A gestão de riscos na Administração Pública brasileira deixou de ser uma mera recomendação de boas práticas para se tornar uma exigência normativa imperativa, essencial para a garantia da eficiência, da economicidade e da probidade administrativa. O presente artigo destina-se a orientar profissionais do setor público – defensores, procuradores, promotores, juízes e auditores – sobre a estruturação e a implementação de um processo eficaz de gestão de riscos, com base na legislação e nas normativas mais recentes.
A obrigatoriedade da gestão de riscos no âmbito federal consolidou-se, inicialmente, com a Instrução Normativa Conjunta MP/CGU nº 01/2016, que estabeleceu controles internos, gestão de riscos e governança no Poder Executivo Federal. Posteriormente, o Decreto nº 9.203/2017 instituiu a política de governança da administração pública federal direta, autárquica e fundacional, reforçando a necessidade de avaliar e gerenciar riscos. Mais recentemente, a Nova Lei de Licitações e Contratos (Lei nº 14.133/2021) consagrou a gestão de riscos como princípio basilar das contratações públicas, exigindo sua aplicação contínua e sistemática.
Este guia prático detalha o passo a passo para a implementação da gestão de riscos, abordando desde o planejamento até o monitoramento, fornecendo ferramentas essenciais para a atuação segura e eficiente dos agentes públicos.
O Marco Regulatório da Gestão de Riscos
O arcabouço jurídico que fundamenta a gestão de riscos na Administração Pública é robusto e multifacetado. A Constituição Federal, em seu artigo 37, caput, estabelece os princípios da administração pública, entre eles a eficiência, que pressupõe a otimização dos recursos e a mitigação de falhas.
A Lei nº 14.133/2021, em seu art. 11, parágrafo único, determina que a alta administração do órgão ou entidade é responsável pela governança das contratações e deve implementar processos e estruturas, inclusive de gestão de riscos e controles internos, para avaliar, direcionar e monitorar os processos licitatórios e os respectivos contratos. O art. 169 da mesma lei estabelece as linhas de defesa, atribuindo responsabilidades claras no controle e na gestão de riscos.
Além da legislação federal, normativas de órgãos de controle interno e externo são fundamentais. O Tribunal de Contas da União (TCU), por meio de diversos acórdãos (como o Acórdão nº 2.622/2015-Plenário e o Acórdão nº 1.171/2017-Plenário), tem reiterado a obrigatoriedade da gestão de riscos, especialmente em projetos de grande vulto e nas contratações públicas. A Controladoria-Geral da União (CGU) também emite constantes orientações e manuais, como o Manual de Gestão de Riscos, que servem como referência técnica para os gestores.
Passo 1: O Ambiente de Gestão de Riscos e o Planejamento Estratégico
A gestão de riscos não é uma atividade isolada, mas sim um componente intrínseco da governança corporativa. O primeiro passo para a sua implementação é o estabelecimento de um ambiente propício, o que exige o comprometimento da alta administração. Sem o apoio e a liderança dos dirigentes máximos, a gestão de riscos tende a se tornar um mero exercício burocrático, desprovido de impacto real.
O planejamento estratégico do órgão deve incorporar a gestão de riscos como um de seus pilares. É necessário definir a Política de Gestão de Riscos, um documento formal que estabelece os princípios, as diretrizes, os objetivos e as responsabilidades de todos os envolvidos no processo. A política deve definir, por exemplo, o "apetite ao risco" da instituição, ou seja, o nível de risco que o órgão está disposto a aceitar na busca de seus objetivos institucionais.
A Estruturação do Processo
A implementação prática requer a designação de um Comitê de Gestão de Riscos, responsável por coordenar as ações, avaliar os resultados e propor melhorias. Além disso, é recomendável a criação de uma unidade ou a designação de servidores especificamente capacitados para atuar como facilitadores do processo, prestando suporte técnico às demais áreas do órgão.
Passo 2: A Identificação de Riscos
A identificação de riscos é a etapa fundamental do processo. Um risco não identificado não pode ser gerenciado. O objetivo é mapear todos os eventos potenciais que possam impactar negativamente (ou positivamente, no caso de oportunidades) o alcance dos objetivos institucionais ou a execução de um processo específico (como uma licitação).
Para a identificação, podem ser utilizadas diversas técnicas, como:
- Brainstorming: Reuniões com as equipes envolvidas nos processos para levantamento de possíveis falhas, obstáculos e ameaças.
- Análise de Cenários: Simulação de diferentes situações futuras, considerando fatores internos (como mudanças de pessoal ou sistemas) e externos (como alterações na legislação ou crises econômicas).
- Análise de Processos (Fluxogramas): Mapeamento detalhado das etapas de um processo, identificando os pontos de vulnerabilidade e as possíveis falhas de controle.
- Revisão Documental: Análise de relatórios de auditoria, históricos de falhas e denúncias.
Na identificação, é crucial distinguir a causa (o evento que origina o risco) da consequência (o impacto gerado). Por exemplo, na contratação de um serviço, a "empresa vencedora não ter capacidade técnica" é a causa, enquanto a "paralisação do serviço" é a consequência.
Passo 3: Análise e Avaliação de Riscos
Uma vez identificados, os riscos precisam ser analisados para determinar a sua magnitude. A análise consiste em estimar a probabilidade de ocorrência do risco e o impacto que ele causará caso se materialize.
A probabilidade refere-se à chance de o evento adverso ocorrer. O impacto, por sua vez, refere-se à gravidade das consequências, que podem ser financeiras, operacionais, reputacionais ou legais.
A Matriz de Riscos
A ferramenta mais comum para a análise é a Matriz de Riscos (ou Matriz de Probabilidade e Impacto). Ela classifica os riscos em diferentes níveis, geralmente em uma escala de cores (como verde, amarelo, laranja e vermelho), facilitando a visualização e a priorização.
| Probabilidade / Impacto | Baixo | Médio | Alto | Extremo |
|---|---|---|---|---|
| Quase Certo | Médio | Alto | Extremo | Extremo |
| Provável | Baixo | Médio | Alto | Extremo |
| Possível | Baixo | Baixo | Médio | Alto |
| Improvável | Baixo | Baixo | Baixo | Médio |
A avaliação de riscos consiste em comparar os resultados da análise com os critérios de aceitação de risco definidos na Política de Gestão de Riscos (o apetite ao risco). Riscos avaliados como inaceitáveis (geralmente os classificados como "Alto" e "Extremo") exigem a adoção imediata de medidas de resposta.
Passo 4: Resposta aos Riscos
A resposta aos riscos é a fase de tomada de decisão, onde se define a estratégia a ser adotada para lidar com cada risco identificado e avaliado. As principais estratégias de resposta são:
- Evitar o Risco: Consiste em eliminar a causa do risco, geralmente alterando o planejamento ou o escopo de um projeto ou processo. Por exemplo, cancelar a licitação de um serviço complexo e optar por executá-lo com recursos próprios, caso o risco de falha na prestação do serviço terceirizado seja considerado inaceitável.
- Mitigar (ou Reduzir) o Risco: É a estratégia mais comum. Consiste em adotar medidas de controle para reduzir a probabilidade de ocorrência ou o impacto do risco. Por exemplo, exigir garantias contratuais mais robustas para mitigar o risco de inadimplência da contratada (art. 96 da Lei nº 14.133/2021).
- Transferir (ou Compartilhar) o Risco: Consiste em transferir a responsabilidade financeira pelo impacto do risco a um terceiro. A forma mais comum é a contratação de seguros, como o seguro-garantia em contratos de obras públicas (art. 98 da Lei nº 14.133/2021).
- Aceitar o Risco: Ocorre quando a administração decide conviver com o risco, geralmente porque a probabilidade e o impacto são baixos ou porque o custo de mitigação é superior ao impacto potencial. A aceitação deve ser formalizada e justificada.
O Mapa de Riscos na Nova Lei de Licitações
A Lei nº 14.133/2021 (art. 18, inciso X) exige a elaboração do Mapa de Riscos como parte do planejamento da contratação. Este documento deve consolidar a identificação, a análise, a avaliação e as respostas aos riscos inerentes à contratação. A elaboração do Mapa de Riscos não é um mero formalismo, mas uma ferramenta gerencial essencial para o sucesso da licitação e da execução contratual. O TCU tem sido rigoroso na exigência do Mapa de Riscos, considerando a sua ausência ou a sua elaboração precária como falha grave de planejamento, sujeita a responsabilização dos agentes públicos.
Passo 5: Monitoramento e Comunicação
O processo de gestão de riscos é contínuo e iterativo. Os riscos não são estáticos; eles se alteram ao longo do tempo em função de mudanças no ambiente interno e externo. Portanto, é fundamental monitorar continuamente os riscos identificados, a eficácia das medidas de resposta adotadas e o surgimento de novos riscos.
O monitoramento deve ser realizado por meio de indicadores de desempenho, relatórios periódicos e auditorias. A comunicação transparente e tempestiva sobre os riscos é essencial para garantir que todos os envolvidos no processo estejam cientes de suas responsabilidades e das medidas de controle em vigor.
A alta administração deve ser informada regularmente sobre o perfil de riscos do órgão, para que possa tomar decisões estratégicas embasadas em informações confiáveis. A comunicação também deve se estender aos órgãos de controle, demonstrando a proatividade da administração na gestão de riscos e na salvaguarda dos recursos públicos.
Conclusão
A gestão de riscos é um imperativo legal e gerencial para a Administração Pública moderna. A sua implementação eficaz, estruturada em etapas claras e amparada pela legislação, como a Lei nº 14.133/2021 e as normativas do TCU e da CGU, garante maior segurança jurídica aos agentes públicos, otimiza a aplicação dos recursos públicos e eleva a qualidade dos serviços prestados à sociedade. O domínio deste processo é, portanto, indispensável para os profissionais que atuam no setor público, assegurando a probidade, a eficiência e a efetividade da ação estatal.
Aviso: Este artigo tem caráter informativo e didático. Deve ser verificado e adaptado a cada caso concreto por profissional habilitado. Acesse minuta.tech para mais recursos.