2º Roteiro de estudo

Site: TCU Moodle Site Impresso por: RAFAEL HARTUIQUE GUILHERME

PNPC – Prevenção à Corrupção. Controles Data: quarta, 19 Jul 2023, 14:13
Curso:
Preventivos
Livro: 2º Roteiro de estudo
 Índice

Apresentação do tópico

2ª Unidade: Identificação dos riscos para a integridade

2.1 Funcionamento de um Sistema de Gestão de Riscos e seu enfoque em integridade
2.2 Papéis e responsabilidades
2.3 Seleção e mapeamento de processos
2.4 Identificação de riscos
2.5 Estudo de caso
2.6 Considerações finais
2.7 Referências
 Apresentação do tópico

Assista ao vídeo do Prof. Tiago Modesto com a apresentação geral da segunda aula deste curso.

Objetivos de Aprendizagem:

Ao final do texto, você deverá entender:

• Como funciona um sistema de gestão de riscos e como dar foco na integridade;

• Quais são os papeis e as responsabilidades no gerenciamento de riscos para a integridade;
• Como selecionar e mapear os processos da organização para buscar riscos para a integridade; e
• Como identificar os riscos para a integridade na organização e nos seus processos de trabalho.
 2ª Unidade: Identificação dos riscos para a integridade

Introdução

No último texto discutimos a importância de um sistema de gerenciamento de riscos que tenha um

enfoque especial nos riscos para a integridade de uma organização.

Neste texto vamos entrar em detalhes sobre como funciona um sistema de gestão de riscos e a forma de
identificação e análise dos riscos a que uma organização pública está sujeita.
É importante lembrar que a gestão eficaz do risco ajuda não somente a coibir desvios financeiros em uma
instituição pública, mas ajuda também a garantir que programas governamentais possam cumprir seus
objetivos.
Alguns riscos não apresentam um prejuízo financeiro para os contribuintes, mas impactam diretamente na
sociedade.
Um exemplo disso é a abertura de empresas fraudulentas utilizando-se documentação falsa ou furtada, que
podem ser utilizadas para ocultar a verdadeira identidade do operador da empresa com potencial para ocultar
outros crimes como a lavagem de dinheiro.
 2.1 Funcionamento de um Sistema de Gestão de Riscos e seu
enfoque em integridade

Funcionamento de um Sistema de Gestão de Riscos e seu enfoque em integridade

O Decreto 9.203/2017 dispõe sobre a política de governança da administração pública federal, estabelecendo
como princípios da gestão de riscos:

• Implementação e aplicação de forma sistemática, estruturada, oportuna e documentada, subordinada ao

interesse público;
• Integração da gestão de riscos ao processo de planejamento estratégico e aos seus desdobramentos, às
atividades, aos processos de trabalho e aos projetos em todos os níveis da organização, relevantes para a
execução da estratégia e o alcance dos objetivos institucionais;
• Estabelecimento de controles internos proporcionais aos riscos, de maneira a considerar suas causas, fontes,
consequências e impactos, observada a relação custo-benefício;
• Utilização dos resultados da gestão de riscos para apoio à melhoria contínua do desempenho e dos
processos de gerenciamento de risco, controle e governança.

O objetivo de um sistema de gestão de riscos com enfoque na integridade é garantir que a organização ou
programa governamental mitigue a probabilidade e o impacto de ações que possam conduzir à fraude e à
corrupção, especialmente as situações exemplificadas no último texto.

O modelo de gestão de riscos publicado pelo GAO (agência equivalente ao TCU nos Estados Unidos) enquadra
o controle crítico das atividades para gerenciar riscos de fraude e corrupção em três categorias – prevenção,
detecção e resposta.

Já o Referencial de Combate a Fraude e Corrupção do TCU organiza esse controle em 5 mecanismos,

detalhando as atividades de resposta em 3 categorias, também interdependentes e que se reforçam
mutuamente:

• Prevenção – inclui a gestão da ética e da integridade, a instituição de controles preventivos e ações de

transparência;
• Detecção – inclui controles detectivos, canal de denúncias e atividades de auditoria interna;
• Investigação – inclui procedimentos de pré-investigação, execução da investigação e pós-investigação;
• Correção – inclui procedimentos a serem aplicados em casos de ilícitos éticos, administrativos, civis e penais;
e
• Monitoramento – inclui procedimentos de monitoramento contínuo e monitoramento geral.

A CGU trás outros aspectos relevantes a serem considerados durante a execução do processo de gestão de
riscos para a integridade:

• Pleno apoio e compromisso da alta direção;

• Engajamento de pessoas que garantam um panorama suficientemente completo do órgão/entidade e seus
riscos;
• Identificação e descrição dos riscos com o detalhamento necessário para sua análise;
• Avaliação dos riscos com base em uma apreciação realista de sua probabilidade e impacto;
• Documentação precisa;
• Revisão periódica;
• Comunicação efetiva que garanta o desenho de controles apropriados;
• Estabelecimento de mecanismos de supervisão/controle adequados;
• Adequação do processo à realidade do órgão/entidade;
• Compartilhamento de conhecimento e experiências com outros órgãos/entidades;
• Orientação para mudanças de mentalidade e estímulo ao comportamento íntegro na organização.

O funcionamento do Sistema de Gestão de Riscos depende da natureza e da abrangência do negócio da

organização e das características dos riscos a que está submetida.

No texto passado, citamos as fases necessárias para a implementação de um processo de gestão de riscos.

No que se refere especificamente à gestão de riscos para a integridade, a CGU sugere um conjunto de 6
passos:

1. Seleção e Estudo do Processo: consiste basicamente em identificar processos chave da organização

mais sujeitos a eventos de fraude e corrupção, reunindo sua documentação, descrição, objetivos gerais e
específicos, responsável e periodicidade de sua ocorrência;
2. Identificação dos riscos: consiste na identificação dos riscos associados aos processos selecionados na
etapa anterior, que podem levar a eventos de fraude e corrupção, comprometendo os objetivos
organizacionais;
3. Análise de riscos: consiste no processo de compreender a natureza do risco e determinar seu nível de
risco. Inicia-se com a identificação do risco inerente, aquele próprio do processo, que tem sua probabilidade
e seu efeito estimados sem considerar os controles instituídos e finaliza com a identificação dos riscos
residuais, que são aqueles que persistem mesmo após a aplicação dos controles;
4. Avaliação de riscos: consiste em avaliar se os riscos residuais são aceitáveis ou toleráveis de acordo com
o apetite ao risco da organização (nível de risco que uma organização está disposta a aceitar);
5. Tratamento de riscos: consiste no processo de transformação dos riscos que estão acima do apetite a
riscos, de forma a modificar sua probabilidade de ocorrência e/ou intensidade de suas consequências, o
que pode levar à transferência, à mitigação ou até à não realização da atividade que está associada a ele.
6. Comunicação e Monitoramento: consiste na comunicação e consulta às partes interessadas interna e
externamente nos processos, serviços e produtos da organização durante todo o processo de gestão de
riscos. Já o monitoramento consiste na verificação, supervisão e observação contínua do desempenho do
sistema de gestão de riscos e do comportamento dos riscos ao longo do ciclo definido para o
monitoramento.

A seguir, entraremos em mais detalhes sobre cada etapa do processo de gestão de riscos.
 2.2 Papéis e responsabilidades

Papeis e Responsabilidades

A política de Gestão de Riscos da instituição deverá definir as instâncias responsáveis pelo sistema como um
todo.

Apesar de ser recomendável que a gestão de riscos seja estabelecida e funcione dentro das estruturas
organizacionais já existentes, existem papeis fundamentais para o bom funcionamento do sistema, que são
sugeridos nos referenciais do TCU:

• Alta Administração: aprova modificações no sistema de gestão de riscos; define limite de tolerância a riscos;
toma decisões em relação a riscos estratégicos; e define responsáveis por riscos que não estejam claramente
vinculados a uma unidade organizacional ou gestor específico.
• Unidade Central do Sistema de Gestão de Riscos: assessora a alta administração; coordena a implantação
e operação do sistema; provê orientação e treinamento dos gestores de riscos; realiza estudos e propõe
revisões na política e no sistema; identifica riscos; e monitora riscos-chave periodicamente.
• Gestor de Riscos Nível Tático: coordena ações e provê a execução da política no setor a que se vincula;
atuar como promotor da gestão de riscos em sua área de atuação; prover informações à unidade central;
apoiar dirigentes e gestores na sua esfera de atuação; e gerenciar diretamente ou por delegação os riscos
associados a processos.
• Gestor de Riscos Nível Operacional: identifica objetos de gestão de risco sob sua responsabilidade;
descreve resultados e entregas sob seu comando; conduz o processo de gestão de riscos; e comunica ao
nível gerencial os resultados das avaliações de riscos nos objetos de gestão na sua responsabilidade.
• Auditoria Interna: avalia o sistema de gestão de riscos, principalmente quanto à adequação e suficiência dos
mecanismos de gestão de riscos estabelecidos, eficácia da gestão de riscos-chave e conformidade das
atividades executadas com a política.

Fonte: baseado no TCU/Seplan.

No que se refere aos riscos de integridade, a CGU adiciona a esse rol e destaca o papel da Unidade de Gestão
da Integridade – UGI, responsável pela coordenação da estruturação, execução e monitoramento do programa
de integridade, no âmbito dos órgãos e entidades da administração pública federal direta, autárquica e
fundacional.

A CGU destaca que a UGI apoiará a área responsável pela gestão de riscos na organização, fornecendo as
orientações necessárias para a compreensão do que são riscos para a integridade e quais são as medidas de
tratamento possíveis para mitigá-los.
 2.3 Seleção e mapeamento de processos

Seleção e Mapeamento dos Processos

Para que um processo de gestão de riscos seja bem-sucedido é necessário que a organização e os gestores
conheçam muito bem como os processos de trabalho são executados, em um grau de detalhe que permita
entender os riscos que atingem suas atividades principais.

No caso da gestão de riscos para integridade, os gestores devem conhecer aqueles processos mais sujeitos a
eventos que podem levar a casos de fraude e corrupção.

A CGU destaca algumas orientações para a escolha dos primeiros processos a serem mapeados e
documentados no processo de gestão de riscos:

· Há percepção de deficiências - em um processo com deficiências ficam ainda mais evidentes os benefícios
obtidos da adoção da gestão de riscos.

· Envolve número moderado de etapas - em um processo com menos etapas fica mais fácil a percepção
completa do processo para aqueles que irão participar da aplicação da metodologia.

· Não envolve grande diversidade de atores/áreas – em um processo envolvendo poucas áreas/atores, fica
mais fácil evitar polêmicas que decorram de diferentes interesses na condução do processo;

· Pertence a uma área sensível a riscos para a integridade – existem algumas áreas e processos mais
sensíveis a riscos para a integridade, que podem ser identificados a partir de normativos que trazem as
competências institucionais do órgão/entidade, seu regimento interno, organograma e documentos como o
planejamento estratégico.

Algumas das técnicas utilizadas para o levantamento e mapeamento dos processos são o brainstorming, análise
de documentação ou pesquisa, brainwriting, entrevista, workshop, questionário, observação direta, workshop
estruturado, conferência web, reprodução do processo, análise de vídeo, simulação de atividades, entre outras.

Não existe técnica ideal.

O importante é entender os seus usos, prós e contras, o momento adequado de sua aplicação e as maneiras
mais recomendadas de execução e combinação entre elas.

O objetivo aqui não é entrar em detalhes sobre cada técnica, mas proporcionar uma visão prática do processo
de levantamento e mapeamento de processos como um todo.

Aconselhamos que o levantamento de informações se inicie conversando com alguém que seja tido como
referência na organização em relação ao processo que será mapeado, com o objetivo principal de ter uma visão
geral desse processo, entender um pouco melhor as pessoas e departamentos envolvidos e buscar o nível de
documentação existente sobre ele.

Apesar de ser uma conversa mais livre, você pode montar um roteiro de entrevista não estruturado ou
semiestruturado que se tenha ao menos os assuntos mínimos a serem abordados, como: objetivos primários,
principais atividades, pessoas envolvidas, tecnologia utilizada e impressões gerais do interlocutor sobre o
processo mapeado.

Você pode, a partir dessa conversa, colecionar alguma documentação já existente sobre o processo.
 Fonte: curso “Focando nos riscos relevantes” ISC/TCU.

A primeira pergunta que devemos fazer é: como o processo de trabalho deveria ser?

Entender como o processo que estamos mapeando deveria ser a partir da documentação que o estabelece irá
nos ajudar a estarmos sempre atentos a situações que possam representar fatores de risco ao objeto durante a
interação com os executores do processo.

Nesta tarefa vamos encarar diversos tipos de situações, desde objetos que têm seus processos e produtos
completamente mapeados e representados em fluxogramas, com alto nível de detalhe, até objetos precários,
dependentes inteiramente de seus atuais executores e com alto risco de descontinuidade.

De qualquer forma, em organizações públicas, o normal é que haja pelo menos algum tipo de documentação
que estabeleça o processo, mesmo que de forma superficial e precária, como uma instrução normativa, uma
norma de execução, portaria etc., bem como despachos, encaminhamentos formais ou formulários, dentre
outros que podem ser utilizados nesta etapa.

Se a organização conta com os processos de trabalho mapeados, dispostos em diagramas e documentados, a

equipe já terá um grande atalho, podendo partir diretamente para o seu estudo, procurando pontos sensíveis,
gargalos operacionais, ineficiências e suscetibilidade a fraude e corrupção nos processos conforme foram
concebidos.

Em organizações onde essa documentação é mais precária, o foco da revisão documental será reunir o máximo
de informação sobre os objetivos do processo de trabalho, fornecedores, insumos, atividades, produtos e
clientes do processo, localizando as informações que deverão ser buscadas junto aos colaboradores do
processo mapeado.

Você pode sistematizar toda a informação que for colecionando durante a aplicação das técnicas em uma ficha
de mapeamento de processos, como a exemplificada a seguir.
 Fonte: curso “Focando nos riscos relevantes” ISC/TCU.

A representação gráfica do processo de trabalho estudado e mapeado irá oferecer ao gestor e às partes
interessadas uma excelente ferramenta para visualização dos riscos, na etapa seguinte.

Uma excelente forma de preparação para a representação gráfica dos processos e dos produtos é sistematizar
todas as informações que a equipe colecionou até o momento em uma matriz SIPOC.

SIPOC (Supplier-Input-Process-Output-Customer) é uma técnica que descreve a sequência “Fornecedor-

Entrada-Processo-Saída-Cliente” e pode ser utilizada em nível mais "macro", para entender bem os principais
aspectos das etapas de um mapeamento de processos ou em nível mais "micro", para visualizar o processo em
detalhes.

Em processos mais simples, ou simplesmente quando a equipe optar por detalhar as atividades do processo
mapeado diretamente no software de reprodução gráfica do processo e dos produtos, a equipe pode optar por
elaborar uma matriz SIPOC em mais alto nível, sem muitos detalhes, o que irá facilitar como visualização geral e
mais ampla do processo.

Fonte: curso “Focando nos riscos relevantes” ISC/TCU.

Já em processos mais complexos, aconselhamos que a equipe faça um detalhamento do processo na SIPOC
utilizando as mesmas informações que irá utilizar quando for representar graficamente no software apropriado.

Nestes casos, o processo pode ser descrito com o auxílio de uma planilha Excel.

Aconselha-se que a equipe acrescente mais uma coluna à sua matriz SIPOC, apontando quem seria o executor
dos processos que irão transformar os insumos em produtos.

Assim, sua matriz SIPOC se parecerá com a figura seguinte.

Fonte: curso “Focando nos riscos relevantes” ISC/TCU.

Com a Matriz Sipoc em mãos, será muito mais fácil representar graficamente o processo de trabalho em uma
notação BPMN ou outra que for da preferência do profissional responsável pelo mapeamento.

Para representarmos visualmente e nos comunicarmos com quem lê o mapa de processos devemos adotar uma
notação.

Esta notação nada mais é do que um conjunto padronizado de símbolos e regras que determinam o seu
significado.

Atualmente, a notação mais utilizada e reconhecida internacionalmente é o BPMN - Business Process Model
and Notation, que tem como vantagem representar um processo de uma forma bastante clara e intuitiva.

A ideia aqui não é nos aprofundarmos no mapeamento de processos, mas oferecer uma base de
conhecimentos que seja suficiente para seu uso em auditorias.

Se você desejar se aprofundar um pouco mais no assunto, pode consultar o curso de mapeamento de
processos oferecido pelo TCU (clique aqui).

A simples visualização do mapa de processos irá oferecer uma série de pistas sobre as principais deficiências
sistêmicas do processo de trabalho mapeado e documentado.

Fonte: curso “Focando nos riscos relevantes” ISC/TCU.

 2.4 Identificação de riscos

Identificação dos Riscos

Como já dissemos, a própria realização do mapeamento e do levantamento da documentação dos processos irá
fornecer uma série de situações ou fatos narrados que podem indicar a existência de alguma situação que
indique a possibilidade de ocorrência de fraude e corrupção.

Como iremos utilizar mais para frente estas informações colecionadas, pode ser bastante interessante associá-
las a outras informações como: quem pode dar a informação (pessoas envolvidas com o fator de risco), como
acha que deveria ser (critério preliminar) e onde obteve a informação.

Fonte: curso “Focando nos riscos relevantes” ISC/TCU.

Um excelente ponto de partida para identificar fatores de risco ligados a integridade é associar as situações
descritas no texto anterior deste curso às atividades chave dos processos de trabalho mapeados na
organização.

Ficar atento a possibilidade de ocorrência dessas situações durante o processo de mapeamento irá ajudar o
responsável pela identificação dos riscos a percebê-los mais facilmente.

O quadro a seguir, extraído da Política Antifraude e Anticorrupção do Conselho Regional de Medicina Veterinária
do Paraná, ilustra bem algumas situações que podem ser somadas ao rol mostrado no primeiro texto.
 Fonte: Política Antifraude e Anticorrupção do CRMV-PR.

Com os processos mapeados e documentados e com as situações que podem levar à eventos de quebra da
integridade, o próximo passo é descrever os riscos inerentes.

Como já foi descrito aqui, no que se refere a integridade, o risco inerente é o risco relacionado a quebra de
integridade a que uma organização está exposta sem considerar as ações dos gestores para reduzir a
probabilidade e/ou o impacto de sua ocorrência.

O risco inerente pode ser descrito combinando as informações obtidas até esse ponto do trabalho na seguinte
sintaxe:
 Fonte: curso “Focando nos riscos relevantes” ISC/TCU.

O Guia de Avaliação de Maturidade de Gestão de Riscos do TCU define um evento como um incidente ou
ocorrência proveniente de fontes internas ou externas que afeta a implementação da estratégia ou a realização
de objetivos.

Adaptando-se o conceito para a sintaxe aqui adotada, podemos identificar o evento indesejado como sendo algo
que pode acontecer ou mesmo, não acontecer, e que pode impactar negativamente os objetivos do objeto.

Estamos falando aqui dos eventos que podem ser classificados como quebras de integridade.

As consequências do risco estão ligadas à palavra "indesejado" na expressão "evento indesejado", que só é
chamado assim devido ao impacto negativo que pode gerar nos objetivos ligados ao objeto.

Como já dito, quando relacionados a riscos de integridade, podem se traduzir em danos de imagem, prejuízos
financeiros, favorecimento de crimes etc.

Já as causas são a combinação de fontes de risco e de vulnerabilidades presentes nestas fontes.

As fontes de risco, em geral, estão relacionadas ao mal funcionamento daquilo que tem o potencial de
realização das operações relacionadas ao objeto para que cumpra seus objetivos.

Estamos aqui falando de pessoas, processos, produtos e tecnologia que possam ter vulnerabilidades que criem
um ambiente que aumente a probabilidade de um evento ligado à quebra de integridade.

Uma vez valorados os riscos, o trabalho pode ser consolidado em uma matriz como a sugerida pela CGU em
seu manual de gestão de riscos para integridade:
 Fonte: Manual de Gestão de Riscos de Integridade da CGU.

A relação entre causas e efeitos com os eventos indesejados geralmente não são de um para um, sendo
comum que uma quantidade maior de causas concorra para um evento indesejado, que, por sua vez, pode ter
uma série de consequências, o que chamamos de gravata borboleta do risco.

Fonte: curso “Focando nos riscos relevantes” ISC/TCU

 2.5 Estudo de caso

Imagine que em uma rede hospitalar, sua equipe esteja estudando o processo de trabalho referente à
terceirização de mão de obra nos hospitais.

Logo nas conversas iniciais a equipe identificasse que cada hospital determinava a quantidade de mão de obra
de serviços terceirizados necessária, segundo a experiência de seu diretor, exclusivamente.

Neste caso, algumas perguntas podem surgir:

• Os diretores têm a experiência e as habilidades necessárias para essa estimativa?

• Não seria interessante a adoção de um método que possa fornecer uma estimativa balizada em evidências?
• Essa forma de definir os quantitativos está compatível com a IN 05/2017 (normativo que regulava o processo
de trabalho)?

A partir desta postura, a equipe pode registrar a seguinte situação anômala:

"A estimativa de quantitativo de mão de obra terceirizada necessária não parece ser suportada por uma
metodologia compatível com a IN 05/2017."

Perceba que a informação não é em si um risco, mas uma possibilidade que se apresentou para a equipe e que
pode ser causa, evento indesejado ou consequência de outra situação predecessora.

Essa situação merece ser estudada.

Podemos associar esse fato à atividade “estimar a demanda” no mapa de atividades desse processo de
trabalho.

Suponha também que a equipe encarregada por estudar o processo de trabalho tenha registrado que existem
alguns hospitais com quantitativo de mão de obra insuficiente para cumprir a demanda de limpeza, enquanto
outros possuem funcionários terceirizados que passam muito tempo ociosos.

Podemos juntar essas duas informações em uma sintaxe de riscos.

A estimativa de quantitativo de mão de obra, atividade chave constante do processo, pode ser considerada uma
fonte que possui uma vulnerabilidade, ou seja, uma inadequação em relação a sua metodologia de cálculo, que
não estaria em conformidade com a IN 005/2017.

O evento indesejado é o produto que a fonte suporta, o termo de referência que poderia ficar com quantitativos
super ou subdimensionados em relação à necessidade real de cada hospital (critério).

Tal evento é indesejado já que o termo de referência é essencial para cumprir o objetivo operacional de publicar
um edital adequado em termos de quantitativo de mão de obra e custos, cujos impactos, caso o evento se
materialize, poderão ser uma diminuição da qualidade da contratação ou um aumento de custos desnecessário
em relação ao ideal.
Utilizando-se a sintaxe do risco poderíamos ter a seguinte redação:

"Devido a ausência de uma metodologia para estimativa do quantitativo de mão de obra para os hospitais,
compatível com a IN 05/2017, poderá ocorrer o superdimensionamento ou o subdimensionamento do
quantitativo de mão-de-obra no termo de referência, o que poderá levar a publicação de um edital para
contratação dos serviços inadequado impactando na diminuição da qualidade da contratação e aumento de
seu custo."

Mais uma vez cabe relembrar que não há gabarito para esse tipo de trabalho. O que importa é que a equipe
entenda bem os princípios e conceitos, para que chegue a boas redações de riscos e, assim, possa conseguir
construir um acervo de riscos inerentes que possa suportar o seu trabalho.
 2.6 Considerações finais

Já dissemos que toda organização pública está sujeita a uma série de riscos para sua integridade que precisam
ser conhecidos e catalogados para que a organização possa estudar a melhor forma analisá-los e tratá-los.

É comum que os riscos de integridade tenham múltiplas causas e múltiplos efeitos sobre os objetivos da
organização e de seus processos de trabalho.

A exploração dessas causas e desses efeitos é o pilar sobre o qual o tratamento mais adequado será
desenvolvido pela organização.

No próximo texto vamos trabalhar formas de analisar, tratar, comunicar e monitorar os riscos para a integridade
da organização.
 2.7 Referências

CONTROLADORIA-GERAL DO ESTADO. Transparência. Guias, Cartilhas, Manuais e Formulários. Brasil, 24

jan de 2019. Disponível em: https://cge.mg.gov.br/publicacoes/guias-cartilhas-e-manuais. Acesso em: 09 ago.
2022.

CONTROLADORIA-GERAL DO ESTADO DO AMAZONAS. Guia metodológico de Gestão de Riscos.

Amazonas, set de 2021. Disponível em: http://www.cge.am.gov.br/wp-content/uploads/2021/10/Guia-
Metodologico-de-Gestao-de-Riscos.pdf. Acesso em: 09 ago. 2022.

COSO. Controle Interno – Estrutura Integrada. Traduzido por PWC. Brasil, maio de 2013. Disponível em:
http://www.escoladegoverno.ro.gov.br/wp-content/uploads/2019/11/COSO-I-ICIF_2013_Sumario_Executivo.pdf.
Acesso em: 09 ago. 2022.

CONTROLADORIA-GERAL DO ESTADO. Programa de Integridade. Anexo único da resolução cge/mg. 2.

Ed. Minas Gerais, n. 21, de jul de 2019. Disponível em: https://cge.mg.gov.br/phocadownload/arquivos_diversos
/2%20ed.%20Plano%20de%20Integridade%20CGE-MG.pdf. Acesso em: 09 ago. 2022.

GOVERNO FEDERAL. Programa de Integridade. Brasil, 2018. Disponível em: https://www.gov.br/cgu/pt-

br/acesso-a-informacao/governanca/programa-de-integridade-da-cgu/eixo-3-riscos-a-integridade. Acesso em: 09
ago. 2022.

TRIBUNAL DE CONTAS DA UNIÃO. Referencial de combate a fraude e corrupção: Aplicável a Órgãos e

Entidades da Administração Pública. 2. Ed. Brasil, set de 2018. Disponível em: https://portal.tcu.gov.br/data/files
/A0/E0/EA/C7/21A1F6107AD96FE6F18818A8/Referencial_combate_fraude_corrupcao_2_edicao.pdf. Acesso
em: 09 ago. 2022.

THE INSTITUTE OF INTERNAL AUDITORS. Global. Modelo das três linhas do IIA: Uma atualização das Três
Linhas de Defesa. Flórida, jul de 2020. Disponível em: https://iiabrasil.org.br/korbilload/upl/editorHTML
/uploadDireto/20200758glob-th-editorHTML-00000013-20082020141130.pdf. Acesso em: 09 ago. 2022.

SOUZA, Jauile Rodrigues de. Direito Net. Artigos. Abuso de poder dos agentes públicos. Brasil, 15 de mar de
2021. Disponível em: https://www.direitonet.com.br/artigos/exibir/12047/Abuso-de-poder-dos-agentes-publicos.
Acesso em: 09 ago. 2022.

GOVERNO DO ESTADO DE SANTA CATARINA. Manual de gestão de riscos. 1 ed. Florianópolis, 2020.
Disponível em: https://cge.sc.gov.br/wp-content/uploads/2022/07/MANUAL-DE-GESTAO-DE-RISCOS-1a-
versao-1.pdf. Acesso em: 09 ago. 2022.

MINISTÉRIO DA JUSTIÇA E SEGURANÇA PÚBLICA. Gestão de Riscos. Resolução CGE: Aprova o manual
de gerenciamento de riscos e controles internos no âmbito do Ministério da Justiça. n. 4. Brasil, 18 de jul de
2018. Disponível em: https://www.gov.br/mj/pt-br/acesso-a-informacao/governanca/Gestao-de-Riscos/biblioteca
/Resolucoes_CGE/bs_n__127__de_18_de_julho_de_2018-somente-a-parte-da-girc.pdf/view. Acesso em: 09
ago. 2022.

GOVERNO DO ESTADO DE SANTA CATARINA. Guia de implementação da gestão de riscos na

administração pública catarinense. 1 ed. Florianópolis, 2020. Disponível em: https://cge.sc.gov.br/wp-content
/uploads/2022/07/GUIA-de-IMPLEMENTACAO-DE-GESTAO-DE-RISCOS.pdf. Acesso em: 09 ago. 2022.

CONSELHO NACIONAL DE JUSTIÇA. O que é nepotismo? São Paulo. Disponível em: https://www.cnj.jus.br
/o-que-e-nepotismo/. Acesso em: 09 ago. 2022.

BRASIL. Lei nº 12.813, de 16 de maio de 2013. Dispõe sobre o conflito de interesses no exercício de cargo ou
emprego do Poder Executivo federal e impedimentos posteriores ao exercício do cargo ou emprego; Brasília,
DF: Presidência da República, 2013. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2011-2014
/2013/lei/l12813.htm. Acesso em: 09 ago. 2022.