<h2>Gestão de riscos no setor público</h2> <h3>Conceito de risco</h3> <p>A <strong>ISO 31000:2018</strong> define <strong>risco</strong> como o "efeito da incerteza nos objetivos". O efeito é um <em>desvio</em> do esperado, podendo ser positivo (oportunidade), negativo (ameaça) ou ambos. A gestão de riscos é parte integrante da governança e da tomada de decisão.</p> <h3>Por que gerir riscos no setor público</h3> <ul> <li>Aumenta a probabilidade de atingir objetivos;</li> <li>Reduz perdas, fraudes e desperdícios;</li> <li>Melhora a alocação de recursos;</li> <li>Cumpre requisitos legais (Decreto 9.203/2017, IN Conjunta CGU/MP 1/2016, IN MGI 5/2024);</li> <li>Fortalece a confiança da sociedade.</li> </ul> <h3>COSO ERM 2017 — Enterprise Risk Management</h3> <p>O <strong>COSO</strong> (Committee of Sponsoring Organizations of the Treadway Commission) lançou em 2017 o <em>Enterprise Risk Management — Integrating with Strategy and Performance</em>, alinhando a gestão de riscos à estratégia. Estrutura em <strong>5 componentes</strong> e <strong>20 princípios</strong>:</p> <ol> <li><strong>Governança e cultura</strong>;</li> <li><strong>Estratégia e definição de objetivos</strong>;</li> <li><strong>Desempenho</strong> (identificação, avaliação, priorização, resposta a riscos);</li> <li><strong>Análise e revisão</strong>;</li> <li><strong>Informação, comunicação e divulgação</strong>.</li> </ol> <p>O <strong>COSO IC 2013</strong> (Internal Control — Integrated Framework) trata especificamente de controles internos: 5 componentes (ambiente de controle, avaliação de riscos, atividades de controle, informação e comunicação, monitoramento) e 17 princípios.</p> <h3>ISO 31000:2018</h3> <p>Norma internacional de referência. Estrutura:</p> <ul> <li><strong>Princípios</strong> (8): integrada, estruturada, personalizada, inclusiva, dinâmica, melhor informação disponível, fatores humanos e culturais, melhoria contínua;</li> <li><strong>Estrutura (framework)</strong>: liderança e comprometimento, integração, concepção, implementação, avaliação, melhoria;</li> <li><strong>Processo</strong>: comunicação e consulta; escopo, contexto e critérios; <strong>identificação</strong>; <strong>análise</strong>; <strong>avaliação</strong>; <strong>tratamento</strong> dos riscos; monitoramento e análise crítica; registro e relato.</li> </ul> <h3>Tipos de risco</h3> <ul> <li><strong>Estratégico</strong> — afeta objetivos de longo prazo;</li> <li><strong>Operacional</strong> — falhas em processos, pessoas, sistemas;</li> <li><strong>Financeiro / orçamentário</strong>;</li> <li><strong>De conformidade (compliance)</strong> — descumprimento de normas;</li> <li><strong>De integridade</strong> — corrupção, fraudes, conflito de interesses;</li> <li><strong>De imagem / reputação</strong>;</li> <li><strong>Fiscal</strong>, <strong>tecnológico</strong>, <strong>ambiental</strong>.</li> </ul> <h3>Resposta ao risco</h3> <p>Quatro estratégias clássicas (A.E.C.M ou similar):</p> <ol> <li><strong>Aceitar</strong> (assumir o risco);</li> <li><strong>Evitar</strong> (não realizar a atividade);</li> <li><strong>Compartilhar/transferir</strong> (seguro, terceirização);</li> <li><strong>Mitigar/reduzir</strong> (controles que reduzem probabilidade ou impacto).</li> </ol> <p>Critérios para escolha consideram <strong>apetite ao risco</strong> (nível de risco que a organização está disposta a aceitar) e <strong>tolerância</strong> (variação aceitável em torno desse apetite).</p> <h3>Matriz de probabilidade x impacto</h3> <p>Ferramenta clássica de priorização: classifica riscos em pequeno, moderado, alto e extremo, conforme escala (geralmente 1 a 5) de probabilidade e impacto. Heat map. Direciona o esforço de controle.</p> <h3>Controles internos</h3> <p>Conforme COSO IC e a <strong>IN Conjunta CGU/MP nº 01/2016</strong>, controles internos são "conjunto de regras, procedimentos, diretrizes, protocolos, rotinas de sistemas e segregação de funções" que dão razoável garantia de:</p> <ul> <li>Eficiência e eficácia operacional;</li> <li>Confiabilidade dos relatórios financeiros e gerenciais;</li> <li>Conformidade com leis;</li> <li>Salvaguarda dos ativos.</li> </ul> <p>Tipos de controle: <strong>preventivo</strong> (evita ocorrência), <strong>detectivo</strong> (identifica ocorrência), <strong>corretivo</strong> (corrige após ocorrência) e <strong>compensatório</strong>.</p> <h3>Modelo das 3 linhas (IIA, 2020)</h3> <ul> <li><strong>1ª linha</strong> — gestão operacional;</li> <li><strong>2ª linha</strong> — funções de risco e conformidade (controles internos da gestão);</li> <li><strong>3ª linha</strong> — auditoria interna (independente, reporta à alta governança).</li> </ul> <p>Acima delas: governança e órgãos externos (TCU, CGU). Substituiu o antigo modelo "3 linhas de defesa".</p> <h3>Marco normativo brasileiro</h3> <ul> <li><strong>IN Conjunta CGU/MP 01/2016</strong> — controles internos, gestão de riscos e governança;</li> <li><strong>Decreto 9.203/2017</strong> — política de governança da APF;</li> <li><strong>IN MGI 5/2024</strong> (atualiza IN MP 4/2010 / 1/2019) — gestão de riscos em contratações de TI/serviços;</li> <li><strong>Lei 13.709/2018 (LGPD)</strong> — exige relatório de impacto de proteção de dados (DPIA) — gestão de riscos de privacidade;</li> <li><strong>Lei 12.846/2013 (Anticorrupção)</strong> — programas de integridade.</li> </ul> <h3>Para a prova</h3> <ul> <li><strong>ISO 31000:2018</strong>: risco = efeito da incerteza nos objetivos.</li> <li><strong>COSO ERM 2017</strong>: 5 componentes, 20 princípios.</li> <li>Respostas: <strong>aceitar, evitar, compartilhar, mitigar</strong>.</li> <li><strong>Apetite</strong> x <strong>tolerância</strong> ao risco.</li> <li><strong>3 linhas</strong> (IIA 2020): operação, controles, auditoria interna.</li> <li><strong>IN Conjunta CGU/MP 01/2016</strong>: marco normativo brasileiro.</li> </ul>