3º Roteiro de estudo

Site: TCU Moodle Site Impresso por: RAFAEL HARTUIQUE GUILHERME

PNPC – Prevenção à Corrupção. Controles Data: quinta, 20 Jul 2023, 13:20
Curso:
Preventivos
Livro: 3º Roteiro de estudo
 Índice

Apresentação do tópico

3ª Unidade: Avaliação, Tratamento, Monitoramento e Comunicação dos riscos para a Integridade

3.1 Análise dos riscos
3.2 Avaliação de riscos
3.3 Tratamento dos riscos
3.4 Monitoramento e comunicação
3.5 Estudo de caso
3.6 Considerações finais
3.7 Referência
 Apresentação do tópico

Assista ao vídeo do Prof. Tiago Modesto com a apresentação da nossa terceira aula.

Objetivos da aprendizagem:

Ao final do texto, você será capaz de entender as formas e a importância de avaliar, tratar, comunicar e monitorar os riscos de
integridade.
 3ª Unidade: Avaliação, Tratamento, Monitoramento e
Comunicação dos riscos para a Integridade

Introdução

No último texto abordamos o funcionamento de um sistema de gestão de riscos, as responsabilidades envolvidas e a

forma de identificação dos riscos de integridade.

Neste texto, iniciaremos os estudos debatendo formas de avaliar os riscos de integridade tendo em vista o apetite a riscos da
organização e/ou departamentos em relação ao processo analisado.

A análise dos riscos envolve a estimativa da probabilidade e da consequência de um risco antes e após as medidas gerenciais
destinadas a mitigá-los.

A ISO 31000 define avaliação de riscos como o processo de comparar os resultados da análise de riscos com os critérios de
risco para determinar se o risco é aceitável ou tolerável.

Já o apetite ao risco é justamente essa tolerância, ou seja, o nível de risco que a organização está disposta a aceitar.

Devemos lembrar que a instituição de medidas de controle tem um custo considerável associado a elas, devendo a organização
definir sua melhor relação custo-benefício, considerando o que está disposta a aceitar.

O tratamento de riscos envolve as ações ou medidas de controle adicionais para evitar, mitigar ou transferir os riscos de
integridade mais relevantes.

Por fim, a comunicação com as partes interessadas tanto da gestão de riscos como da evolução dos riscos deve ser feita em
todas as fases do processo de gestão, enquanto o monitoramento representa as atividades de atualização tanto do sistema de
gestão quanto da situação dos riscos em si.

Fonte: Pexels
 3.1 Análise dos riscos

Análise dos Riscos

Uma vez catalogados os riscos, quem está conduzindo o trabalho pode cuidar da valoração dos riscos em função de
probabilidade de ocorrência e da severidade de seus impactos nos objetivos do processo ou da organização.

Existem diversas maneiras para diminuição da subjetividade dessa avaliação, como a atribuição por um grupo de especialistas
ou a própria equipe responsável pelos processos de trabalho, análise de causa e efeito, brainwriting etc.

O importante é que os avaliadores dos riscos entendam bem a precisão e a complexidade requerida para sua organização e
processos de trabalho.

Não vamos entrar em detalhes sobre isso, pois a equipe pode escolher a técnica de sua preferência.

Aqui vamos nos ater mais a exemplos de escalas e conceitos importantes para que você possa realizá-lo em sua organização.

Já foi dito algumas vezes aqui que o risco pode ser medido pelo produto de sua probabilidade e seu impacto sobre os objetivos.

O TCU define o impacto como a grandeza que mede o potencial comprometimento do objetivo/resultado da organização ou do
processo analisado.

Já a probabilidade é definida como a chance de o evento ocorrer dentro do prazo previsto para se alcançar o objetivo/resultado
da organização ou do processo.

A Secretaria de Planejamento do TCU utiliza as seguintes escalas, com amplitude de até 5 (cinco) níveis.

Escala de probabilidade (1 a 5):

1 - raro: acontece apenas em situações excepcionais. Não há histórico conhecido do evento ou não há indícios que sinalizem sua
ocorrência.

2 - pouco provável: o histórico conhecido aponta para baixa frequência de ocorrência no prazo associado ao objetivo.

3 - provável: repete-se com frequência razoável no prazo associado ao objetivo ou há indícios que possa ocorrer nesse horizonte.

4 - muito provável: repete-se com elevada frequência no prazo associado ao objetivo ou há muitos indícios que ocorrerá nesse
horizonte.

5 - praticamente certo: ocorrência quase garantida no prazo associado ao objetivo.

Escalas de impacto (1 a 5):

1 - muito baixo: compromete minimamente o atingimento do objetivo; para fins práticos, não altera o alcance do objetivo/resultado.

2 - baixo: compromete em alguma medida o alcance do objetivo, mas não impede o alcance da maior parte do objetivo/resultado.

3 - médio: compromete razoavelmente o alcance do objetivo/resultado.

4 - alto: compromete a maior parte do atingimento do objetivo/resultado.

5 - muito alto: compromete totalmente ou quase totalmente o atingimento do objetivo/resultado.

O resultado da análise dos riscos, obtido pelo produto da probabilidade pelo impacto, pode ser representado graficamente.
 Fonte: TCU/Seplan

Como já ressaltado anteriormente, a escala depende do nível de detalhamento e precisão requerido pela organização ou
processo de trabalho.

Dependendo do processo ou da organização, a matriz pode ter menos subdivisões, a exemplo de uma matriz 3x3 ou mais
subdivisões, como uma matriz 10x10, escolha aquela que mais se adaptar ao seu caso.

Fonte: curso “Focando nos riscos relevantes” ISC/TCU

O que importa é que os riscos estejam enquadrados na escala, para que a equipe possa representar as estimativas para os
tomadores de decisão.

Uma vez analisados os riscos antes do controle, é hora de analisarmos as medidas tomadas pelo gestor para diminuir a
probabilidade e/ou o impactos de uma quebra de integridade para chegarmos ao risco residual.

A CGU define risco residual como aquele a que uma organização está exposta mesmo após a implementação de ações
gerenciais para tratamento dos riscos.

Mas como estimamos o risco residual na prática?

A avaliação dos controles envolve a verificação do desempenho dos controles e fecha o ciclo de estudos direcionados a
entender quais são os riscos residuais do objeto (aqueles não foram devidamente tratados).

Você pode utilizar a Matriz de Riscos e Controles, peça também recomendada no Manual de Riscos de Integridade da CGU,
para sistematizar as informações sobre a análise dos riscos e sua avaliação.

Vamos adotar aqui um modelo alterado a partir do disponibilizado no curso Avaliação de Controles Internos do TCU.
 Fonte: Alterado do curso “Focando nos riscos relevantes” ISC/TCU

Área ou Agente: Área ou agente responsável pela atividade de execução (aquela que agrega valor para o cumprimento dos
objetivos do objeto), indicada na coluna seguinte.

Atividades Relevantes: Nome ou descrição da atividade (subprocesso, atividade, tarefa ou etapa do processo), que agrega
valor ao cumprimento dos objetivos do objeto.

Objetivos da Atividade: Descrição dos objetivos-chave da atividade.

Riscos: Identificação dos eventos de risco que podem impedir ou dificultar o alcance dos objetivos da atividade. Uma mesma
atividade pode estar sujeita a vários riscos (estratégicos, operacionais, comunicação, conformidade) e a diversos tipos de
impactos (custo, prazo, qualidade, escopo, imagem).

Valoração do Risco: Probabilidade, consequência e nível de risco decorrente, resultante da avaliação realizada em conjunto
com gestores e operadores do processo.

Descrição das Atividades de Controle: Descrição das atividades de controle existentes para prevenir ou detectar a
materialização dos eventos de risco identificados. Descreva nesta coluna tanto os controles em nível de entidade que
impactam nas atividades do objeto quanto aqueles desenhados especificamente para elas (provavelmente já constem dos
mapas de processo).

Responsável pelas Atividades de Controle: Áreas ou agentes responsáveis pela execução das atividades de controle.

Eficácia dos controles: Coluna destinada a decisão da equipe quanto à avaliação do desempenho dos controles aplicados
pelos responsáveis na diminuição da probabilidade de eventos indesejáveis e mitigação de seus efeitos, caso ocorram.

Para descrever as atividades de controle e seus respectivos responsáveis, a medida mais rápida é o exame da documentação
que o institui e que orienta sua aplicação pelos responsáveis.

Porém, nem sempre o controle é documentado em manuais operativos ou normativos internos da organização, o que nos leva a
avaliar o desenho com base na descrição dos responsáveis por sua aplicação, o que pode ser feito por entrevistas, por
questionários ou por meio da observação direta de sua execução.

Outra maneira de se avaliar os controles é observando o passado para contabilizar a quantidade de vezes que a situação de
risco ocorreu ou mesmo se continua ocorrendo no presente.

A equipe pode utilizar uma escala para classificar os controles instituídos, a exemplo do que foi feito para os riscos inerentes.
Inexistente: não existe medida de mitigação dos riscos ou o controle instituído foi mal projetado ou mal implementado, não afetando os
riscos inerentes da atividade chave analisada. Valor do Risco de Controle: 1,0.

Fraco: o controle analisado apresenta pouca influência sobre o risco inerente da atividade chave, tendo apresentado deficiências de
desempenho em diminuir a probabilidade do risco ou a severidade das consequências, pouco contribuindo para diminuir ocorrências
indesejadas. Valor do Risco de Controle: 0,8.

Mediano: o controle analisado contribui para mitigar o risco inerente da atividade chave, porém não contempla todos os aspectos
relevantes ou apresenta consideráveis ineficiências em sua aplicação. Valor do Risco de Controle: 0,6.

Satisfatório: o controle analisado está adequadamente implementado e mitiga o risco inerente da atividade chave analisada, porém
possui espaços para melhorias em seu desenho ou aplicação. Valor do Risco de Controle: 0,4.

Forte: o controle analisado está implementado e mitiga o risco em todos os seus aspectos relevantes, sendo suportado por
ferramentas adequadas, podendo ser considerado um exemplo de "melhores práticas". Valor do Risco de Controle: 0,2.

Com base nesse valor, o avaliador do risco pode chegar a uma estimativa de valor do risco residual, multiplicando o valor do
risco inerente pela eficiência dos controles.

Suponha numa escala de 25 (matriz 5x5) de risco inerente que o controle que atua sobre o processo analisado seja classificado
como “Forte”.

Neste caso o risco residual será o produto de 25 por 0,2, ou seja, 5.

Você já sabe, mas não custa lembrar, esses valores não devem ser interpretados como representações absolutas e precisas da
realidade, mas como ilustração de um conceito de que bons controles podem diminuir a grandeza de riscos extremos.

Mais à frente vamos trazer um exemplo para ilustrar a análise e a avaliação dos riscos.
 3.2 Avaliação de riscos

Avaliação de Riscos

Conforme já mencionamos, a ISO 31000 dispõe que a avaliação do risco envolve a comparação do seu nível com o limite de
exposição a riscos, a fim de determinar se o risco é aceitável.

A Secretaria de Planejamento do TCU estabelece que o limite de exposição (tolerância) a riscos representa o nível de risco
acima do qual é desejável o tratamento do risco.

Espera-se que, com os resultados do tratamento, o nível de risco real fique abaixo do limite de exposição.

Fonte: TCU/Seplan modificado a partir da Matriz de avaliação dos riscos (UK Orange Book 2004 – traduzido e adaptado).

No manual de riscos para integridade da CGU esse conceito é chamado de apetite ao risco que, como já mencionado também, é
definido como o nível de risco que uma organização está disposta a aceitar.

Devemos nos lembrar que, quanto menores os riscos, mais previsível é o resultado das atividades do objeto.

Porém, quanto mais previsível esse resultado, menor o nível de inovação, e inovação é sobrevivência em nosso tempo.

No caso dos riscos para a integridade, o gestor deve levar em conta os custos, que nunca devem estar acima de seus
benefícios, levando em conta inclusive os danos à imagem da organização ou da política pública.

O gestor tem a dura missão de equilibrar previsibilidade e inovação, benefícios e custos, dosando adequadamente seu apetite a
risco, dentro dos limites normativos e legais.

Cabe aos responsáveis pela avaliação do risco entenderem o apetite dos responsáveis ao risco, verificar se estão dentro dos
limites traçados pela alta administração da organização e dentro das leis e normativos que o regem.

Com essa referência muito bem entendida, os avaliadores podem adotá-la para avaliar o efeito dos controles instituídos na
diminuição da probabilidade de ocorrências indesejadas e na mitigação das consequências, caso aconteçam.

A gradação dos riscos residuais deve levar em conta o apetite ao risco, conforme sugestão da tabela a seguir:

Fonte: Alterado do curso “Focando nos riscos relevantes” ISC/TCU

Que tal um exemplo de risco de quebra de integridade para ilustrar o processo de análise de riscos?
Vamos partir do exemplo reproduzido do curso de Auditoria ministrado pelo TCU.

Imagine que sua equipe está estudando os controles instituídos para evitar o desvio de combustíveis na frota de determinada
organização.

Baseados nos estudos preliminares, entrevistas, análise dos valores gastos anualmente com combustíveis e no tamanho e na
dispersão da frota, sua equipe tenha chegado a um valor de 80 (risco extremo) para o risco inerente relacionado com a atividade
de abastecimento de veículos em relação ao evento indesejado (desvio de valores destinados a combustíveis).

Suponha que os responsáveis, cientes deste risco, contrataram um sistema de controle de frotas que localiza geograficamente o
veículo e as rotas percorridas, relaciona o consumo de combustível com a quilometragem e emite sinais de alerta em caso de
distorções neste coeficiente em um sistema informatizado.

Além disso, o abastecimento é feito com um cartão individual ao motorista para abastecimento apenas em postos credenciados,
com limite proporcional às estimativas mensais de gasto de cada veículo.

A equipe, ao analisar o desenho e as ferramentas de controle, além do histórico de desempenho do controle instituído, pode
chegar à conclusão de que os controles são fortes, diminuindo decisivamente a probabilidade que o desvio de combustíveis
ocorra.

Após a aplicação dos controles, o risco inerente, classificado como extremo, irá se transformar em um risco residual dentro da
zona verde do modelo proposto anteriormente, com um valor atribuído de 16 (80 de risco inerente x 0,2 de risco de controle) e,
portanto, dentro do apetite a risco assumido pela organização.

Fonte: Alterado do curso “Focando nos riscos relevantes” ISC/TCU

Mais uma vez chamamos a atenção de que o racional aplicado aqui é apenas um modelo para ordenar, justificar e documentar
as decisões tomadas dentro do processo de gestão de riscos.

As aproximações quantitativas e modelos de decisão jamais devem substituir o julgamento profissional dos avaliadores, mas
servir apenas de referência para a adoção de um modelo.
 3.3 Tratamento dos riscos

Tratamento dos Riscos

No momento em que a organização inicia a sequência de passos para a instituição de um sistema de gestão de riscos, em geral,
já existe uma série de riscos ativos e controles instituídos.

Nas etapas anteriores, vimos maneiras de identificar os riscos para a integridade, analisá-los e avaliá-los.

De posse de um rol de riscos residuais, aqueles que não possuem medidas de controle suficientes para reduzir o seu nível a um
patamar dentro do apetite ao risco, podemos pensar em medidas de tratamento adicionais.

De acordo com a ISO 31000, o tratamento de riscos é o processo para modificar o risco, ou seja, diminuir a probabilidade de que
ocorra e/ou os impactos de suas possíveis consequências para a organização ou para o processo, caso venha a ocorrer.

Essa modificação se dá pela instituição de medidas de resposta ao risco que mitiguem, transfiram ou evitem esses riscos.

Fonte: TCU/Seplan.

As etapas de análise e avaliação dos riscos vão dar aos responsáveis pelos riscos a ideia de quais riscos devem ser priorizados.

O GAO, equivalente ao TCU nos Estados Unidos, mostra um gráfico que ilustra as medidas a serem tomadas na gestão de
riscos em função de sua probabilidade e impacto.

A partir daí, a equipe pode registrar as possíveis medidas de resposta aos riscos, a viabilidade de implementação dessas
medidas, decidir quais serão implementadas e incluí-las no planejamento institucional da organização.

Da mesma forma como feito nas etapas anteriores, podem ser utilizadas técnicas/ferramentas que permitam a identificação da
maior quantidade de medidas de resposta ao risco, tais como brainstorming, brainwriting, entrevistas, visitas técnicas, pesquisas
etc.

Os passos para o desenho e a implementação de uma estratégica contra riscos de integridade podem ser resumidos em:

1. Estabelecer as respostas aos riscos de integridade e documentar a estratégia baseada nos níveis de risco identificados;
2. Desenhar e implementar controles específicos para prevenir e detectar eventos de fraude e corrupção;
3. Desenvolver um plano detalhando como o programa de integridade irá responder aos eventos de fraude e corrupção em
cada instância;
4. Colaborar com as partes interessadas nos processos de trabalho e criar incentivos para a implementação efetiva das
 medidas antifraude e anticorrupção.

O GAO coloca algumas categorias de medidas e boas práticas para prevenção e mitigação de eventos de fraude e corrupção em
nível organizacional, que podemos explorar um pouco mais.

As atividades de análise de dados compreendem a utilização de técnicas de mineração de dados e tratamento de dados e
podem permitir que sejam identificadas a ocorrência de pagamentos impróprios ou a iminência de sua ocorrência.

Essas medidas não precisam ser extremamente complexas ou custosas para serem implementadas.

Uma secretaria de educação de um município pequeno, por exemplo, pode combater o desvio de combustíveis com uma planilha
do tipo Excel que relacione rotas usuais, médias de quilometragem, consumo médio dos veículos e identificação de condutores.

As atividades de conscientização contra fraude e corrupção compreendem treinamentos específicos para que os gestores e
funcionários possam identificar mais facilmente potenciais esquemas na organização.

Esses treinamentos podem ocorrer internamente e externamente, aumentando a cultura da integridade na instituição e
prevenindo e impedindo eventos de fraude e corrupção.

Mesmo que a organização não tenha grandes verbas para promoção de treinamentos formais, reuniões que abordem o assunto,
distribuição de folhetos informativos e envio de e-mails institucionais são exemplos de medidas de baixo custo e que ajudam
muito a deixar gestores preventos de esquemas de corrupção.

A instituição e o fortalecimento de mecanismos de denúncia incluem os canais de denúncia, a política de preservação de

identidade do denunciante (whistleblower policies) e outros mecanismos para captação de ocorrências de pagamentos de
propinas.

Apesar de um canal de denúncia representar um investimento pesado em uma pequena prefeitura ou em organizações públicas
menores, o custo-benefício é muito favorável, sobretudo quando o canal é amplamente divulgado nos diversos ambientes de
interação interna e externa.

Esses canais mecanismos de denúncia ajudam a dissuadir indivíduos de se envolver em atividades de fraude e corrupção, se
esses mecanismos ajudarem a aumentar a sensação de que as fraudes serão descobertas, relatadas e punidas
adequadamente.

Para diminuição dos custos de aquisição de sistemas e gerenciamento, a CGU oferece o Fala.BR para instituições estaduais,
municipais ou entidades do serviço social autônomo, cujas informações constam na página da CGU na internet (clique aqui).
 Fonte: pexels

Já as atividades de promoção da integridade compreendem todas aquelas que ajudam os gestores a estabelecerem uma
cultura que favoreça a gestão dos riscos de fraude e corrupção.

Algumas medidas simples e de relativo baixo custo podem ajudar qualquer organização:

• Realização de verificações de antecedentes, para rastrear os funcionários quanto a problemas de integridade, incluindo futuros
funcionários e funcionários em cargos de confiança ou que representem um risco de fraude;
• Adaptação da triagem de funcionários conforme o nível de riscos de cada função exercida, principalmente relações anteriores.
Colocar um funcionário recém-saído da indústria farmacêutica para gerenciar a compra de medicamentos, por exemplo, pode
não ser uma boa ideia;
• Desenvolvimento e comunicação dos padrões de conduta que se apliquem a todos os funcionários incluindo expectativas de
comportamento e respostas da organização para violações desse padrão.

Além dessas medidas mais estruturante, que podemos chamar de controles em nível de entidade, é importante que sejam
tratados os riscos mais importantes ligados aos principais processos de trabalho e atividades chave da instituição, conforme as
avaliações de riscos de integridade empreendidas.

Vimos na parte de identificação dos riscos, que um evento que pode levar a uma quebra de integridade pode ter várias causas e
várias consequências, que podemos representar num diagrama de bow-tie (gravata borboleta).

Podemos representar essas causas e efeitos em uma tabela para que possamos pensar em medidas preventivas ou mitigatórias
para cada uma das causas ou consequências colecionadas.
 Fonte: Seplan/TCU.

São exemplos de medidas para diminuir a quantidade de eventos de quebra de integridade ou mitigar suas consequências:

• Instituição de Controles em áreas sensíveis;

• Redesenho e simplificação de processos;
• Realocação de pessoas;
• Capacitação;
• Redesenho de funções com diluição de poder;
• Implementação de soluções de TI etc.

A CGU apresenta um rol exemplificativo de medidas para tratamento de riscos para a integridade em seu manual de riscos para
a integridade, conforme reproduzido a seguir:

Fonte: Manual de Riscos para a integridade, CGU.

Conforme o passo a passo disponibilizado pela CGU nesta etapa, para cada risco priorizado, as medidas devem ser
documentadas e constar com o tratamento a ser dado, o responsável por cada ação, o prazo para implementação e a situação
atualizada de cada ação a ser tomada.
 3.4 Monitoramento e comunicação

Monitoramento e Comunicação

A ISO 31000 coloca que o monitoramento compreende o acompanhamento e a verificação do desempenho ou da situação de
elementos da gestão de riscos, podendo abranger a política, as atividades, os riscos, os planos de tratamento de riscos, os
controles e outros assuntos de interesse.

Já a comunicação refere-se à identificação das partes interessadas e ao compartilhamento de informações relativas à gestão de
riscos sobre determinado objeto, observada a classificação da informação quanto ao sigilo.

O Guia Metodológico de Gestão de Riscos de Processos da Controladoria de Minas Gerais coloca como finalidades do
monitoramento:

a) detectar mudanças no contexto externo e interno, incluindo alterações nos critérios de risco e no próprio risco, que podem
requerer revisão dos tratamentos atualmente adotados e suas prioridades, e levar à identificação de riscos emergentes;

b) obter informações adicionais para melhorar a política, a estrutura e o processo de gestão de riscos;

c) analisar eventos - incluindo os “quase incidentes”, mudanças, tendências, sucessos e fracassos e aprender com eles; e

d) garantir que os controles sejam eficazes e eficientes no desenho e na operação.

Já a comunicação durante todas as etapas e atividades do processo de gestão de riscos tem como finalidades, segundo o Guia:

a) auxiliar a estabelecer o contexto apropriadamente e assegurar que as visões e percepções das partes interessadas, incluindo
necessidades, suposições, conceitos e preocupações sejam identificadas, registradas e levadas em consideração;

b) auxiliar a assegurar que os riscos sejam identificados e analisados adequadamente, reunindo áreas diferentes de especialização;

c)garantir que todos os envolvidos estejam cientes de seus papéis e responsabilidades, e avalizem e apoiem o tratamento dos
riscos. (TCU, 2017).

Mas como realizar essas atividades na prática e no dia a dia da organização?

A organização pode efetuar o monitoramento em três dimensões:

• Monitoramento do Sistema de Gestão de Riscos da organização;

• Implementação e resultados do tratamento de riscos; e
• Adaptação das atividades de gestão de riscos e comunicação das atividades de monitoramento.
 Fonte: Pexels

A primeira dimensão do monitoramento compreende todos os componentes do sistema de gestão de riscos de integridade.

Nessa dimensão a entidade deve monitorar e avaliar a eficácia das atividades preventivas, incluindo a diminuição da
probabilidade e/ou dos impactos de eventos de fraude e corrupção, bem como dos controles para detectar essas situações e os
esforços após sua detecção.

Esse monitoramento pode ser feito por coleta e análise de dados, incluindo dados de relatórios sobre eventos de fraude e
corrupção detectadas durante o ciclo de implementação do sistema para verificação de possíveis deficiências nos controles
instituídos.

Em outras palavras, quando uma fraude ocorrer, deve-se estudar porque ela ocorreu e se houve falha ou necessidade de ajustes
nas respostas projetadas anteriormente.

Nessa dimensão, os responsáveis por atividades específicas de gerenciamento de risco de integridade devem ser envolvidos no
monitoramento e na avaliação do sistema.

Na segunda dimensão, devemos verificar os produtos gerados pela implementação do sistema de gestão de riscos, para
avaliar seus resultados.

O mais interessante é que a organização consiga ter alguma unidade de medida ou indicador para mensurar a geração dos
produtos do sistema.

Como transformar as ações do sistema em produtos verificáveis pode ser bastante desafiadora, o sistema pode ser avaliado
verificando até que ponto os gestores seguem as atividades que foram inseridas no plano de ação construído e documentado na
etapa de tratamento dos riscos.

A Controladoria do Estado de Minas Gerais utiliza o modelo reproduzido a seguir para ajudar nesta tarefa:
A terceira dimensão envolve adaptar as atividades de gestão de riscos e comunicar os resultados do monitoramento.

Os gestores de riscos da organização devem usar os resultados do monitoramento para melhorar o desenho e a implementação
do risco de quebra de integridade, bem como análises e relatórios das instâncias relacionadas à integridade para melhorar as
atividades de gerenciamento de riscos de fraude e corrupção.

Exemplos dessas instâncias são as comissões de ética, responsáveis pela política antifraude, corregedoria, controle ou auditoria
interna etc.

Outra fonte valiosa de informações é o uso de informações de investigações e processos de correção para melhorar atividades
de prevenção e detecção de situações de fraude e corrupção.

Por fim, a comunicação dos resultados dos monitoramentos e avaliações, incluindo as medidas corretivas tomadas para as
partes interessadas mais importantes é extremamente importante.

O manual de gestão de riscos para a Integridade da CGU dispõe que a IN MP/CGU nº 01/2016 ressalta que informações
relevantes devem ser identificadas, coletadas e comunicadas a tempo de permitir que as pessoas cumpram suas
responsabilidades.

As comunicações devem abranger dados produzidos internamente, além de informações sobre eventos, atividades e condições
externas que possibilitem o gerenciamento de riscos e a tomada de decisão.

A comunicação das informações produzidas deve atingir todos os níveis, por meio de canais claros e abertos que permitam que
a informação flua em todos os sentidos.

Segundo o Referencial de Combate a Fraude e Corrupção do TCU, o objetivo principal da comunicação é fazer com que
servidores, beneficiários de programas, usuários de serviços públicos, fornecedores e outras partes interessadas conheçam o
compromisso da organização em combater a fraude e a corrupção e em obter de todos o apoio efetivo a esse combate.

É recomendável que a organização tenha uma estratégia de comunicação documentada e que abranja, pelo menos, os
seguintes temas:

◦ Importância da política de gestão de riscos para a integridade para o alcance dos objetivos da organização;
◦ Disseminação da linguagem comum de riscos;
◦ Responsabilidades de cada um na gestão de riscos;
◦ Instruções sobre os procedimentos a serem tomados caso identifiquem atividades suspeitas;
◦ Divulgação dos resultados de fraude e corrupção detectados e punidos;
◦ Divulgação das sanções impostas a responsáveis por eventos de quebra de integridade;
◦ Divulgação de canal de denúncias e medidas de proteção ao denunciante;
 ◦ Custos da corrupção.

As formas e meios de comunicação devem ser avaliados em relação à sua efetividade, ao alcance de seus objetivos e buscar
uma relação custo-benefício adequada, podendo abranger por exemplo:

◦ Relatórios de gestão;
◦ Relatórios financeiros;
◦ Páginas internas de internet;
◦ Páginas externas de internet;
◦ E-mails institucionais;
◦ Campanhas;
◦ Reuniões temáticas;
◦ Workshops;
◦ Mídias locais e nacionais (em casos de programas governamentais).
 3.5 Estudo de caso

Vamos partir de outro risco hipotético na área de terceirização de mão de obra em um hospital público.

Suponha que a equipe responsável pela gestão de riscos da organização tenha que analisar o seguinte risco:

"Devido às empresas contratadas não realizarem o pagamento dos funcionários e/ou de seus tributos/encargos, poderá ocorrer
a interrupção de fornecimento dos serviços por paralisação de funcionários e/ou acionamento da administração pública na
justiça, o que poderá levar a deterioração da limpeza dos hospitais e/ou pagamentos adicionais não previstos em contrato, em
caso de condenação impactando em prejuízo financeiro, diminuição da qualidade dos serviços e riscos de imagem da secretaria
de saúde."

Neste caso, a própria sintaxe pode ter sido baseada em histórico conhecido de falta de pagamento de funcionários e/ou seus
tributos/encargos por parte das contratadas.

Imagine que neste caso, a informação foi retirada de relatórios da própria administração que a equipe tenha examinado durante
a fase de planejamento e que a equipe sabe que ocorreu em pelo menos 3 processos de um total de 30 que fazem parte do
escopo.

Podemos usar a escala seguinte, baseada no histórico do processo de trabalho:

Diante deste contexto, a equipe pode concluir, com base no histórico, que este risco pode receber uma classificação "Alta", uma
vez que ocorreu de forma importante recentemente, apesar de não parecer ter ocorrido em todos os contratos a serem
analisados mais detidamente durante a fase de execução.

Apenas apontar problemas que já ocorreram no passado tem sua utilidade para os usuários, porém é limitada, pois eventuais
prejuízos ou problemas importantes são difíceis de ser revertidos.

A grande vantagem do processo de gestão de riscos para a integridade é o de evitar situações indesejadas no futuro.

Utilizar o racional da sintaxe do risco e da valoração dos riscos irá ajudar a equipe não só a se guiar durante a etapa da
execução para evidenciar aqueles mais importantes e que devem se transformar em achados, mas também a utilizar a
probabilidade de que voltem a ocorrer no futuro.

Informações dos processos de trabalho em que o risco ocorre, colhidas durante o mapeamento, podem dar pistas para
estimarmos o que poderá acontecer no futuro, caso as estimativas de pessoal antes da contratação continuem imprecisas.

"(...) o que poderá levar a seleção de fornecedores de serviços de limpeza com dimensionamento insuficiente ou excessivo de
pessoal, impactando na diminuição da qualidade ou aumento dos custos relacionados aos serviços."

Imagine que o comando da auditoria já seja baseado nos registros de que houve interdição de hospitais da rede pela vigilância
sanitária, mas que a equipe não tenha ainda nenhuma notícia ainda sobre o superdimensionamento de quantitativos.

Usando essa tabela, podemos estimar, com base no passado, que o impacto pode ser classificado com "muito alto", já que a
interdição de um hospital inviabiliza os processos de trabalho destinados a cumprir os objetivos operacionais do hospital que
sofrer este tipo de intervenção.

No que se refere ao aumento de custos, a equipe terá que desenvolver um raciocínio para chegar lá também.

Neste caso, a equipe poderia escolher arbitrar como "alto", sendo conservadora, já que ainda na fase de planejamento só
podemos imaginar que sem uma maneira mais técnica para definir o quantitativo de mão de obra, há uma chance bastante
considerável de que erros de 20% ou mais para cima possam ocorrer em alguns dos contratos.

Como há duas avaliações de impactos dentro da mesma sintaxe ("alto" para custo e "muito alto" para escopo e qualidade),
podemos nos utilizar da que for maior.

Utilizando as alternativas de impacto e probabilidade escolhidas (muito alto e muito alto), chegamos à conclusão de que o risco é
extremo, conforme a matriz apresentada.
 3.6 Considerações finais

Finalizamos aqui as discussões sobre a gestão de riscos para a integridade, ressaltando que o texto não tem a pretensão de
esgotar o assunto, mas de fornecer uma boa base para que você possa implementá-la em sua organização.

Apesar da gestão de riscos para a integridade ser o coração de um programa de integridade e a base para instituição dos
controles preventivos, há outras providências, documentos e controles igualmente importantes que vamos debater nos textos
seguintes.

Até lá.
 3.7 Referência

CONTROLADORIA-GERAL DO ESTADO. Transparência. Guias, Cartilhas, Manuais e Formulários. Brasil, 24 jan de 2019.
Disponível em: https://cge.mg.gov.br/publicacoes/guias-cartilhas-e-manuais. Acesso em: 09 ago. 2022.

CONTROLADORIA-GERAL DO ESTADO DO AMAZONAS. Guia metodológico de Gestão de Riscos. Amazonas, set de 2021.
Disponível em: http://www.cge.am.gov.br/wp-content/uploads/2021/10/Guia-Metodologico-de-Gestao-de-Riscos.pdf. Acesso em:
09 ago. 2022.

COSO. Controle Interno – Estrutura Integrada. Traduzido por PWC. Brasil, maio de 2013. Disponível em:
http://www.escoladegoverno.ro.gov.br/wp-content/uploads/2019/11/COSO-I-ICIF_2013_Sumario_Executivo.pdf. Acesso em: 09
ago. 2022.

CONTROLADORIA-GERAL DO ESTADO. Programa de Integridade. Anexo único da resolução cge/mg. 2. Ed. Minas Gerais, n.
21, de jul de 2019. Disponível em: https://cge.mg.gov.br/phocadownload/arquivos_diversos
/2%20ed.%20Plano%20de%20Integridade%20CGE-MG.pdf. Acesso em: 09 ago. 2022.

GOVERNO FEDERAL. Programa de Integridade. Brasil, 2018. Disponível em: https://www.gov.br/cgu/pt-br/acesso-a-informacao

/governanca/programa-de-integridade-da-cgu/eixo-3-riscos-a-integridade. Acesso em: 09 ago. 2022.

TRIBUNAL DE CONTAS DA UNIÃO. Referencial de combate a fraude e corrupção: Aplicável a Órgãos e Entidades da
Administração Pública. 2. Ed. Brasil, set de 2018. Disponível em: https://portal.tcu.gov.br/data/files/A0/E0/EA/C7
/21A1F6107AD96FE6F18818A8/Referencial_combate_fraude_corrupcao_2_edicao.pdf. Acesso em: 09 ago. 2022.

THE INSTITUTE OF INTERNAL AUDITORS. Global. Modelo das três linhas do IIA: Uma atualização das Três Linhas de Defesa.
Flórida, jul de 2020. Disponível em: https://iiabrasil.org.br/korbilload/upl/editorHTML/uploadDireto/20200758glob-th-editorHTML-
00000013-20082020141130.pdf. Acesso em: 09 ago. 2022.

SOUZA, Jauile Rodrigues de. Direito Net. Artigos. Abuso de poder dos agentes públicos. Brasil, 15 de mar de 2021. Disponível
em: https://www.direitonet.com.br/artigos/exibir/12047/Abuso-de-poder-dos-agentes-publicos. Acesso em: 09 ago. 2022.

GOVERNO DO ESTADO DE SANTA CATARINA. Manual de gestão de riscos. 1 ed. Florianópolis, 2020. Disponível em:
https://cge.sc.gov.br/wp-content/uploads/2022/07/MANUAL-DE-GESTAO-DE-RISCOS-1a-versao-1.pdf. Acesso em: 09 ago.
2022.

MINISTÉRIO DA JUSTIÇA E SEGURANÇA PÚBLICA. Gestão de Riscos. Resolução CGE: Aprova o manual de gerenciamento
de riscos e controles internos no âmbito do Ministério da Justiça. n. 4. Brasil, 18 de jul de 2018. Disponível em: https://www.gov.br
/mj/pt-br/acesso-a-informacao/governanca/Gestao-de-Riscos/biblioteca/Resolucoes_CGE
/bs_n__127__de_18_de_julho_de_2018-somente-a-parte-da-girc.pdf/view. Acesso em: 09 ago. 2022.

GOVERNO DO ESTADO DE SANTA CATARINA. Guia de implementação da gestão de riscos na administração pública
catarinense. 1 ed. Florianópolis, 2020. Disponível em: https://cge.sc.gov.br/wp-content/uploads/2022/07/GUIA-de-
IMPLEMENTACAO-DE-GESTAO-DE-RISCOS.pdf. Acesso em: 09 ago. 2022.

CONSELHO NACIONAL DE JUSTIÇA. O que é nepotismo? São Paulo. Disponível em: https://www.cnj.jus.br/o-que-
e-nepotismo/. Acesso em: 09 ago. 2022.

BRASIL. Lei nº 12.813, de 16 de maio de 2013. Dispõe sobre o conflito de interesses no exercício de cargo ou emprego do Poder
Executivo federal e impedimentos posteriores ao exercício do cargo ou emprego; Brasília, DF: Presidência da República, 2013.
Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2013/lei/l12813.htm. Acesso em: 09 ago. 2022.