ANÁLISE DA ESTRUTURA DE GESTÃO DE RISCOS DAS UNIVERSIDADES

FEDERAIS DO NORDESTE BRASILEIRO

Resumo: A gestão de riscos visa complementar a administração pública no fortalecimento dos

controles internos, no uso de controles de desempenho e indicadores de resultados, promovendo
uma visão completa dos processos e identificando pontos fracos, pontos fortes, ameaças e
oportunidades que possam ser aproveitadas. Porém trata-se de um tema emergente e com
desafios para sua implementação e consolidação na Administração Pública brasileira, em
especial nas Instituições Federais de Ensino Superior (IFES). Tal constatação trouxe a
inquietação de pesquisa em analisar o estágio de formalização de estruturas em gestão de riscos
nas universidades federais do Nordeste brasileiro. Para tanto, realizou-se uma pesquisa
descritiva-exploratória com levantamento documental e aplicação de survey com vinte IFES do
Nordeste. A partir dos dados coletados foi realizado tratamento dos dados obtidos com o
questionários e cruzamento dos dados obtidos no levantamento documental com o objetivo de
verificar a atual estruturação organizacional e normativa da gestão de risco na IFES, a partir da
IN Conjunta MP-CGU Nº 01/2016. A análise comparativa das políticas de gestão de riscos
apresentou de maneira geral um panorama em que as IFES atendem 5 itens dos 9 cobrados pela
IN Conjunta MP-CGU Nº 01/2016.

1. INTRODUÇÃO

Observa-se que o setor público brasileiro a partir da década de 1990 empreende na

adoção de conceitos e práticas do setor privado, buscando maior e melhor alcance de resultado,
tentando construir planejamentos com utilização de metodologias e ferramentas criadas ou
iniciadas nas empresas, assim como o fortalecimento do controle interno e governança.
O poder público, visando buscar a maximização do uso dos recursos públicos, reduzir
custos e elevando a qualidade dos serviços prestados para satisfazer as necessidades da
sociedade, vem buscando estratégias de gestão que permitam maior controle e segurança no
processo de tomada de decisão, possibilitando uma correta alocação de recursos e pessoas no
fortalecimento da estrutura organizacional, assim como o aproveitamento das oportunidades
surgidas.Com intuito de fortalecer o controle interno brasileiro e buscar a garantia do alcance de
resultados das políticas públicas e ações dos órgãos, pode-se encontrar na Constituição da
República de 1988, os artigos 70 e 74, de acordo com o texto abaixo:

Art. 70. A fiscalização contábil, financeira, orçamentária, operacional e

patrimonial da União e das entidades da administração direta e indireta, quanto
à legalidade, legitimidade, economicidade, aplicação das subvenções e
renúncia de receitas, será exercida pelo Congresso Nacional, mediante controle
externo, e pelo sistema de controle interno de cada Poder.
Parágrafo único. Prestará contas qualquer pessoa física ou jurídica, pública ou
privada, que utilize, arrecade, guarde, gerencie ou administre dinheiros, bens e
valores públicos ou pelos quais a União responda, ou que, em nome desta,
assuma obrigações de natureza pecuniária. (Redação dada pela Emenda
Constitucional nº 19, de 1998)
[...]
Art. 74. Os Poderes Legislativo, Executivo e Judiciário manterão, de forma
integrada, sistema de controle interno com a finalidade de:
- avaliar o cumprimento das metas previstas no plano plurianual, a execuçãodos
programas de governo e dos orçamentos da União;
- comprovar a legalidade e avaliar os resultados, quanto à eficácia e eficiência,
 da gestão orçamentária, financeira e patrimonial nos órgãos e entidades da
administração federal, bem como da aplicação de recursos públicos por
entidades de direito privado;
- exercer o controle das operações de crédito, avais e garantias, bem comodos
direitos e haveres da União;
- apoiar o controle externo no exercício de sua missão institucional.
§ 1º Os responsáveis pelo controle interno, ao tomarem conhecimento de
qualquer irregularidade ou ilegalidade, dela darão ciência ao Tribunal de
Contas da União, sob pena de responsabilidade solidária.
§ 2º Qualquer cidadão, partido político, associação ou sindicato é partelegítima
para, na forma da lei, denunciar irregularidades ou ilegalidades perante o
Tribunal de Contas da União.

Dessa forma, a gestão de riscos vem compartilhar e atuar como fator complementar a
uma administração que utiliza controle de desempenho e indicadores de resultados,
promovendo uma visão completa dos processos e identificando pontos fracos e oportunidades
que possam ser aproveitadas.
No conjunto de órgãos e entidades do poder executivo federal, listados como unidadesa
adotarem as práticas relacionadas à gestão de riscos, aos controles internos, e à governança,
estão as Universidades Federais do Nordeste brasileiro. É possível encontrar 11 Institutos
Federais de Educação, Ciência e Tecnologia e 20 Universidades Federais na Região Nordeste
Desde 2016, as IFES, por meio da Instrução Normativa Conjunta MP/CGU N°01/2016,
que dispõe sobre controles internos, gestão de riscos e governança no âmbito do Poder
Executivo federal, vem trabalhando para desenvolverem suas políticas de gestão de riscose as
estruturas necessárias para executarem ações que possam atender as exigências da Instrução
Normativa e adaptar a metodologia às práticas de gestão e governança de suas instituições.
Nesse sentido, o Fórum de Pró-Reitores de Planejamento e Administração das
Instituições Federais de Ensino Superior (FORPLAD), que tem caráter permanente e reúne os
pró-reitores de planejamento, de administração e ocupantes de cargos equivalentes destas
instituições, vem trabalhando para auxiliar as IFES na implementação da gestão de riscos.
Um dos principais produtos do FORPLAD, entre capacitações e cursos, foi a entregado
Sistema de Gerenciamento ForRisco, que é um software livre e pode ser utilizado por todas
as IFES para cadastramento da estrutura organizacional, processos, riscos e controles. O sistema
permite que as instituições tenham um painel de gerenciamento e relatórios gerenciais para
tomada de decisão.
Assim sendo, as IFES possuem um caminho repleto de desafios administrativos e
acadêmicos no processo de implementação da gestão de riscos, sendo necessário um
monitoramento constante e análise de maturidade para apontar as melhorias prioritárias e
estabelecer vínculos com outras universidades e institutos com o objetivo e evoluírem.
De modo que o objetivo geral deste trabalho foi analisar o estágio de formalização de
estruturas em gestão de riscos nas universidades federais do Nordeste brasileiro.
Para tal intento, foi realizada fundamentação teórica sobre o tema de gestão de risco no
setor público para foi realizado levantamento documental e estrutural quanto a implementação
de práticas de gestão de riscos nas IFES estudadas, e à final proposição de melhorias para
amadurecimento da gestão de riscos nas IFES. E como base fundamente do trabalho foi
estruturada o referencial teórico que segue no próximo item.

2. REFERENCIAL TEÓRICO
 O referencial teórico está estruturado numa abordagem inicial sobre o conceito de
governança corportativa, advindo inicialmente do setor privado e adapatado a realidade e
objetivos do setor público. E posteriormente uma abordagem sobre a gestão de risco no setor
público.

2.1. Governança corporativa

A discussão e estudos sobre governança corporativa, assim como sua aplicação tiveram
como protagonista os Estados Unidos (EUA), em função das grandes fraudes financeiras e atos
de corrupção em organizações americanas, deixando clara a necessidade de fortalecimento do
controle interno e mecanismos de gestão para combater, reduzir e prevenir prejuízos (BORGES
e SERRÃO, 2005).
Em função dos prejuízos e necessidade de fortalecimento da gestão para possibilitar
mais segurança para todas as partes interessadas das organizações, a governança corporativa
surge relacionada a gestão da organização e com seus stakeholders. Os estudos para
desenvolvimento da governança corporativa foram estruturados a partir dos anos 1980 nos
EUA. Os esforços ganharam apoio dos grandes investidores que passaram a valorizar
organizações com uma gestão correta e sólida e mobilizando-se contra corporações com gestões
irregulares. O movimento pela governança corporativa expandiu-se para a Europa e chegou ao
Brasil nos anos 1990 e 2000 (BORGES e SERRÃO, 2005).
A governança corporativa, então, surge devido a uma forte necessidade de controlar e
trazer racionalidade para conflitos de interesse existentes entre os stakeholders da estrutura
organizacional e corporativa. A teoria da agência aborda os conflitos de interesse como
problemas de agência (GILLAN e STARKS, 2003).
Diversos autores e obras irão fornecer conceitos e aplicações para governança
corporativa (BORGES e SERRÃO, 2005). O conceito de governança corporativa está
relacionado com o modo como as empresas são dirigidas e controladas, englobando as
diferentes formas e esferas de seu exercício e diversos interesses. (MARQUES, 2007). A
governança irá estabelecer as formas de interação entre os proprietários, investidores, gestores
e partes interessadas (Stakeholders) (VIEIRA, TAVARES e BARRETO, 2019).
Para o bom funcionamento da governança e aplicação de suas diretrizes, é necessário
um conjunto de estruturas que possibilitem limites para o sistema operacional da organização.
O conjunto de estruturas é composto por fatores como atividades corporativas, como gerentes,
trabalhadores e fornecedores de capital (GILLAN e STARKS, 2003).
A regulação de interações e relacionamento entre as partes interessadas é de extrema
importância visando reduzir conflitos de interesse e promovendo um alinhamento
organizacional para alcance de objetivos e resultados. Os conflitos de interesse são
considerados os problemas de agência, que podem ocorrer entre acionistas, que possuem a
propriedade e os agentes, que tem o controle administrativo da organização (BORGES e
SERRÃO, 2005)
A teoria da agência aborda os diversos problemas e custos que podem existir em uma
relação conflituosa entre acionistas e administradores na busca por interesses e objetivos
divergentes, onde o bem-estar de uma parte depende das decisões da outra. O grande problema
ocorre quando uma das partes passa a colocar em primeiro lugar interesses particulares de
ganho, vantagens, estilo de vida, retorno e riqueza e assim gerando falta de controle, falhas de
transparência, fraudes e corrupção (BORGES e SERRÃO, 2005).
Sendo assim, a teoria da agência contribui em termos teóricos para não somente a
compreensão dos conflitos existentes, mas sobre as relações existentes no sistema onde a
propriedade da organização e o controle estabelecido serão designados a pessoas diferentes
(ARRUDA, MADRUGA e JUNIOR, 2008).
A governança corporativa vem para promover a construção de uma estrutura
envolvendo gestão, estratégia, liderança e controle dentro das organizações e assim dar
sustentabilidade para os objetivos organizacionais, possibilitar maior segurança e controle para
acionistas, proteger os direitos dos administradores e assegurar a satisfação das necessidades
dos clientes finais.
A governança é uma temática que está sendo cada vez mais debatida e implementada
nos setores público e privado atualmente, principalmente após os anos 2000, em função das
fraudes no mercado norte-americano e assim servido de exemplo de boa prática para países em
crescimento como o Brasil. O setor público tem buscado adotar tais práticas como meios para
combater a corrupção e buscar garantir um uso eficiente dos recursos públicos. (SILVEIRA,
2004)
Um dos principais fatores trabalhados na governança para combater a corrupção é o
controle interno, visando promover transparência e alcance dos objetivos previstos no
planejamento estratégico. Uma das ferramentas utilizadas pelo controle interno atualmente é a
gestão de riscos, atuando como uma fonte de identificação de possíveis eventos de riscos e
trabalhando em ações de controle preventivo e contingencial, ponto que será explorado no
próximo item.

2.2. Gestão de riscos

A gestão de riscos é trabalhada e conceituada por normas padronizadas e adotadas em

nível mundial como o Committee of Sponsoring Organization of the Treadway Commission que
define o gerenciamento de riscos como:

Um processo conduzido em uma organização pelo conselho de administração,

diretoria e demais empregados, aplicado no estabelecimento de estratégias,
formuladas para identificar em toda a organização eventos em potencial,
capazes de afetá-la, e administrar os riscos de modo a mantê-los compatível
com o apetite a risco da organização e possibilitar garantia razoável do
cumprimento dos seus objetivos. (COSO, p. 4, 2007)

A gestão de riscos é considerada um processo contínuo e permanente na organização,

que deve ser promovido, incentivado, direcionado e monitorado pela alta gestão da instituição,
contemplando atividade de identificação, avaliação e gerenciamento de eventos de risco em
potencial e assim buscar possibilitar o alcance dos objetivos organizacionais (CGU, 2018).
De acordo com o Tribunal de Contas da União, para que uma organização possa elevaras
chances de alcance de seus objetivos, sejam eles estratégicos, táticos ou operacionais, elas
devem adotar práticas de gestão de riscos mesmo que informais ou até as mais avançadas e
estruturadas, dependendo do porte e complexidade. A gestão de riscos vai consistir em um
conjunto de atividades que serão coordenadas para identificar, analisar, avaliar, tratar e
monitorar os riscos. (TCU, 2018)
A ISO 31000 (2009), descreve o processo de gestão de riscos, de acordo com a figura
03 abaixo. Pode-se constatar o início do processo com o a comunicação e consulta, que estará
presento em todo o processo de identificação e avaliação dos riscos, em seguida o
estabelecimento do contexto e posteriormente a identificação, análise, avaliação e tratamento
dos riscos identificados. O monitoramento e análise crítica deverá ser realizado durante todo o
processo com o objetivo de corrigir possíveis falhas de execução.

Figura 03: Processo de gestão de riscos

Fonte: ABNT NBR ISO 31000:2009

O COSO (2007) descreve suas etapas do gerenciamento de riscos de acordo com o

quadro abaixo. Ressalta-se a ênfase para a necessidade de se fixar e definir bem os objetivos
organizacionais para um correto e seguro processo de gestão de riscos.

Quadro 1: Etapas do gerenciamento de riscos segundo o COSO.

Etapa Descrição
O ambiente interno compreende o tom de uma
organização e fornece a base pela qual os riscos são
Ambiente Interno identificados e abordados pelo seu pessoal, inclusive a
filosofia de gerenciamento de riscos, o apetite a risco,
a integridade e os valores éticos, além do ambiente
em que estes estão.
Os objetivos devem existir antes que a administração
possa identificar os eventos em potencial que poderão
afetar a sua realização. O gerenciamento de riscos
corporativos assegura quea administração disponha de
Fixação de Objetivos um processo implementado para estabelecer os
objetivos que propiciem suporte e estejam alinhados
com a missão da organização e sejam compatíveis com
oseu apetite a riscos.

Identificação de Eventos
Avaliação de Riscos
Resposta a Risco
Atividades de Controle
Informações e Comunicações
Monitoramento
Fonte: Elaborado pelo autor a partir do COSO, 2007.
O cumprimento dos objetivos de uma organização deve
ser identificado e classificados entre riscos e
oportunidades. Essas oportunidades são canalizadas
para os processos de estabelecimento de estratégias da
administração ou de seus
objetivos.
Os riscos são analisados, considerando-se a sua
probabilidade e o impacto como base para determinar
o modo pelo qual deverão ser administrados. Esses
riscos são avaliados quanto à sua condição de inerentes
e residuais.
A administração escolhe as respostas aos riscos -
evitando, aceitando, reduzindo ou compartilhando
- desenvolvendo uma série de medidas para alinharos
riscos com a tolerância e com o apetite a risco.
Políticas e procedimentos são estabelecidos e
implementados para assegurar que as respostas aos
riscos sejam executadas com eficácia.
As informações relevantes são identificadas, colhidas e
comunicadas de forma e no prazo que permitam que
cumpram suas responsabilidades. A comunicação
eficaz também ocorre em um sentido mais amplo,
fluindo em todos níveis da organização.
A integridade da gestão de riscos corporativos é
monitorada e são feitas as
modificações necessárias. O monitoramento é
realizado através de atividades gerenciais contínuas
ou avaliaçõesindependentes ou de ambas as formas.

O COSO tornou-se um framework amplamente discutido e sugerido no setor público

como parâmetro e ferramenta direcionadora para estratégias e ações de gestão de riscos
implementadas pelos gestores no setor público, embasando até instruções normativas de órgãos
de controle nacionais.
Ressalta-se uma característica primordial do COSO que é a fixação de objetivos. É
necessário antes de iniciar qualquer ação de gerenciamento riscos, a definição muito clara dos
objetivos organizacionais e alinhamento de todo o processo de gestão de riscos. A gestão de
riscos auxilia nos controles internos e nas providências para construção de planos preventivos
e corretivos que possam contribuir para o alcance de objetivos, logo, a definição dos mesmos
torna-se imprescindível.
Além da fixação de objetivos, o apoio da alta gestão é essencial para todo alinhamento
estratégico e posicionamento da gestão de riscos não somente como filosofia ou cultura, mas
como peça de toda a estrutura de governança corporativa. A governança tem como pilares a
liderança, estratégia e controle. (MONTEZANO, JÚNIOR, RAMOS e MELCHIADES, 2019)
Assim, pode-se considerar como um objeto central da gestão de riscos conduzindo
trabalhos e decisçoes para além da identificação e mitigação de eventos, a sua contribuição
relevante para agregar valor de forma às atividades organizacionais. É a integraçãoda governança
corporativa com a estratégia organizacional, asseguradas por ações que possam identificar
situações negativas e oportunidade que possam ser exploradas para acelerar o alcance de
objetivos das instituições (PELEIAS, CAETANO, PARISI e PEREIRA).
 3. METODOLOGIA DA PESQUISA

A partir de Marconi e Lakatos (2006, p.190) a pesquisa teve caráter descritivo-

exploratório, no qual foi realizada etapa de levantamento documental (políticas, planos e
normativos internos), sendo realizado estudo sobre Política de Gestão de Riscos das IFES
estudadas, e a existência de planos de implementação de gestão de riscos e normativos internos,
assim como as estruturas das instâncias internas de tomada de decisão sobre gestão de riscos,
além de literatura especializada.
Para viabilizar a coleta de dados da etapa descritiva e analítica, foi elaborado
questionário contendo elementos da estrutura de gestão de riscos da IFES (documentos,
identificação dos setores, processos e gestores responsáveis pela gestão de riscos) O
questionário passou por pré-teste com seis gestores do FORPLAD, não sendo sugeridas
alterações ou melhorias. Para aplicação do questionário da etapa descritiva e analítica da
pesquisa
A pesquisa foi realizada com a aplicação de questionário na plataforma FORMS para
investigar e confirmar quais IFES do Nordeste possuem Política de Gestão de Riscos, Planos
de Implementação da Gestão de Riscos, ferramentas utilizadas para gerenciamento, processos
mapeados, assim como identificar em quais níveis organizacionais a gestão de riscos já está
sendo executada. A amostra foi composta pelas 20 universidades federais do Nordeste.
Para o desenvolvimento da coleta de dados na fase descritiva e analítica, foi utilizado,
um questionário estruturado para viabilização da coleta de dados seguindo o roteiro
estabelecido, assim como levantamento de políticas de gestão de riscos nos sites das instituições
O questionário foi enviado para as instâncias internas de tomada de decisão sobre a
implementação e operacionalização da gestão de riscos nas IFES, dependendo da estrutura
estabelecida na organização, como por exemplo: Comitê de Governança, Comitê de Gestão de
Riscos, Controladoria, Coordenadorias, etc..
A partir dos dados coletados foi realizado tratamento dos dados obtidos com o
questionários e cruzamento dos dados obtidos no levantamento documental com o objetivo de
verificar a atual estruturação organizacional e normativa da gestão de risco na IFES, a partir da
IN Conjunta MP-CGU Nº 01/2016.

4. ANÁLISE E DISCUSSÃO DOS RESULTADOS

A análise dos dados da pesquisa contemplou dois momentos: primeiramente serão

apresentados os dados relativos à descrição da amostra; em seguida são analisados os pontos
referentes a estrutura de gestão de riscos das vinte IFES pesquisadas a partir do levantamento
documental.
A pesquisa foi realizada com a aplicação de questionário na plataforma FORMS para
investigar e confirmar quais IFES do Nordeste possuem Política de Gestão de Riscos, Planos
de Implementação da Gestão de Riscos, ferramentas utilizadas para gerenciamento, processos
mapeados, assim como identificar em quais níveis organizacionais a gestão de riscos já está
sendo executada. A amostra foi composta pelas 20 universidades federais do Nordeste.
O ambiente de estudo foi composto por amostra das IFES presentes no Nordeste
brasileiro, sendo considerado, após liberação da pesquisa e consentimento por parte dos
respondentes, um público composto por vinte universidades federais do Nordeste.
De acordo com o gráfico 1, das 20 universidades federais do Nordeste, 14 delas possuem
política de gestão de riscos já elaborada e aprovada, e 4 IFES já em processo de elaboração.
Apenas 2 não possuem política aprovada ou em elaboração até o momento. Os números
demonstram um forte engajamento das universidades federais do Nordeste em atender a
Instrução Normativa Conjunta MP/CGU N°01/2016 ao aprovarem suas políticas internas para
darem as diretrizes necessárias para o início dos trabalhos de implantação da gestão de riscos.
No processo de implantação da gestão de riscos, faz-se necessário um alinhamento da
gestão de riscos com o planejamento estratégico, objetivos estratégicos, metas, indicadores e
resultados, assim como alinhar a estrutura com os princípios e valores institucionais. Além
disso, o escopo deve ser claro, bem como a profundidade e amplitude da gestão de riscos,
metodologias e ferramentas, responsáveis e períodos de monitoramento. Todos esses aspectos
devem ser contemplados na política (MIRANDA, 2017).

Gráfico 1
A política de gestão de riscos da instituição está
elaborada eaprovada?

Sim, está elaborada e 1

aprovada 4
Está em elaboração
A instituição não possui Política de Gestão de…
8 10 12 14
16
Fonte: Pesquisa realizada com IFES do FORPLAD.

O gráfico 2 apresenta o panorama das universidades do Nordeste em relação a

implementação da gestão de riscos em suas práticas gestoras. Nove universidades,
aproximadamente 50% da amostra, já possuem planos de implementação já elaborados, indo
além da política e já preparando o processo de execução de atividades de gerenciamento de
riscos. Sete universidades estão com planos em processo de elaboração e apenas quatro não
possuem plano elaborado ou em elaboração.
Os planos de implementação devem fazer uma articulação entre as diretrizes,
orientações e teorias da política com os fatores e condições operacionais das atividades de
gestão de riscos na instituição.

Gráfico 2
Existem planos de gestão de riscos instituídos? Planos
setoriais ou plano institucional para implementação da
política de gestão de riscos.

Sim, o plano está elaborado

O plano está em elaboração
Não existe plano de implementação 4

0 1 2 3 4 5 6 7 8 9 10

Fonte: Pesquisa realizada com IFES do FORPLAD.

De acordo com o gráfico 3, apesar de 6 universidades não possuírem políticas de gestão

de riscos aprovadas,19 instituições da amostra já possuem órgãos responsáveis pela promoção
e operacionalização da gestão de riscos. Ressalta-se que para o processo de institucionalização
da política de gestão de riscos na IFES é necessário que algumas etapas e fatores sejam
atendidos.
A criação de um setor responsável ou a aprovação da política de gestão de riscos não
garantem a institucionalização. É necessária a integração da política de gestão de riscos com o
PDI e objetivos estratégicos, assim como os processos organizacionais acadêmicos e
administrativos. A metodologia e ferramentas devem fazer parte do processo de planejamento
e tomada de decisão setorial em níveis tático e operacional também, aproximando a instituição
de chances reais de consolidação na cultura organizacional.
Assim sendo, o gráfico apresenta indícios de que as IFES pesquisadas se encontram em
estágios diferentes de busca pela institucionalização de suas políticas de gestão de riscos, umas
ainda em atendimento normativo, outras aprofundando em aplicação prática de estruturas e
ferramentas em termos operacionais.
Além da necessidade de aprovação de uma política de gestão de riscos e de um plano
de implementação da gestão de riscos, existe a necessidade de uma estrutura administrativa que
possa proporcionar toda arquitetura organizacional e apoio possíveis para permitir uma
construção da cultura organizacional em torno das políticas e práticas de gestão de riscos.
A estruturação é considerada um dos grandes desafios organizacionais, o qual deve-se
levar em consideração o tamanho da organização, tipos e naturezas de suas atividades, definição
de áreas de autoridade, responsáveis pelo gerenciamento dos riscos, pela promoção, incentivo
e apoio tecnológico e estrutural, definindo claramente alçadas e delegação de autoridade, assim
como os limites (MIRANDA, 2017).

Gráfico 3
A instituição possui Comitê de Governança, Riscos e Controle ou
órgão equivalente para tomada de decisão sobre gestão de riscos
na IFES?
19
20

10

Não Sim
Fonte: Pesquisa realizada com IFES do FORPLAD.

O gráfico 4 demonstra que 17 universidades realizam atividades de gerenciamento de

riscos em suas rotinas de gestão, mesmo que 3 destas 17 universidades ainda não tenham
política de gestão de riscos aprovada, de acordo com o gráfico 1. Isso confirma a existência de
práticas informais de gestão de riscos, mesmo sem políticas ou planos aprovados. Apenas 6
universidades realizam gestão de riscos em todos os níveis organizacionais, 5 universidades em
nível estratégico, 3 universidades em nível estratégico e tático e apenas 6 universidades estão
com gestão de riscos sendo praticada no nível operacional.
O nível operacional é primordial para o fortalecimento das práticas de gestão de riscos
na cultura organizacional. Os níveis estratégico e tático promovem o alinhamento estratégico e
monitoramento dos resultados organizacionais, mas o nível operacional está inserido nas
práticas cotidianas dos setores, o que pode promover também sustentabilidade da gestão de
riscos na base organizacional e consequente alinhamento com os demais níveis da IFES.
O gráfico 5 apresenta um cenário de execução da gestão de riscos nas IFES do Nordeste
no qual quase 50% delas possui gestão de riscos apenas em setores administrativos eoutras 8
instituições em setores acadêmicos e administrativos, somando 17 IFES com gestão deriscos em
áreas meio. Isso pode demonstrar uma maior viabilidade e menor resistência em setores
administrativos pela proximidade da temática com as rotinas de trabalho das áreas meio. Apenas
3 universidade não tem gestão de riscos implementada, o que corrobora com as duas IFES que
afirmaram não ter política de gestão de riscos e nem práticas implementadas.

Gráfico 4
O processo de gestão de riscos está sendo executado em todos os
níveis organizacionais?

Em níveis estratégico e tático

Em nível estratégico
Em nível operacional
Em todos os níveis organizacionais

Fonte: Pesquisa realizada com IFES do FORPLAD.

O gráfico permite uma reflexão acerca da necessidade de fortalecimento da cultura

organizacional em torno da gestão de riscos em unidades acadêmicas, demonstrando de maneira
clara de que forma o gerenciamento de riscos pode ser incorporado ao universo acadêmico nas
IFES, contribuindo para uma gestão mais eficaz das atividades gestoras em unidades ou
departamento finalísticos das universidades federais.
Outros fatores podem contribuir para uma prática da gestão de riscos ainda básica ou
inicial em unidades ou departamento acadêmicos. São setores com maiores atribuições e
atividades de natureza finalística e sem a intensidade procedimentos administrativos,
orçamentários e humanos das áreas meio, o que pode em um primeiro momento levar a gestão
de riscos não ser percebida como uma ferramenta aplicável à realidade acadêmica.
O segundo fator é a proximidade e cobrança que os setores administrativos sofrem dos
órgãos de controle para o atendimento de normativos ou implementação de controles internos
para garantir o uso racional e eficaz dos recursos públicos. Áreas meio passam por ações de
autidoria constantemente e isso pode causar pressão por aplicação de técnicas de gestão e
controles.
De acordo com Farrel e Gallagher (2015), as atividades de gerenciamento de risco em
toda a organização, como monitoramento, medição e relatórios devem ser integradas. Os
procedimentos de riscos são comunicados e totalmente compreendidos em toda a organização.
Isso leva também a necessidade de compreensão em toda a instituição, de conceitos e práticas
que irão orientar as atividades, como por exemplo, o conceito de apetite ao risco não somente
nos setores administrativos, mas acadêmicos também e integrados visando o alcance de
objetivos estratégicos.
Um exemplo seria a possibilidade de integrar a gestão de riscos em um processo de
compras ou contratação na universidade. O processo de identificação e tratamento dos riscos
ter início da identificação da demanda da unidade acadêmica e continuar durante todo o
processo de aquisição do bem ou acompanhamento do contrato. A gestão de riscos seria iniciada
na unidade acadêmica, teria continuidade nos setores administrativos de compras e contratações
e voltaria para a unidade acadêmica no monitoramento e acompanhamento da gestão de riscos
na execução do contrato ou uso do bem adquirido.
Gráfico 5
A gestão de riscos está presente em setores acadêmicos e
administrativos?

No momento apenas em setores administrativos

Em setores acadêmicos e administrativos

Até o momento em nenhum setor

0 1 2 3 4 5 6 7 8 9 10

Fonte: Pesquisa realizada com IFES do FORPLAD, 2022.

De acordo com gráfico 6, levando em consideração que 3 universidades não possuem

gestão de riscos em execução, os números demonstram que 2 IFES não tem registros de
ferramentas utilizadas, mesmo que com gerenciamento de riscos realizado de maneira informal.
75% das universidades possuem ferramentas, sendo 15 com planilhas e apenas 2 com sistemas
informatizados. O gráfico apresenta um cenário de necessidade de amadurecimento e
estruturação interna das IFES para utilização de sistemas informatizados.

Gráfico 6
A instituição faz uso de planilhas ou sistemas de informação para
cadastramento e registro dos riscos, oportunidades e posterior
tratamento?

Sistema informatizado

Planilhas 13

Não faz uso de ferramentas no momento

10 12 14

Fonte: Pesquisa realizada com IFES do FORPLAD.

A utilização de planilhas leva a uma gestão de riscos com menos tempo de resposta às
mudanças, devido a uma análise de cenários, números e dados demorada em função de uma
geração de relatórios manual, mecanizada e cansativa para o gestor. Os sistemas informatizados
permitem gerar relatórios em poucos segundos, realizar cruzamentos de variáveis, visualizar
cenários, integrar processos e objetivos estratégicos, assim como facilita a inserção de dados
para alimentação e atualização do gerenciamento de riscos.
O monitoramento torna-se ágil a medida que o gestor insere dados, informações e toma
providências práticas na operacionalização dos controles. Outro fator relevante dos sistemas
informatizados é a possibilidade de integrar a comunicação do gerenciamento de riscos de
vários setores, onde é possível apontar quais setores e processos estão relacionados ao
gerenciamento de riscos setorial.
É possível perceber o reflexo do atual estágio iniciante ou intermediário de várias IFES
e outros órgãos públicos ao estarem implantando estruturas de gestão de riscos e realizando as
adaptações estruturais necessárias, assim como testando metodologias e ferramentas que
melhor se adequem ou preparando-se internamente para terem condições básicas para
implantação e utilização de sistemas informatizados.
O gráfico 7 apresenta uma possível relação e influência do trabalho das auditorias
internas no fortalecimento das linhas de defesa das IFES e atividades de orientação e
recomendação para implementação da gestão de riscos nas universidades, demonstrando um
número de 18 universidades com unidades de auditoria interna, mesmo número de IFES com
políticas de gestão de riscos aprovadas ou em elaboração.

Gráfico 7
A instituição possui unidade de Auditoria Interna?
20 18

15

10

Não Sim

Fonte: Pesquisa realizada com IFES do FORPLAD.

Apenas 2 instituições não possuem unidades de auditoria interna. A ausência de

unidades de auditoria interna nas duas instituições citadas, pode levar a um enfraquecimento do
controle interno da IFES, a não identificação de pontos fracos ou ameaças, assim como
contribuir para uma fragilidade da accountability na universidade.
A auditoria interna busca contribuir para a boa governança e fortalecimento da
transparência e controle social. A estrutura de governança necessita das ações de auditoria,
fortalecendo a credibilidade do órgão e da gestão pública, buscando uma prestação de contas
confiável e segura, assim sendo os auditores buscam uma ligação direta entre a transparência e
a credibilidade institucional. (FONSECA, JORGE E NASCIMENTO, 2020)
A ação das auditorias internas vem a agregar e constituir um reforço para as bases da
accountability, uma vez que podem permitir o monitoramento e acompanhamento da atuação
dos órgãos. A auditoria interna pode reforçar a integridade, combate a corrupção, combate ao
abuso de poder, confiança no sistema democrático e melhoria da eficiência e eficácia.
(FONSECA, JORGE E NASCIMENTO, 2020)
Partindo para a análise documental, houve a possibilidade de contribuição
complementar para o alcance do objetivo do trabalho. Os documentos obtidos por meio de
consultas aos sites das IFES foram as políticas de gestão de riscos. Das IFES da amostra, foi
possível ter acesso, a época, a oito políticas. Foram analisadas as estruturas das políticas de
acordo com a estrutura cobrada pelas instruções normativas, analisando o atendimento dos itens
mínimos e a profundidade de item no estabelecimento do processo de gestão de riscos.
Assim, oito IFES possuíam políticas de gestão de riscos aprovadas e uma IFES
encontrava-se com sua política aguardando aprovação final para formalização, no entanto, com
práticas de gestão de riscos sendo operacionalizadas e com órgão responsável pela gestão de
riscos criado e em funcionamento.
As oito IFES apresentaram em suas políticas de gestão de riscos as metodologias
adotadas, muito semelhantes, na qual se faz presente características do COSO e da ISO 31000.
As ferramentas também são citadas, mesmo que sem grande detalhamento, o que pode refletir
a intenção ou detalhamento aprofundado em planos operacionais de gestão de riscos para
orientação interna dos setores. As estruturas refletem claramente o atendimento a Instrução
Normativa Conjunta MP/CGU N°01/2016. A própria instrução normativa adota uma sugestão
de estrutura relacionada ao COSO.
As estruturas apresentadas nas políticas vão ao encontro dos níveis intermediários
apontados nos atributos ambiente e processos, demonstrando a formalização de um processo de
gestão de riscos nas universidades. A política de gestão de riscos é considerada um dos
principais elementos que integra a estrutura de gestão de riscos da uma IFES. É relevante que
exista uma regulamentação, dispondo sobre a importância do engajamento dos gestores, sobre
a periodicidade do monitoramento e que possa buscar garantir a alocação de recursos. (SILVA,
2015)
Outro importante fator presente nas oito IFES é a definição dos órgãos responsáveis,
níveis hierárquicos e formas de integração e alinhamento entre eles para garantir a promoção e
estruturação da gestão de riscos. Os órgãos são descritos e com breves relatos de suas
responsabilidades e atribuições, assim como a busca pelo desenvolvimento dos servidores para
aplicação das metodologias e ferramentas.
O referido item fortalece a necessidade de construção de uma rede integrativa e de
parceiros que possam garantir a operacionalização da gestão de riscos. De acordo com o nível
de maturidade básico atribuído às IFES da amostra no atributo integração, existem servidores
designados responsáveis para implementar decisões relacionadas ao gerenciamento dos
principais riscos relacionados a cada objetivo, meta ou resultado esperado das políticas de
gestão.
As tipologias de risco são um item primordial e presente em todas as políticas. Os itens
citados até o momento e atendidos pelas oito IFES, refletem claramente e justificam a estrutura
apresentada na primeira etapa da pesquisa e que também são confirmadas no nível de
maturidade da amostra da segunda etapa da pesquisa, classificado como intermediário. As oito
IFES apresentam estruturas básicas (ambiente interno, fixação de objetivos setoriais,
identificação de riscos, avaliação e análise dos riscos identificados, tratamento dos riscos e
comunicação e consulta e monitoramento e análise crítica) para construção de todo processo de
gerenciamento de riscos e fortalecimento de uma cultura organizacional que utilize análise de
riscos para tomada de decisão.
Mesmo as políticas apresentando estruturas semelhantes do processo de gestão de
riscos, as formas de operacionalização e classificação dos riscos, assim como o apetite a riscos
da organização, deverão seguir características particulares de cada IFES, de acordo com a
cultura organizacional, estrutura administrativa e planejamento estratégico.
Para que a gestão de riscos obtenha sucesso na organização, dependerá da eficácia de
sua estrutura que irá proporcionar os fundamentos e arranjos necessários. A estrutura irá auxiliar
um gerenciamento de riscos eficaz por meio do processo de gestão de riscos em diferentes
níveis e contextos (SILVA, 2015).
Com relação ao alinhamento estratégico da gestão de riscos com o planejamento, seis
IFES apresentam em sua estrutura da política de gestão de riscos os princípios e objetivos
organizacionais. No entanto, apenas uma IFES aprofunda as diretrizes e orientações para a
integração ao planejamento estratégico e demais políticas organizacionais. Esta IFES poderá
ter uma melhor orientação no alinhamento da gestão de riscos nos três níveis organizacionais,
assim como construir uma integração da gestão de riscos com o alcance de resultados
organizacionais e assim mensurar a eficácia do processo.
A gestão de riscos é uma atividade integrada aos processos organizacionais e não uma
atividade autônoma e isolada, separa das principais atividades da organização. Ela faz parte das
responsabilidades organizacionais, incluindo o planejamento e todos os processos de gestão de
projetos e gestão de mudanças. (SILVA, 2015)
 Os atributos “indicadores de desempenho” e “resiliência de sustentabilidade” deixam
claro as fragilidades das IFES da amostra ao não terem até o momento uma integração
suficientemente adequada com o planejamento estratégico e processos organizacionais. Tal
integração já deve constar na regulamentação interna da IFES.
Um fator relevante para o aprimoramento da gestão de riscos é o acompanhamento e
monitoramento por meio de resultados, metas e indicadores de desempenho. O processo de
monitoramento permite uma abordagem de controle interno que possibilite a identificação de
pontos de melhoria, assim como a definição de planos de expansão da implementação dentro
de um cronograma planejado e exequível. Dentro deste panorama, apenas três IFES estão
realizando o monitoramento com indicadores e metas estabelecidas e aprovadas internamente
em suas estruturas.
A não aferição de desempenho pode impedir que os gestores tenham um retorno sobre
a eficiência e eficácia do processo de gestão de riscos implementado, impossibilitando
visualizar se os controles internos utilizados para tratamento dos riscos realmente estão tendo o
efeito esperado e colaborando para o alcance de objetivos estratégicos, táticos e operacionais.
A não mensuração leva a impossibilidade de propostas de melhorias e revisão eficaz da política
e planos de gestão de riscos.
O quadro 2 apresenta a análise comparativa das políticas de gestão de riscos,
apresentando de maneira geral um panorama em que as IFES atendem 5 itens dos 9 cobrados
pela IN Conjunta MP-CGU Nº 01/2016. As fragilidades são encontradas nos aspectos referentes
a integração com o planejamento estratégico, indicadores de desempenho e periodicidade de
tratamento e monitoramento.

Quadro 2: Análise comparativa das políticas de gestão de riscos das IFES pesquisadas
Itens estruturais básicos para gestão de riscos no Número de IFES da amostra que
setor público de acordo com a IN Conjunta MP-CGU Nº atendem ao item em sua política
01/2016
Princípios e objetivos organizacionais 6 IFES
Como a gestão de riscos será integrada ao planejamento 1 IFES
estratégico, aos processos e às políticas da organização
Como e com qual periodicidade serão identificados, 1 IFES
avaliados, tratados e monitorados os riscos
Como será medido o desempenho da gestão de riscos 3 IFES
Como serão integradas as instâncias do órgão ou entidade 8 IFES
responsáveis pela gestão de riscos
A utilização de metodologia e ferramentas para o apoio à 8 IFES
gestão de riscos
O desenvolvimento contínuo dos agentes públicos em 8 IFES
gestão de riscos
Competências e responsabilidades para a efetivação da 8 IFES
gestão de riscos no âmbito do órgão ou entidade
Tipologias de riscos 8 IFES
Fonte: Elaborado pelo autor, 2021.

A realização da pesquisa, referente a análise exploratória, foi suficiente para alcance do

objetivo específico de realizar levantamento documental e estrutural quanto a implementação
de práticas de gestão de riscos nas IFES. Em paralelo a aplicação do questionário e coleta de
dados, foi realizado levantamento documental das políticas de gestão de riscos nos sites das
IFES.
A término desta análise são realizadas um conjunto de sugestões para o amadurecimento
da organização da gestão de risco pela IFES. A primeira sugestão é relacionada ao alinhamento
da gestão de riscos da IFES com o seu planejamento estratégico institucional. Algumas IFES
possuem planejamento estratégico institucional e o plano de desenvolvimento institucional,
outras possuem apenas um dos dois. O importante é que a gestão de riscos esteja presente nos
documentos estratégicos norteadoresda instituição.
A segunda sugestão está relacionada a periodicidade da operacionalização do processode
gestão de riscos nos três níveis organizacionais. É importante que seja pelo menos citado na
política de gestão de riscos a necessidade de definição por parte dos setores, sobre uma
periodicidade de monitoramento e revisão de todo o processo de gerenciamento dos riscos
identificados e levantamento de novos.
A terceira e última sugestão é sobre a medição do desempenho da gestão de riscos na
IFES. É necessário que a implementação da gestão de riscos, assim como seu funcionamento
sejam monitorados para que possam sofrer melhorias e amadurecimento. É importante que a
mensuração seja construída levando em consideração a realidade acadêmica e administrativa,
elaborando indicadores, metas, possíveis resultados e documentando para construção de um
histórico.

5. CONSIDERAÇÕES FINAIS

O presente trabalho definiu como objetivo analisar o estágio de formalização de

estruturas em gestão de riscos nas universidades federais do Nordeste brasileiro. Para o alcance
do objetivo geral, alguns objetivos específicos foram elaborados: realizar levantamento
documental e pesquisa estrutural quanto aimplementação de práticas de gestão de riscos nas
IFES pesquisadas.
Com relação aos objetivos específicos, o levantamento documental e estrutural foi
realizado com êxito com as vinte universidades federais do Nordeste. A pesquisa foi essencial
para compreensão do panorama estruturalem gestão de riscos das universidades federais do
Nordeste e compreender melhor a análise aprofundada do nível de gestão de riscos da amostra
pesquisada na segunda etapa da pesquisa.
Foi possível constatar que quatorze universidades federais do Nordeste já possuem
políticas de gestão de riscos aprovadas e outras quatro estão em processo de elaboração para
posterior discussão e aprovação, demonstrando um engajamento forte para estruturação da
gestão de riscos e atendimento normativo. O fato pode ser afirmado pelo número de dezeseis
IFES com planos de implementação de gestão de riscos aprovados ou em elaboração. Dezenove
das vinte IFES já possuem órgãos responsáveis pela gestão de riscos.
Ainda se reforça que a época apenas 8 IFES apresentavam em seus portais oito IFES
possuíam políticas de gestão de riscos aprovadas e uma IFES encontrava-se com sua política
aguardando aprovação final para formalização, no entanto, com práticas de gestão de riscos
sendo operacionalizadas e com órgão responsável pela gestão de riscos criado e em
funcionamento.
A análise comparativa das políticas de gestão de riscos apresentou de maneira geral um
panorama em que as IFES atendem 5 itens dos 9 cobrados pela IN Conjunta MP-CGU Nº
01/2016. As fragilidades são encontradas nos aspectos referentes a integração com o
planejamento estratégico, indicadores de desempenho e periodicidade de tratamento e
monitoramento.
REFERÊNCIAS

ABNT NBR ISO 31000. Gestão de riscos - Princípios e diretrizes. Risk management –
Principles and guidelines. 1 ed. Rio de Janeiro, 2009.
ARAGÃO, C. V. Burocracia, eficiência e modelos de gestão pública: um ensaio. Revista do
Serviço Público, Ano 48, Número 3, 1997.
CGU. Controladoria geral da União. Instrução Normativa Conjunta 01 de 10 de maio de 2016.
IN MP-CGU Nº 01/2016. Diário Oficial da União, publicado em 11/05/2016, Edição: 89,
Seção: 1, Página 14.
COSO. Gerenciamento de Riscos na Empresa – Estrutura Integrada: Sumário Executivo e
Estrutura e Gerenciamento de Riscos na Empresa – Integrated Framework: Application
Techniques, 2 vol. set, 2013.
FARRELL, M.; GALLAGHER, R. The Valuation Implications Of Enterprise Risk
Management Maturity. The Journal of Risk and Insurance, 82, No. 3, 625–657, 2015.
FONSECA, A. dos R.; JORGE, S.; NASCIMENTO, C. F. F. do. O papel da auditoria interna
na promoção da accountability nas Instituições de Ensino Superior. Revista de
Administração Pública, Rio de Janeiro, RJ, v. 54, n. 2, p. 243–265, 2020. Disponível em:
https://bibliotecadigital.fgv.br/ojs/index.php/rap/article/view/81250. Acesso em: 9 maio.
2023.
MIRANDA, Rodrigo F. A. Implementando a Gestão de Riscos no Setor Público. Belo Horizonte:
Ed. Fórum, 2017.
MONTEZANO, L.; JÚNIOR, R. L. C.; RAMOS, K. H. C.; MELCHIADES, A. T. Percepção
de servidores públicos quanto à implantação da gestão de riscos em uma secretaria do governo
federal do brasil. E&G Economia e Gestão, Belo Horizonte, v. 19, n. 54, Set./Dez. 2019.
PELEIAS, I. R.; CAETANO, G.; PARISI, C.; PEREIRA, A. C. Produção científica sobre
controle interno e gestão de riscos no enanpad e congresso usp: análise bibliométrica no período
2001-2011. Revista Universo Contábil, ISSN 1809-3337, FURB, Blumenau, v. 9, n. 4, p. 29-
49, out./dez., 2013.
SOUZA, K. ; BRASIL, F. Gestão de Riscos na Administração Pública, 2016.
SILVA, A. L. C. Governança corporativa, valor, alavancagem e política de dividendos das
empresas brasileiras. Revista Adm., São Paulo, v.39, n.4, p.348-361, out./nov./dez. 2004.
SILVA, B. J. P. Proposta de modelo de gestão de riscos para uma IFES visando à
realização de auditoria baseada em riscos. 2015. 186 f. Dissertação (Mestrado) –
Universidade Federal do Rio Grande do Norte. Centro de Ciências Humanas, Letras e Artes –
Programa de Pós-Graduação em Gestão de Processos Institucionais.
TCU. Critérios Gerais de Controle Interno na Administração Pública: Um estudo dos
modelos e das normas disciplinadoras em diversos países. Brasília, 2009.
TCU. Curso de Avaliação de Controles internos. 2.ed. Brasília, 2012.
TCU. Referencial Básico De Governança: Aplicável a Órgãos e Entidades da Administração
Pública. Brasília, 2013.
VIEIRA, J.B.; BARRETO, R. T. S. Governança, Gestão de Riscos e Integridade. Enap
Fundação Escola Nacional de Administração Pública, 2019.