Compliance: Gestão de Riscos

A gestão de riscos é um pilar fundamental de qualquer programa de compliance efetivo, especialmente no âmbito da Administração Pública. A complexidade das operações estatais, o volume de recursos envolvidos e a necessidade de garantir a probidade e a eficiência exigem uma abordagem proativa para identificar, avaliar e mitigar ameaças potenciais à integridade e aos objetivos institucionais. Este artigo explora a importância da gestão de riscos no compliance público, abordando seus fundamentos legais, as metodologias aplicáveis e orientações práticas para sua implementação.

A Base Legal e Normativa da Gestão de Riscos no Setor Público

A exigência de gestão de riscos na Administração Pública brasileira tem se consolidado ao longo dos anos, impulsionada por marcos legais e normativos que buscam aprimorar a governança e o controle interno. A Lei Anticorrupção (Lei nº 12.846/2013) e o Decreto nº 11.129/2022, que a regulamenta, estabelecem a necessidade de programas de integridade (compliance) efetivos, que incluem a gestão de riscos como componente essencial.

O Decreto nº 9.203/2017, que dispõe sobre a política de governança da administração pública federal direta, autárquica e fundacional, define a gestão de riscos como um dos princípios da governança pública (art. 4º, inciso VI). O decreto estabelece que a alta administração dos órgãos e entidades deve implementar e manter mecanismos, instâncias e práticas de governança, incluindo a gestão de riscos, para garantir a consecução dos objetivos institucionais e a prestação de serviços de qualidade à sociedade (art. 6º, inciso II).

A Instrução Normativa Conjunta MP/CGU nº 01/2016, que institui o Programa de Integridade e a Política de Gestão de Riscos no âmbito dos órgãos e entidades da administração pública federal, detalha as diretrizes e os procedimentos para a implementação da gestão de riscos. A IN estabelece que a gestão de riscos deve ser integrada aos processos de planejamento estratégico, de gestão e de tomada de decisão, e que os órgãos e entidades devem definir sua política de gestão de riscos, identificar, avaliar, tratar e monitorar os riscos.

A Nova Lei de Licitações e Contratos (Lei nº 14.333/2021) também reforça a importância da gestão de riscos, exigindo que a fase preparatória das licitações inclua a identificação e a avaliação de riscos, bem como a definição de medidas de mitigação (art. 18, inciso X). A lei também estabelece a necessidade de matriz de alocação de riscos em contratos de grande vulto e em outras situações específicas (art. 103).

O Tribunal de Contas da União (TCU) tem desempenhado um papel crucial na promoção da gestão de riscos no setor público, por meio de auditorias, orientações e acórdãos que enfatizam a necessidade de controles internos efetivos e de abordagens baseadas em riscos. O Referencial Básico de Governança do TCU, por exemplo, destaca a gestão de riscos como um componente fundamental da governança pública, orientando os órgãos e entidades a adotar práticas sistemáticas para identificar, avaliar e tratar os riscos.

Metodologias e Etapas da Gestão de Riscos

A gestão de riscos é um processo iterativo e contínuo, que envolve diversas etapas interligadas. A adoção de metodologias reconhecidas, como a ISO 31000:2018 (Gestão de Riscos — Diretrizes) e o COSO ERM (Framework de Gestão de Riscos Corporativos), fornece uma estrutura sólida para a implementação da gestão de riscos no setor público.

1. Comunicação e Consulta

A comunicação e a consulta são fundamentais em todas as etapas da gestão de riscos, garantindo o envolvimento de todos os stakeholders, a transparência do processo e a compreensão dos riscos e das medidas de mitigação. É essencial estabelecer canais de comunicação efetivos e promover a cultura de gestão de riscos em todos os níveis da organização.

2. Estabelecimento do Contexto

O estabelecimento do contexto envolve a definição dos objetivos institucionais, a análise do ambiente interno e externo, a identificação dos stakeholders e a definição dos critérios para avaliar os riscos. Compreender o contexto é crucial para garantir que a gestão de riscos esteja alinhada aos objetivos estratégicos e às necessidades da organização.

3. Identificação de Riscos

A identificação de riscos consiste em identificar as fontes de riscos, as áreas de impacto, os eventos potenciais e as suas causas e consequências. É importante utilizar diversas técnicas, como brainstorming, entrevistas, análise de processos, análise de cenários e revisão de auditorias anteriores, para garantir uma identificação abrangente dos riscos.

4. Análise de Riscos

A análise de riscos envolve a compreensão da natureza dos riscos e a determinação do seu nível, considerando a probabilidade de ocorrência e o impacto potencial. A análise pode ser qualitativa, quantitativa ou uma combinação de ambas, dependendo da disponibilidade de dados e da complexidade dos riscos.

5. Avaliação de Riscos

A avaliação de riscos consiste em comparar o nível de risco estimado com os critérios de risco definidos na etapa de estabelecimento do contexto, para determinar se o risco é aceitável ou se requer tratamento. A avaliação de riscos fornece a base para a priorização dos riscos e a alocação de recursos para o seu tratamento.

6. Tratamento de Riscos

O tratamento de riscos envolve a seleção e a implementação de opções para modificar os riscos. As opções de tratamento incluem:

• Evitar o risco: não iniciar ou continuar a atividade que gera o risco.
• Assumir o risco: aceitar o risco para buscar uma oportunidade.
• Remover a fonte do risco: eliminar a causa do risco.
• Alterar a probabilidade: adotar medidas para reduzir a probabilidade de ocorrência do risco.
• Alterar as consequências: adotar medidas para reduzir o impacto do risco.
• Compartilhar o risco: transferir o risco para terceiros, como por meio de seguros ou contratos.
• Reter o risco: aceitar o risco sem adotar medidas de tratamento.

7. Monitoramento e Análise Crítica

O monitoramento e a análise crítica são essenciais para garantir que a gestão de riscos permaneça efetiva e relevante ao longo do tempo. É importante monitorar os riscos, a eficácia das medidas de tratamento, o ambiente interno e externo e o desempenho do processo de gestão de riscos. A análise crítica permite identificar oportunidades de melhoria e ajustar o processo de gestão de riscos conforme necessário.

Orientações Práticas para a Implementação

A implementação da gestão de riscos no setor público requer um compromisso da alta administração, a alocação de recursos adequados e a adoção de uma abordagem sistemática e integrada. Algumas orientações práticas incluem:

• Definir a Política de Gestão de Riscos: A política deve estabelecer as diretrizes, os objetivos, as responsabilidades e os procedimentos para a gestão de riscos na organização.
• Capacitar os Servidores: A capacitação em gestão de riscos é fundamental para garantir que os servidores compreendam os conceitos, as metodologias e a importância da gestão de riscos.
• Integrar a Gestão de Riscos aos Processos de Negócio: A gestão de riscos não deve ser um processo isolado, mas sim integrado aos processos de planejamento estratégico, de gestão, de contratação e de tomada de decisão.
• Utilizar Ferramentas de Gestão de Riscos: A adoção de softwares e ferramentas de gestão de riscos pode facilitar a identificação, a avaliação, o tratamento e o monitoramento dos riscos.
• Promover a Cultura de Gestão de Riscos: A cultura de gestão de riscos envolve a conscientização, o comprometimento e a participação de todos os servidores na identificação e na mitigação dos riscos.
• Monitorar e Avaliar Continuamente: A gestão de riscos é um processo contínuo que requer monitoramento e avaliação constantes para garantir a sua efetividade e a sua adaptação às mudanças no ambiente interno e externo.

Conclusão

A gestão de riscos é um elemento indispensável do compliance público, essencial para garantir a probidade, a eficiência e a consecução dos objetivos institucionais. A implementação de processos robustos de gestão de riscos, amparada pela legislação e pelas melhores práticas, permite à Administração Pública identificar e mitigar ameaças potenciais, proteger os recursos públicos e fortalecer a confiança da sociedade. A integração da gestão de riscos à cultura organizacional e aos processos de tomada de decisão é um desafio constante, mas fundamental para a construção de um setor público mais íntegro e eficaz.

Aviso: Este artigo tem caráter informativo e didático. Deve ser verificado e adaptado a cada caso concreto por profissional habilitado. Acesse minuta.tech para mais recursos.