Gestão de riscos no setor público – Gestão Governamental e Métodos Aplicados

Conceito de risco, COSO ERM, ISO 31000, processo de gestão de riscos, três linhas de defesa e Decreto 9.203/2017.

<h2>Gestão de Riscos no Setor Público</h2> Risco é o efeito da incerteza sobre os objetivos (ISO 31000). Pode ser positivo (oportunidade) ou negativo (ameaça). Gestão de riscos é o conjunto coordenado de atividades para dirigir e controlar a organização em relação aos riscos. <h3>Marcos normativos no Brasil</h3> <ul> <li>IN Conjunta MP/CGU 01/2016 — primeira norma a exigir gestão de riscos, controles internos e governança nos órgãos do Poder Executivo Federal;</li> <li>Decreto 9.203/2017 — Política de Governança da Administração Pública Federal direta, autárquica e fundacional. Define princípios (capacidade de resposta, integridade, confiabilidade, melhoria regulatória, prestação de contas, transparência) e diretrizes (gestão de riscos, controles internos, integridade);</li> <li>Decreto 11.529/2023 — Sistema de Integridade Pública do Poder Executivo Federal;</li> <li>TCU — Referencial Básico de Gestão de Riscos (RBGR);</li> <li>CGU — Manual de Gestão de Integridade, Riscos e Controles Internos da Gestão.</li> </ul> <h3>Modelos internacionais de referência</h3> <h4>COSO ERM (2017)</h4> O Committee of Sponsoring Organizations of the Treadway Commission, em sua versão atualizada de 2017 (Enterprise Risk Management — Integrating with Strategy and Performance), organiza a gestão de riscos em 5 componentes e 20 princípios: <ol> <li>Governança e cultura;</li> <li>Estratégia e definição de objetivos;</li> <li>Desempenho (identificação, avaliação, priorização e resposta a riscos);</li> <li>Análise crítica e revisão;</li> <li>Informação, comunicação e divulgação.</li> </ol> O COSO original (1992 / 2013) cobre controles internos com 5 componentes (Ambiente de controle, Avaliação de riscos, Atividades de controle, Informação e comunicação, Atividades de monitoramento) — não confundir com o COSO ERM. <h4>ISO 31000:2018</h4> Norma técnica internacional sobre gestão de riscos. Estrutura: <ul> <li>Princípios (8): integrada, estruturada, customizada, inclusiva, dinâmica, melhor informação disponível, fatores humanos e culturais, melhoria contínua;</li> <li>Estrutura (framework): liderança e comprometimento, integração, concepção, implementação, avaliação, melhoria;</li> <li>Processo de gestão de riscos: comunicação e consulta, escopo/contexto/critérios, identificação, análise, avaliação, tratamento, monitoramento e análise crítica, registro e relato.</li> </ul> <h3>Processo de gestão de riscos (etapas)</h3> <ol> <li>Identificação — listar eventos potencialmente impactantes (técnicas: brainstorming, análise SWOT, listas de verificação, entrevistas, workshops);</li> <li>Análise — entender natureza, causas e fontes do risco;</li> <li>Avaliação — combinar probabilidade e impacto (ex.: matriz 5x5) para priorizar;</li> <li>Tratamento — escolher resposta (4T): tolerar, tratar (mitigar), transferir (seguro/terceirização), terminar (eliminar). Alguns autores acrescentam aceitar e compartilhar;</li> <li>Monitoramento e análise crítica — acompanhar a evolução dos riscos e a eficácia dos controles;</li> <li>Comunicação e consulta — atravessa todas as etapas.</li> </ol> <h3>Apetite e tolerância ao risco</h3> <ul> <li>Apetite a risco — quantidade ampla de risco que a organização está disposta a assumir para alcançar seus objetivos;</li> <li>Tolerância — variação aceitável em relação a metas específicas;</li> <li>Capacidade de risco — quantidade máxima de risco que a organização suporta antes de comprometer sua viabilidade.</li> </ul> <h3>Tipologia de riscos</h3> <ul> <li>Estratégicos — afetam objetivos de longo prazo;</li> <li>Operacionais — falhas em processos, pessoas, sistemas;</li> <li>Financeiros — orçamentários, de mercado, de crédito;</li> <li>de Conformidade (compliance) — descumprimento de normas;</li> <li>de Imagem/reputação;</li> <li>Fiscais e legais;</li> <li>de Integridade — fraude, corrupção, conflito de interesses;</li> <li>Cibernéticos.</li> </ul> <h3>As Três Linhas de Defesa (modelo IIA — atualizado em 2020)</h3> <ul> <li>1ª linha — gerentes operacionais e equipes finalísticas: identificam, avaliam e tratam riscos no dia a dia;</li> <li>2ª linha — funções de monitoramento de riscos e conformidade (controles internos, gestão de riscos corporativa, integridade);</li> <li>3ª linha — auditoria interna: avaliação independente da eficácia das duas anteriores;</li> <li>Acima delas: órgão de governança (alta administração, conselho); fora: auditoria externa (TCU/CGU).</li> </ul> <h3>Matriz de risco e mapa de calor</h3> Ferramenta visual para priorização: eixo X = probabilidade; eixo Y = impacto; cores indicam nível (verde, amarelo, vermelho). Permite focar tratamento nos riscos críticos (alto impacto + alta probabilidade). <h3>Riscos x Oportunidades</h3> A norma ISO 31000 e o COSO ERM enfatizam que risco não é só ameaça: o tratamento pode envolver aproveitar ou buscar riscos positivos (oportunidades). Esse aspecto é frequentemente ignorado em prova. <h3>Para a prova</h3> <ul> <li>Risco = efeito da incerteza sobre objetivos (ISO 31000); pode ser positivo ou negativo.</li> <li>Marcos brasileiros: IN MP/CGU 01/2016, Decreto 9.203/2017, Decreto 11.529/2023.</li> <li>COSO ERM (2017): 5 componentes, 20 princípios. COSO controles internos: 5 componentes (não confundir).</li> <li>ISO 31000:2018: princípios, estrutura, processo.</li> <li>4T: Tolerar, Tratar, Transferir, Terminar.</li> <li>Três Linhas de Defesa: gestão operacional → funções de risco/compliance → auditoria interna.</li> <li>Apetite ≠ tolerância ≠ capacidade de risco.</li> </ul>