2.2. Gestão de riscos das contratações
Somente há que se falar em riscos quando há objetivos que precisam ser alcançados. Logo, um processo de gestão de riscos tem início na definição clara dos objetivos da organização, do setor, do processo ou do projeto cujos riscos precisam ser geridos.
Definidos os objetivos, o processo de gestão de riscos[1] envolverá as atividades de identificação, análise, avaliação, tratamento e reporte de riscos.
A etapa de identificação[2] consiste em descrever o risco, considerando suas fontes, causas e consequências. Na etapa de análise, o nível de severidade (gravidade) do risco é calculado, a partir da probabilidade de sua ocorrência e da natureza e magnitude dos seus efeitos, dentre outros fatores que podem ser considerados. Na avaliação, o nível de risco é comparado com os critérios definidos pela organização, a fim de determinar se ele é aceitável ou se deve ser tratado[3]. O tratamento formula opções de resposta ao risco[4] e decide se o risco residual[5] é tolerável. O reporte envolve o fornecimento de informações às instâncias competentes para a tomada de decisão e a comunicação de resultados da gestão de riscos[6].
A responsabilidade pela implementação da estrutura e do processo de gestão de riscos nas contratações é da alta administração da organização, conforme estabelecido pela Lei 14.133/2021[7].
O processo de gestão de riscos pode ser aplicado em diferentes níveis na organização[8] (estratégico, projeto, departamento, processo, atividade etc.), e é crucial que o escopo de aplicação claramente definido para selecionar abordagens adequadas aos objetivos do que está sendo gerenciado. Na prática em questão, a gestão de riscos é abordada em dois níveis distintos:
- o primeiro aplicado à função de contratações; e
- o segundo direcionado a cada contratação em particular realizada pela organização, com foco no atendimento da necessidade que desencadeou a contratação.
A gestão de riscos, quando aplicada à função de contratações, tem como objetivo reduzir o nível de incerteza associado ao alcance dos objetivos dessa função organizacional. Esses objetivos estão relacionados ao desempenho do metaprocesso de contratação pública, mas não se limitam a ele. Eles podem incluir outros objetivos estabelecidos para apoiar a estratégia organizacional e a geração de valor pretendido para a gestão das contratações. Alguns exemplos incluem: desenvolvimento da cultura de integridade nas contratações; aprimoramento da capacidade do corpo funcional; eficácia do planejamento anual das contratações e seu alinhamento com as leis orçamentárias e estratégias organizacionais[9]; aplicação das diretrizes de sustentabilidade, entre outros.
Em relação ao processo de gestão de riscos aplicado a cada contratação, este serve para identificar e gerenciar os riscos que podem comprometer o sucesso da licitação e a boa execução contratual[10]. Esta é uma atividade prevista pela Lei 14.133/2021, com o objetivo de identificar e tratar os riscos envolvidos nos processos licitatórios e nos respectivos contratos[11].
Nesse caso, deve-se ter em vista os riscos que podem comprometer o alcance dos objetivos do processo licitatório, estabelecidos no art. 11 da Lei 14.133/2021:
I – assegurar a seleção da proposta apta a gerar o resultado de contratação mais vantajoso para a Administração Pública, inclusive no que se refere ao ciclo de vida do objeto;
II – assegurar tratamento isonômico entre os licitantes, bem como a justa competição;
III – evitar contratações com sobrepreço ou com preços manifestamente inexequíveis e superfaturamento na execução dos contratos;
IV – incentivar a inovação e o desenvolvimento nacional sustentável.
A análise dos riscos deve preceder qualquer contratação[12], mas em cada caso concreto, a depender da natureza e da complexidade do objeto a ser contratado, pode ser necessária a alocação formal dos riscos, por meio de cláusula contratual denominada pela Lei 14.133/2021 como “matriz de riscos”[13].
A Lei dispõe que a matriz de riscos deve promover a alocação eficiente dos riscos entre contratante e contratado, indicando os que serão assumidos pelo setor público ou pelo setor privado e os que serão compartilhados, bem como as medidas de tratamento para reduzir a probabilidade de ocorrência dos sinistros e os seus efeitos[14]. Por oportuno, recomenda-se a leitura dos itens 4.2 e 4.5.5.
Este manual cita vários riscos identificados que podem comprometer o alcance de objetivos de cada etapa dos processos de trabalho da função de contratações. As descrições desses riscos podem servir como base para a implementação de controles internos pelos gestores ou para a adoção de outros tipos de respostas. A seguinte sintaxe foi observada para a descrição dos riscos: “descrição da causa do risco”, levando a “evento de risco”, com consequente “consequência do risco”.
No que tange à gestão de riscos das contratações de bens e serviços de tecnologia da informação (TI), recomenda-se também a consulta ao “Guia de boas práticas em contratação de soluções de tecnologia da informação: riscos e controles para o planejamento da contratação, v 1.0”[15], doravante referenciado como “guia de contratação de TI do TCU”.
É importante salientar que a identificação de riscos na função de contratações pode ser ineficaz se não forem designados os proprietários dos riscos. Estes são os indivíduos (ou setores) responsáveis pelo gerenciamento de riscos de um determinado processo ou etapa e que possuem autoridade para tomar medidas em relação a esses riscos[16]. Se o tipo de resposta necessária estiver além de sua autoridade, eles devem reportar a quem possa tomar essas providências.
Finalmente, cabe mencionar que a gestão de riscos não se aplica somente às contratações públicas. Tal atividade é prevista para as atividades em geral da Administração Pública, em normativos como o art. 14 do Decreto-Lei 200/1967 e o Decreto 9.203/2017, em diversos pontos, como no seu art. 17.
Quadro 6 – Referências normativas para gestão de riscos das contratações
| Normativos | Dispositivos |
| Lei 14.133/2021 | Art. 6º Para os fins desta Lei, consideram-se: […] XXVII – matriz de riscos: cláusula contratual definidora de riscos e de responsabilidades entre as partes e caracterizadora do equilíbrio econômico-financeiro inicial do contrato, em termos de ônus financeiro decorrente de eventos supervenientes à contratação, contendo, no mínimo, as seguintes informações: a) listagem de possíveis eventos supervenientes à assinatura do contrato que possam causar impacto em seu equilíbrio econômico-financeiro e previsão de eventual necessidade de prolação de termo aditivo por ocasião de sua ocorrência; […] Art. 11. Parágrafo único. A alta administração do órgão ou entidade é responsável pela governança das contratações e deve implementar processos e estruturas, inclusive de gestão de riscos e controles internos, para avaliar, direcionar e monitorar os processos licitatórios e os respectivos contratos, com o intuito de alcançar os objetivos estabelecidos no caput deste artigo, promover um ambiente íntegro e confiável, assegurar o alinhamento das contratações ao planejamento estratégico e às leis orçamentárias e promover eficiência, efetividade e eficácia em suas contratações. Art. 22. O edital poderá contemplar matriz de alocação de riscos entre o contratante e o contratado, hipótese em que o cálculo do valor estimado da contratação poderá considerar taxa de risco compatível com o objeto da licitação e com os riscos atribuídos ao contratado, de acordo com metodologia predefinida pelo ente federativo. § 1º A matriz de que trata o caput deste artigo deverá promover a alocação eficiente dos riscos de cada contrato e estabelecer a responsabilidade que caiba a cada parte contratante, bem como os mecanismos que afastem a ocorrência do sinistro e mitiguem os seus efeitos, caso este ocorra durante a execução contratual. § 2º O contrato deverá refletir a alocação realizada pela matriz de riscos, especialmente quanto: I – às hipóteses de alteração para o restabelecimento da equação econômico-financeira do contrato nos casos em que o sinistro seja considerado na matriz de riscos como causa de desequilíbrio não suportada pela parte que pretenda o restabelecimento; II – à possibilidade de resolução quando o sinistro majorar excessivamente ou impedir a continuidade da execução contratual; III – à contratação de seguros obrigatórios previamente definidos no contrato, integrado o custo de contratação ao preço ofertado. § 3º Quando a contratação se referir a obras e serviços de grande vulto ou forem adotados os regimes de contratação integrada e semi-integrada, o edital obrigatoriamente contemplará matriz de alocação de riscos entre o contratante e o contratado. § 4º Nas contratações integradas ou semi-integradas, os riscos decorrentes de fatos supervenientes à contratação associados à escolha da solução de projeto básico pelo contratado deverão ser alocados como de sua responsabilidade na matriz de riscos. Art. 72. O processo de contratação direta, que compreende os casos de inexigibilidade e de dispensa de licitação, deverá ser instruído com os seguintes documentos: I – documento de formalização de demanda e, se for o caso, estudo técnico preliminar, análise de riscos, termo de referência, projeto básico ou projeto executivo; CAPÍTULO III DA ALOCAÇÃO DE RISCOS Art. 103. O contrato poderá identificar os riscos contratuais previstos e presumíveis e prever matriz de alocação de riscos, alocando-os entre contratante e contratado, mediante indicação daqueles a serem assumidos pelo setor público ou pelo setor privado ou daqueles a serem compartilhados. Art. 117. […] § 3º O fiscal do contrato será auxiliado pelos órgãos de assessoramento jurídico e de controle interno da Administração, que deverão dirimir dúvidas e subsidiá-lo com informações relevantes para prevenir riscos na execução contratual. Art. 169. As contratações públicas deverão submeter-se a práticas contínuas e permanentes de gestão de riscos e de controle preventivo, inclusive mediante adoção de recursos de tecnologia da informação, e, além de estar subordinadas ao controle social, sujeitar-se-ão às seguintes linhas de defesa: […] § 3º Os integrantes das linhas de defesa a que se referem os incisos I, II e III do caput deste artigo observarão o seguinte: I – quando constatarem simples impropriedade formal, adotarão medidas para o seu saneamento e para a mitigação de riscos de sua nova ocorrência, preferencialmente com o aperfeiçoamento dos controles preventivos e com a capacitação dos agentes públicos responsáveis; (Grifo nosso) |
| Decreto 9.203/2017 | Art. 17. A alta administração das organizações da Administração Pública federal direta, autárquica e fundacional deverá estabelecer, manter, monitorar e aprimorar sistema de gestão de riscos e controles internos com vistas à identificação, à avaliação, ao tratamento, ao monitoramento e à análise crítica de riscos que possam impactar a implementação da estratégia e a consecução dos objetivos da organização no cumprimento da sua missão institucional, observados os seguintes princípios: I – implementação e aplicação de forma sistemática, estruturada, oportuna e documentada, subordinada ao interesse público; II – integração da gestão de riscos ao processo de planejamento estratégico e aos seus desdobramentos, às atividades, aos processos de trabalho e aos projetos em todos os níveis da organização, relevantes para a execução da estratégia e o alcance dos objetivos institucionais; III – estabelecimento de controles internos proporcionais aos riscos, de maneira a considerar suas causas, fontes, consequências e impactos, observada a relação custo-benefício; e IV – utilização dos resultados da gestão de riscos para apoio à melhoria contínua do desempenho e dos processos de gerenciamento de risco, controle e governança. […] (Grifo nosso) |
| Portaria – Seges/ME 8.678/2021 | Art. 6º São instrumentos de governança nas contratações públicas, dentre outros: […] VII – Gestão de riscos e controle preventivo; Gestão de riscos e controle preventivo Art. 16. Compete ao órgão ou entidade, quanto à gestão de riscos e ao controle preventivo do processo de contratação pública: I – estabelecer diretrizes para a gestão de riscos e o controle preventivo que contemplem os níveis do metaprocesso de contratação pública e dos processos específicos de contratação; II – realizar a gestão de riscos e o controle preventivo do metaprocesso de contratação pública e dos processos específicos de contratação, quando couber, conforme as diretrizes de que trata o inciso I; […] IV – assegurar que os responsáveis pela tomada de decisão, em todos os níveis do órgão ou da entidade, tenham acesso tempestivo às informações relativas aos riscos aos quais está exposto o processo de contratações, inclusive para determinar questões relativas à delegação de competência, se for o caso. § 1º A gestão de riscos e o controle preventivo deverão racionalizar o trabalho administrativo ao longo do processo de contratação, estabelecendo-se controles proporcionais aos riscos e suprimindo-se rotinas puramente formais. Art. 20. A alta administração dos órgãos e entidades deverá implementar e manter mecanismos e instrumentos de governança das contratações públicas estabelecendo, no âmbito de sua competência, no mínimo: […] II – iniciativas que promovam soluções para melhoria do desempenho institucional, com apoio, quando possível, dos resultados da gestão de riscos e do controle preventivo; e […] (Grifo nosso) |
| IN – SGD/ME 94/2022 | Art. 2º Para fins desta Instrução Normativa, considera-se: […] XII – identificação de riscos: processo de busca, reconhecimento e descrição de riscos. Envolve a identificação das principais fontes de risco, eventos, suas causas e suas consequências potenciais. Também pode envolver dados históricos, análises teóricas, parecer de especialistas e as necessidades das partes interessadas; XIII – nível de risco: magnitude de um risco ou combinação de riscos, expressa em termos da combinação dos impactos e de suas probabilidades; XIV – tratamento de riscos: processo para responder ao risco, cujas opções, não mutuamente exclusivas, envolvem evitar, reduzir ou mitigar, transferir ou compartilhar, e aceitar ou tolerar o risco; XV – análise de riscos: processo de compreensão da natureza do risco e determinação do nível de risco. Fornece a base para a avaliação de riscos e para as decisões sobre o tratamento de riscos; XVI – avaliação de riscos: processo de comparar os resultados da análise de riscos para determinar se o risco e/ou sua magnitude é aceitável ou tolerável. A avaliação de riscos auxilia na decisão sobre o tratamento de riscos; XVII – gerenciamento de riscos: processo para identificar, avaliar, administrar e controlar potenciais eventos ou situações, para fornecer razoável certeza quanto ao alcance dos objetivos da organização pertinentes com a contratação; XVIII – Mapa de Gerenciamento de Riscos: instrumento de registro e comunicação da atividade de gerenciamento de riscos ao longo de todas as fases da contratação; […] Art. 8º As contratações de soluções de TIC deverão seguir as seguintes fases: […] § 1º As atividades de gerenciamento de riscos devem ser realizadas durante todas as fases do processo de contratação, observando o disposto no art. 38. […] Art. 38. O gerenciamento de riscos deve ser realizado em harmonia com a Política de Gestão de Riscos do órgão prevista na Instrução Normativa Conjunta MP/CGU nº 1, de 10 de maio de 2016, registrando-se o alinhamento no Mapa de Gerenciamento de Riscos. § 1º Durante a fase de planejamento, a equipe de Planejamento da Contratação deve proceder às ações de gerenciamento de riscos e produzir o Mapa de Gerenciamento de Riscos que deverá conter no mínimo: I – identificação e análise dos principais riscos, consistindo na compreensão da natureza e determinação do nível de risco, mediante a combinação do impacto e de suas probabilidades, que possam comprometer a efetividade da contratação, bem como o alcance dos resultados pretendidos com a solução de TIC; II – avaliação e seleção da resposta aos riscos em função do apetite a riscos do órgão; e III – registro e acompanhamento das ações de tratamento dos riscos. § 2º Durante a fase de Seleção do Fornecedor, o Integrante Administrativo com apoio dos Integrantes Técnico e Requisitante deve proceder às ações de gerenciamento dos riscos e atualizar o Mapa de Gerenciamento de Riscos. § 3º Durante a fase de Gestão do Contrato, a Equipe de Fiscalização do Contrato, sob coordenação do Gestor do Contrato, deverá proceder à atualização contínua do Mapa de Gerenciamento de Riscos, realizando as seguintes atividades: I – reavaliação dos riscos identificados nas fases anteriores e atualização de suas respectivas ações de tratamento; e II – identificação, análise, avaliação e tratamento de novos riscos. § 4º O Mapa de Gerenciamento de Riscos deve ser juntado aos autos do processo administrativo, pelo menos: I – ao final da elaboração do Termo de referência; II – ao final da fase de Seleção do Fornecedor; III – uma vez ao ano, durante a gestão do contrato; e IV – após eventos relevantes. § 5º O Mapa de Gerenciamento de Riscos deve ser assinado pela Equipe de Planejamento da Contratação, nas fases de Planejamento da Contratação e de Seleção de Fornecedores, e pela Equipe de Fiscalização e Gestor do Contrato, na fase de Gestão do Contrato. § 6º As informações geradas e tratadas no Mapa de Gerenciamento de Riscos poderão ser utilizadas como insumos para a construção da Matriz de Alocação de Riscos, prevista na Lei nº 14.133, de 2021. |
| IN – Seges/MP 5/2017 | Art. 20. O Planejamento da Contratação, para cada serviço a ser contratado, consistirá nas seguintes etapas: […] II – Gerenciamento de Riscos; e Art. 25. O Gerenciamento de Riscos é um processo que consiste nas seguintes atividades: I – identificação dos principais riscos que possam comprometer a efetividade do Planejamento da Contratação, da Seleção do Fornecedor e da Gestão Contratual ou que impeçam o alcance dos resultados que atendam às necessidades da contratação; II – avaliação dos riscos identificados, consistindo da mensuração da probabilidade de ocorrência e do impacto de cada risco; III – tratamento dos riscos considerados inaceitáveis por meio da definição das ações para reduzir a probabilidade de ocorrência dos eventos ou suas consequências; IV – para os riscos que persistirem inaceitáveis após o tratamento, definição das ações de contingência para o caso de os eventos correspondentes aos riscos se concretizarem; e V – definição dos responsáveis pelas ações de tratamento dos riscos e das ações de contingência. Parágrafo único. A responsabilidade pelo Gerenciamento de Riscos compete à equipe de Planejamento da Contratação devendo abranger as fases do procedimento da contratação previstas no art. 19. […] (Grifo nosso) |
| Resolução – CNJ 347/2020 | Art. 5º São considerados instrumentos de governança em contratações públicas do Poder Judiciário, dentre outros: […] IV – o Plano de Tratamento de Riscos do macroprocesso de contratações, observado o disposto no inciso IV do art. 30. […] CAPÍTULO VIII DA GESTÃO DE RISCOS Art. 30. Compete aos órgãos do Poder Judiciário quanto à gestão de riscos nas contratações: I – estabelecer as diretrizes e a metodologia para implantar a gestão de riscos nas contratações; II – promover capacitação em gestão de riscos nas contratações; III – gerenciar os riscos das contratações, observando o disposto no inciso I e as exigências previstas em normativos específicos; IV – elaborar anualmente plano de ação para tratamento dos riscos avaliados no macroprocesso de contratações, observado o disposto no inciso I; […] VI – assegurar que os responsáveis pela tomada de decisão em contratações, em todos os níveis do órgão ou entidade, tenham acesso tempestivo a informações quanto aos riscos aos quais está exposta a organização, inclusive para determinar questões relativas à delegação de responsabilidades, se for o caso. Parágrafo único. A gestão de riscos deverá subsidiar a racionalização do trabalho administrativo ao longo do processo de contratações, com o estabelecimento de controles proporcionais aos riscos e suprimindo-se rotinas puramente formais. […] (Grifo nosso) |
| Enunciado – CJF 54/2023 | As práticas contínuas e permanentes de gestão de riscos e de controle preventivo, às quais devem se submeter as contratações públicas, conforme disposto no art. 169, caput, da Lei n. 14.133/2021, não devem se restringir à existência de uma unidade orgânica de controle interno, mas devem ser implementadas em todo o macroprocesso de contratação. |
| Enunciado CJF 20/2022 | As contratações públicas submetem-se às práticas contínuas e permanentes de gestão de riscos e de controles internos previstas na Lei n. 14.133/2021, que devem ser implementadas em todo o macroprocesso de contratação, não se limitando à atuação de uma estrutura administrativa de controle interno. |
| ATC 14/2022 (Política de Contratações do Senado Federal) | ATO DA COMISSÃO DIRETORA Nº 14, DE 2022 Anexo V – POLÍTICA DE CONTRATAÇÕES DO SENADO FEDERAL […] Art. 4º São diretrizes da Política de Contratações do Senado Federal: VIII – centralizar o planejamento das aquisições de materiais e bens; […] IV – assegurar que os processos organizacionais relativos às contratações do Senado Federal estejam institucionalizados e com seus respectivos riscos gerenciados; […] (Grifo nosso) |
Fonte: Elaboração própria com base nas normas consultadas.
Quadro 7 – Jurisprudência do TCU
| Acórdãos | Dispositivos |
| Acórdão 1299/2022-TCU-Primeira Câmara | [Sumário] A governança e a implementação de controles internos e gestão de riscos nas organizações é responsabilidade da alta administração. Irregularidades numerosas em contratos e transferências voluntárias, decorrentes de falhas sistêmicas nos processos de trabalho identificadas em sede de prestação de contas ordinárias, podem levar ao julgamento pela irregularidade das respectivas contas dos administradores. [Voto] 15. Evidente que, por trás desses números, denota-se um padecimento sistêmico de organização, de normativos, de competência, de treinamento, de gestão de riscos, enfim: de controles internos, de governança e de gestão. […] 18. A implementação de controles internos, gestão de riscos e governança das organizações é da alta administração. Justo e adequado, configurado um descontrole generalizado, com reflexos em numerosos contratos e transferências voluntárias, que se chame a alta gestão em responsabilidade. |
| Acórdão 471/2019-TCU-Plenário | 9.8. determinar ao [omissis], nos termos do art. 3º da Instrução Normativa Conjunta MP/CGU 1/2016 c/c art. 17 do Decreto 9.203/2017, que comprove, em sua próxima prestação de contas, que estão sendo implementados, mantidos, monitorados e revisados os controles internos da gestão dos processos licitatórios, tendo por base a identificação, a avaliação e o gerenciamento de riscos desses processos; |
| Acórdão 2622/2015-TCU-Plenário | 9.2 recomendar à Secretaria de Logística e Tecnologia da Informação (SLTI/MP) que: 9.2.1. oriente as organizações sob sua esfera de atuação a: 9.2.1.3. avaliar se os normativos internos estabelecem: […] 9.2.1.3.2. competências, atribuições e responsabilidades, com respeito às aquisições, dos dirigentes, nesses incluídos a responsabilidade pelo estabelecimento de políticas e procedimentos de controles internos necessários para mitigar os riscos nas aquisições; […] 9.2.1.5. estabelecer diretrizes para a gestão de riscos nas aquisições; 9.2.1.6. capacitar os gestores da área de aquisições em gestão de riscos; 9.2.1.7. realizar gestão de riscos nas aquisições; […] (Grifo nosso) |
| Acórdãos 2341, 2342, 2343, 2344, 2345, 2347, 2350, todos do ano de 2016 e do Plenário do TCU | Recomendar ao [omissis] que avalie a conveniência e a oportunidade de adotar os seguintes procedimentos, com vistas à melhoria do sistema de controle interno da organização: […]estabeleça diretrizes para o gerenciamento de riscos da área de aquisições; capacite os gestores na área de aquisições em gestão de riscos; realize gestão de riscos das aquisições; […] (Grifo nosso) |
| Pesquisa de Jurisprudência | Execute a seguinte consulta na Pesquisa Integrada do TCU: (“gestão de riscos” ADJ3 contratações) OU (“gestão de riscos” ADJ3 aquisições).ACORDAO A pesquisa pode ser complementada por meio de busca em: Jurisprudência Selecionada. No campo de busca, realize pesquisas pelos seguintes termos individualmente (não utilize aspas): gestão de riscos; matriz de risco. Os resultados das buscas podem ser filtrados por “área – Licitação” ou “contrato administrativo”. * Não é recomendável buscar por todos os termos numa só pesquisa. Publicações de Jurisprudência. No campo “publicação”, selecione “Informativo de Licitações e Contratos”. No campo de busca, realize pesquisas pelos seguintes termos individualmente (não utilize aspas): gestão de riscos; matriz de risco. |
Fonte: Elaboração própria com base na jurisprudência do TCU.
Quadro 8 – Riscos relacionados
| Riscos |
| Desconhecimento dos riscos envolvidos na função de contratações ou em uma contratação específica, ou a ausência de gerenciamento dos riscos identificados, levando à ausência de tratamento de riscos com alto nível de probabilidade e/ou impacto, com consequentes incertezas associadas ao alcance dos objetivos dessa função organizacional ou da contratação e prejuízos quando riscos previsíveis se materializam (postura meramente reativa aos incidentes de risco), como interrupção ou descontinuidade de serviços públicos e de outras atividades organizacionais, reincidência de riscos e perda de confiança das partes interessadas. |
| Implantação de controles internos não fundamentada em gestão de riscos, levando à criação e/ou à manutenção de controles desnecessários, redundantes, excessivos ou insuficientes, com consequente desperdício de recursos e/ou recorrência de incidentes de riscos que poderiam ter sido previstos e evitados, ou ter seus impactos reduzidos. |
| Falta de clareza sobre quem tem propriedade sobre os riscos e a quem eles devem ser reportados, levando à indisponibilidade de informações claras, confiáveis e tempestivas sobre os riscos mais significativos e como eles estão sendo gerenciados, com consequentes tomadas de decisão sem a conscientização dos riscos que envolvem cada curso de ação. |
Fonte: Adaptado de Tribunal de Contas da União, 2020d.
Quadro 9 – Modelos
Fonte: Elaboração própria.
[1] Processo de Gestão de Riscos: aplicação de políticas, procedimentos e práticas para as atividades de comunicação e consulta, estabelecimento do contexto, identificação, análise, avaliação, tratamento, monitoramento, análise crítica, registro e relato de riscos (ABNT, 2018, p. 9).
[2] O COSO orienta que a identificação de riscos seja realizada como parte das atividades rotineiras da organização, que podem ser complementadas por atividades adicionais direcionadas a identificar riscos (2017, p. 69-70). São sugeridas algumas abordagens, como p. ex.: rastreamento de dados históricos, por meio de banco de dados com informações sobre incidentes e perdas ocorridas; entrevistas, questionários e outros tipos de pesquisa com funcionários e terceiros; mapeamento de processos; e realização de workshops, que reúnam indivíduos de diferentes funções e níveis organizacionais, para aproveitar o conhecimento coletivo acerca de riscos.
[3] Podem ser consideradas outras opções como, por exemplo, realizar análises adicionais para compreender melhor o risco, e até mesmo repensar os objetivos definidos (ABNT, 2018, p. 13-14).
[4] Evitar, deixando de executar a ação que causa a exposição ao risco; remover a fonte do risco; mudar a probabilidade de ocorrência e/ou consequência (reduzir); assumir o risco, que significa não fazer nada a respeito do risco; ou compartilhar o risco (a exemplo de efetuar um seguro) (ABNT, 2018, p.14).
[5] Risco residual: risco remanescente após o tratamento do risco (ABNT, 2009, p. 6).
[6] ABNT, 2018, p. 9-14.
[7] Especificamente com relação às contratações públicas, a Lei 14.133/2021 prevê que a alta administração da organização pública é a responsável por estabelecer, manter, monitorar e aprimorar sistema de gestão de riscos e de controles internos (art. 11, parágrafo único e art. 169, caput e § 1º). Lembrando que a Lei 14.133/2021, em diversos pontos, define a obrigação de haver segregação de funções nos processos de contratação (art. 5º, art. 7º, § 1º, e art. 169, § 3º, inciso II). Além disso, a Portaria – Seges/ME 8.678/2021 (dispõe sobre governança das contratações públicas na APF) traz ações específicas com relação à gestão de riscos para as contratações públicas (art. 16). Sobre esse tema, ainda vale citar o Guia de Contratação de Bens e Serviços de Tecnologia da Informação (TI) do TCU (Tribunal de Contas da União, 2012b), que traz diversos riscos relativos às contratações públicas de TI e respectivas propostas de controles internos para mitigá-los, bem como o trabalho denominado Riscos e Controles nas Aquisições (RCA), que é resultado de levantamento do TCU no qual foram compilados diversos riscos relativos a contratações públicas em geral (Tribunal de Contas da União, 2014). O RCA foi aprovado pelo Acórdão 1.321/2014 – TCU -Plenário, da relatoria da Ministra Ana Arraes.
[8] A ABNT esclarece que o processo de gestão de riscos pode ser aplicado em diferentes níveis e, para cada nível ou escopo definido, o processo deve ser personalizado, a fim de garantir a avaliação eficaz e o tratamento apropriado dos riscos (ABNT, 2018, p. 10).
[9] Nesse sentido, o art. 19 do Decreto 10.947/2022 determina a elaboração de um relatório de gestão de riscos a cada dois meses.
[10] Lei 14.133/2021, art. 18, inciso X.
[11] Lei 14.133/2021, art. 11, parágrafo único; art. 18 inciso X; art. 22 e art. 103.
[12] Lei 14.133/2021, art. 18, inciso X.
[13] Para contratações de obras e serviços de grande vulto, ou quando forem adotados os regimes de contratação integrada ou semi-integrada, a matriz de riscos torna-se item obrigatório do edital (Lei 14.133/2021, art. 6º, inciso XXVII e art. 22, § 3º).
[14] Lei 14.133/2021, art. 22, § 1º, c/c art. 103.
[15] Tribunal de Contas da União, 2012b, p. 28-33.
[16] ABNT, 2009, p. 5.