Escolar Documentos
Profissional Documentos
Cultura Documentos
Apresentação do tópico
Assista ao vídeo do Prof. Tiago Modesto com a apresentação geral da segunda aula deste curso.
Objetivos de Aprendizagem:
Introdução
Neste texto vamos entrar em detalhes sobre como funciona um sistema de gestão de riscos e a forma de
identificação e análise dos riscos a que uma organização pública está sujeita.
É importante lembrar que a gestão eficaz do risco ajuda não somente a coibir desvios financeiros em uma
instituição pública, mas ajuda também a garantir que programas governamentais possam cumprir seus
objetivos.
Alguns riscos não apresentam um prejuízo financeiro para os contribuintes, mas impactam diretamente na
sociedade.
Um exemplo disso é a abertura de empresas fraudulentas utilizando-se documentação falsa ou furtada, que
podem ser utilizadas para ocultar a verdadeira identidade do operador da empresa com potencial para ocultar
outros crimes como a lavagem de dinheiro.
2.1 Funcionamento de um Sistema de Gestão de Riscos e seu
enfoque em integridade
O Decreto 9.203/2017 dispõe sobre a política de governança da administração pública federal, estabelecendo
como princípios da gestão de riscos:
O objetivo de um sistema de gestão de riscos com enfoque na integridade é garantir que a organização ou
programa governamental mitigue a probabilidade e o impacto de ações que possam conduzir à fraude e à
corrupção, especialmente as situações exemplificadas no último texto.
O modelo de gestão de riscos publicado pelo GAO (agência equivalente ao TCU nos Estados Unidos) enquadra
o controle crítico das atividades para gerenciar riscos de fraude e corrupção em três categorias – prevenção,
detecção e resposta.
A CGU trás outros aspectos relevantes a serem considerados durante a execução do processo de gestão de
riscos para a integridade:
No texto passado, citamos as fases necessárias para a implementação de um processo de gestão de riscos.
No que se refere especificamente à gestão de riscos para a integridade, a CGU sugere um conjunto de 6
passos:
A seguir, entraremos em mais detalhes sobre cada etapa do processo de gestão de riscos.
2.2 Papéis e responsabilidades
Papeis e Responsabilidades
A política de Gestão de Riscos da instituição deverá definir as instâncias responsáveis pelo sistema como um
todo.
Apesar de ser recomendável que a gestão de riscos seja estabelecida e funcione dentro das estruturas
organizacionais já existentes, existem papeis fundamentais para o bom funcionamento do sistema, que são
sugeridos nos referenciais do TCU:
• Alta Administração: aprova modificações no sistema de gestão de riscos; define limite de tolerância a riscos;
toma decisões em relação a riscos estratégicos; e define responsáveis por riscos que não estejam claramente
vinculados a uma unidade organizacional ou gestor específico.
• Unidade Central do Sistema de Gestão de Riscos: assessora a alta administração; coordena a implantação
e operação do sistema; provê orientação e treinamento dos gestores de riscos; realiza estudos e propõe
revisões na política e no sistema; identifica riscos; e monitora riscos-chave periodicamente.
• Gestor de Riscos Nível Tático: coordena ações e provê a execução da política no setor a que se vincula;
atuar como promotor da gestão de riscos em sua área de atuação; prover informações à unidade central;
apoiar dirigentes e gestores na sua esfera de atuação; e gerenciar diretamente ou por delegação os riscos
associados a processos.
• Gestor de Riscos Nível Operacional: identifica objetos de gestão de risco sob sua responsabilidade;
descreve resultados e entregas sob seu comando; conduz o processo de gestão de riscos; e comunica ao
nível gerencial os resultados das avaliações de riscos nos objetos de gestão na sua responsabilidade.
• Auditoria Interna: avalia o sistema de gestão de riscos, principalmente quanto à adequação e suficiência dos
mecanismos de gestão de riscos estabelecidos, eficácia da gestão de riscos-chave e conformidade das
atividades executadas com a política.
No que se refere aos riscos de integridade, a CGU adiciona a esse rol e destaca o papel da Unidade de Gestão
da Integridade – UGI, responsável pela coordenação da estruturação, execução e monitoramento do programa
de integridade, no âmbito dos órgãos e entidades da administração pública federal direta, autárquica e
fundacional.
A CGU destaca que a UGI apoiará a área responsável pela gestão de riscos na organização, fornecendo as
orientações necessárias para a compreensão do que são riscos para a integridade e quais são as medidas de
tratamento possíveis para mitigá-los.
2.3 Seleção e mapeamento de processos
Para que um processo de gestão de riscos seja bem-sucedido é necessário que a organização e os gestores
conheçam muito bem como os processos de trabalho são executados, em um grau de detalhe que permita
entender os riscos que atingem suas atividades principais.
No caso da gestão de riscos para integridade, os gestores devem conhecer aqueles processos mais sujeitos a
eventos que podem levar a casos de fraude e corrupção.
A CGU destaca algumas orientações para a escolha dos primeiros processos a serem mapeados e
documentados no processo de gestão de riscos:
· Há percepção de deficiências - em um processo com deficiências ficam ainda mais evidentes os benefícios
obtidos da adoção da gestão de riscos.
· Envolve número moderado de etapas - em um processo com menos etapas fica mais fácil a percepção
completa do processo para aqueles que irão participar da aplicação da metodologia.
· Não envolve grande diversidade de atores/áreas – em um processo envolvendo poucas áreas/atores, fica
mais fácil evitar polêmicas que decorram de diferentes interesses na condução do processo;
· Pertence a uma área sensível a riscos para a integridade – existem algumas áreas e processos mais
sensíveis a riscos para a integridade, que podem ser identificados a partir de normativos que trazem as
competências institucionais do órgão/entidade, seu regimento interno, organograma e documentos como o
planejamento estratégico.
Algumas das técnicas utilizadas para o levantamento e mapeamento dos processos são o brainstorming, análise
de documentação ou pesquisa, brainwriting, entrevista, workshop, questionário, observação direta, workshop
estruturado, conferência web, reprodução do processo, análise de vídeo, simulação de atividades, entre outras.
O importante é entender os seus usos, prós e contras, o momento adequado de sua aplicação e as maneiras
mais recomendadas de execução e combinação entre elas.
O objetivo aqui não é entrar em detalhes sobre cada técnica, mas proporcionar uma visão prática do processo
de levantamento e mapeamento de processos como um todo.
Aconselhamos que o levantamento de informações se inicie conversando com alguém que seja tido como
referência na organização em relação ao processo que será mapeado, com o objetivo principal de ter uma visão
geral desse processo, entender um pouco melhor as pessoas e departamentos envolvidos e buscar o nível de
documentação existente sobre ele.
Apesar de ser uma conversa mais livre, você pode montar um roteiro de entrevista não estruturado ou
semiestruturado que se tenha ao menos os assuntos mínimos a serem abordados, como: objetivos primários,
principais atividades, pessoas envolvidas, tecnologia utilizada e impressões gerais do interlocutor sobre o
processo mapeado.
Você pode, a partir dessa conversa, colecionar alguma documentação já existente sobre o processo.
Fonte: curso “Focando nos riscos relevantes” ISC/TCU.
A primeira pergunta que devemos fazer é: como o processo de trabalho deveria ser?
Entender como o processo que estamos mapeando deveria ser a partir da documentação que o estabelece irá
nos ajudar a estarmos sempre atentos a situações que possam representar fatores de risco ao objeto durante a
interação com os executores do processo.
Nesta tarefa vamos encarar diversos tipos de situações, desde objetos que têm seus processos e produtos
completamente mapeados e representados em fluxogramas, com alto nível de detalhe, até objetos precários,
dependentes inteiramente de seus atuais executores e com alto risco de descontinuidade.
De qualquer forma, em organizações públicas, o normal é que haja pelo menos algum tipo de documentação
que estabeleça o processo, mesmo que de forma superficial e precária, como uma instrução normativa, uma
norma de execução, portaria etc., bem como despachos, encaminhamentos formais ou formulários, dentre
outros que podem ser utilizados nesta etapa.
Em organizações onde essa documentação é mais precária, o foco da revisão documental será reunir o máximo
de informação sobre os objetivos do processo de trabalho, fornecedores, insumos, atividades, produtos e
clientes do processo, localizando as informações que deverão ser buscadas junto aos colaboradores do
processo mapeado.
Você pode sistematizar toda a informação que for colecionando durante a aplicação das técnicas em uma ficha
de mapeamento de processos, como a exemplificada a seguir.
Fonte: curso “Focando nos riscos relevantes” ISC/TCU.
A representação gráfica do processo de trabalho estudado e mapeado irá oferecer ao gestor e às partes
interessadas uma excelente ferramenta para visualização dos riscos, na etapa seguinte.
Uma excelente forma de preparação para a representação gráfica dos processos e dos produtos é sistematizar
todas as informações que a equipe colecionou até o momento em uma matriz SIPOC.
Em processos mais simples, ou simplesmente quando a equipe optar por detalhar as atividades do processo
mapeado diretamente no software de reprodução gráfica do processo e dos produtos, a equipe pode optar por
elaborar uma matriz SIPOC em mais alto nível, sem muitos detalhes, o que irá facilitar como visualização geral e
mais ampla do processo.
Já em processos mais complexos, aconselhamos que a equipe faça um detalhamento do processo na SIPOC
utilizando as mesmas informações que irá utilizar quando for representar graficamente no software apropriado.
Nestes casos, o processo pode ser descrito com o auxílio de uma planilha Excel.
Aconselha-se que a equipe acrescente mais uma coluna à sua matriz SIPOC, apontando quem seria o executor
dos processos que irão transformar os insumos em produtos.
Com a Matriz Sipoc em mãos, será muito mais fácil representar graficamente o processo de trabalho em uma
notação BPMN ou outra que for da preferência do profissional responsável pelo mapeamento.
Para representarmos visualmente e nos comunicarmos com quem lê o mapa de processos devemos adotar uma
notação.
Esta notação nada mais é do que um conjunto padronizado de símbolos e regras que determinam o seu
significado.
Atualmente, a notação mais utilizada e reconhecida internacionalmente é o BPMN - Business Process Model
and Notation, que tem como vantagem representar um processo de uma forma bastante clara e intuitiva.
A ideia aqui não é nos aprofundarmos no mapeamento de processos, mas oferecer uma base de
conhecimentos que seja suficiente para seu uso em auditorias.
Se você desejar se aprofundar um pouco mais no assunto, pode consultar o curso de mapeamento de
processos oferecido pelo TCU (clique aqui).
A simples visualização do mapa de processos irá oferecer uma série de pistas sobre as principais deficiências
sistêmicas do processo de trabalho mapeado e documentado.
Como já dissemos, a própria realização do mapeamento e do levantamento da documentação dos processos irá
fornecer uma série de situações ou fatos narrados que podem indicar a existência de alguma situação que
indique a possibilidade de ocorrência de fraude e corrupção.
Como iremos utilizar mais para frente estas informações colecionadas, pode ser bastante interessante associá-
las a outras informações como: quem pode dar a informação (pessoas envolvidas com o fator de risco), como
acha que deveria ser (critério preliminar) e onde obteve a informação.
Um excelente ponto de partida para identificar fatores de risco ligados a integridade é associar as situações
descritas no texto anterior deste curso às atividades chave dos processos de trabalho mapeados na
organização.
Ficar atento a possibilidade de ocorrência dessas situações durante o processo de mapeamento irá ajudar o
responsável pela identificação dos riscos a percebê-los mais facilmente.
O quadro a seguir, extraído da Política Antifraude e Anticorrupção do Conselho Regional de Medicina Veterinária
do Paraná, ilustra bem algumas situações que podem ser somadas ao rol mostrado no primeiro texto.
Fonte: Política Antifraude e Anticorrupção do CRMV-PR.
Com os processos mapeados e documentados e com as situações que podem levar à eventos de quebra da
integridade, o próximo passo é descrever os riscos inerentes.
Como já foi descrito aqui, no que se refere a integridade, o risco inerente é o risco relacionado a quebra de
integridade a que uma organização está exposta sem considerar as ações dos gestores para reduzir a
probabilidade e/ou o impacto de sua ocorrência.
O risco inerente pode ser descrito combinando as informações obtidas até esse ponto do trabalho na seguinte
sintaxe:
Fonte: curso “Focando nos riscos relevantes” ISC/TCU.
O Guia de Avaliação de Maturidade de Gestão de Riscos do TCU define um evento como um incidente ou
ocorrência proveniente de fontes internas ou externas que afeta a implementação da estratégia ou a realização
de objetivos.
Adaptando-se o conceito para a sintaxe aqui adotada, podemos identificar o evento indesejado como sendo algo
que pode acontecer ou mesmo, não acontecer, e que pode impactar negativamente os objetivos do objeto.
Estamos falando aqui dos eventos que podem ser classificados como quebras de integridade.
As consequências do risco estão ligadas à palavra "indesejado" na expressão "evento indesejado", que só é
chamado assim devido ao impacto negativo que pode gerar nos objetivos ligados ao objeto.
Como já dito, quando relacionados a riscos de integridade, podem se traduzir em danos de imagem, prejuízos
financeiros, favorecimento de crimes etc.
As fontes de risco, em geral, estão relacionadas ao mal funcionamento daquilo que tem o potencial de
realização das operações relacionadas ao objeto para que cumpra seus objetivos.
Estamos aqui falando de pessoas, processos, produtos e tecnologia que possam ter vulnerabilidades que criem
um ambiente que aumente a probabilidade de um evento ligado à quebra de integridade.
Uma vez valorados os riscos, o trabalho pode ser consolidado em uma matriz como a sugerida pela CGU em
seu manual de gestão de riscos para integridade:
Fonte: Manual de Gestão de Riscos de Integridade da CGU.
A relação entre causas e efeitos com os eventos indesejados geralmente não são de um para um, sendo
comum que uma quantidade maior de causas concorra para um evento indesejado, que, por sua vez, pode ter
uma série de consequências, o que chamamos de gravata borboleta do risco.
Imagine que em uma rede hospitalar, sua equipe esteja estudando o processo de trabalho referente à
terceirização de mão de obra nos hospitais.
Logo nas conversas iniciais a equipe identificasse que cada hospital determinava a quantidade de mão de obra
de serviços terceirizados necessária, segundo a experiência de seu diretor, exclusivamente.
"A estimativa de quantitativo de mão de obra terceirizada necessária não parece ser suportada por uma
metodologia compatível com a IN 05/2017."
Perceba que a informação não é em si um risco, mas uma possibilidade que se apresentou para a equipe e que
pode ser causa, evento indesejado ou consequência de outra situação predecessora.
Podemos associar esse fato à atividade “estimar a demanda” no mapa de atividades desse processo de
trabalho.
Suponha também que a equipe encarregada por estudar o processo de trabalho tenha registrado que existem
alguns hospitais com quantitativo de mão de obra insuficiente para cumprir a demanda de limpeza, enquanto
outros possuem funcionários terceirizados que passam muito tempo ociosos.
A estimativa de quantitativo de mão de obra, atividade chave constante do processo, pode ser considerada uma
fonte que possui uma vulnerabilidade, ou seja, uma inadequação em relação a sua metodologia de cálculo, que
não estaria em conformidade com a IN 005/2017.
O evento indesejado é o produto que a fonte suporta, o termo de referência que poderia ficar com quantitativos
super ou subdimensionados em relação à necessidade real de cada hospital (critério).
Tal evento é indesejado já que o termo de referência é essencial para cumprir o objetivo operacional de publicar
um edital adequado em termos de quantitativo de mão de obra e custos, cujos impactos, caso o evento se
materialize, poderão ser uma diminuição da qualidade da contratação ou um aumento de custos desnecessário
em relação ao ideal.
Utilizando-se a sintaxe do risco poderíamos ter a seguinte redação:
"Devido a ausência de uma metodologia para estimativa do quantitativo de mão de obra para os hospitais,
compatível com a IN 05/2017, poderá ocorrer o superdimensionamento ou o subdimensionamento do
quantitativo de mão-de-obra no termo de referência, o que poderá levar a publicação de um edital para
contratação dos serviços inadequado impactando na diminuição da qualidade da contratação e aumento de
seu custo."
Mais uma vez cabe relembrar que não há gabarito para esse tipo de trabalho. O que importa é que a equipe
entenda bem os princípios e conceitos, para que chegue a boas redações de riscos e, assim, possa conseguir
construir um acervo de riscos inerentes que possa suportar o seu trabalho.
2.6 Considerações finais
Já dissemos que toda organização pública está sujeita a uma série de riscos para sua integridade que precisam
ser conhecidos e catalogados para que a organização possa estudar a melhor forma analisá-los e tratá-los.
É comum que os riscos de integridade tenham múltiplas causas e múltiplos efeitos sobre os objetivos da
organização e de seus processos de trabalho.
A exploração dessas causas e desses efeitos é o pilar sobre o qual o tratamento mais adequado será
desenvolvido pela organização.
No próximo texto vamos trabalhar formas de analisar, tratar, comunicar e monitorar os riscos para a integridade
da organização.
2.7 Referências
COSO. Controle Interno – Estrutura Integrada. Traduzido por PWC. Brasil, maio de 2013. Disponível em:
http://www.escoladegoverno.ro.gov.br/wp-content/uploads/2019/11/COSO-I-ICIF_2013_Sumario_Executivo.pdf.
Acesso em: 09 ago. 2022.
THE INSTITUTE OF INTERNAL AUDITORS. Global. Modelo das três linhas do IIA: Uma atualização das Três
Linhas de Defesa. Flórida, jul de 2020. Disponível em: https://iiabrasil.org.br/korbilload/upl/editorHTML
/uploadDireto/20200758glob-th-editorHTML-00000013-20082020141130.pdf. Acesso em: 09 ago. 2022.
SOUZA, Jauile Rodrigues de. Direito Net. Artigos. Abuso de poder dos agentes públicos. Brasil, 15 de mar de
2021. Disponível em: https://www.direitonet.com.br/artigos/exibir/12047/Abuso-de-poder-dos-agentes-publicos.
Acesso em: 09 ago. 2022.
GOVERNO DO ESTADO DE SANTA CATARINA. Manual de gestão de riscos. 1 ed. Florianópolis, 2020.
Disponível em: https://cge.sc.gov.br/wp-content/uploads/2022/07/MANUAL-DE-GESTAO-DE-RISCOS-1a-
versao-1.pdf. Acesso em: 09 ago. 2022.
MINISTÉRIO DA JUSTIÇA E SEGURANÇA PÚBLICA. Gestão de Riscos. Resolução CGE: Aprova o manual
de gerenciamento de riscos e controles internos no âmbito do Ministério da Justiça. n. 4. Brasil, 18 de jul de
2018. Disponível em: https://www.gov.br/mj/pt-br/acesso-a-informacao/governanca/Gestao-de-Riscos/biblioteca
/Resolucoes_CGE/bs_n__127__de_18_de_julho_de_2018-somente-a-parte-da-girc.pdf/view. Acesso em: 09
ago. 2022.
CONSELHO NACIONAL DE JUSTIÇA. O que é nepotismo? São Paulo. Disponível em: https://www.cnj.jus.br
/o-que-e-nepotismo/. Acesso em: 09 ago. 2022.
BRASIL. Lei nº 12.813, de 16 de maio de 2013. Dispõe sobre o conflito de interesses no exercício de cargo ou
emprego do Poder Executivo federal e impedimentos posteriores ao exercício do cargo ou emprego; Brasília,
DF: Presidência da República, 2013. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2011-2014
/2013/lei/l12813.htm. Acesso em: 09 ago. 2022.