Prévia do material em texto
G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 1 G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 2 G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 3 Gestão de Riscos no Setor Público G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 4 G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 5 Gestão de Riscos no Setor Público Normas e padrões internacionais, análise das legislações nacionais de Portugal e do Brasil e aplicação na base normativa do setor público Renor Ribeiro 2020 G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 6 © 2020, Athenas Editora Todos os direitos reservados e protegidos pela Lei no 9.610, de 19/02/1998. Nenhuma parte dessa publicação poderá ser reproduzida ou transmitida de qualquer modo ou por qualquer outro meio, eletrônico ou mecânico, incluindo fotocópia, gravação ou qualquer outro tipo de sistema de armazenamento e transmissão de informação, sem prévia autorização do autor, por escrito. Formatação ABNT: Jéssica David de Castro Diagramação e Capa: Torres Editorial Coordenação: Renata Tavares dos Santos ISBN n° 978-65-991409-0-7 ISBN (versão digital) n° 978-65-991409-1-4 Athenas Editora é um selo editorial do Centro de Ensino em Gestão Pública – CEGESP. Endereço: Setor Hoteleiro Norte, Quadra 01, SN, Conjunto A, Bloco A, Entrada A, Sala 1414, Parte IB Ed. Le Quartier Hotel & Bureau - Brasília/DF CEP 70.701-010. Telefone: (61) 3255-1208 Sítio eletrônico: https://www.cegesp.com.br Nota: Muito zelo e técnica foram empregados na edição desta obra. No entanto, podem ocorrer erros de digitação, impressão ou dúvida conceitual. Em qualquer das hipóteses, solicitamos a comunicação, para que possamos esclarecer ou encaminhar a questão. Nem a editora nem o autor assumem qualquer responsabilidade por eventuais danos ou perdas a pessoas ou bens, originados do uso desta publicação. https://www.cegesp.com.br/?utm_source=copy&utm_medium=paste&utm_campaign=copypaste&utm_content=https%3A%2F%2Fwww.cegesp.com.br%2F G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 7 Rir é arriscado Rir é correr o risco de parecer tolo Chorar é arriscar parecer sentimental Expor sentimentos é arriscar expor o seu verdadeiro eu Encontrar o outro é arriscar o envolvimento Para colocar suas ideias, seus sonhos diante de uma multidão é arriscar-se a perdê-los Amar é arriscar não ser amado em troca Viver é arriscar morrer Esperar é arriscar o desespero Tentar é arriscar falhar... Mas os riscos devem ser tomados Porque o maior risco da vida é não arriscar nada A pessoa que não arrisca nada, não faz nada, não tem nada e é nada Eles podem evitar o sofrimento e a tristeza, mas eles não podem aprender, sentir, mudar, crescer, amar, viver... Acorrentados por suas atitudes, são escravos, eles perderam sua liberdade. Somente a pessoa que corre riscos é livre. (Anônimo) G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 8 G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 9 AGRADECIMENTOS Agradeço em primeiro lugar a Deus, por me dado essa oportunidade de concluir mais uma etapa, me aperfeiçoando como servidor público e como cidadão, de modo a atender, da melhor forma possível, aos novos desafios do serviço público. À Professora Doutora Lúcia Lima Rodrigues, pelo incentivo e auxílio, além da presteza sempre demonstrada, o que muito auxiliou no desenvolvimento deste livro e na pesquisa acadêmica na área de auditoria interna e gestão de riscos. À Renata, minha esposa; à Maria, minha mãe e à minha família, pelo apoio, carinho e compreensão em todos os momentos. Aos meus professores, em especial ao Professor Dr. Pedro Camões, pela partilha de conhecimentos e por serem exemplos de vida para o desenvolvimento do ensino e da pesquisa, com profundidade, método e responsabilidade. Meus sinceros agradecimentos: à Controladoria Geral da União – CGU; ao Ministro da Controladoria Geral da União, Wagner Rosário; aos servidores da Coordenação de G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 10 Capacitação; aos Membros do Comitê de Capacitação; aos colegas da Diretoria de Auditoria de Estatais – DAE/SFC/CGU; e ao Diretor da DAE, Tiago Lucas, pela oportunidade e no suporte para a superação dos obstáculos ao longo da realização deste trabalho, bem como a todos aqueles que, de uma forma direta ou indireta, ajudaram-me a ser um melhor profissional, dando-me condições de contribuir para o aperfeiçoamento da gestão pública. Com profundo carinho por todos, Renor G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 11 PREFÁCIO Os novos desafios enfrentados por um mundo em constante evolução impuseram a necessidade de mudanças de paradigma da auditoria interna, acarretando mudanças do perfil do auditor interno em várias partes do mundo, notadamente nos Estados Unidos da América - EUA e União Europeia - UE. No Brasil, os ventos das mudanças aqui chegaram décadas depois de sua implantação no âmbito dos EUA e da UE, trazendo desafios urgentes, que os profissionais dos órgãos de controle interno do Brasil precisarão enfrentar de forma efetiva e aprofundada, para recuperar o “tempo perdido” em relação aos países mais desenvolvidos na área. Esses novos desafios, que exigem novas competências do auditor, precisarão ser enfrentados com profundidade e responsabilidade, por meio da educação especializada. Como ferramenta de auxílio à gestão do conhecimento dos órgãos de auditoria interna, os auditores podem adquirir conhecimentos por meio da experiência de outras instituições nacionais e estrangeiras que já utilizam o modelo, constituindo-se em um aprofundamento na prática do que foi estudado na teoria. Mesmo exigindo mais G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 12 tempo e esforço, esses investimentos poderão identificar as melhores práticas, resultando em ganhos de tempo e de qualidade, na formação e aperfeiçoamento de profissionais de excelência. Assim, o chamado Benchmarking é extremamente válido, pela oportunidade de aprender, observar e melhorar o que já se utiliza em outras organizações. O que se espera também com essa apropriação de experiências práticas é evitar cometer os mesmos erros (e em muitos casos erros primários) que outras organizações já incorreram, de modo a não desperdiçar tempo e esforço. É com base na experiência de outras organizações que entidades com pouca ou nenhuma experiência em determinada área de conhecimento podem, de forma mais rápida e efetiva, adotar práticas, métodos, experiências e modelos já consagrados em instituições mais experimentadas. Entendemos que o melhor caminho para o enfrentamento dos novos desafios que se impõem aos auditores governamentais dar-se-á por intermédio de intenso e aprofundado processo de formação dos quadros dos órgãos de controle interno. Cabe aqui ressaltar que as novas atribuições dos Auditores Internos (notadamente os G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 13 AuditoresFederais da Controladoria Geral da União – CGU) exigem dos profissionais da área alto nível de excelência, para que esses possam bem exercer seus novos papéis de auditores, consultores e especialistas em gestão de riscos, dominando temas como gestão de riscos, auditoria interna com base em riscos, governança, compliance e controles internos, dentre outras competências. Diante das recentes inovações normativas e legais na área de gestão de riscos, os Auditores do CGU serão constantemente demandados por órgãos e entidades da administração pública para orientar os demais órgãos e entidades por meio de reuniões, encontros, cursos, seminários, oficinas e workshops nas áreas relacionadas a essas novas exigências. E para que a CGU possa cumprir seu papel de órgão de auditoria interna – papel reconhecido nacional e internacionalmente - essas demandas deverão ser atendidas por profissionais altamente qualificados, com sólidos conhecimentos nos temas em questão, tanto na parte teórica quanto na parte prática. Cabe ressaltar que a adoção de práticas de gestão de riscos no âmbito dos órgãos e entidades da administração G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 14 pública federal brasileira está ocorrendo por meio de leis, normas internacionais de auditoria e outros normativos legais, conforme veremos ao longo deste trabalho. Podemos citar como exemplos as recentes publicações do Tribunal de Contas da União - TCU, além das normas e relatórios da Organização para a Cooperação e Desenvolvimento Econômico - OCDE, do Instituto dos Auditores Internos - IIA, do COSO (Committee of Sponsoring Organizations of the Treadway Commission), dentre outros. Em virtude do exposto, este é o momento em que uma janela de oportunidade se abre para o fortalecimento institucional da CGU, de maneira que este órgão efetivamente exerça seu papel de protagonismo nos temas de auditoria e gestão de riscos junto aos órgãos da administração pública e aos demais órgãos do Sistema de Controle Interno do Poder Executivo Federal. Esse papel de liderança será exercido tanto diretamente, a nível federal quanto de forma indireta, junto aos demais poderes e esferas da administração pública brasileira, podendo influenciar, inclusive, governos e instituições de outros países. Portanto, para que esse papel possa ser exercido de forma efetiva, as ações de controle deverão ter G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 15 suporte na qualificação dos seus servidores, sendo de fundamental importância a formação dos auditores internos no tema de auditoria e gestão com base em riscos, e em outros relacionados, em base teórico-prática, possibilitando assim a posterior transmissão dos conhecimentos adquiridos, a consultoria e a orientação aos gestores e às auditorias internas, que são os objetivos deste trabalho. G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 16 G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 17 SUMÁRIO Introdução ........................................................................................ 27 Capítulo I – Conceituando os riscos e suas implicações ......... 35 As crises financeiras de 2002 e 2008 nos EUA e as falha nos controles internos e no gerenciamento de riscos ......................... 40 Incerteza e risco ..................................................................... 50 Capítulo II – O gerenciamento dos riscos .................................. 59 ▪ O conceito de risco ....................................................... 59 Riscos de corrupção e de fraude ......................................... 63 O triângulo da fraude ........................................................... 70 Capítulo III – Os modelos de gestão de riscos aplicáveis ao setor público .................................................................................... 79 Componentes do gerenciamento de riscos corporativos, segundo o COSO ............................................................................ 83 A gestão de riscos conforme o ISO 31000 ................................ 88 Componentes do gerenciamento de riscos corporativos segundo a FERMA ........................................................................................ 93 O modelo de gestão de riscos do Reino Unido ........................ 95 G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 18 Capítulo IV – Estabelecimento do contexto e identificação dos riscos ................................................................................................ 101 Conhecimento do contexto organizacional .......................... 102 Mapeamento dos processos da organização .......................... 106 ▪ Etapas do mapeamento dos processos .................... 106 Estudos dos objetivos institucionais (fixação dos objetivos).. 117 Identificação dos eventos e dos riscos .................................... 119 Técnicas para identificação de riscos ...................................... 122 Técnicas que podem auxiliar na identificação de riscos ......... 124 Capítulo V – O processo de análise dos riscos ........................ 133 Técnicas de análise de riscos ................................................... 135 Capítulo VI – Avaliação e resposta aos riscos ......................... 153 ▪ Avaliação qualitativa do nível de risco ..................... 154 ▪ Percepção do risco .................................................... 156 ▪ Avaliação quantitativa do nível de risco ................... 159 ▪ Apetite ao risco ......................................................... 160 Categorização dos riscos.......................................................... 166 Avaliação dos controles internos ............................................ 170 Risco de controle ..................................................................... 172 Riscos de controle inerente e residual .................................... 174 Tratamento do risco residual .................................................. 178 G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 19 Registrando e categorizando os riscos residuais ..................... 181 Decisões quanto ao risco ......................................................... 183 Informação e comunicação ..................................................... 186 Monitoramento dos riscos ...................................................... 188 Capítulo VII – Controles da administração pública .............. 195 ▪ Controles internos ....................................................... 195 Avaliação do custo X benefício dos controles internos ........... 205 O modelo das três linhas de defesa ........................................ 209 O controle no âmbito do setor público ................................... 215 ▪ A quem cabe o controle da gestão pública ................. 215 Formas de controle ................................................................ 219 ▪ Controle quanto ao posicionamento do órgão controlador em relação ao órgão controlado ............. 219 ▪ O controle quanto ao momento de sua realização .... 221 ▪ Controle quanto à sua natureza.................................. 222 ▪ Controle quanto ao seu objeto ................................... 223 Base normativa do setor público ............................................ 226 ▪ O sistema do controle interno do Poder Executivo Federal Brasileiro..................................................... 227 O sistema do controle interno da administração pública de Portugal ....................................................................................... 241 G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 20 Controle externo da administração pública brasileira ............ 245 Controle externo da administração pública portuguesa ......... 249 Auditoria interna X auditoria externa...................................... 252 As auditorias externas governamentais nos setores públicos de Brasil e de Portugal ..................................................................... 256 Capítulo VIII – Evolução do paradigma da auditoria interna no contexto de gestão de riscos .................................................. 265 Evolução do paradigma da auditoria interna .......................... 265 Relação entre auditoria com base em riscos e o gerenciamento de riscos ....................................................................................... 275 Atribuições do auditor interno no contexto da auditoria com base em riscos ..................................................................................... 280 Enfim, qual o papel do auditor interno: policial, avaliador de risco ou consultor?............................................................................... 296 Referências ..................................................................................... 299 G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 21 ÍNDICE DE ILUSTRAÇÕES FIGURAS Figura 01: Relação entre incerteza e risco .................................... 51 Figura 02: O triângulo da fraude ................................................... 70 Figura 03: Estrutura conceitual do COSO ...................................... 86 Figura 04: Componente do gerenciamento de riscos, segundo o COSO 2017..................................................................................... 87 Figura 05: Relacionamento entre os princípios de gestão de riscos, estrutura, segundo a ISO 31000 ................................................... 89 Figura 06: Processo de gerenciamento de riscos da ISO 31000 e do COSO.............................................................................................. 91 Figura 07: Processos de gestão de riscos segundo a FERMA ........ 94 Figura 08: Modelo de gerenciamento de riscos do HM Treasury . 97 Figura 09: Modelo EFQM .............................................................. 98 Figura 10: Exemplo de processo AS IS (Atendimento médico) ... 114 Figura 11: Exemplo de processo AS IS (Atendimento telefônico) ..................................................................................................... 115 Figura 12: Processo TO BE (atendimento médico e telefônico) . 116 Figura 13: Análise SWOT ............................................................. 126 Figura 14: Diagrama de Pareto.................................................... 128 Figura 15: Técnica 5W2H ............................................................. 136 Figura 16: Exemplo do diagrama “espinha do peixe” ................. 139 G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 22 Figura 17: Exemplo da AAF .......................................................... 142 Figura 18: Esquema de análise MORT ......................................... 144 Figura 19: Técnica “BOW TIE” (gravata borboleta) ..................... 148 Figura 20: Percepções quanto ao risco ....................................... 158 Figura 21: O lado positivo e negativo dos riscos ......................... 162 Figura 22: Nível de retorno/perda em relação ao apetite ao risco ..................................................................................................... 164 Figura 23: Matriz de categorização do risco ............................... 166 Figura 24: Diagrama de calor para os riscos inerentes ............... 169 Figura 25: Risco inerente e risco residual ................................... 175 Figura 26: Matriz de riscos residuais ........................................... 177 Figura 27: Risco residual e risco tolerável ................................... 179 Figura 28: Processo de gestão de riscos e controles internos .... 200 Figura 29: O valor dos controles internos no alcance dos objetivos ..................................................................................................... 202 Figura 30: A intensidade dos controles em relação aos riscos ... 207 Figura 31: Modelo de três linhas de defesa ................................ 212 Figura 32: Quem pode exercer o controle na administração pública ..................................................................................................... 216 Figura 33: Conceito de eficiência, efetividade e economicidade, segundo o TCU ............................................................................ 224 G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 23 Figura 34: Sistema de controle interno no setor público brasileiro ..................................................................................................... 236 Figura 35: Evolução da auditoria interna .................................... 268 Figura 36: As funções de auditoria e gestão de riscos ............... 276 Figura 37: Relacionamento entre auditoria e gestão do risco .... 277 Figura 38: Defasagem de “especialização” entre auditoria interna e gestão de entidade ...................................................................... 278 Figura 39: Essência de auditoria e da gestão de riscos ............... 285 QUADROS Quadro 01: Exemplo de consequências que representam riscos 52 Quadro 02: Inventário de atividades .......................................... 108 Quadro 03: Técnica para documentar o processo atual ............. 110 Quadro 04: Formulário AS IS ....................................................... 113 Quadro 05: Elementos do mapeamento de processos ............... 115 Quadro 06: Exemplo de planilhas de identificação de riscos ..... 121 Quadro 07: Diagrama de Pareto ................................................. 129 Quadro 08: Matriz GUT ............................................................... 130 Quadro 09: Aplicação do método 5W2H .................................... 136 Quadro 10: Formulário APR ........................................................ 140 Quadro 11: Modelo de aplicação AFME ..................................... 141 Quadro 12: Desvios associados com palavras guias ................... 145 G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 24 Quadro 13: Exemplo da técnica Hazop na etapa de aprovação do convenente .................................................................................. 146 Quadro 14: Exemplo de detalhamento usando a técnica Hazop. ..................................................................................................... 147 Quadro 15: (Provável) visão das “velhas” e da “novsa” gerações ..................................................................................................... 157 Quadro 16: Escala de probabilidade de riscos inerentes ............ 168 Quadro 17: Escala de consequências dos inerentes ................... 168 Quadro 18: Escala para classificação de níveis de risco .............. 169 Quadro 19: Escala para avaliação dos controles internos .......... 171 Quadro 20: Cálculo do risco residual .......................................... 176 Quadro 21: Critérios para priorização e tratamento dos riscos residuais ......................................................................................180 Quadro 22: Registro dos riscos ................................................... 181 Quadro 23: Comprando um carro ............................................... 182 Quadro 24: Auditoria interna X auditoria externa ...................... 255 Quadro 25: Mudança de paradigma da auditoria interna ......... 270 G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 25 ABREVIAÇÕES AIRMC – The Association of Insurance and Risk Managers ALARM – The National Forum for Risk Management in the Public Setor CGU – Controladoria Geral da União COSO – Committee of Sponsoring Organizations of the Treadway Comission CPC – Conselho de Prevenção da Corrupção ERM – Enterprise Risk Management FERMA – Federation of European Risk Management Associations IGF – Inspeção Geral de Finanças IIA – Instituto de Auditores Internos IN – Instrução Normativa INTOSAI – International Organization of Supreme Audit Institutions IPPF – Estrutura Internacional de Práticas Profissionais IRM – Institute of Risk Management ISO – International Organization for Standardization LCPA – Lei de Compromissos e Pagamentos em Atraso PAEL – Programa de Apoio à Economia Local SCI – Sistema de Controle Interno TCU – Tribunal de Contas da União G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 26 G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 27 INTRODUÇÃO A crescente internacionalização das empresas e globalização dos mercados expôs as organizações, sejam elas públicas ou privadas a novos riscos, em um ambiente competitivo e dinâmico. Em decorrência disso, controles, paradigmas e processos, antes considerados eficazes se tornaram obsoletos, na medida em que escândalos, catástrofes e crises globais se sucederam. A crise financeira mundial provocada pelos escândalos envolvendo a Eron, a Wold.com e a conceituada empresa de auditoria Arthur Andersen, o que levou o Congresso e o Governo estadunidense, em 2002, a editar a lei Sarbanes- Oxley (SOX), além da crise de crédito de 2008 a 2009 (cujos efeitos se fazem sentir até hoje), em conjunto com as recentes transformações no ambiente corporativo impostas pela internacionalização das empresas e do aumento da competitividade, geraram a necessidade de se aumentar a transparência e de se criar mecanismos para melhorar a gestão, de modo a salvaguardar seus bens e investimentos, diminuindo a possibilidade de perda de competitividade, desvalorização e deterioração de ativos, falências, endividamentos, fugas de capitais, perdas financeiras, materiais e humanas. G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 28 Por isso, o enfoque dado ao estudo dos riscos que podem afetar organizações de qualquer ramo ou natureza passou a ter um papel fundamental. Com efeito, tornou-se necessário antecipar-se aos prováveis acontecimentos que podem afetar ou até mesmo inviabilizar o alcance dos objetivos organizacionais. Nesse sentido, as organizações públicas de todos os poderes e esferas do setor público prestam uma infinidade de serviços, tais como saúde, segurança, educação, regulação dos mercados, da indústria e dos serviços, de forma que todos esses serviços envolvem certo grau de risco (NAO, 2000) 1, tais como riscos financeiros, riscos de corrupção, de desperdício e de malversação dos recursos públicos. Em caso de não serem tratados, esses riscos podem se materializar resultando em prejuízos para os contribuintes e população em geral. Conforme o Ministério do Planejamento, Orçamento e Gestão – MPOG (BRASIL, 2017a, p. 5), “as responsabilidades e deveres do governo em relação ao bem público exigem a adoção de práticas e estratégias eficazes de gestão”, tendo em vista que nem sempre é possível recuperar todos os recursos desviados ou reverter os prejuízos sociais e vidas humanas decorrentes de desvios e má aplicação dos recursos públicos. 1National Audit Office. Disponível em: https://www.nao.org.uk/ G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 29 Assim, no âmbito das organizações públicas, tornou-se fundamental o papel dos controles internos, do gerenciamento dos riscos corporativos e da auditoria com base em riscos, como instrumentos que mitiguem a possibilidade de que a entidade pública não alcance seus objetivos institucionais. Como parte das ferramentas de gestão, a auditoria interna deve estar integrada na estrutura da gestão de riscos, atuando de forma a agregar valor à organização, fornecendo insumos à tomada de decisão pelo gestor e alta administração da entidade, pois de acordo com o Instituto dos Auditores Internos (IIA, 2009, p. 1), o papel fundamental do novo conceito de auditoria interna é agregar valor e melhorar as operações de uma organização. Portanto, esses instrumentos de controle devem fornecer subsídios para a tomada de decisão dos gestores, tanto para mitigar os fatores que impedem ou dificultam o alcance da missão institucional, quanto para o aproveitamento de oportunidades e concretização de ganhos, de modo que as organizações possam sobreviver e prosperar num ambiente de incertezas. Desse modo, diante de ambientes instáveis e competitivos, com o uso de tecnologias extremamente sofisticadas e com inovações de ciclos de vida cada vez mais breves, o risco nas organizações públicas tende a crescer. Nesse contexto, a auditoria interna deverá assumir G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 30 um papel de protagonismo para auxiliar as organizações no sentido de que possam dispor de mecanismos de gestão de risco confiáveis capazes de detectar, mensurar, tratar e monitorar os riscos. Dependendo do grau de maturidade da organização, a auditoria interna poderá assumir diversos papéis, dentre eles a função de consultoria, em caso de baixa maturidade; ou sua função tradicional de “asseguração”, na medida em que a organização amplia seu nível de maturidade e consolida seus controles internos para lidar com o risco (IIA, 2009). De acordo com Castanheira (2007), a tendência, tanto para empresas quanto para instituições públicas, é adotar uma abordagem integrada para agrupar os diferentes riscos da organização, de forma se obter uma estratégia comum para os riscos, numa estrutura integrada. Mesmo que todas as organizações lidem de uma forma ou de outra com os riscos, sendo que todas as atividades de qualquer organização envolvem risco conforme a ABNT NBR ISO 31000 (2018), a abordagem de risco feita informalmente e de forma fragmentada, onde cada setor fica responsável pela gestão dos próprios riscos, torna-se cada vez menos adequada. Ainda segundo a ISO 31000/2018, a adoção de processos consistentes em uma estrutura que abranja toda a organização pode auxiliar na gestão de riscos eficaz, G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 31 eficiente e coerentemente ao longo de uma organização (ABNT NBR ISO 31000: 2018). A estrutura para a gestão de riscos de uma organização deverá levar em conta todos os departamentos, para administrar eficazmente todos os riscos significativos e prováveis. Conforme Rudd (2003), o risco pode ser considerado tanto no nível macro, envolvendo gerenciamento de risco em todos os setores da organização, como em relação aos diversos níveis hierárquicos, abrangendo o nível micro ou departamental, do topo à base da hierarquia. Contudo, embora os riscos possam ser assumidos diretamente pelos responsáveis em cada setor ou departamento, a responsabilidade final para a gestão de riscospermanece com a alta administração e com o conselho. Para subsidiar a organização no alcance de seus objetivos, a auditoria interna emerge como atividade estratégica para o estabelecimento e aperfeiçoamento da gestão de riscos. FÜLÖP (2017) preleciona que a auditoria interna possui importância estratégica nos processos de controle e gerenciamento das organizações. Por meio da aplicação dos seus procedimentos e técnicas de trabalho, a auditoria interna oferece diagnóstico completo da perseguição das metas da organização e de como os G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 32 métodos de trabalho e controles internos estão sendo adequados e suficientes para a boa e regular gestão dos recursos. Nesse aspecto, a auditoria interna gera valor e oferece garantia sobre a estrutura e funcionamentos dos controles internos da entidade. Conforme o IIA (2014), a auditoria interna tem o papel de auxiliar a organização a atingir seus objetivos, por meio de uma abordagem sistemática e disciplinada para avaliar e melhorar a eficácia da gestão de riscos, controle e governança dos processos. Nesse contexto, o papel da auditoria interna deixa de ser limitado somente à aferição da conformidade (CASTANHEIRA, 2007), e passa a ser executado como uma atividade de consultoria e apoio à gestão de riscos dos órgãos de governo. Conforme o NAO (2011), a ênfase na conformidade é aceitável se incentivar o comportamento certo, mas a conformidade por si só pode prejudicar a forma como o gerenciamento de risco é percebido no negócio. G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 33 G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 34 G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 35 CONCEITUANDO OS RISCOS E SUAS IMPLICAÇÕES Segundo Ulrick Beck em seu livro “Sociedade do Risco” (BECK, 2010), o risco está cada vez mais presente em nosso cotidiano. Em nossa vida cotidiana, temos uma falsa impressão de que esses fatos noticiados na imprensa não nos atingem. Entretanto, conflitos armados e epidemias que ocorrem de tempos em tempos voltam nossos olhos à realidade dos riscos que insistimos, muitas vezes, em negligenciar. Assim, todas as pessoas e organizações estão sujeitas a riscos, sendo que de uma forma ou de outra ou até mesmo intuitivamente, tratamos esses riscos. Em muitos casos, costumamos transferir muitos desses riscos para outras entidades públicas ou privadas, tais como companhias de seguro, planos de saúde ou previdência privada. Por outras vezes, mesmo assumindo riscos, tomamos a atitude de ignorá-los completamente. Diante dessas situações em que os riscos são negligenciados, acabam por ocorrer inúmeras mortes por acidentes automobilísticos, desastres e tragédias que poderiam ter sido evitadas, caso esses riscos tivessem tido tratamento adequado. G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 36 Por um lado, se em âmbito individual temos a oportunidade de gerenciar os diversos riscos que corremos (pois, com o tratamento adequado, podemos mitigar a possibilidade de sofrer ataques cardíacos, acidentes vasculares, acidentes automobilísticos ou domésticos, afogamentos etc), por outro lado, muitas vezes não temos sequer o conhecimento dos riscos envolvidos quando estamos em locais ou em situações que envolvem as atividades de outras pessoas ou empresas. Para a Organização para Cooperação do Desenvolvimento Econômico - OCDE (2014), as falhas de gestão de risco em grandes corporações têm estado nas manchetes por muitos anos, não apenas no setor financeiro, mas também em desastres naturais e nem sempre envolvem somente o risco financeiro. Se por um lado, catástrofes tais como o de Fukushima nos vem à mente, por outro lado foram amplamente noticiadas diversas fraudes contábeis (Olympus Enron, WorldCom, Satyam, Parmalat), além dos casos de denúncias do pagamento de propinas para o metrô de São Paulo (Siemens), para citar apenas alguns do setor não financeiro envolvendo empresas de outros países. Essas fraudes podem ter ocorrido por falhas de governança corporativa (em que não foram completamente G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 37 considerados os riscos de negócios), por desconsideração dos riscos para obtenção de lucros e outras vantagens, bem como por sistemas de gestão de risco deficientes. Com efeito, um adequado gerenciamento de riscos acompanhado de ações tempestivas de governos ou empresas, pode minimizar os riscos para a população em geral, tanto em termos de riscos naturais (tais como enchentes, desabamentos, guerras, furacões, terremotos ou erupções vulcânicas) como para fraudes ou prejuízos financeiros. O gerenciamento dos riscos inerentes às atividades de empresas, órgãos governamentais e empresas podem mitigar as consequências e salvar vidas humanas não apenas nos casos de desastres naturais, mas também em casos de acidentes causados por falhas humanas ou de equipamentos. Assim, tragédias tais como os que ocorreram em Mariana/MG, na Boate Kiss/RS, ou mesmo com o Avião da empresa Lamia, que transportava o time da Chapecoense/SC, provavelmente poderiam ter sido evitadas com um adequado gerenciamento dos riscos envolvidos naquelas atividades. Normalmente, negligenciamos os riscos na saúde financeira e na segurança das instituições e empresas, e não consideramos a possibilidade de crises econômicas, G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 38 financeiras e políticas, tais como a crise de crédito de 2008 nos EUA e as crises que se seguiram em vários países da UE, bem e a crise mais recente que atingiu o Brasil, a partir de 2013. No decorrer da história recente, a negligência aos riscos gerou não só essas tragédias, mas também a quebra do mercado em nível global em 2008, acarretando prejuízos de bilhões e até trilhões de dólares, tendo como consequência a perda de postos de trabalho ao redor do mundo, o que ocasionou desemprego, aumento da miséria, superendividamento e sofrimento humano, sobretudo nas camadas da população mais vulneráveis. Essas crises tiveram consequências desastrosas e seus efeitos perduram até hoje, com os mercados em colapso e os empregos em situação de escassez ou precariedade. Há ainda outras situações globais que se enquadram no âmbito do gerenciamento de risco, tais como a mutação no vírus da gripe H1N1, da Covid-19, da febre amarela, da gripe aviária e do vírus Ebola. Segundo Baranoff et al (2012), o efeito combinado dos vírus da gripe H1N1 (suína) e H5N1 (pássaro) poderia se transformar num híbrido com alta mortalidade devido à sua transmissão eficiente entre pessoas. Se considerarmos o fluxo generalizado de pessoas ao redor do mundo, tais doenças não são mais riscos ambientais G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 39 localizados, representando os riscos a indivíduos, empresas e particularmente aos governos de vários países, principalmente considerando os impactos (vidas humanas e custos financeiros) decorrentes da entrada de algum desses tipos vírus no país, a exemplo da recente pandemia da nova corona vírus - considerando-se, por exemplo, o colapso no Sistema da Saúde brasileiro e nos sistemas de saúde dos países europeus atingidos pela pandemia, em época estagnação econômica e endividamento, além do rombo nas contas públicas. Com estes riscos globais em mente e outrostipos de riscos, torna-se necessário que os indivíduos e organizações gerenciem e tratem riscos de forma eficaz. Além disso, é importante que as organizações tomem consciência de compreensão da importância do tratamento dos riscos em longo prazo. G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 40 AS CRISES FINANCEIRAS DE 2002 E DE 2008 NOS EUA E AS FALHAS NOS CONTROLES INTERNOS E NO GERENCIAMENTO DE RISCOS. Em 2002, uma sucessão de escândalos financeiros praticados por empresas dos Estados Unidos da América atingiram a Enron, uma das maiores companhias no mundo em distribuição de energia, a Arthur Andersen, outrora considerada como uma das mais conceituadas empresas de auditoria, intimamente relacionada com a queda da Enron, uma vez que lhe prestava serviços de auditoria e consultoria e a World.Com, tida como a segunda maior empresa de telecomunicações dos EUA. Desde o Crash de 1929, que os mercados de capitais estadunidenses não viviam um cenário de tamanha fragilidade. Após a ocorrência de todos estes escândalos financeiros, o que resultou num golpe profundo na confiança dos investidores e na credibilidade dos mercados financeiros e de capitais, no dia 30 de Julho de 2002, o Congresso e o Governo dos Estados Unidos da América aprovam a implementação da lei Sarbanes- Oxley (SOX).Também designada por Sarbanes-Oxley Act (SOA), fora elaborada pelos senadores Paul Sarbanes (Democrata de Maryland) e Michael Oxley (Republicano G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 41 de Ohio), com o objetivo de estabelecer um conjunto de novas responsabilidades e sanções aos administradores relativamente à questão da confiabilidade e qualidade da informação financeira, bem como em relação ao monitoramento da eficácia da estrutura de controles internos. Por conseguinte, as informações prestadas pelo conjunto de empresas cotadas na bolsa estadunidense tornam-se um bem público, um dever de responsabilidade social, razão pela qual o auditor passa a desempenhar, cada vez mais, uma função indispensável no quotidiano das organizações. Assim, a Lei Sarbanes-Oxley veio facilitar o trabalho da auditoria, dado o aumento dos controles internos que ela exige. Por outro lado, essa lei vem reforçar a importância do auditor interno ao nível da implantação e acompanhamento desses mesmos controles. Segundo Santos (2009), “a obrigação estende a todas as empresas listadas na Bolsa de New York, inclusive as brasileiras, são obrigadas pela SOX a informar anualmente a quais riscos estão expostos e quais são as ferramentas de controle e gerenciamento utilizadas” (SANTOS: 2009, p. 6). Após a crise de 2002 e o advento da Lei Sarbanes- Oxley, o mundo iria sentir os efeitos devastadores de outra crise financeira, desta vez uma crise de crédito, em G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 42 2008, provocada por empréstimos hipotecários “subprime” e pela desregulamentação do setor de crédito nos EUA. As consequências sem precedentes dessa crise, que para muitos foi considerada a pior crise financeira global de todos os tempos, atingiram um país após o outro, em um efeito dominó. Conforme Baranoff et al (2012), a crise financeira global atingiria os níveis mais alarmantes fora dos EUA e, ao contrário do pensamento inicial de que o problema seria mais concentrado naquele país norte americano e em decorrência de uma cultura de Wall Street de negligência a riscos, o problema passou a ser global, com grande influência de um país sobre os outros. Em vista de o mundo estar tão profundamente conectado, as catástrofes regionais do futuro não poderão mais serem contidas localmente, tal como ocorria no passado. Essa tendência se confirma no caso da Covid-19 (novo corona vírus), que se tornou uma emergência mundial. Podemos definir o colapso de 2008 como consequência de um comportamento financeiramente arriscado, numa proporção especulativa nunca antes experimentada. Suas implicações superam qualquer outro evento desastroso anterior. Em 2008, o mercado de crédito dos EUA atuava como um banco, com uma base defeituosa G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 43 construída pelo comportamento antiético nos mercados como base nas seguintes premissas: 1. Os bancos que emprestavam dinheiro pactuavam hipotecas domiciliares sem uma gestão de risco prudente e sem critérios mais rígidos para a sua concessão, para compradores de casas menos qualificados, sem as devidas garantias de pagamento, iniciando a chamada crise das hipotecas “subprime”; 2. Essas hipotecas de alto risco foram aglutinadas em novos instrumentos, denominados de títulos garantidos por hipotecas, que por sua vez eram garantidos por agências governamentais dos EUA, como as grandes empresas de crédito imobiliário Fannie Mae e Freddie Mac, que foram estatizadas pelo governo; 3. Estes novos instrumentos agrupados e “empacotados” foram negociados para instituições financeiras de todo o mundo; 4. Essas hipotecas feitas com devedores sem garantias precisavam um seguro para ocaso de não adimplemento. Assim, essas garantias, denominadas “swaps” de inadimplência de crédito, foram feitas com essa finalidade. Porém, essas garantias foram projetadas para cuidar apenas de alguns inadimplentes de empréstimos, sendo negligenciado G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 44 o risco de uma falha sistêmica de muitos empréstimos; 5. Os devedores das hipotecas “subprime” tiveram que começar a deixar de pagar pagamentos mensais maiores, pois não conseguiam mais refinanciar suas hipotecas a taxas de juros mais baixas. Após os ataques de 11 de setembro as taxas começaram a subir, dificultando o acesso ao crédito e diminuindo a procura por imóveis. Consequentemente, os preços das casas começaram a diminuir; 6. Em razão dos aumentos das prestações e da desvalorização imobiliária, os devedores das hipotecas de alto risco começaram a ficar inadimplentes, fato esse que aumentou drasticamente o número de execuções hipotecárias, diminuindo o desempenho de alguns títulos garantidos por hipotecas; 7. Assim, as instituições financeiras que garantiram os empréstimos hipotecários não possuíam o lastro para sustentar o grande número de inadimplentes de forma simultânea, dentre elas uma das maiores seguradoras globais, AIG (American International Group); G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 45 8. Muitas dessas grandes instituições financeiras globais tornaram-se insolventes, levando o mundo à margem do colapso e travando os mercados de crédito, pois os indivíduos e os bancos perderam a confiança mútua; 9. Os governos tiveram que emprestar trilhões de dólares a juros baixos ou até mesmo negativos, por meio dos seus Bancos Centrais, para resgatar muitas dessas instituições como último recurso, de modo a garantir uma sobrevida econômica. Isso aumentou drasticamente a alavancagem financeira das empresas, mantendo artificialmente o crédito que mantém a economia funcionando e mascarando a ineficiência de grandes corporações, gerando riscos aos mercados e aos governos, no curto e no médio prazo. Conforme o exposto, falhas no gerenciamento de riscos, bem como a inércia das autoridades em controlar essas falhas detectadas, estão no centro da crise de crédito global. Esta crise começou com a concessão excessiva de hipotecas de devedores sem garantias. É sabido ser necessário que as pessoas e empresas obtenham empréstimos elinhas de crédito para conduzir seus negócios e consolidar seu patrimônio, pois sem crédito, a produção diminui e a economia global entra G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 46 em recessão, ou mesmo em depressão. Porém, o efeito dos empréstimos garantidos por hipoteca a compradores não qualificados no gerenciamento do risco foi profundo, sendo que até hoje o mundo está em uma crise global devido à ação predominante de empresas e reguladores que ignoraram os riscos associados aos requisitos para aprovação dos empréstimos com garantia de hipoteca. Outro fator para esse colapso foram as garantias dessas hipotecas, fornecidas por meio de instrumentos financeiros adicionais, denominados derivativos de crédito. Em suma, um derivado de crédito é uma espécie de seguro emitido por outra empresa, o que garante o pagamento do contrato em caso de inadimplência. No entanto, quando as hipotecas ficaram inadimplentes, a seguradora não tinha dinheiro suficiente para pagar suas obrigações contratuais. Isso acarretou o inadimplemento de outras partes em outras obrigações, que contavam com esses seguros, ocasionando um efeito bola de neve, que fez com que outros se tornassem inadimplentes, e assim por diante, o que gerou um colapso de mercado financeiro global. O grande erro foi garantir o risco financeiro das hipotecas garantidas e agrupadas (contratos ruins com contratos bons) sem realmente ter uma verdadeira base de garantia e medidas para tratar G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 47 esses riscos, que está subjacente a toda a gestão de riscos. Essa falha no gerenciamento de risco não pode ser atribuída somente à identificação adequada e tratamento dos riscos, mas, sobretudo a especulação financeira. Embora os órgãos reguladores e as empresas tivessem sido advertidos quanto aos procedimentos de gerenciamento de risco, tais advertências foram ignoradas em busca do lucro rápido sob o pretexto do livre mercado que tudo vê e tudo regula. Assim, conforme IstoÉ (2016), a quebra banco Lehman Brothers, que detinha esses fundos subprime em sua carteira, representou a maior falência na história, fazendo com que o governo dos EUA nacionalizasse os bancos e a gigante dos seguros AIG. Conforme Baranoff et al (2012) até hoje, nenhum outro evento relacionado a falhas no gerenciamento de risco teve, e continuará tendo, um impacto tão profundo em todo o mundo como esse de 2008, e isso considerando os ataques terroristas de 11 de setembro, sendo que os efeitos dessa falha no gerenciamento de riscos ainda ecoarão por décadas. Isso causou desemprego e afetou a vida dos eleitores em todo o mundo, modificando a própria estrutura do governo estadunidense, influenciando inclusive nas eleições daquele país. G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 48 Diante das consequências ocasionadas pelas falhas no gerenciamento de riscos, indagamos o seguinte: por que o risco dessa situação em potencial foi tão mal administrado? Uma crise financeira como esta, conforme sugerido pelo filme “A Grande Aposta” (2016), pode voltar a acontecer? O que as pessoas e organizações poderiam fazer para se proteger dos riscos que podem afetar o mercado, os governos e toda a sociedade? Como, por exemplo, o governo federal brasileiro pode medir esses riscos de forma antecipada para mitigá-los, regulá- los e controlá-los? Bernstein (1996) preleciona que, mesmo e tenhamos progredido com as ciências, em especial a matemática e estatística, para superar o desconhecido e a incerteza associada ao risco, essas ferramentas não estão sendo utilizadas plenamente para prever e tratar riscos. Os ataques terroristas de 11 de setembro de 2001, bem como os furacões Katrina, Wilma e Rita em 2005, o furacão Ike em 2008, além do colapso financeiro de setembro de 2008 mostraram que o conhecimento da gestão de risco nunca foi, em nossa história, mais importante do que agora, em um mundo em transformação. Caso a gestão de riscos tivesse sido adequadamente posta em prática, a estrutura de gerenciamento de riscos teria identificado essas hipotecas “subprime” de alto G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 49 risco e sua inclusão em títulos garantidos por hipotecas. Consequentemente, as pessoas teriam evitado esses investimentos, o que não aconteceu. Por tudo isso, o estudo do gerenciamento de riscos tornou-se, pela materialidade e extensão global das consequências, um dos tópicos mais críticos de estudo do século XXI. Portanto, a gestão de riscos será uma importante ferramenta da gestão de governos e das organizações e tomada de decisão no presente e no futuro, que envolverá questões financeiras e sociais. Esse campo de estudo, com metodologia própria, utilizará conhecimentos das áreas de administração pública, contabilidade, direito, engenharia, finanças públicas, economia, medicina, psicologia, matemática, estatística e de outras áreas do conhecimento, para criar cenários de tomada de decisão sustentável e de valor. G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 50 INCERTEZA E RISCO Conforme a AIRMIC (2010), as consequências de uma materialização dos riscos podem ser tanto negativas quanto positivas (oportunidade), podendo ainda resultar em uma maior incerteza. Todos nós temos uma intuição pessoal sobre o que queremos dizer com o termo “risco”, usando esse conceito diuturnamente. A cada evento novo, experimentamos a ansiedade e a antecipação ao enfrentar incertezas e ter que tomar uma decisão quanto aos riscos de uma situação a ser enfrentada. Assim, na verdade, dar uma única definição inequívoca do que queremos dizer com a noção de “risco”; revela-se uma decisão complexa, levando-se em conta que a palavra “risco” é usada em muitos contextos diferentes. Além disso, a palavra leva muitas interpretações diferentes nesses contextos variados. Em todos os casos, no entanto, a noção de risco está intrinsecamente ligada à noção de incerteza, sendo que para o nosso estudo classificaremos a incerteza como a possibilidade de dois resultados potenciais para cada evento ou situação. G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 51 Quando comparamos os dois conceitos, percebemos que o risco não o mesmo que incerteza. Uma pessoa com a gripe não é necessariamente a mesma coisa que o vírus que causa a gripe, pois o vírus da gripe é a causa ou da manifestação ou não de um quadro sintomático da gripe (consequência). Assim o risco tem a ver com as consequências, tanto positivas quanto negativas e envolve ter mais de dois possíveis resultados (incerteza). E o risco ainda não pode ser confundido com a materialização dos ganhos e perdas, tendo em vista que o risco é uma situação potencial, provável de ocorrer. Por conseguinte, o risco decorre da incerteza, que pode ser definida como sendo decorrente de duas opções, ou seja, uma incerteza consiste em oportunidades de lucro e também potencial de perda. Consequência 3 (Risco 3) Consequência 2 (Risco 2) Consequência 1 (Risco 2) Incerteza A Incerteza B Incerteza C Incerteza D Figura 1. Relação entre incerteza e risco: Fonte: Baranoff et al (2012) G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 52 O NAO (2004) define o risco como uma incerteza em relação ao resultado, seja a oportunidade positiva ou ameaça negativa, de ações e eventos. O risco deve ser avaliado em relação à combinação daprobabilidade de algo acontecer e do impacto que ocorre se realmente acontecer. Para o COSO (2007, p. 3) as “incertezas representam riscos e oportunidades, com potencial para destruir ou agregar valor”. Incertezas Consequências- Riscos Dirigir sob a influência do álcool Multas; Perda de respeito por pares (não numéricos); aumento de seguro automóvel ou cancelamento do seguro. Variação nas taxas de juros ao longo do tempo. Variação numérica no retorno do investimento. Várias execuções imobiliárias simultâneas Perdas de instrumentos financeiros vinculados a padrões de hipoteca ou algum efeito de dominó, tais como as que abordamos anteriormente. Fumar vários cigarros por dia. Surgimento de doenças (como câncer e doenças cardíacas) bem como redução do tempo e da qualidade de vida. Impossibilidade de contratação de planos de saúde ou aquisição de planos de saúde mais caros. Produção de energia termoelétrica e emissão automotiva de gases de efeito estufa (CO2) Aquecimento global, derretimento de calotas de gelo, aumento do nível de oceanos, aumento da intensidade de eventos climáticos, deslocamento de populações; possível extinção ou deslocamento de contingentes populacionais, Quadro 1. Exemplos de consequências que representam riscos: Fonte: Baranoffet al (2012) G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 53 Segundo a OCDE (2013), os riscos são geralmente percebidos como negativos. Portanto, algumas empresas preferem evitar uma avaliação formal de risco para evitar percepções ou especulações negativas. O COSO, conceitua os riscos como eventos negativos, sendo que os eventos podem gerar tanto riscos quanto oportunidades. No mesmo sentido, Griffiths (2005) ensina que o risco não afeta necessariamente os objetivos de forma negativa, pode ser positivo. Para Baranoff et al (2012), o estudo e tratamento dos riscos associados aos negócios da organização e suas consequências são a base para a tomada de decisão pela alta administração, o que pode também ser utilizado nas tomadas de decisão das pessoas e das famílias. De fato, o risco e as decisões tomadas podem acarretar perdas ou oportunidades tanto no nível gerencial quanto em termos pessoais e mesmo que esses riscos sejam bem gerenciados, teremos que considerar os riscos residuais gerados pelas decisões. É importante destacar também que o custo do controle do risco não deverá ser mais alto do que o próprio risco que se quer controlar ou mitigar. Devido à presença constante do risco tanto em termos profissionais quanto em nossa vida cotidiana, muitas vezes temos dificuldades com os aspectos G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 54 positivos ou negativos dos eventos que podem representar riscos ou oportunidades. Por exemplo, quando uma pessoa comum ou um empreendedor decidem por não investir em tal aplicação ou em um projeto, porque é muito arriscado, isso pode significar que o valor esperado da perda é alto ou que o lucro esperado é muito pequeno para justificar a consequente exposição ao risco e as perdas potenciais que podem resultar. Portanto, tal indagação envolve perdas e oportunidades, sendo que o termo risco (“risk”, tal como o usado na língua inglesa) é ambíguo a este respeito, podendo ser interpretado a partir de duas interpretações. Assim, os profissionais tentam usar palavras diferentes para delinear cada uma dessas interpretações diferentes. Portanto, os riscos são eventos que podem gerar perdas ou impactos negativos na realização dos objetivos organizacionais, enquanto riscos positivos representam oportunidades, ou seja, eventos que podem contribuir favoravelmente com a realização dos objetivos. Assim, o gerenciamento de riscos corporativos é feito de modo a tratar os eventos negativos e aproveitar a ocorrência dos eventos positivos na geração de valor. Desse modo, podemos concluir que o risco pode ser retratado como a possibilidade de um evento ocorrer e G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 55 afetar negativamente a consecução dos objetivos traçados, tendo em mente que é preciso considerar também aqueles eventos que podem ser aproveitados pela organização, por afetarem positivamente a realização dos objetivos institucionais. G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 56 G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 57 G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 58 G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 59 O GERENCIAMENTO DOS RISCOS A essa altura, comecemos por conceituar o risco, objeto do gerenciamento de riscos e que serve de base para o novo paradigma de atuação do auditor. Como veremos adiante, o risco constitui uma componente importante da atividade das organizações, já que qualquer atividade organizacional envolve certo grau de risco, motivo pelo qual o risco assume importância fundamental na gestão. Neste capítulo conceituaremos o risco, quais implicações ocorreram pelo fato de instituições e governos negligenciarem a gestão de riscos e trataremos dos riscos de corrupção e de fraude. O CONCEITO DE RISCO Para a FERMA, a gestão de riscos “é o processo através do qual as organizações analisam metodicamente os riscos inerentes às respectivas atividades, com o objetivo de atingirem uma vantagem sustentada em cada atividade individual e no conjunto de todas as atividades” (FERMA, 2002, p. 3) 2. 2 Disponível em: https://www.ferma.eu/app/uploads/2011/11/a-risk- management-standard-portuguese-version.pdf G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 60 Segundo o Tribunal de Contas de Portugal (2009) “evitar o risco é eliminar a sua causa. “Preveni-lo é procurar minimizar a probabilidade da sua ocorrência ou do seu impacto negativo” (DGAJ: 2009, p. 24). Por “risco” ter-se o acontecimento, situação ou circunstância suscetível de gerar corrupção ou uma infração conexa, como consagrado na Deliberação do CPC, de 4 de março de 2009 do Tribunal de Contas português. Conforme o IIA (2009), o risco é “a possibilidade da ocorrência de um evento que tenha um impacto sobre o alcance de objetivos. O risco é medido em termos de impacto e possibilidade de ocorrência” (IIA: 2009, p. 9). O risco está em todas as áreas de uma organização e assim eles têm potencial de impacto nos negócios, de modo que os gestores precisam lidar com todos esses riscos envolvidos (Pickett, 2005). Para a Secretaria Regional da Educação da Madeira (2016), a gestão do risco é “um processo de análise metódica dos riscos inerentes às atividades de persecução das atribuições e competências dos serviços” (2016, p. 14). Segundo Drogalas (2014), o gerenciamento de riscos é a ferramenta a ser utilizada para diminuir os riscos do negócio. Para Ruud (2001) “uma abordagem disciplinada para a criação de valor exige que uma organização G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 61 administre eficazmente todos os riscos significativos e prováveis” (RUUD: 2001 p. 2). Para tanto, o risco deverá ser considerado em todos os níveis da organização, ou seja, tanto no nível macro quanto no nível de micro ou departamental. Para a ABNT (ISO 31000:2018), todas as atividades de uma organização envolvem risco. As organizações por meio da sua identificação e análise, para,em seguida, avaliar se o risco deve ou não ser modificado pelo seu tratamento. O gerenciamento dos riscos está diretamente relacionado aos objetivos da organização, ou seja, representa o controle sobre todos os fatores que podem afetar o alcance dos objetivos institucionais. De acordo com SANTOS (2009), “a premissa inerente ao gerenciamento de riscos corporativos é que toda organização existe para gerar valor às partes interessadas” Por conseguinte, a gestão de risco deve ser um processo desenvolvido pela própria gestão da entidade, que deve considerar uma estratégica abrangendo todos os níveis da organização, projetado de modo a identificar e tratar adequadamente potenciais eventos que podem afetar a entidade, promovendo os riscos para níveis aceitáveis, de modo a fornecer garantia razoável de que os objetivos da organização serão alcançados. G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 62 Embora a gestão de riscos não forneça certeza absoluta de que desvios possam acontecer (COSO, 2007), havendo inclusive a possibilidade de falhas nos controles e riscos de corrupção por conluio e adulteração em sistemas de informática, o gerenciamento de riscos poderá minimizar a possibilidade de ocorrência dessas falhas. À medida que o processo é posto em prática, o COSO (2007) também prevê a possibilidade de avaliação do sistema de gerenciamento de risco a ser feito pelo auditor interno. Assim, a gestão de risco deve ser entendida como um processo interativo e dinâmico, que permite a melhoria do desempenho da organização, com vistas à tomada de decisões pela alta administração da entidade. G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 63 OS RISCOS DE CORRUPÇÃO E FRAUDE. Quando conduzem suas auditorias em entidades públicas, os auditores internos estão particularmente preocupados com a ocorrência de fraudes (JOHNSTONE; GRAMLING; RITTEMBERG, 2014). Existem vários tipos de fraude e muitas motivações, oportunidades e racionalizações explicando porque pessoas se envolvem em atos de fraude e de corrupção. Neste tópico, iremos falar a respeito dos riscos de fraude e de corrupção, bem como definiremos os seus conceitos. Para o COSO (2007), os riscos de fraude e de corrupção estão relacionados aos valores éticos da alta gerência, considerando que a alta administração, a começar pelo dirigente máximo, desempenha um papel fundamental na determinação da cultura corporativa. Portanto, a partir da postura da gerência é que os demais colaboradores irão determinar aquilo que efetivamente deve ser feito e quais normas serão observadas, distorcidas ou ignoradas. A título de exemplo, podemos elencar os planos de gestão de riscos de corrupção considerados para as entidades públicas do Governo de Portugal, usadas como G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 64 instrumento de controle, transparência e combate à corrupção, podendo servir de parâmetro para compreender as atividades sujeitas a riscos que uma organização pode enfrentar, conforme também defendido pela OCDE (2013). Para Vona (2008), fraude é um ato intencional e deliberado pelo seu causador para esconder a verdadeira natureza de um negócio. Segundo COMBOIOS DE PORTUGAL (2016), “a corrupção constitui- se como um obstáculo fundamental ao normal funcionamento das instituições” (2016, p.8). Conforme o Ministério da Justiça de Portugal, “a corrupção normalmente envolve duas ou mais pessoas que entram numa espécie de acordo secreto” (DGAJ: 2009, p. 29). A ENMC (2017, p.7) conceitua os riscos de corrupção como “a prática de qualquer ato ou omissão, seja lícito ou ilícito, contra o recebimento ou a promessa de qualquer compensação que não seja devida, para próprio ou para terceiro”. Para o IFD (2016, p.3), “o fenômeno da corrupção constitui uma violação clara dos princípios de interesse geral que todas as instituições e colaboradoras e colaboradores se devem pautar”. Segundo a AICEP (2014), a gestão e administração do dinheiro público devem ser pautadas por “princípios de interesse geral, nomeadamente da persecução do interesse público, da igualdade, da transparência, da justiça, da G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 65 imparcialidade e da boa administração”. (AICEP, 2014, p. 3) Segundo o World Bank (2010), a corrupção pode consiste mal uso de cargo público, influência ou prestígio para ganhos privados, por meio do uso de propina, extorsão, fraude, receptação, conluio ou lavagem de dinheiro. Segundo essa entidade, uma fraude não pode ser feita de forma isolada, pois para a sua ocorrência, é necessário que ganhos ocorram também para parentes, partidos políticos, ou instituições e empresas que tenham interesses nesses atos. O World Bank (2010) define corrupção em termos de práticas de corrupção, conluio, fraude, coerção e obstrução. Fraude é um ato intencional, envolvendo o uso de subterfúgios que resulta em uma desconformidade nos registros financeiros. São dois os tipos de desconformidades que são relevantes para os auditores para efeitos de fraude: (a) desconformidades geradas por meio de ocultação ou desvio de bens e/ou valores (apropriação indébita); (b) desconformidades que surgem através de relatórios financeiros ou processos conduzidos de forma fraudulenta. Interessa neste ponto distinguir entre fraude e erros, sendo que erros são frequentemente encontrados por auditores e se referem a atos não intencionais (JOHNSTONE; GRAMLING; RITTEMBERG, 2014, p. 34). G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 66 Um tipo de fraude que é mais comum em empresas ou organizações de pequeno porte, em que o agente é um funcionário dessa entidade, pode ser caracterizado como apropriação indébita, que ocorre quando o perpetrador da fraude rouba ou furta bens da organização. Esse tipo de fraude pode ser investigado de acordo com diversas técnicas de auditoria, incluindo conferência dos pagamentos ou extratos bancários, conferência dos estoques e registros de compra e de almoxarifado, de modo que se detectem os pagamentos de bens e serviços que não foram entregues. Esse tipo de apropriação de bens ou valores ocorre mais quando os funcionários da organização: ➢ Têm acesso ao caixa ou estoques da entidade e podem manipular os registros contábeis para cobrir os furtos; ➢ Manipulam os fluxos de caixa, bem como compras e aquisições, utilizando empresas de fachada; ➢ Roubam ou extraviam os próprios registros e inventários para manipular os registros financeiros e contábeis da entidade para cobrir a fraude. Destacam-se, a título de exemplo, as inúmeras ocorrências encontradas nos trabalhos da CGU no âmbito do sorteio de municípios, que corroboram o padrão de fraude perpetrado em pequenos municípios e também em G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 67 pequenas organizações não governamentais, em que ocorrem desvios de bens e de recursos públicos. Por outro lado, ocorrem tanto em pequenas quanto em grandes organizações um tipo de fraude moderna denominado esquema Ponzi, popularmente conhecido como pirâmide financeira, em que os depósitos dos investidores mais novos são usados para pagamentos dos investidores mais antigos, uma vez que os investimentos na organização em si não existem. O modelo do esquema Ponzi irá entrar em colapso se novos investidores pararem de ingressar no esquema, ou quando os seus depósitos forem tão baixos que não consigam financiar o retorno do investimento dos investidores mais antigos e no ápiceda pirâmide. O esquema Ponzi é baseado em dois fundamentos: confiança e concordância. A confiança começa por meio da construção de um relacionamento entre os integrantes do esquema e de suas potenciais vítimas. Usualmente, no esquema Ponzi, o chefe da pirâmide comete a fraude e ganha confiança por meio das seguintes táticas: a) Diretamente, valendo-se do prestígio de outras pessoas ou empresas; b) Atuando como profissional ou afiliado; c) Por meio de prepostos ou outros agentes. G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 68 Tal convencimento se dá a partir da falsa impressão de lucros ou retornos vultosos, e por conta do ganho de confiança no esquema, as pessoas “baixam a guarda” e não tomam as providências e cautelas necessárias que deveriam ter em seus negócios cotidianos. Podemos citar como exemplos mais conhecidos de esquemas Ponzi no Brasil os golpes realizados por meio das Fazendas “Boi Gordo” e da “Avestruz Master”, sendo que esses esquemas se reorganizam continuamente sob novas formas e roupagens, mas com o mesmo fundamento. As manipulações intencionais e que afetam os relatórios contábeis e financeiros de uma organização são conhecidas como fraudes em relatórios financeiros. O perpetrador da fraude geralmente obtém o ganho indevido por meio de superfaturamento dos itens em estoque ou adquiridos, comprometendo a saúde financeira da entidade. Muitas vezes o agente da fraude não obtém ganhos diretamente para si, e pode utilizar esses relatórios fraudulentos para salvar uma empresa da falência ou evitar negativas de empréstimos junto a bancos ou outros agentes financiadores governamentais ou privados. Esses agentes também podem atuar em conluio com funcionários de bancos responsáveis pela liberação desses empréstimos, utilizando documentação fraudulenta, G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 69 balanços alterados ou por meio da não aplicação de procedimentos de controle ou de listas de verificação para aprovar esses contratos. Três formas comuns em que fraudes em relatórios contábeis e financeiros podem incluir: a) Manipulação, falsificação ou alteração de registros contábeis e/ou financeiros, ou falsificação de documentos de suporte; b) Mitigação, diminuição ou ocultação de eventos, transações, ou outra informação significativa; c) Não aplicação intencional de princípios de contabilidade ou de princípios da administração pública. G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 70 O TRIÂNGULO DA FRAUDE. Segundo Johnstone, Gramling e Rittemberg (2014), o termo “triângulo da fraude” foi introduzido pelo criminologista Don Crescey há mais de trinta anos atrás, pela identificação das causas de fraudes encontradas, sendo então identificados três fatores que frequentemente estavam presentes em todos esses casos. Posteriormente, outros pesquisadores reforçaram a validade do triângulo da fraude. Portanto, são três elementos que incluem: a) Incentivo ao cometimento de fraudes; b) Oportunidade para o cometimento e aprovação da fraude; c) Racionalização – o “mindset” utilizado pelo fraudador para justificar o cometimento da fraude. Figura 2. O triângulo da fraude: O Triângulo da Fraude Oportunidade Incentivo Racionalização Fonte: Johnstone, Gramling e Rittemberg,(2014) G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 71 Em relação às oportunidades para cometimento de fraudes, não basta que essas ocorram, é necessário que haja deficiência ou falta de controles internos ou que a operação seja muito complexa, de modo a diminuir a possibilidade de ser apanhado no cometimento da fraude. Abaixo elencamos algumas oportunidades que podem ser consideradas pela auditoria interna: ➢ Transações significativas entre partes relacionadas ou entre entidades conveniadas ou parceiras; ➢ Posição da organização ou companhia, tal como a habilidade de ditar as regras e termos contratuais com relação a fornecedores ou clientes, o que pode permitir transações fraudulentas por parte de indivíduos ou por meio da estrutura da organização; ➢ Inconsistências da gestão, envolvendo julgamentos subjetivos e relação à avaliação de ativos ou estimativos contábeis; ➢ Transações simples feitas por meio de processos complexos que por sua vez ocorrem através de processos de registros não usuais; G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 72 ➢ Complexidade ou dificuldade de se entender transações, tais como derivativos, seguros ou entidades seguradoras ou intervenientes; ➢ Monitoramento executado sem efetividade ou deficiente, ocorrendo porque as diretrizes desse monitoramento não são independentes nem efetivas, ou porque existe uma centralização de funções na figura do gerente; ➢ Estrutura organizacional complexa ou instável; ➢ Fraqueza ou inexistência de controles internos. Quanto aos incentivos ou pressões para o cometimento de fraudes no âmbito do ambiente da organização, “determinados indivíduos poderão cometer atos desonestos, ilegais ou antiéticos simplesmente porque a organização lhes propicia forte incentivo ou tentação para agir dessa forma” (COSO: 2007 p. 36). Dentre os fatores mais prováveis de se cometerem fraudes, podemos citar os seguintes: Ambiente propício para cometimento de fraudes por parte da gerência; G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 73 Pressões financeiras para ganhos ou relatórios financeiros favoráveis; Necessidade de maquiar as contas para evitar uma quebra ou falência; Aposentadorias ou férias pendentes ou mesmo a expiração de benefícios trabalhistas; Pressão da família, dos amigos e da comunidade para ter um padrão de vida maior do que aquele que seria possível ganhando-se apenas os rendimentos do emprego ou função; Influência de jogos de azar ou drogas; Ganância. Em relação aos atos da gerência, de modo a proporcionar um ambiente íntegro, o exemplo da alta gerência é fundamental. Assim, “o simples fato de que o Presidente tenha feito a coisa certa em termos de ética, quando confrontado com uma difícil decisão, envia uma mensagem poderosa por toda a organização” (COSO: 2007, p. 37). Já em relação à racionalização da fraude, podemos dizer que é um componente fundamental de muitas fraudes. A racionalização envolve a justificação do comportamento pela própria pessoa para que ela possa estar bem consigo mesma diante de um comportamento incorreto, tais como ocorre com um assaltante, que acredita que tem decência e confiança, apesar de sua opção de “trabalho”. G E S T Ã O D E R I S C O S N O S E T O R P Ú B L I C O – R E N O R R I B E I RO 74 Para fraudes contábeis, a racionalização pode incluir pensamentos tais como: “Isso é apenas uma vez, feito apenas para sobreviver a uma crise e até que as coisas melhorem”; “Todo mundo rouba pelo menos um pouco; estamos apenas jogando o mesmo jogo”; “Vamos estar em maus lençóis com todos os nossos acionistas e clientes, a menos que possamos fazer uma contabilidade criativa para eliminar as dívidas de nossos balanços”; “A fraude é necessária para salvar a família ou (o)a amante de um sufoco financeiro”; “Podemos perder tudo (família, amigos, carro, casa, etc) se não pegarmos o dinheiro”; “Nenhuma ajuda é oferecida do lado de fora da entidade”; “Isso é só um “empréstimo” e será pago em algum momento no futuro”; “Alguma coisa tem que ser paga por essa organização, as outras