O ambiente da Administração Pública brasileira tem passado por profundas transformações nos últimos anos, impulsionadas pela necessidade de maior eficiência, transparência e controle na gestão dos recursos públicos. Nesse cenário, a gestão de riscos, antes restrita ao setor privado, consolidou-se como um pilar fundamental da governança pública, tornando-se não apenas uma boa prática, mas uma exigência legal e normativa. Para profissionais do setor público – defensores, procuradores, promotores, juízes e auditores –, compreender e aplicar metodologias de gestão de riscos é essencial para garantir a legalidade, a economicidade e a efetividade das políticas públicas, além de mitigar potenciais responsabilizações.
A Evolução Normativa da Gestão de Riscos na Administração Pública
A introdução formal da gestão de riscos na Administração Pública federal brasileira ganhou força com a publicação da Instrução Normativa Conjunta MP/CGU nº 01/2016, que estabeleceu controles internos, gestão de riscos e governança no âmbito do Poder Executivo Federal. Essa norma definiu a necessidade de implementar processos sistemáticos para identificar, avaliar, tratar e monitorar riscos que possam comprometer o alcance dos objetivos institucionais.
Posteriormente, o Decreto nº 9.203/2017 consolidou a política de governança da administração pública federal, estabelecendo a gestão de riscos como um de seus princípios basilares (art. 3º, V). O decreto determina que a alta administração é responsável por estabelecer a estratégia de gestão de riscos e garantir sua implementação e monitoramento contínuo.
A Nova Lei de Licitações e Contratos Administrativos (Lei nº 14.133/2021) representou um marco paradigmático ao exigir a gestão de riscos em diversas fases do processo licitatório e contratual. O art. 169 impõe a implementação de práticas contínuas e permanentes de gestão de riscos e de controle preventivo. Além disso, o art. 18, X, estabelece que a fase preparatória do processo licitatório deve contemplar a análise dos riscos que possam comprometer o sucesso da licitação e a boa execução contratual. Essa obrigatoriedade reforça a necessidade de planejamento e proatividade, evitando o "apagar de incêndios" que historicamente caracterizou a gestão pública.
As atualizações legislativas até 2026 reforçam essa tendência, com o Tribunal de Contas da União (TCU) e os Tribunais de Contas dos Estados (TCEs) intensificando a cobrança pela demonstração efetiva da gestão de riscos em auditorias e prestação de contas, não se contentando mais com a mera formalidade de documentos, mas exigindo a comprovação da mitigação real de vulnerabilidades.
Fundamentos Legais e Jurisprudenciais
A base legal para a exigência da gestão de riscos encontra-se no próprio texto constitucional, especificamente nos princípios da eficiência e da economicidade (art. 37, caput, e art. 70). A ausência de um planejamento adequado e a falta de antecipação de problemas previsíveis configuram, na visão contemporânea do controle, violação a esses princípios.
O TCU tem consolidado jurisprudência no sentido de que a ausência de matriz de riscos, quando exigida legalmente (como na Lei nº 14.133/2021 e nas concessões e Parcerias Público-Privadas – Leis nº 8.987/1995 e nº 11.079/2004), pode ensejar a responsabilização do gestor público, caracterizando erro grosseiro (art. 28 da LINDB).
O Acórdão TCU nº 1.171/2017-Plenário, por exemplo, determinou a órgãos federais a implementação de processos de gestão de riscos como condição para a regularidade da gestão. Mais recentemente, o Acórdão TCU nº 2.450/2023-Plenário destacou que a matriz de alocação de riscos em contratos administrativos não é mero anexo formal, mas instrumento essencial para a precificação adequada da proposta e para a manutenção do equilíbrio econômico-financeiro.
Para o Ministério Público e a Defensoria Pública, a atuação na tutela coletiva e na defesa do patrimônio público e social tem se voltado cada vez mais para a cobrança da implementação dessas ferramentas de governança, exigindo que o Estado atue de forma preventiva na formulação e execução de políticas públicas, evitando o desperdício de recursos e a ineficiência.
O Processo de Gestão de Riscos: Passo a Passo Prático
A implementação da gestão de riscos não precisa ser um processo complexo e burocrático. Recomenda-se a adoção de metodologias consagradas, como a ISO 31000 e as diretrizes do Committee of Sponsoring Organizations of the Treadway Commission (COSO ERM). O processo pode ser estruturado nas seguintes etapas.
1. Comunicação e Consulta
A gestão de riscos não é uma atividade isolada de um setor. Exige o envolvimento de todas as partes interessadas (gestores, executores, órgãos de controle, fornecedores). A comunicação clara sobre os objetivos da gestão de riscos e a consulta contínua são essenciais para garantir a aderência e a eficácia do processo.
2. Estabelecimento do Contexto
Antes de identificar os riscos, é preciso compreender o ambiente interno e externo em que a organização ou o projeto está inserido. Quais são os objetivos estratégicos? Quais são as restrições legais e orçamentárias? Qual é o apetite a risco da instituição (ou seja, qual o nível de risco que a organização está disposta a aceitar)?
3. Identificação de Riscos
Nesta fase, busca-se responder à pergunta: "O que pode dar errado?". A identificação deve ser exaustiva, englobando riscos operacionais, financeiros, legais, de conformidade, de imagem e estratégicos. Técnicas como brainstorming, análise SWOT, entrevistas e análise de dados históricos são úteis.
4. Análise e Avaliação de Riscos
Uma vez identificados, os riscos devem ser analisados quanto à sua probabilidade de ocorrência e ao impacto caso se materializem. Essa análise permite a priorização dos riscos. A matriz de probabilidade e impacto (Matriz PxI) é a ferramenta mais comum, classificando os riscos em níveis (ex: baixo, médio, alto, extremo).
5. Tratamento de Riscos
Para cada risco identificado e avaliado, deve-se definir uma estratégia de resposta:
- Evitar: Alterar o plano para eliminar a ameaça.
- Transferir: Repassar a responsabilidade do risco para terceiros (ex: seguros, cláusulas contratuais de alocação de riscos).
- Mitigar: Reduzir a probabilidade ou o impacto do risco por meio de controles internos (ex: dupla checagem, segregação de funções, auditorias periódicas).
- Aceitar: Reconhecer o risco e não tomar nenhuma ação proativa, assumindo as consequências caso ele ocorra (geralmente aplicado a riscos de baixo impacto e probabilidade).
6. Monitoramento e Análise Crítica
A gestão de riscos é um processo dinâmico. Os riscos mudam ao longo do tempo, novos riscos surgem e os controles podem perder a eficácia. O monitoramento contínuo e a revisão periódica da matriz de riscos são indispensáveis.
Modelos Práticos para a Administração Pública
Para materializar o processo, apresentamos dois modelos práticos essenciais.
Modelo 1: Matriz de Probabilidade e Impacto (PxI)
Esta matriz ajuda a priorizar os riscos.
| Impacto / Probabilidade | Raro (1) | Improvável (2) | Possível (3) | Provável (4) | Quase Certo (5) |
|---|---|---|---|---|---|
| Catastrófico (5) | Médio (5) | Alto (10) | Extremo (15) | Extremo (20) | Extremo (25) |
| Maior (4) | Baixo (4) | Médio (8) | Alto (12) | Extremo (16) | Extremo (20) |
| Moderado (3) | Baixo (3) | Médio (6) | Médio (9) | Alto (12) | Alto (15) |
| Menor (2) | Baixo (2) | Baixo (4) | Médio (6) | Médio (8) | Alto (10) |
| Insignificante (1) | Baixo (1) | Baixo (2) | Baixo (3) | Baixo (4) | Médio (5) |
Como usar: Multiplique o valor da Probabilidade pelo valor do Impacto para obter o Nível do Risco. Riscos classificados como "Extremo" e "Alto" exigem tratamento imediato e rigoroso.
Modelo 2: Registro de Riscos (Planilha de Gestão)
O Registro de Riscos é o documento central onde todas as informações são consolidadas.
| ID | Descrição do Risco | Causa Potencial | Consequência | Prob. (1-5) | Impacto (1-5) | Nível do Risco | Estratégia de Tratamento | Ação de Controle (Mitigação) | Responsável | Prazo | Status |
|---|---|---|---|---|---|---|---|---|---|---|---|
| 01 | Frustração da licitação por falta de propostas (licitação deserta). | Pesquisa de preços inadequada (valor estimado abaixo do mercado). | Atraso na contratação de serviço essencial; necessidade de nova licitação. | 3 | 4 | 12 (Alto) | Mitigar | Ampliar a cesta de preços; consultar potenciais fornecedores na fase preparatória (art. 23, § 1º, Lei 14.133/21). | Setor de Compras / Pregoeiro | Fase Preparatória | Em andamento |
| 02 | Inexecução contratual por insolvência da contratada. | Contratação de empresa sem capacidade financeira. | Paralisação da obra/serviço; prejuízo ao erário. | 2 | 5 | 10 (Alto) | Mitigar / Transferir | Exigir garantia de execução contratual (art. 96, Lei 14.133/21) e índices de qualificação econômico-financeira rigorosos. | Comissão de Contratação / Fiscal do Contrato | Edital / Execução | Planejado |
| 03 | Superfaturamento na execução de obra. | Falha na fiscalização; medições imprecisas. | Dano ao erário; responsabilização dos gestores (art. 28 LINDB). | 3 | 5 | 15 (Extremo) | Mitigar | Implementar fiscalização com equipe multidisciplinar; uso de tecnologias de medição (drones, BIM); auditoria concomitante. | Fiscal de Obras / Controle Interno | Execução | Em implantação |
Orientações Práticas para Profissionais do Setor Público
- Integração com o Planejamento Estratégico: A gestão de riscos não deve ser um apêndice, mas parte integrante do planejamento estratégico institucional e do Plano de Contratações Anual (PCA).
- Capacitação Contínua: Promover treinamentos periódicos para servidores sobre metodologias de identificação e avaliação de riscos, especialmente diante das novidades da Lei nº 14.133/2021.
- Cultura de Controles Internos: Fomentar uma cultura organizacional onde o controle preventivo seja valorizado, superando a visão punitiva do controle a posteriori.
- Utilização de Tecnologia: Adotar softwares e sistemas informatizados para o mapeamento e monitoramento contínuo dos riscos, facilitando a geração de relatórios e a tomada de decisão baseada em dados.
- Documentação Adequada: Registrar todas as etapas do processo de gestão de riscos. A rastreabilidade das decisões (motivadas tecnicamente) é a melhor defesa do gestor público contra futuras responsabilizações (princípio da motivação e art. 20 da LINDB).
Conclusão
A gestão de riscos deixou de ser uma faculdade para se tornar um imperativo na Administração Pública contemporânea, exigido por leis, normativas e pela jurisprudência consolidada dos órgãos de controle. Para os profissionais que atuam no setor público, dominar essas ferramentas é essencial não apenas para assegurar a conformidade legal, mas, sobretudo, para garantir a efetividade na prestação de serviços à sociedade e mitigar o risco de responsabilizações por falhas de planejamento. A adoção de modelos práticos e a institucionalização de uma cultura preventiva são passos fundamentais para uma governança pública mais eficiente, transparente e orientada a resultados concretos.
Aviso: Este artigo tem caráter informativo e didático. Deve ser verificado e adaptado a cada caso concreto por profissional habilitado. Acesse minuta.tech para mais recursos.