Gestão de Riscos no Setor Público: COSO ERM, ISO 31000 e Controles Internos Conceito de Risco A ISO 31000:2018 – Gestão de riscos — Diretrizes, adotada no Brasil como ABNT NBR ISO 31000, define risco como o "efeito da incerteza nos objetivos". Essa definição, aparentemente simples, contém três implicações fundamentais. Primeira, o efeito é um desvio em relação ao esperado, que pode ser positivo (oportunidade que pode ser explorada), negativo (ameaça que precisa ser mitigada) ou ambos. Segunda, o risco está vinculado a objetivos: não se fala em risco no vazio; o risco só existe quando há um objetivo a ser alcançado. Terceira, a incerteza — a incapacidade de saber com precisão se um evento ocorrerá e qual será seu impacto — é o elemento central de qualquer gestão de riscos. A Instrução Normativa Conjunta MP/CGU nº 01, de 10 de maio de 2016, marco normativo federal sobre o tema, define risco como a "possibilidade de ocorrência de um evento que venha a ter impacto no cumprimento dos objetivos, sendo medido em termos de impacto e de probabilidade". O mesmo normativo conceitua gerenciamento de riscos como o "processo para identificar, avaliar, administrar e controlar potenciais eventos ou situações, para fornecer razoável certeza quanto ao alcance dos objetivos da organização". A mesma IN Conjunta 01/2016 traz ainda dois conceitos derivados que são frequentemente cobrados em prova e que a aula original não detalhava: Risco inerente: é o risco a que uma organização está exposta sem considerar quaisquer ações gerenciais (controles) que possam reduzir a probabilidade de sua ocorrência ou o seu impacto. É o risco "bruto", antes de qualquer tratamento. Risco residual: é o risco a que a organização está exposta após a implementação das ações gerenciais (controles) destinadas a tratar o risco inerente. É o risco "líquido", que sobra depois do tratamento. A diferença entre risco inerente e risco residual é justamente a medida da eficácia dos controles internos: quanto maior essa diferença, mais eficaz tende a ser o controle implementado. O Decreto nº 9.203, de 22 de novembro de 2017 (Política de Governança da Administração Pública Federal direta, autárquica e fundacional) também oferece definição própria em seu art. 2º, IV: "gestão de riscos - processo de natureza permanente, estabelecido, direcionado e monitorado pela alta administração, que contempla as atividades de identificar, avaliar e gerenciar potenciais eventos que possam afetar a organização, destinado a fornecer segurança razoável quanto à realização de seus objetivos." Observe que o Decreto 9.203/2017 enfatiza o caráter permanente e o protagonismo da alta administração na gestão de riscos, deixando claro que não se trata de atividade episódica ou de responsabilidade exclusiva de órgãos de controle. Por que Gerir Riscos no Setor Público A gestão de riscos está intimamente associada ao princípio constitucional da eficiência (art. 37, caput, da CF/88), pois sua implementação visa exatamente melhorar a alocação de recursos públicos e aumentar a probabilidade de que as políticas públicas atinjam os resultados pretendidos. O Manual de Gestão de Riscos do TCU sustenta essa associação, ao relacionar diretamente a gestão de riscos à busca por melhores resultados institucionais e sociais. Entre as razões que justificam a adoção sistemática da gestão de riscos no setor público, destacam-se: Aumentar a probabilidade de alcance dos objetivos: identificar e tratar riscos reduz a chance de surpresas que comprometam a entrega de políticas e serviços. Reduzir perdas, fraudes e desperdícios: a gestão de riscos é um poderoso instrumento preventivo contra desvios de recursos e condutas ilícitas. Melhorar a qualidade das decisões: decisões informadas por uma análise de riscos tendem a ser mais robustas e sustentáveis. Cumprir requisitos legais e normativos: a IN Conjunta MP/CGU 01/2016, o Decreto 9.203/2017 e a Lei 14.133/2021 exigem a implementação de gestão de riscos. Fortalecer a confiança da sociedade: o cidadão confia mais em instituições que demonstram ser capazes de identificar, prevenir e responder a ameaças. Subsidiar a accountability: a IN Conjunta 01/2016 define accountability como o conjunto de procedimentos que evidenciam a responsabilidade dos gestores públicos e das organizações por decisões tomadas e ações implementadas. A gestão de riscos fornece o substrato informacional para essa prestação de contas. COSO ERM 2017 — Enterprise Risk Management O Committee of Sponsoring Organizations of the Treadway Commission (COSO) é uma iniciativa do setor privado, patrocinada por cinco das principais associações profissionais americanas de finanças, contabilidade e auditoria. Em 2017, publicou a versão atualizada de seu framework de gestão de riscos corporativos, intitulado Enterprise Risk Management — Integrating with Strategy and Performance. Essa versão de 2017 é uma evolução significativa em relação ao documento anterior, o COSO ERM 2004, que tinha forte ênfase em controles internos. O COSO ERM 2017 reposiciona a gestão de riscos como parte integrante da estratégia e da performance organizacional, e não como um processo separado, de conformidade. 3.1. Os Cinco Componentes e os Vinte Princípios O COSO ERM 2017 organiza a gestão de riscos em cinco componentes inter-relacionados, cada um deles sustentado por um conjunto de princípios (20 no total): Governança e Cultura (Governance and Culture): A governança estabelece o tom da organização, reforçando a importância da gestão de riscos. A cultura diz respeito aos valores éticos, aos comportamentos desejados e à compreensão coletiva dos riscos. Princípios: A. Exercer a supervisão dos riscos pelo Conselho. B. Estabelecer estruturas operacionais. C. Definir a cultura desejada. D. Demonstrar comprometimento com valores essenciais. E. Atrair, desenvolver e reter pessoas capazes. Estratégia e Definição de Objetivos (Strategy and Objective-Setting): A gestão de riscos deve estar integrada ao processo de planejamento estratégico. A definição de objetivos é pré-condição para a identificação de riscos. Princípios: F. Analisar o contexto do negócio. G. Definir o apetite a risco. H. Avaliar estratégias alternativas. I. Formular objetivos de negócio. Desempenho (Performance): É o componente operacional. Aqui ocorrem a identificação, a avaliação e a priorização dos riscos que podem impactar o alcance dos objetivos, seguindo-se a seleção e implementação de respostas. Princípios: J. Identificar riscos. K. Avaliar a severidade dos riscos. L. Priorizar riscos. M. Implementar respostas aos riscos. N. Desenvolver uma visão de portfólio. Análise Crítica e Revisão (Review and Revision): A gestão de riscos não é um processo estático. É preciso revisar periodicamente o desempenho da organização e a adequação do próprio sistema de gestão de riscos, ajustando-o conforme as mudanças no ambiente. Princípios: O. Avaliar mudanças significativas. P. Revisar o risco e o desempenho. Q. Perseguir a melhoria contínua. Informação, Comunicação e Divulgação (Information, Communication and Reporting): A gestão de riscos requer um fluxo contínuo de informações de qualidade, tanto internamente (entre os níveis hierárquicos) quanto externamente (para as partes interessadas). Princípios: R. Alavancar sistemas de informação. S. Comunicar informações sobre riscos. T. Reportar sobre riscos, cultura e desempenho. 3.2. Diferenciação entre COSO ERM 2017 e COSO IC 2013 Um ponto frequentemente cobrado em provas é a distinção entre dois frameworks do COSO: COSO ERM 2017 (Enterprise Risk Management): Foco na gestão de riscos corporativos. Abrange toda a organização, integrando riscos à estratégia e ao desempenho. São 5 componentes e 20 princípios. COSO IC 2013 (Internal Control — Integrated Framework): Foco nos controles internos. É um framework mais restrito, voltado à eficácia e eficiência das operações, à confiabilidade dos relatórios financeiros e à conformidade. São 5 componentes (Ambiente de Controle, Avaliação de Riscos, Atividades de Controle, Informação e Comunicação, e Monitoramento) e 17 princípios. Embora o COSO IC 2013 esteja contido, em certa medida, dentro da lógica mais ampla do COSO ERM 2017, eles são frameworks distintos, com propósitos e escopos diferentes. Vale registrar que é o COSO IC 2013 — e não o COSO ERM — que serviu de referência direta para os componentes dos controles internos da gestão estruturados pela IN Conjunta MP/CGU 01/2016 (ver item 9). ISO 31000:2018 — Gestão de Riscos: Diretrizes A ISO 31000:2018 é uma norma técnica internacional que fornece diretrizes genéricas para a gestão de riscos, aplicáveis a qualquer tipo de organização, pública ou privada, independentemente de porte ou setor. Sua estrutura é dividida em três grandes blocos: princípios, estrutura (framework) e processo. 4.1. Princípios (Seção 4) A ISO 31000 enuncia que a gestão de riscos deve ser: Integrada: deve ser parte integrante de todas as atividades da organização, e não um processo isolado. Estruturada e abrangente: uma abordagem estruturada e abrangente conduz a resultados consistentes e comparáveis. Personalizada: a estrutura e o processo de gestão de riscos devem ser proporcionais e adaptados aos contextos externo e interno da organização. Inclusiva: o envolvimento apropriado e oportuno das partes interessadas permite que seus conhecimentos, pontos de vista e percepções sejam considerados. Dinâmica: os riscos podem emergir, mudar ou desaparecer à medida que os contextos externo e interno mudam. A gestão de riscos antecipa, detecta, reconhece e responde a essas mudanças. Baseada na melhor informação disponível: os inputs para a gestão de riscos baseiam-se em informações históricas e atuais, bem como em expectativas futuras. Devem-se considerar as limitações e incertezas dessas informações. Considera fatores humanos e culturais: o comportamento humano e a cultura influenciam todos os aspectos da gestão de riscos. Melhoria contínua: a gestão de riscos é melhorada continuamente por meio de aprendizado e experiência. 4.2. Estrutura (Seção 5) A estrutura estabelece o arcabouço para a governança da gestão de riscos na organização. Seus componentes são: Liderança e comprometimento: a alta administração deve demonstrar liderança e comprometimento com a gestão de riscos. Integração: a gestão de riscos deve ser integrada em todas as estruturas e processos da organização. Concepção: compreende a definição do escopo, do contexto e dos critérios de risco, bem como a atribuição de papéis e responsabilidades. Implementação: colocação em prática do plano de gestão de riscos. Avaliação: monitoramento e medição periódica da eficácia da estrutura. Melhoria: adaptação e aprimoramento contínuo da estrutura. 4.3. Processo (Seção 6) O processo de gestão de riscos descrito pela ISO 31000 é iterativo e compõe-se das seguintes etapas: Comunicação e consulta: deve permear todo o processo, garantindo que as partes interessadas sejam ouvidas e informadas. Escopo, contexto e critérios: definição clara do que será objeto de gestão de riscos, dos contextos externo e interno, e dos critérios que serão usados para avaliar a significância dos riscos (ex.: limites de tolerância, níveis de apetite a risco). Identificação de riscos: encontrar, reconhecer e descrever os riscos que podem afetar os objetivos. Técnicas incluem brainstorming, análise SWOT, entrevistas, listas de verificação e análise de cenários. Análise de riscos: compreender a natureza, as causas e as fontes do risco, bem como estimar sua probabilidade e seu impacto. Pode ser qualitativa, semiquantitativa ou quantitativa. Avaliação de riscos: comparar os resultados da análise com os critérios estabelecidos para determinar se o risco é aceitável ou se requer tratamento. Tratamento de riscos: selecionar e implementar opções de resposta aos riscos, que podem incluir: evitar o risco (não iniciar ou descontinuar a atividade), aceitar ou aumentar o risco (para buscar uma oportunidade), modificar o risco (mitigar a probabilidade ou o impacto), compartilhar o risco (ex.: seguros, parcerias) e reter o risco (aceitar por decisão informada). Monitoramento e análise crítica: acompanhamento contínuo da evolução dos riscos e da eficácia dos controles implementados. Registro e relato: documentar o processo e seus resultados para subsidiar a tomada de decisão e a prestação de contas. 4.4. COSO ERM 2017 x ISO 31000:2018: um quadro comparativo | Critério | COSO ERM 2017 | ISO 31000:2018 | |---|---|---| | Origem | Iniciativa privada (EUA), setor contábil/financeiro | Norma técnica internacional (ISO), de aplicação genérica | | Estrutura | 5 componentes / 20 princípios | Princípios, estrutura (framework) e processo | | Ênfase | Integração da gestão de riscos à estratégia e à performance | Diretrizes genéricas, aplicáveis a qualquer organização | | Natureza | Framework (refere-se ao "o quê" fazer, com algum detalhamento de "como") | Norma de diretrizes (mais processual, descreve etapas do processo) | | Adoção no Brasil | Referenciado por TCU, CGU e órgãos de controle como inspiração metodológica | Adotada formalmente como ABNT NBR ISO 31000 | Não são frameworks concorrentes, mas complementares: é comum que órgãos públicos brasileiros estruturem sua política de gestão de riscos com base nos princípios e no processo da ISO 31000, ao mesmo tempo em que se inspiram na lógica de integração estratégica do COSO ERM 2017. Tipologia de Riscos A doutrina e os normativos brasileiros classificam os riscos em diversas categorias, conforme sua natureza e origem: Riscos Estratégicos: afetam os objetivos de longo prazo e a própria missão institucional. Exemplo: mudança de governo que descontinue um programa estratégico. Riscos Operacionais: decorrem de falhas em processos internos, pessoas, sistemas ou de eventos externos. Exemplo: falha em um sistema de TI que paralisa o atendimento ao cidadão. Riscos Financeiros/Orçamentários: relacionados à gestão dos recursos financeiros, como contingenciamento orçamentário inesperado, oscilações cambiais que afetam contratos, ou insuficiência de recursos para cumprir obrigações. Riscos de Conformidade (Compliance): violação de leis, regulamentos, normas internas ou padrões éticos. Exemplo: descumprimento dos limites de despesa com pessoal previstos na LRF. Riscos de Integridade: fraudes, corrupção, conflito de interesses, nepotismo e outras condutas antiéticas. A CGU possui programas específicos para gestão de riscos de integridade, com base no Decreto nº 9.203/2017 e no Decreto nº 11.129/2022 (que regulamenta a Lei Anticorrupção e disciplina, entre outros temas, os parâmetros para avaliação de programas de integridade de pessoas jurídicas). Riscos de Imagem/Reputação: eventos que podem abalar a confiança da sociedade na instituição. Exemplo: escândalo de corrupção envolvendo servidores. Riscos Tecnológicos: obsolescência de sistemas, ataques cibernéticos, perda de dados. Riscos Ambientais: decorrentes de desastres naturais ou de impactos ambientais das atividades da organização. Respostas ao Risco (Estratégias de Tratamento) Após identificar, analisar e avaliar um risco, a organização deve decidir como responder a ele. As quatro estratégias clássicas, frequentemente chamadas de 4T, são: Tolerar (Aceitar): O risco é aceito sem ação adicional, geralmente porque seu nível está dentro do apetite a risco da organização, ou porque o custo do tratamento supera o benefício. A aceitação deve ser uma decisão informada, e não uma omissão. Tratar (Mitigar/Reduzir): Implementam-se controles que reduzam a probabilidade de ocorrência do risco ou o seu impacto, ou ambos. É a resposta mais comum para riscos significativos. Exemplo: implementar sistema de dupla conferência para reduzir a probabilidade de erro no pagamento de benefícios. Transferir (Compartilhar): Transfere-se o impacto financeiro do risco para um terceiro. O exemplo clássico é a contratação de seguro. No setor público, a Lei 14.133/2021 prevê modalidades de garantia (seguro-garantia, fiança bancária, caução) que transferem riscos para o contratado ou para a seguradora. Terminar (Eliminar/Evitar): A atividade geradora do risco é descontinuada. É uma resposta drástica, adotada quando o risco é inaceitável e não há mitigação viável. Exemplo: cancelar um projeto cujo risco de causar dano ambiental irreversível é muito elevado. Alguns frameworks expandem a lista para incluir Explorar (para riscos positivos, ou oportunidades), Compartilhar (também para oportunidades, envolvendo parcerias) e Aceitar (tanto para ameaças quanto para oportunidades residuais). Matriz de Probabilidade e Impacto (Mapa de Calor) É a ferramenta visual mais utilizada para priorização de riscos. Consiste em um gráfico bidimensional em que o eixo X representa a probabilidade (ou frequência) de ocorrência e o eixo Y representa o impacto (ou severidade) caso o risco se materialize. A combinação desses dois fatores gera um nível de risco, frequentemente representado por cores (verde = baixo, amarelo = moderado, laranja = alto, vermelho = extremo). A matriz permite concentrar esforços e recursos nos riscos que estão na região vermelha (alta probabilidade e alto impacto), enquanto riscos verdes podem ser apenas monitorados. TCU, CGU e o Ministério da Gestão e da Inovação recomendam o uso de matrizes de calor como instrumento de transparência e comunicação dos riscos. Não se deve confundir essa matriz de probabilidade e impacto (ferramenta de priorização, interna ao processo de análise de riscos) com a matriz de alocação de riscos prevista no art. 103 da Lei 14.133/2021, que é uma cláusula contratual que distribui responsabilidades entre contratante e contratado (ver item 11). Apetite, Tolerância e Capacidade de Risco Esses três conceitos são frequentemente cobrados em provas e exigem precisão: Apetite a Risco (Risk Appetite): é a quantidade e o tipo de risco que uma organização está disposta a aceitar para atingir seus objetivos. É uma declaração de alto nível, definida pela alta administração e pelo órgão de governança. Exemplo: "Estamos dispostos a aceitar riscos moderados em projetos de inovação, desde que o investimento não exceda 10% do orçamento anual". Tolerância a Risco (Risk Tolerance): é o nível de variação aceitável em torno de metas específicas. Enquanto o apetite é amplo, a tolerância é mais granular e mensurável. Exemplo: "O prazo de entrega do projeto pode variar em até 15%". Capacidade de Risco (Risk Capacity): é a quantidade máxima de risco que a organização pode suportar sem comprometer sua viabilidade ou o cumprimento de sua missão. É um limite objetivo, não uma escolha. Exemplo: uma organização cujo orçamento é 90% comprometido com folha de pagamento tem baixíssima capacidade de assumir novos riscos financeiros. A ISO 31000:2018 e a IN Conjunta MP/CGU 01/2016 trazem definições alinhadas a essa tríade conceitual. Controles Internos da Gestão A IN Conjunta MP/CGU nº 01, de 2016 define os controles internos da gestão como o conjunto de regras, procedimentos, diretrizes, protocolos, rotinas de sistemas informatizados, conferências e trâmites de documentos e informações, entre outros, operacionalizados de forma integrada pela direção e pelo corpo de servidores das organizações, destinados a enfrentar os riscos e a fornecer segurança razoável de que, na consecução da missão da entidade, serão alcançados os seguintes objetivos gerais: a execução ordenada, ética, econômica, eficiente e eficaz das operações; o cumprimento das obrigações de accountability; o cumprimento das leis e regulamentos aplicáveis; e a salvaguarda dos recursos para evitar perdas, mau uso e danos. A IN Conjunta estrutura os componentes dos controles internos da gestão com base no COSO IC 2013, sendo eles: Ambiente de controle Avaliação de risco Atividades de controles internos Informação e comunicação Monitoramento Os controles internos podem ser classificados como preventivos (evitam que o evento de risco ocorra — ex.: segregação de funções), detectivos (identificam a ocorrência de um evento de risco — ex.: conciliação contábil), corretivos (corrigem os efeitos de um evento de risco — ex.: plano de contingência) e compensatórios (mitigam a falta de outro controle). Um ponto importante: a IN Conjunta 01/2016 distingue claramente os controles internos da gestão (de responsabilidade de cada órgão e de seus gestores) do Sistema de Controle Interno do Poder Executivo Federal (atividades de auditoria e fiscalização a cargo da CGU, nos termos do art. 74 da Constituição Federal). O Modelo das Três Linhas (IIA, 2020) O Institute of Internal Auditors (IIA) publicou em 2020 a atualização de seu modelo de "Três Linhas de Defesa", agora denominado "Modelo das Três Linhas". A mudança de nome reflete uma evolução conceitual importante: o foco não é mais apenas "defesa", e esse termo foi deliberadamente removido para enfatizar que todas as funções contribuem para a criação de valor e para a governança como um todo. No novo modelo, a segunda linha não apenas "controla", mas apoia, desafia e monitora, atuando como parceira da primeira linha. Primeira Linha (Gestão Operacional): Composta pelos gestores e servidores que executam as atividades operacionais. São os "donos dos riscos", responsáveis por identificar, avaliar, controlar e reportar os riscos em suas atividades diárias. Os controles internos da gestão, definidos pela IN 01/2016, são operados aqui. Segunda Linha (Funções de Supervisão, Apoio e Monitoramento de Riscos e Conformidade): Inclui funções como gestão de riscos corporativa, compliance, controle de qualidade, segurança da informação, integridade e controladoria. Essas funções supervisionam, monitoram e apoiam a primeira linha, estabelecendo políticas, metodologias e estruturas. Terceira Linha (Auditoria Interna): Atividade independente e objetiva de avaliação e consultoria, que reporta diretamente ao órgão de governança (conselho de administração, comitê de auditoria). Avalia a eficácia da governança, da gestão de riscos e dos controles internos, incluindo a forma como a primeira e a segunda linhas funcionam. Sua independência é assegurada pelo fato de não ter responsabilidade direta na gestão operacional. Acima dessas três linhas está o Órgão de Governança (alta administração, conselhos), responsável por definir o apetite a risco, supervisionar o sistema de gestão de riscos e prestar contas à sociedade. Externamente, atuam os órgãos de controle externo, como o TCU e os Tribunais de Contas Estaduais. 10.1. Atenção: o modelo do IIA não é idêntico ao das "três linhas de defesa" da Lei 14.133/2021 Esse é um ponto de armadilha clássico em provas difíceis. A Lei nº 14.133/2021, em seu art. 169, também adota uma estrutura de "linhas de defesa" para o controle das contratações públicas — mas o conteúdo de cada linha não corresponde exatamente ao Modelo das Três Linhas do IIA (2020), nem mesmo à terminologia já usada pela própria IN Conjunta 01/2016 (que fala em "linhas ou camadas de defesa" inspiradas no modelo anterior do IIA). Conforme o art. 169 da Lei 14.133/2021, as contratações públicas sujeitam-se a: I — Primeira linha de defesa: servidores e empregados públicos, agentes de licitação e autoridades que atuam na estrutura de governança do órgão ou entidade. II — Segunda linha de defesa: unidades de assessoramento jurídico e de controle interno do próprio órgão ou entidade. III — Terceira linha de defesa: órgão central de controle interno da Administração (no âmbito federal, a CGU) e o Tribunal de Contas. Note a diferença essencial: no Modelo das Três Linhas do IIA, a terceira linha é a auditoria interna da própria organização; já no art. 169 da Lei 14.133/2021, a terceira linha já contempla órgãos de controle externo (Tribunal de Contas) ao lado do órgão central de controle interno. Trata-se, portanto, de adaptações distintas de uma mesma lógica geral de defesas em camadas, e não de normas que descrevem exatamente a mesma estrutura — distinção que costuma ser exigida em questões de prova que cobram os dois textos lado a lado. Marco Normativo Brasileiro sobre Gestão de Riscos O Brasil construiu, especialmente a partir de 2016, um arcabouço normativo abrangente sobre gestão de riscos no setor público. Os principais diplomas são: Instrução Normativa Conjunta MP/CGU nº 01, de 10 de maio de 2016: Primeiro normativo federal a exigir de forma sistemática a implementação de controles internos, gestão de riscos e governança em toda a administração pública federal direta, autárquica e fundacional. Definiu os conceitos fundamentais (incluindo risco, risco inerente, risco residual e accountability) e estabeleceu a obrigatoriedade de adoção de medidas de sistematização dessas práticas, inclusive a criação, pelos dirigentes máximos dos órgãos, de um Comitê de Governança, Riscos e Controles. Decreto nº 9.203, de 22 de novembro de 2017: Instituiu a Política de Governança da Administração Pública Federal direta, autárquica e fundacional. Seu art. 5º estabelece os mecanismos para o exercício da governança pública: liderança, estratégia e controle — sendo este último o mecanismo que compreende os processos estruturados para mitigar riscos e garantir a execução ordenada das atividades organizacionais. É no art. 17 do mesmo Decreto que se detalha a obrigação da alta administração de estabelecer, manter, monitorar e aprimorar o sistema de gestão de riscos e controles internos da organização. Seu art. 3º enumera os seis princípios da governança pública: capacidade de resposta, integridade, confiabilidade, melhoria regulatória, prestação de contas e responsabilidade, e transparência. O art. 4º, VI, estabelece como diretriz "implementar controles internos fundamentados na gestão de risco, que privilegiará ações estratégicas de prevenção antes de processos sancionadores". Lei nº 14.133, de 1º de abril de 2021 (Nova Lei de Licitações e Contratos): Inova profundamente ao incorporar a gestão de riscos como elemento central do processo de contratação pública. Os dispositivos mais relevantes são: Art. 11, parágrafo único, X: Inclui, entre os objetivos do processo licitatório, "a análise dos riscos que possam comprometer o sucesso da licitação e a boa execução contratual". Art. 18, §1º, X: Exige que o Estudo Técnico Preliminar (ETP) contenha "a análise dos riscos que possam comprometer o sucesso da licitação e a boa execução contratual". Art. 22: Estabelece que o edital poderá contemplar matriz de riscos, "cláusula contratual definidora de riscos e de responsabilidades entre as partes e caracterizadora do equilíbrio econômico-financeiro inicial do contrato". Art. 103: Trata da alocação de riscos nos contratos administrativos. Seu §1º determina que essa alocação considere, "em compatibilidade com as obrigações e os encargos atribuídos às partes no contrato, a natureza do risco, o beneficiário das prestações a que se vincula e a capacidade de cada setor para melhor gerenciá-lo" — a doutrina sintetiza esse comando dizendo que a alocação deve ser eficiente. O §2º acrescenta que riscos cobertos por seguradoras serão preferencialmente transferidos ao contratado, e o §5º estabelece que, atendidas as condições da matriz, considera-se mantido o equilíbrio econômico-financeiro do contrato, ressalvadas hipóteses específicas (álea extraordinária administrativa e mudança tributária superveniente). Art. 169: É o dispositivo-síntese da governança das contratações, determinando que elas se submetam a práticas contínuas e permanentes de gestão de riscos e de controle preventivo, com a estrutura de linhas de defesa já detalhada no item 10.1. Lei nº 13.709, de 14 de agosto de 2018 (LGPD): Exige o Relatório de Impacto à Proteção de Dados Pessoais (RIPD), que é uma modalidade de avaliação de riscos focada em privacidade, e estabelece a obrigação de adotar medidas de segurança para proteger dados pessoais contra acessos não autorizados e incidentes (arts. 46 a 49). Lei nº 12.846, de 1º de agosto de 2013 (Lei Anticorrupção): Prevê que a existência de mecanismos e procedimentos internos de integridade, auditoria e incentivo à denúncia de irregularidades — ou seja, um sistema de gestão de riscos de compliance — seja considerada na aplicação das sanções administrativas (art. 7º, VIII). O Decreto nº 11.129, de 11 de julho de 2022 regulamenta atualmente essa lei no âmbito federal e detalha os parâmetros de avaliação de programas de integridade, reforçando a interface entre gestão de riscos de integridade e responsabilização de pessoas jurídicas. A Gestão de Riscos e a Jurisprudência do TCU O Tribunal de Contas da União, por meio de suas auditorias operacionais e levantamentos, tem sido um dos principais indutores da adoção da gestão de riscos na administração pública federal. Destaca-se: Acórdão nº 2.604/2018 – TCU – Plenário: O TCU realizou amplo levantamento para estimar o grau de exposição da Administração Pública Federal a riscos de fraude e corrupção, analisando 287 órgãos e entidades do Poder Executivo Federal, inclusive empresas estatais. A auditoria construiu um mapa de risco a partir da avaliação da implementação de cinco grupos de controles: Gestão da Ética e Programa de Integridade; Transparência e Accountability; Governança e Auditoria Interna; Gestão de Riscos e Controles Internos; e Designação de Dirigentes. O levantamento identificou 38 órgãos e entidades com elevado poder econômico e fragilidades "altas" ou "muito altas" nesses controles, recomendando a adoção de políticas sistemáticas de gestão de riscos e a implementação de controles preventivos. O TCU também realiza periodicamente o Levantamento do Índice Integrado de Governança e Gestão Pública (IGG) (cuja primeira edição consta do Acórdão nº 2.699/2018-Plenário), que avalia, entre outros quesitos, a maturidade da gestão de riscos nos órgãos federais. Constata-se que, embora tenha havido evolução normativa, a implementação prática da gestão de riscos ainda é um desafio significativo na maioria dos órgãos públicos brasileiros. Correlação com o Direito Administrativo Sancionador A ausência de uma gestão de riscos adequada não é apenas uma falha gerencial; pode ter consequências jurídicas. É crucial compreender, contudo, os limites da responsabilização, especialmente após a profunda reforma operada pela Lei nº 14.230, de 25 de outubro de 2021, na Lei de Improbidade Administrativa (Lei nº 8.429/1992). A reforma eliminou a modalidade culposa de improbidade administrativa. A partir da vigência da Lei 14.230/2021, a responsabilização por ato de improbidade exige, obrigatoriamente, a comprovação de dolo — a vontade livre e consciente de alcançar o resultado ilícito. A mera negligência, ainda que grave, não é mais suficiente para configurar improbidade. O Supremo Tribunal Federal, no julgamento do ARE 843.989 (Tema 1.199 da Repercussão Geral, relatoria do Ministro Alexandre de Moraes), fixou tese confirmando essa exigência de dolo e enfrentando, especificamente, a questão da retroatividade da Lei 14.230/2021. A Corte assentou que a comprovação do elemento subjetivo dolo é necessária para a tipificação dos atos de improbidade (arts. 9º, 10 e 11 da LIA) e que a norma benéfica que extinguiu a modalidade culposa aplica-se aos atos de improbidade culposos praticados sob a vigência do texto anterior, desde que ainda não tenha havido condenação transitada em julgado — ou seja, a retroatividade em benefício do agente alcança os processos em curso, mas não atinge a coisa julgada já formada. Na prática, isso significa que: Um gestor que intencionalmente ignora a matriz de riscos e assina um contrato superfaturado, ciente da irregularidade, pratica ato doloso e pode ser responsabilizado por improbidade administrativa. Um gestor que, por negligência ou despreparo, deixa de atualizar a matriz de riscos e, por conta dessa omissão não intencional, sofre um prejuízo financeiro, não comete, em regra, improbidade administrativa. Sua conduta poderá configurar infração funcional (nos termos da Lei nº 8.112/1990) ou gerar responsabilidade civil pelo dano causado, mas não improbidade. A jurisprudência do Superior Tribunal de Justiça, ao interpretar a nova lei, tem reforçado que o dolo exigido é o dolo específico, ou seja, a vontade dirigida a praticar a conduta e a alcançar o resultado ilícito, não bastando o dolo genérico (mera assunção do risco) para as hipóteses de violação a princípios (art. 11 da LIA). Portanto, a gestão de riscos é ferramenta indispensável para a boa governança e para a prevenção de falhas, mas a sua não adoção, por si só, não configura automaticamente improbidade administrativa. O que a jurisprudência atual exige, para a configuração do ilícito, é a demonstração cabal do elemento subjetivo doloso. Exercícios: De acordo com a ISO 31000:2018, como é definido o conceito de risco? Qual dos seguintes componentes faz parte da estrutura do COSO ERM 2017? No contexto da gestão de riscos, qual é a importância de se estabelecer apetite ao risco? Qual é a função da matriz de probabilidade x impacto na gestão de riscos? De acordo com o modelo das 3 linhas de defesa, qual é a função da 2ª linha? Qual norma estabelece diretrizes sobre a governança, gestão de riscos e controles internos no setor público brasileiro?