocorrência do evento incerto, combinada com o impacto e as consequências desse evento para os processos de trabalho e objetivos de uma organização. Assim, a probabilidade de que ocorra uma pane (que é uma incerteza) em sistema informatizado que sustenta as operações de uma determinada organização pública é um evento de risco que pode paralisar os atendimentos do órgão e comprometer sua reputação e seus resultados.

 2) Por que é importante gerenciar os riscos?

No setor público, é importante fomentar a gestão de riscos de forma sistemática nas organizações, de forma a comunicar e engajar adequadamente os dirigentes e o corpo funcional, bem como otimizar a alocação de recursos a fim de alcançar os objetivos institucionais.

Destacam-se, ainda, os seguintes benefícios da gestão de riscos para as organizações do setor público:

• consolidação de uma abordagem institucional sistemática de coleta, tratamento e uso integrados de dados e informações;
• amadurecimento da governança, uma vez que os decisores levarão em conta os riscos a que a organização está exposta no esforço de atingimento de seus objetivos, projetos e políticas públicas;
• aprimoramento de controles e processos (redução de desperdícios, ineficiências e exposição de ativos);
• sinalização à sociedade do fortalecimento do compromisso e zelo com a coisa pública, a partir de uma gestão preventiva que se antecipa, no possível, aos eventos incertos; e
• antecipação e tratamento preventivo de possíveis ameaças e problemas.

 3) Quais são os princípios que devem ser observados na implementação da gestão de riscos?

Observado o disposto pelo art. 17 do Decreto nº 9.203, de 2017, ao estabelecer, manter, monitorar e aprimorar sistema de gestão de riscos, a alta administração das organizações da administração pública federal direta, autárquica e fundacional deverá observar os seguintes princípios:

I - implementação e aplicação de forma sistemática, estruturada, oportuna e documentada, subordinada ao interesse público;

Esse princípio indica que não é suficiente que a gestão de riscos seja feita de forma intuitiva e errática, mas seja adequadamente documentada, com a identificação, avaliação e tratamento dos eventos de risco.

II - integração da gestão de riscos ao processo de planejamento estratégico e aos seus desdobramentos, às atividades, aos processos de trabalho e aos projetos em todos os níveis da organização, relevantes para a execução da estratégia e o alcance dos objetivos institucionais;

Esse princípio assinala que a gestão de riscos não deve estar apartada das demais atividades da organização, mas incorporada de forma disciplinada nos processos de trabalho e orientada pela estratégia explicitada na cadeia de valor e no planejamento estratégico da organização.

III - estabelecimento de controles internos proporcionais aos riscos, de maneira a considerar suas causas, fontes, consequências e impactos, observada a relação custo-benefício; e

Esse princípio dispõe um marco essencial para as medidas que deverão ser adotadas para evitar as incertezas ou mitigar (reduzir) seus efeitos. Os controles que sejam estabelecidos para essa finalidade não podem ser mais onerosos do que os próprios impactos dos eventos de risco.

IV - utilização dos resultados da gestão de riscos para apoio à melhoria contínua do desempenho e dos processos de gerenciamento de risco, controle e governança.

Esse princípio estabelece a importância da documentação das informações sobre riscos e do uso dessas informações para o aprimoramento da governança, do processo decisório e do gerenciamento dos processos da organização.

4) Quais são as principais normas internacionais sobre gestão de riscos?

 Atualmente, as principais normas referenciais sobre gestão de riscos são:

• ISO 31000:2018 - Risk management - Guidelines (via), da International Organization for Standardization (ISO);
• IEC 31010:2019 - Risk management - Risk assessment techniques (via), da International Electrotechnical Commission (IEC);
• COSO ERM - Enterprise Risk Management (via), da Committee of Sponsoring Organizations of the Treadway Commission (COSO);
• Orange Book (via), do Governo do Reino Unido;
• Para subsídio, há mapas mentais relativos à norma ISO 31000:2018, disponíveis em:

https://gestgov.discourse.group/t/gestao-de-riscos-mapa-mental-da-iso-31000-2018/5873 .

Outras referências podem ser citadas, como COBIT 5, da ISACA (via), PMI (via), IRM (via), FERMA (via), IFAC (via).

5) Quais Leis, Decretos e Normas aplicáveis ao Executivo Federal tratam de gestão de riscos?

As seguintes normas tratam de gestão de riscos:

• IN MP/CGU nº 1, de 2016

• Decreto nº 9.203, de 2017 (arts. 2º, 5º, 17, 18 e 19)
  

• Lei 14.129, de 2021 (Capítulo VII)
  

• Lei 14.133, de 2021 (arts. 11, 18, 22, 43, 46, 72, 98, 103, 117, 133, 147 e 169)
  

• Decreto nº 10.756, de 2021 (art 5º)
  

• Lei nº 13.848, de 2019 (§ 3º do art. 3º) 

 6) Quais são as principais categorias de riscos aplicáveis ao setor público?

 Atualmente, a prática das organizações leva em consideração os:

• riscos operacionais, relativos a eventos de risco que estão normalmente associados a fragilidades que podem comprometer os processos de trabalho executados por uma determinada organização, como uma pane em equipamentos e a falta de capacitação técnica de pessoal.
• riscos à integridade, relativos a eventos de risco que podem resultar em desvios éticos, irregularidades administrativas, fraude e corrupção; assim, por exemplo, a inadequada especificação de bens ou serviços em um processo de compras públicas pode resultar em direcionamento intencional da licitação e falta de competição e isonomia entre os participantes.
• riscos estratégicos, relativos a eventos de risco que comprometem o alcance dos objetivos estratégicos declarados pela organização; são eventos de risco que não se limitam a comprometer apenas um determinado processo de trabalho da organização, mas podem constranger o cumprimento da missão institucional e o atingimento da visão estratégica da organização.

 7) O que é um "mapa de calor" em gestão de riscos?

O “mapa de calor” em gestão de riscos é uma ferramenta que apresenta o resultado visual da matriz de eventos de riscos em função da relação combinada da probabilidade e do impacto de cada evento. Assim, a multiplicação dos indicadores que aferem a probabilidade por aqueles que medem o impacto de um evento de risco resultam na aferição da severidade de um determinado risco (baixo, médio ou alto, por exemplo). 

 8) Qual o papel da alta administração dos órgãos e entidades em relação à gestão de riscos?

A gestão de riscos deve ser realizada nos órgãos de forma a propiciar a melhor qualidade do processo decisório pela alta administração. Assim, ao identificar, avaliar e aplicar medidas para conter as incertezas e seus efeitos, são produzidas informações que devem ser periodicamente levadas até a alta administração, evitando, portanto, que os dirigentes sejam surpreendidos pelas incertezas.

9) Quais áreas são responsáveis pela gestão de riscos nas organizações públicas?

Usando como paradigma o Modelo de Três Linhas, do IIA - Institute of Internal Auditors (via), a responsabilidade pela gestão de riscos é identificada com a 1ª e 2ª linhas (ver Figura abaixo). 

Assim, essencialmente, à 1ª linha cabe o papel de gerenciar riscos de um determinado “objeto” (processo, atividade, projeto, iniciativa), enquanto que à 2ª linha cabem os papeis de apoio, assessoramento, orientação, monitoramento e análise de adequação e eficácia do processo de gestão de riscos conduzido pelas áreas de negócios e operações da 1ª linha.

 10) Como iniciar a implementação da gestão de riscos no meu órgão ou entidade?

Para dar início às atividades de gestão de riscos, é importante que sejam selecionados os objetos prioritários que serão objeto da identificação dos riscos. Não é razoável imaginar que a gestão de riscos possa ser incorporada de forma automática e abrangente em tudo o que uma determinada organização faz. Assim, um “objeto” pode ser um processo, uma atividade, um projeto ou até mesmo uma obra de infraestrutura. Essa priorização de “objetos” para aplicação da gestão de riscos pode ser feita em função de critérios como:

a) materialidade: objetos que envolvem um volume significativo de recursos orçamentários em sua execução;

b) criticidade: objetos para os quais há registro de recorrentes irregularidades ou impropriedades apontadas pelos órgãos de controle ou pelas próprias verificações internas do órgão ou entidade;

c) relevância: objetos que estejam relacionados diretamente aos principais macroprocessos da cadeia de valor ou aos objetivos estratégicos do órgão ou entidade.

 11) É necessário um sistema informático estruturante para apoiar as organizações públicas na implementação da gestão de riscos?

Antes de tomar a decisão sobre plataformas ou sistemas informáticos para “rodar” a gestão de riscos, é importante que cada órgão e entidade amadureça sua metodologia e sua prática de gestão de riscos em “objetos” prioritários. É a partir dessa prática gradual que os órgãos e entidades alcançarão em seu ritmo e a seu tempo o amadurecimento que lhes permitirá avaliar a necessidade de uma plataforma automatizada.

Vale lembrar que já há no próprio setor público soluções disponibilizadas no Portal do Software Público, além de soluções que foram desenvolvidas pelos próprios órgãos ou entidades.

Assim, antes de buscar as chamadas “soluções de mercado”, vale ter paciência pedagógica, documentar (ainda que em planilhas eletrônicas) as informações sobre riscos e gradualmente identificar a real necessidade de um sistema informatizado.