tempo de gesto de riscos!

Com o exerccio de ontem, percebe-se que buscar compreender a natureza de um

evento de risco uma condio prvia necessria para conceber uma(s) boa(s)
resposta(s), na via de consequncia, mediante controles internos de gesto associados,
principalmente. Isto posto, o gestor (proprietrio do risco), e sua equipe, envolvidos no
processo de trabalho sob anlise precisa dedicar tempo para entender a natureza de
cada evento de risco, antes de precipitar-se em concluses e criar respostas sem mesmo
entend-lo, de forma minimamente satisfatria.
Voc observou, nas discusses em grupo/dupla, que a anlise de risco pode ocorrer em
diferentes nveis de complexidade. Vimos com a viagem familiar fictcia para a Bahia
(ao som dos Mamonas Assassinas) que se voc quiser entender um risco, de forma
individualizada, necessrio pensar sobre os efeitos que ele teria (caso ocorresse) e as
causas que podem faz-lo materializar-se. Da o porqu de o grupo/dupla ter trabalhado
nas primeiras 3 colunas da matriz de riscos, no primeiro encontro.
 Olhando para os efeitos, possvel que o grupo/dupla tenha debatido sobre quais efeitos
ocorreriam imediatamente aps a materializao do risco e quais os efeitos poderiam
ocorrer como resultado de um primeiro efeito, numa espcie de cadeia temporal de
causalidade (interefeitos secundrios), conforme abordado no ISO/IEC 31010 (subsees
5.3.1 e 5.3.3, p.e.), a qual dispe sobre Tcnicas para o processo de avaliao de riscos.
Na organizao, uma anlise mais detalhada do proprietrio do risco e de sua equipe de
profissionais pode mostrar a ordem da magnitude de efeito em uma certa categoria como:
custos, prazo de entrega, qualidade do produto, etc.
Outra dica de melhoria no entendimento da natureza dos eventos de risco concentrar-se
sobre os acontecimentos que precederiam a ocorrncia do risco e quais efeitos poderiam
provocar. A tcnica da gravata borboleta (bow tie) permite, a ttulo de ilustrao, listar as
diferentes causas e as barreiras que diminuiriam a probabilidade; mas este assunto ser
abordado mais frente desta capacitao. Aguardemos!
 Porque
a organizao est exposta a uma grande quantidade de riscos, e
no existem recursos (tempo, dinheiro, pessoas) para lidar com todos os riscos
identificados.

Ento
deve-se concentrar recursos para lidar com os riscos que mais podem impactar os
objetivos da organizao, utilizando-se do know-how e das particularidades do
ambiente de trabalho da organizao.
 Um risco avaliado, racionalmente, em termos de probabilidade de ocorrncia e de impacto
sobre os objetivos organizacionais.
Quanto maior a probabilidade e maior o impacto, maior o nvel do risco.

Nvel do Risco = Probabilidade x Impacto

O desafio da governana nas organizaes do setor pblico determinar quanto risco aceitar na
busca do melhor valor para os cidados e demais partes interessadas, o que significa prestar
servio de interesse pblico da melhor maneira possvel (INTOSAI, 2007). O instrumento de
governana para lidar com esse desafio a gesto de riscos (Referencial Bsico de Governana,
TCU, 2 ed, 2014, p. 57).
Governana no setor pblico engloba mecanismos de liderana, estratgia e controle postos em
prtica para avaliar, direcionar e monitorar a atuao da gesto, com vistas conduo de
polticas pblicas e prestao de servios de interesse da sociedade (IN Conjunta 1, de 2016).
Ver Portaria/CGU n 1.308, de 22/05/2015, a qual instituiu a estrutura de governana para
implantao e acompanhamento da gesto estratgica, no mbito da CGU (hoje MTFC).
 Repare que
enquanto a probabilidade est associada a um incidente ou ocorrncia potencial
(chance de o evento vir a ocorrer, a partir de fontes internas ou externas)
o impacto est associado consequncia do evento ocorrido (materializao do risco)
 Quantitativa (PMBOK, p.e.)
Seguros, crdito, processos
amplamente conhecidos

Qualitativa (ISO e COSO, p.e.)

Processos em que no possvel a
anlise de probabilidades, em
termos quantitativos
Anlise preditiva - ajuda a descobrir padres, no Carro autnomo do Google
passado, que podem sinalizar o que est por vir. (algoritmos preditivos)
 Para determinar os nveis de risco, preciso definir escalas para estimar a
probabilidade e o impacto, bem como estabelecer quando a combinao
desses dois fatores representa um risco baixo, mdio, alto, etc.
A seguir, so exemplificadas escalas qualitativas para auxiliar na estimativa
de probabilidades e impactos de eventos, bem como uma matriz Impacto x
Probabilidade, definindo nveis de risco decorrentes da combinao desses
dois fatores.
 Uma estimativa probabilstica de risco produzida por um
cientista, embora baseada em teorias e evidncias cientficas,
tende a incluir a sua prpria avaliao profissional sobre a
importncia relativa de diferentes desfechos, a aceitabilidade da
incerteza e assim por diante. A estimativa de riscos feita por um
leigo, embora menos sistemtica do que a abordagem cientfica,
intuitivamente sofisticada e pode refletir consideraes
importantes que, talvez, no estejam presentes em uma avaliao
cientfica (HILL, S.; DINSDALE, G. Uma base para o
desenvolvimento de estratgias de aprendizagem para a gesto
de riscos no servio pblico. Cadernos Enap, Braslia, 2003. p. 16,
grifos nossos).
Descritor Descrio Nvel

Evento extraordinrio para os padres conhecidos da gesto e operao do processo. Embora

Muito Baixa possa assumir dimenso estratgica para a manuteno do processo, no h histrico disponvel 1
de sua ocorrncia...
Evento casual, inesperado. Muito embora raro, h histrico conhecido de sua de ocorrncia por
Baixa 2
parte dos principais gestores e operadores do processo...

Evento esperado, que se reproduz com frequncia reduzida, porm constante. Seu histrico de
Mdia 3
ocorrncia de conhecimento da maioria dos gestores e operadores do processo...
Evento usual, corriqueiro. Devido sua ocorrncia habitual ou conhecida em uma dezena ou mais
Alta de casos, aproximadamente, seu histrico amplamente conhecido por parte de gestores e 4
operadores do processo...
Evento se reproduz muitas vezes, se repete seguidamente, de maneira assdua, numerosa e, no
Muito Alta raro, de modo acelerado. Interfere de modo claro no ritmo das atividades, sendo evidente para os 5
que conhecem o processo...
Nvel Descritor Descrio
1 Muito Baixo Degradao de operaes, atividades, projetos, programas ou processos da organizao, porm
causando impactos mnimos nos objetivos (de tempo, prazo, custo, quantidade, qualidade,
acesso, escopo, imagem, etc.) relacionados ao atendimento de metas, padres ou capacidade
de entrega de produtos/servios s partes interessadas (clientes internos/externos,
beneficirios).
2 Baixo Degradao de operaes, atividades, projetos, programas ou processos da organizao,
causando impactos pequenos nos objetivos.
3 Mdio Interrupo de operaes ou atividades da organizao, de projetos, programas ou processos,
causando impactos significativos nos objetivos, porm recuperveis.
4 Alto Interrupo de operaes, atividades, projetos, programas ou processos da organizao,
causando impactos de reverso muito difcil nos objetivos.
5 Muito Alto Interrupo abrupta de operaes, atividades, projetos, programas ou processos da organizao,
impactando fortemente outros processos, causando impactos de dificlima reverso nos
objetivos.
probabilidade
 Legenda Nvel de Risco
Probabilidade
Extremo
Alto 1
Mdio 2 3 4 5
Muito
Baixo Baixa Mdia Alta Muito Alta
Baixa
5
5 10 15 20 25
Muito Alto
Extremo
4
4 8 12 16 20
Alto
Impacto

Alto
3
3 6 9 12 15
Mdio
2 Mdio
2 4 6 8 10
Baixo
Baixo
1
1 2 3 4 5
Muito Baixo
Notao: Matriz de clculo de risco, sendo Extremo: > 15 a 25; Alto: > 8 a 12; Mdio: > 3 a 6; e Baixo: 1 a 2.
Fonte: matriz de clculo de risco, criada por STONEBURNER, Gary et al. Risk Management Guide for Information
Technology Systems. NIST Special Publication 800-30. National Institute of Standards and Technology. 2002, p. 25.
 100%

90%

80%
Cisne-Negro Risco Grave Risco Crtico

70%
Vamos olhar a
Impacto

60%

50% Risco Improvvel Risco Moderado Risco Grave

figura ao lado
40%
com muita
30% ateno!
20%
Risco Aceitvel Risco de Baixo Impacto Comedor de Recurso
10%

0%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Probabilidade Fonte: MTFC (ex-CGU)

Fonte: MTFC (ex-CGU)
 O risco inerente pode ser conceituado como aquele intrnseco atividade que est sendo
realizada. Se o risco inerente estiver em um nvel no aceitvel para a organizao, controles
internos devem ser implementados pelos gestores para mitigar esses riscos (Referencial Bsico
de Governana, TCU, 2 ed, 2014, p. 57).

Risco inerente - risco a que uma organizao est exposta sem considerar quaisquer aes
gerenciais que possam reduzir a probabilidade de sua ocorrncia ou seu impacto (inc. XIV do
art. 2 da Instruo Normativa Conjunta/MPOG e CGU n 1, de 10/05/2016).

Risco residual - risco a que uma organizao est exposta aps a implementao de aes
gerenciais para o tratamento do risco (inc. XV do art. 2 da Instruo Normativa
Conjunta/MPOG e CGU n 1, de 10/05/2016).
 Os rgos e entidades do Poder Executivo federal devero implementar, manter, monitorar e revisar os
controles internos da gesto, tendo por base a identificao, a avaliao e o gerenciamento de riscos que
possam impactar a consecuo dos objetivos estabelecidos pelo Poder Pblico (art. 3 da IN
Conjunta/MPOG e CGU n 1, de 10/05/2016).
Os controles internos da gesto se constituem na primeira linha (ou camada) de defesa das organizaes
pblicas para propiciar o alcance de seus objetivos (art. 3 da IN Conjunta/MPOG e CGU n 1, de
10/05/2016).
A definio e a operacionalizao dos controles internos devem levar em conta os riscos que se pretende
mitigar, tendo em vista os objetivos das organizaes pblicas (art. 3 da IN Conjunta/MPOG e CGU n 1,
de 10/05/2016).
Assim, tendo em vista os objetivos estabelecidos (...) e os riscos decorrentes de eventos internos ou
externos que possam obstaculizar o alcance desses objetivos, devem ser posicionados os controles
internos mais adequados para mitigar a probabilidade de ocorrncia dos riscos, ou o seu impacto sobre os
objetivos organizacionais (art. 3 da IN Conjunta/MPOG e CGU n 1, de 10/05/2016).
 Processo para modificar o risco

P I T

Probabilidade Impactos Tratamento

controles internos
da gesto
 Processo de modificar o risco (ABNT NBR ISO 31000:2009)

Consiste em determinar uma resposta que seja a mais adequada para modificar a
probabilidade ou a consequncia (impacto) de um risco.

Pode envolver:
Remoo da fonte de risco
Alterao da probabilidade
Alterao das consequncias
Compartilhamento do risco com outra parte
Evitar o risco pela deciso de no iniciar ou descontinuar a atividade
 Consiste em selecionar uma ou mais opes e aes para implementao
com vistas a modificar os nveis de risco, mantendo-os em patamares
predeterminados, referenciados pelo apetite a risco da organizao.
Avalie custos e benefcios de cada resposta (art. 14 do DL
200/1967) Evitar Transferir
Avalie o efeito de cada resposta sobre a probabilidade e o
impacto Tratamento
Considere riscos cujo tratamento no economicamente
justificvel Mitigar Aceitar
Avalie os riscos secundrios introduzidos pelo tratamento
Identifique e designe um responsvel pela(s) resposta(s)
proprietrio do risco.
 Tomar uma ao para evitar totalmente o risco,
descontinuando as atividades que geram o risco.
A nica forma de eliminar os riscos seria eliminar a
atividade a qual est associado (Duque, 2005).
No setor pblico, quase impossvel optar por essa
resposta em alguns casos, dado que da sua natureza
assumir riscos que os prprios cidados no podem
assumir individualmente.
 Compartilhar ou transferir uma parte do risco a terceiros. Exemplos: seguros; contratos com
clusulas especficas ou com garantias (SLA); terceirizao de atividades ...

Importante: nem todos os riscos so totalmente transferveis, em particular o de reputao

e imagem, mesmo que a entrega dos servios seja contratada com um terceiro.

O relacionamento com o terceiro para o qual o risco foi transferido deve ser bem
gerenciado/acompanhado, para assegurar a efetiva transferncia do risco.
 O risco aceito ou tolerado sem que nenhuma ao especfica seja tomada,
porque:
o nvel do risco considerado baixo;
a capacidade da organizao para fazer alguma coisa pode ser limitada;
o custo pode ser desproporcional ao benefcio (art. 14 do Decreto-lei n 200/1967);
nenhuma resposta considerada eficaz para reduzir a probabilidade ou o impacto do
risco, a um custo aceitvel.
alguns riscos so to caros para tratar que, mesmo no sendo tolerveis, vale mais a
pena ret-los e ter um plano B, caso se materializem num problema (contingncia).
nada feito alm de aceitar e monitorar.
 Os gestores pblicos adotam providncias para reduzir a probabilidade e/ou o impacto dos riscos
identificados (no se confundindo com a funo da Auditoria Interna, cf. inc. III do art. 2 da IN
Conjunta/MPOG e CGU n 1, de 10/05/2016, a qual compete avaliar e melhorar a eficcia do GRC).

Essas aes so chamadas de controles internos da gesto (primeira linha, ou camada, de defesa das
organizaes pblicas), conhecidas entre ns simplesmente como controles internos, que
consistem em polticas e procedimentos adotados pela gesto para manter os riscos dentro dos
nveis aceitveis. A maioria dos riscos tratados recebe este tipo de resposta.

Atividades de controles internos de gesto - So as polticas e os procedimentos estabelecidos e

executados para mitigar os riscos que a organizao tenha optado por tratar. Tambm denominadas
de procedimentos de controle, devem estar distribudas por toda a organizao, em todos os nveis e
em todas as funes. Incluem uma gama de controles internos da gesto preventivos e detectivos,
bem como a preparao prvia de planos de contingncia e resposta materializao dos riscos (inc.
VI do art. 16 da IN Conjunta/MPOG e CGU n 1, de 10/05/2016).
 Punir gestores por adotar providncias por um risco que
no se concretizou?
Determinao ao Ministrio dos Transportes para que se
abstivesse de realizar contratao direta emergencial
quando no puder caracterizar claramente a situao de
emergncia imprevisvel, evitando o que ocorreu quando
da contratao da empresa FINATEC, por emergncia,
para adequao dos sistemas informatizados ao BUG do
milnio (item 1.1, TC-011.132/2005-9, Acrdo n
422/2006-TCU-1 Cmara, DOU de 10/03/2006, S. 1, p.
85).
 Art. 2 dever da Unio, dos Estados, do Distrito Federal e dos Municpios
adotar as medidas necessrias reduo dos riscos de desastre. (...) 2o A
incerteza quanto ao risco de desastre no constituir bice para a adoo das
medidas preventivas e mitigadoras da situao de risco (Lei n 12.608, de
10/04/2012, DOU de 11/04/2012, S. 1, ps. 1 a 4).
Determinaes do TCU a duas entidades federais para que demonstrasse que o
risco, alm de concreto, fosse efetivamente provvel (item 9.18.33.3, TC-
016.524/2005-1, Acrdo n 5.014/2010-TCU-2 Cmara, DOU de 09/09/2010, S.
1, p. 97; e alnea c, item 9.15.2, TC-015.335/2006-8, Acrdo n 1.022/2013-
TCU-Plenrio, DOU de 10/05/2013, S. 1, p. 80).
6 LDefesa
 Controles
Objetivo Riscos Resultado
internos
 Quantidade e tipo de riscos que
uma organizao pblica est
preparada a buscar, manter ou
assumir.
Apetite a risco - nvel de risco
que uma organizao est
disposta a aceitar (inc. II do art.
2 da IN Conjunta/MPOG e CGU
n 1, de 10/05/2016).
Alto Impacto / Alto Impacto /
Baixa Probabilidade Alta Probabilidade
EVITAR
TRANSFERIR TRANSFERIR
MITIGAR MITIGAR
Plano de
Sada Tratamento
Baixo Impacto /
Baixa Probabilidade
Baixo Impacto/
Alta Probabilidade
de Riscos

ACEITAR MITIGAR

Probabilidade
 Evento de risco

Fonte Vulnerabilidade

Tratamento por
controles internos
da gesto
 Risco: Empresas sem qualificao econmico-financeira adequada para a execuo do objeto participando da
licitao, levando a contratao de empresa incapaz de executar a avena, com consequente no obteno do
objeto contratado e descumprimento, pela contratada, das obrigaes previstas em legislao especfica e no
contrato.
Possvel controle interno associado: A equipe de planejamento da contratao inclui as seguintes exigncias
de qualificao econmico-financeira como condio de habilitao: a) ndices de Liquidez Geral (LG), Liquidez
Corrente (LC) e Solvncia Geral (SG) superiores a 1 (um); b) no caso de contratao de servios continuados, com
emprego intensivo de mo-de-obra exclusiva, Capital Circulante Lquido (CCL) ou Capital de Giro (Ativo Circulante -
Passivo Circulante) de, no mnimo, 16,66% (dezesseis inteiros e sessenta e seis centsimos por cento) do valor
estimado para a contratao, ndices calculados com base nas demonstraes contbeis do exerccio social anterior
ao da licitao; c) patrimnio lquido igual ou superior a 10% (dez por cento) do valor estimado da
contratao; d) patrimnio lquido igual ou superior a 1/12 (um doze avos) do valor total dos contratos firmados
pela licitante com a Administrao Pblica e com empresas privadas, vigentes na data de abertura da licitao (a
exigncia dever ser comprovada por meio de declarao, acompanhada da Demonstrao do Resultado do
Exerccio (DRE) relativa ao ltimo exerccio social, e se houver divergncia superior a 10% (para cima ou para
baixo) em relao receita bruta discriminada na DRE, a licitante dever apresentar as devidas justificativas para
tal diferena); e) apresentao de certido negativa de feitos sobre falncia, recuperao judicial ou recuperao
extrajudicial, expedida pelo distribuidor da sede do licitante.
Conhecimento que foi explicitado, sistematizado e formalizado pode ser facilmente compartilhado
e favorecer a formao de cultura de excelncia (Ministra Ana Arraes, Relatora).

http://www.tcu.gov.br/arquivosrca/ManualOnLine.htm

N de Riscos do RCA/TCU N de controles internos sugeridos

117 150
Obs.: mdia de 1,28 controles internos associados, por risco.
 Risco: Indisponibilidade de recursos para a
realizao das atividades do projeto ou ociosidade
de recursos.
Possvel controle interno associado: (3)
Identificao dos recursos como fixos e variveis.
[referncias: GAO-1 Assigning (Resources to All
Activities) e Guia PMBOK].

N de Riscos da Matriz N de controles internos sugeridos

42 178
Obs.: mdia de 4,24 controles internos associados, por risco.