Prévia do material em texto
EIXO TEMÁTICO Logística e Compras Públicas APOSTILA DO CURSO Gestão de Riscos nas Contratações Públicas Ficha catalográfica elaborada pela equipe da Biblioteca Graciliano Ramos da Enap _______________________________________________________________________ C977 Curso de gestão de riscos nas contratações públicas – apostila do aluno / redação de Edmar Gomes de Azevedo Júnior. -- Brasília: Enap, 2020. 55 p. : il. -- Inclui bibliografia. 1. Contrato Público. 2. Gestão de Risco. 3. Licitação. 4. Capacitação – Apostila. I. Edmar Gomes de Azevedo Júnior (redação). CDU 351.712 _______________________________________________________________________ Bibliotecária: Tatiane de Oliveira Dias – CRB1/2230 Fundação Escola Nacional de Administração Pública Presidente Diogo G. R. Costa Diretor de Educação Continuada Paulo Marques Coordenadora-Geral de Educação Técnico-Gerencial – CGETG Suzana Neiva S. Ghazale Núcleo Pedagógico – CGETG Iara da Paixão Corrêa Teixeira Jader de Sousa Nunes Patricia Lucinari Rachel de Queiroz Nobre Assessoria de Comunicação Vanessa Akiko Maeji Ishikawa Projeto gráfico, capa e editoração eletrônica Ana Carla Gualberto Cardoso Revisão Adriana Braga, Luiz Matos e Renata Mourão 3 Sumário INTRODUÇÃO ................................................................................................................................. 5 RISCOS: DEFINIÇÕES, PILARES, GESTÃO, TIPOS, PROCESSO DE GESTÃO DE RISCOS .................... 10 NORMAS INTERNACIONAIS SOBRE GESTÃO DE RISCOS .............................................................. 19 COSO-ERM (ENTERPRISE RISK MANAGEMENT) ........................................................................... 19 ISO 31000:2018 ........................................................................................................................... 22 GOVERNANÇA CORPORATIVA ..................................................................................................... 26 PRINCÍPIOS DA GOVERNANÇA CORPORTIVA ............................................................................... 31 PLANO DE GERENCIAMENTO DE RISCO – PGR ............................................................................ 37 ETAPA 1 – IDENTIFICAÇÃO DOS RISCOS ....................................................................................... 38 ETAPA 2 – ANÁLISE DOS RISCOS .................................................................................................. 40 ETAPA 3 – AVALIAÇÃO DOS RISCOS ............................................................................................. 41 ETAPA 4 – TRATAMENTO DOS RISCOS ......................................................................................... 42 REFERÊNCIAS BIBLIOGRÁFICAS .................................................................................................... 48 4 OBJETIVOS INSTRUCIONAIS a) reconhecer a relação da Gestão de Riscos com as contratações púbicas; b) identificar as vantagens e desafios da implantação da Gestão de Riscos nas contratações públicas. PRINCIPAIS TÓPICOS Contextualização do risco e sua metodologia de estudo; apresentação de casos reais em que a Gestão de Riscos foi negligenciada, trazendo suas causas, os impactos gerados e as providências tomadas pelos gestores, tanto no gerenciamento de crise quanto na mitigação de futuros riscos; apresentação de exemplos de perdas operacionais, suas causas e seus respectivos impactos financeiros; pilares da gestão de riscos: probabilidade e impacto; o que é Gestão de Riscos, tipos de riscos e o processo de gestão de riscos nas contratações públicas. Parte I 5 INTRODUÇÃO Estima-se que as contratações públicas no Brasil representam 13,8% do Produto Interno Bruto ("Mensurando o mercado de compras governamentais brasileiro" de Cássio Garcia Ribeiro e Edmundo Inácio Júnior, publicado no Caderno de Finanças Públicas, n. 14, p. 265/287, dez. 2014). Sendo assim, temos que a licitação constitui significativo instrumento de que dispõe a administração pública para exigir que as empresas que pretendam contratar com o Poder Público cumpram requisitos de eficiência, eficácia e efetividade, desde a produção até a distribuição de bens, assim como na prestação de serviços, e na realização de obras de engenharia. Dessa forma, é preciso avançar com a efetivação da licitação como instrumento de gestão, sem nunca descuidar da livre e isonômica participação dos interessados, da preocupação com a qualidade da despesa pública e com a vantajosidade das propostas para a administração pública. Tecnicamente falando, as contratações públicas devem ser implementadas a partir de três passos básicos. O primeiro passo visa a identificar a necessidade da contratação e a possibilidade de reuso/redimensionamento ou aquisição pelo processo de desfazimento de bens. Busca-se, com isso, a mitigação de riscos no tocante aos critérios de eficiência utilizados na aquisição de bens ou serviços. Será que essa contratação pública é realmente necessária ou seria possível reutilizar os bens ora existentes? Ou, ainda, adquirir esses produtos através de doações advindas de outros órgãos públicos? Já o segundo passo indica que o planejamento da contratação deve gerenciar os riscos quanto à escolha do bem ou serviço por meio de parâmetros sustentáveis. Esses parâmetros precisam ser definidos por diretrizes de sustentabilidade, conforme art. 4º do Decreto nº 9.178/2017: 6 Art. 4º Para os fins do disposto no art. 2º, são considerados critérios e práticas sustentáveis, entre outros: I – Baixo impacto sobre recursos naturais como flora, fauna, ar, solo e água; II – Preferência para materiais, tecnologias e matérias-primas de origem local; III – Maior eficiência na utilização de recursos naturais como água e energia; IV – Maior geração de empregos, preferencialmente com mão de obra local; V – Maior vida útil e menor custo de manutenção do bem e da obra; VI – Uso de inovações que reduzam a pressão sobre recursos naturais; VII - Origem sustentável dos recursos naturais utilizados nos bens, nos serviços e nas obras; e VIII - Utilização de produtos florestais madeireiros e não madeireiros originários de manejo florestal sustentável ou de reflorestamento. No terceiro e último passo, o gestor público deve buscar o equilíbrio entre os três princípios norteadores da licitação pública: sustentabilidade, economicidade e competitividade. Entretanto, a sustentabilidade pode, de modo justificado, se sobrepor aos outros dois princípios. Ressalte-se que, nesses casos, a justificativa do gestor é necessária. Ele pode, por exemplo, optar por um produto mais caro do que o similar, desde que isso faça parte de uma medida de gestão de riscos mais ampla, que no final reduz o custo em outros produtos ou no mesmo, em razão da economia gerada no processo. Além disso, ao escolher produtos e serviços com características sustentáveis, os responsáveis pelo setor de licitações fomentam o surgimento de novos mercados que sejam necessários à administração pública em ações ligadas à sustentabilidade. É sabido que o mundo se encontra diante de um cenário de rara complexidade, onde fenômenos econômicos e sociais de largo espectro, tal qual a globalização da economia e a generalização do uso da tecnologia da informação, são grandes responsáveis pela reestruturação não só do ambiente organizacional público e privado, mas também do novo modo de vida das pessoas. Fazer com que a organização mantenha e aprimore suas competências, gerando riquezas e seja eficiente num ambiente cada vez mais restritivo não é tarefa das mais simples. Não basta, apenas, ter as pessoas certas nas posições correlatas no organograma, nem profissionais habilidosos sendo motivados cotidianamente. Paraque haja continuidade do negócio, faz-se necessário que a organização seja 7 responsável com seus recursos humanos, seus recursos financeiros e sua imagem. E, como de praxe, é tênue a relação entre a elaboração dos objetivos, a formulação das estratégias, a implementação das ações organizacionais e a utilização dos seus recursos de maneira equilibrada. Portanto, uma organização pública que utiliza ferramentas garantidoras de ações estudadas e planejadas estará cada vez mais comprometida com seus gestores, funcionários, parceiros e com a sociedade em que atua, focando esforços não apenas na maximização dos resultados entregues à população, mas também na redução dos riscos existentes ou que possam se manifestar no futuro, seja no aspecto ambiental, social ou econômico. Para que uma instituição seja reconhecida como exemplo de excelência em gestão, é necessário identificar os riscos que possivelmente a afetam, e quais são seus impactos sobre a organização e o ambiente em que atua. Afinal, os riscos permeiam todos os níveis das atividades dos órgãos públicos e, se não forem gerenciados adequadamente, poderão resultar em perdas que comprometerão o seu desenvolvimento e, consequentemente, a consecução dos seus objetivos. Devido à popularização dos riscos organizacionais, muitas obras surgiram a fim de conceituá-los, por isso, existe uma gama de compreensões sobre o tema. O dicionário Houaiss (2001) define o risco como “a probabilidade de insucesso, de malogro de determinada coisa, em função de acontecimento eventual, incerto, cuja ocorrência não depende exclusivamente da vontade dos interessados”. Para Brasiliano (2010), o risco é uma condição que cria ou aumenta o potencial de perdas. Este conceito foca o risco sob o aspecto negativo de seus impactos. Assim, risco é a possibilidade de perda decorrente de um determinado evento. Segundo Cocurullo (2003), um dos conceitos aplicáveis a risco encontra-se na existência de situações que possam impedir o alcance dos objetivos corporativos ou a inexistência de situações consideradas necessárias para se chegar a tais objetivos. Com isso, a visão do autor não limita o risco ao campo econômico, pois, no mundo corporativo, os objetivos são estabelecidos em diversos aspectos e devem ser alcançados por todas as áreas da organização. 8 Assim, tem-se que o risco é toda inconformidade com os objetivos anteriormente traçados pela administração. De acordo com esses autores, o risco está ligado a eventualidades no ambiente organizacional com consequências altamente negativas em suas estratégias, sejam elas financeiras ou não financeiras. Desse modo, o gerenciamento de riscos torna-se perfeitamente aplicável à consecução das aquisições públicas, através da identificação, análise e mitigação das ameaças, assegurando, com isso, a proteção ao patrimônio público, ao bem-estar social e ao meio ambiente. Caso 1 - Acidente com o ônibus espacial Challenger O Challenger foi o terceiro de uma frota de cinco ônibus espaciais construídos pela NASA. Em 1986, o Challenger se envolveu em um acidente que vitimou os sete astronautas que estavam a bordo, explodindo em pleno ar, 73 segundos após o seu lançamento. O acidente aconteceu após seis adiamentos dos lançamentos, devido a problemas técnicos e instabilidades climáticas. Após tantos atrasos e indefinições quanto ao dia exato do início da missão, decidiu-se pelo lançamento do ônibus espacial em 28 de janeiro de 1986. Porém, na manhã do dia 28, verificou-se que a temperatura no Centro Espacial Kennedy estava muito baixa, não sendo ideal para o início da missão. De acordo com a equipe de engenheiros da NASA, as baixas temperaturas poderiam alterar o funcionamento dos anéis de vedação dos tanques de combustível da nave, trazendo sérios riscos à segurança do ônibus espacial. O fato foi relatado aos superiores, responsáveis pelo programa espacial, que negligenciaram o alerta e o lançamento seguiu adiante. Por conta das baixas temperaturas, os anéis de vedação se retraíram, causando vazamento de combustível e a consequente explosão da nave. Além das sete mortes, a tragédia trouxe diversos impactos negativos à NASA, tais como o atraso do projeto em 32 meses, a denúncia da NASA ao Congresso norte americano por negligência, milhões de dólares de prejuízo etc. Em resposta ao desastre, as políticas de segurança e gestão de riscos dos Estados Unidos passaram por avaliações e reformulações em seus processos. 9 Caso 2 – Assalto ao Banco Central O furto ao Banco Central aconteceu na representação regional da instituição em Fortaleza/CE, entre os dias 6 e 7 de agosto de 2005. Os assaltantes escavaram um túnel de 80 metros de comprimento, ligando o local utilizado pela quadrilha à caixa forte do BC, com características de uma verdadeira obra de engenharia. No evento, foram subtraídos 164 milhões de reais, tornando-se, assim, o maior assalto a banco do Brasil e o segundo maior do mundo. Após os graves impactos negativos trazidos pela concretização do risco de assalto à caixa forte, como o dano financeiro e a fragilização da imagem institucional perante a sociedade, o BC promoveu uma série de mudanças em sua estrutura organizacional relacionadas à gestão de riscos, segurança e continuidade de negócios. Essas ações envolveram a modelagem de processos internos, a readequação da infraestrutura dos edifícios-sede e a contratação, treinamento e desenvolvimento de servidores em áreas específicas. Além dos casos acima, pode-se verificar algumas outras situações em que a gestão de riscos não foi adotada da forma adequada, trazendo grandes prejuízos financeiros, como no caso do Banco do Brasil, que foi penalizado pelo CADE por exigir, de forma ilícita (risco legal), exclusividade em contratos de crédito consignado, e da Caixa Econômica Federal, que sofreu perdas financeiras imensas devido a fraudes nos contratos de crédito imobiliário (risco operacional). 1 0 RISCOS: DEFINIÇÕES, PILARES, GESTÃO, TIPOS, PROCESSO DE GESTÃO DE RISCOS DEFINIÇÕES No âmbito organizacional, o risco pode ser subdividido em dois tipos clássicos (dualidade do risco): risco estratégico e risco operacional. Fonte: Banco Central do Brasil Os riscos estratégicos foram definidos como os riscos internos ou externos, que podem ocorrer tanto na definição como na implementação da estratégia e com potencial para alterar significativamente a posição competitiva da organização (Resolução BCB nº 3380/2006). Esses riscos encontram-se intrinsicamente ligados à missão e visão organizacionais, sendo de responsabilidade da alta direção, que deverá tomar as decisões necessárias no que se refere ao gerenciamento de riscos. Com isso, a entrega dos produtos e/ou serviços aos cidadãos acaba sendo prejudicada, além de comprometer o desenvolvimento organizacional, caso o risco não seja mitigado. Dessa forma, os impactos gerados provavelmente prejudicarão o atingimento dos objetivos institucionais e, consequentemente, a sobrevivência do órgão. No que tange às 1 1 aquisições públicas, os riscos estratégicos internos podem ser refletidos, por exemplo, nas compras realizadas com custo acima do praticado pelo mercado, como também aquisições desnecessárias ao atingimento dos objetivos estratégicos, impactando diretamente no orçamento do órgão, implicando em desperdício de dinheiro público e ineficiência da gestão. No caso dos riscos estratégicos externos, tem-se como exemplo o risco de contingenciamento orçamentário, que poderá trazer mudanças significativas para as compras públicas, que terão de ser priorizadas de acordo com o planejamento estratégico, tendo em vista a limitação dos recursos disponíveis. Já o risco operacional é estabelecido como a possibilidade de ocorrência de perdas resultantes de falha,deficiência ou inadequação de processos internos, pessoas e sistemas, ou eventos externos, incluindo o risco legal (Resolução BCB nº 3380/2006). Esse tipo de risco está relacionado aos processos organizacionais executados pelos colaboradores responsáveis pelas atividades cotidianas das instituições, como é o caso das licitações públicas. O risco operacional está presente no dia a dia dos setores de licitações e contratos e precisam ser gerenciados de forma a criar ações de defesa quanto a possíveis ameaças. Os impactos trazidos por esses riscos referem-se a processos de trabalho mal elaborados ou inexistentes, recursos humanos escassos ou sem capacitação, sistemas de tecnologia da informação inadequados às necessidades dos usuários ou com infraestrutura precária, além do contexto externo instável, como crises econômicas e políticas, que podem trazer alterações legais e organizacionais, tais como redução de pessoal, extinção de departamentos e órgãos, remoção de servidores, restrição orçamentária etc. Por isso, esses riscos precisam ser acompanhados de forma ininterrupta, desde o planejamento da aquisição até a execução do contrato, objetivando a melhoria contínua dos processos e práticas ligados às compras públicas. PILARES Diariamente, as pessoas deparam-se com inúmeros riscos e, inconscientemente, realizam a análise e fazem o gerenciamento destes riscos. Esse gerenciamento é baseado em dois pilares fundamentais para a existência de qualquer risco, quais sejam: probabilidade e 1 2 impacto. A probabilidade nada mais é do que a possibilidade de materialização de determinado risco. Por exemplo, qual seria a chance de um banhista ser atacado por um tubarão durante um mergulho na praia de Boa Viagem, em Recife/PE? Seria uma probabilidade alta, média ou baixa? Por sua vez, o impacto se refere ao grau de prejuízo causado pela materialização do risco, podendo ser de natureza financeira, reputacional, ambiental, humana, dentre outras. No caso do ataque de tubarão, o impacto poderia ser leve, médio, grave ou gravíssimo, dependendo do tipo de sequela sofrida pelo banhista. A medida que deve ser tomada para que a probabilidade de acontecimento seja reduzida e, consequentemente, o impacto não se efetive, é chamada de mitigação. A ação de mitigação do risco deve considerar a relação probabilidade versus impacto, adotando-se medidas que reduzam a possibilidade de acontecimento, como também o grau de impacto. Ao se refletir sobre o caso do ataque de tubarão, o ideal seria a mitigação total do risco, evitando-se o mergulho. Assim, a probabilidade de ataque seria nula e, logicamente, o impacto também. Fonte: blogdafloresta.com.br Fonte: anda.jor.br 1 3 GESTÃO DE RISCOS Na análise específica das aquisições públicas, a gestão de riscos assume a função de proteção dos recursos humanos, materiais e da imagem organizacional referentes aos processos de contratações públicas, através da mitigação dos riscos, conforme seja financeiramente mais viável, evitando perdas. Sendo assim, ao gerir os riscos de um processo de contratação pública, procura-se garantir que os agentes públicos se resguardem quanto a possíveis falhas ou vulnerabilidades, seja no planejamento do bem ou serviço a ser adquirido, seja na execução e fiscalização do contrato administrativo. Outro ponto importante que deve ser observado é a salvaguarda dos recursos materiais, que serão mais bem aplicados através de uma gestão de riscos bem elaborada, em que se defina a real necessidade de determinada aquisição ou contratação de serviço, garantindo uma melhor utilização do dinheiro público. Tão importante quanto a proteção de recursos humanos e materiais é a preservação da imagem da instituição pública. A partir do momento que um ente público passa a gerir seus riscos de forma proativa e contínua, os processos organizacionais tornam-se cada vez mais eficazes, eficientes e efetivos. Essas três qualidades transformam positivamente a instituição pública, deixando-a mais confiável, respeitada e madura perante a sociedade e a administração pública. Dentre os benefícios trazidos pela gestão de riscos nas contratações públicas, pode-se destacar quatro pontos que agregam valor à organização como um todo. O primeiro ponto é a proatividade na identificação e estudo de ameaças, que permite que a instituição se antecipe aos possíveis gargalos que venham impactar negativamente seus processos de trabalho. O segundo ponto se refere à transparência nas decisões de alocação de recursos: à medida que a gestão de riscos acontece, as causas dos problemas são apresentadas claramente e os planos de ação passam a ser elaborados de forma mais criteriosa e consciente, inclusive quanto à gestão orçamentária. Já o terceiro ponto tem como foco a preparação da organização para enfrentar as surpresas em um ambiente de contínua mudança. É sabido que a globalização, ao mesmo tempo que integra os quatro cantos do mundo, também impõe desafios às pessoas e organizações. Dessa forma, a gestão de riscos é aplicada 1 4 no intuito de se aproveitar o que o mundo globalizado tem a oferecer, como inovação tecnológica, produtos e serviços sustentáveis, equipamentos mais eficientes. Porém, também serve para antecipar ameaças trazidas por esse contexto global, como escassez de recursos, crises econômicas, ataques cibernéticos etc. Por fim, o quarto ponto trata da melhoria dos padrões de governança corporativa. O tópico sobre governança será aprofundado mais adiante, porém, é importante entender que o gerenciamento de riscos faz com que a organização seja mais transparente em suas ações, trate seus stakeholders com igualdade e respeito, fomente a responsabilidade corporativa e estabeleça regras para a prestação de contas dos gestores públicos, tornando a administração pública mais eficiente, equilibrada, íntegra e comprometida com o atendimento do bem comum. TIPOS DE RISCOS De acordo com a doutrina, os riscos podem ser classificados em cinco tipos, que vão sendo diferenciados a partir da elevação do grau de criticidade dentro de determinado processo organizacional. O primeiro tipo de risco é chamado de Aceitável. Esse risco se refere a situações que não necessitam de medidas específicas para serem tratados, pois são parte integrante do processo. São os riscos inerentes à existência do trabalho. Como exemplo, pode-se citar o risco de o pregoeiro adoecer e não comparecer ao certame licitatório, provocando o adiamento de sua abertura. O risco Tolerável é o segundo tipo a ser estudado. Nesse caso, ações preventivas ainda não precisam ser adotadas. No entanto, devem ser consideradas soluções mais rentáveis ou melhorias que não impliquem uma carga econômica importante, como realização de um up grade no sistema de informática ou a troca dos computadores por modelos mais modernos. Partindo para o terceiro risco, tem-se o tipo Moderado, que, ao ser identificado, demanda um esforço para sua mitigação em uma determinada data limite (deadline). Ainda pensando em sistemas informatizados, tem-se como exemplo a necessidade de atualização da licença do sistema operacional utilizado pela instituição pública, que, se não for concretizada, deixará os computadores indisponíveis para utilização. Com um grau de criticidade mais elevado, o risco Importante é o quarto tipo a ser analisado. Nesse 1 5 contexto, as atividades não devem ser iniciadas até que se tenha reduzido o risco. Podem ser necessários recursos consideráveis para se controlar a ameaça. Seria o caso, por exemplo, da necessidade de transferência de dados atravésde uma rede criptografada. Se a criptografia não tem como ser garantida, não há que se falar em transferência de dados até que uma solução seja encontrada. Por fim, o risco Intolerável é aquele que não tem como ser mitigado, mesmo utilizando recursos ilimitados e, assim, a atividade deve ser eliminada do processo. Para exemplificar tal situação, pode-se prospectar um cenário de contingência orçamentária em que não seria possível honrar o pagamento de determinada compra pública. Ora, se não há recursos financeiros disponíveis, também não há como prosseguir com um procedimento licitatório lícito, e o correto a se fazer é interromper o processo de aquisição o quanto antes. Apesar da academia definir categoricamente esses cinco tipos de riscos, a Instrução Normativa no 05, de 2017 do Ministério do Planejamento – IN 05/2017 – MPDG, em seu art. 25, inciso III, diz que o risco a ser tratado é aquele considerado Inaceitável. Então, percebe-se que a IN 05/2017 equiparou o risco Inaceitável ao tipo de risco classificado como Importante pela doutrina. PROCESSO DE GESTÃO DE RISCOS Após entender o conceito de gestão de riscos e os tipos de riscos existentes, é hora de mergulhar no processo de gestão de riscos. As teorias administrativas definem Processo como uma série contínua de etapas que seguem uma sequência lógica e entregam um produto ou serviço ao final de cada ciclo. Pois bem, no processo de gestão de riscos não é diferente, sendo formado por quatro etapas básicas, conforme indicado abaixo: 1) Identificação dos Riscos; 2) Análise dos Riscos; 3) Avaliação dos Riscos; 4) Tratamento dos Riscos. 1 6 Sendo assim, o processo de gerenciamento de riscos é a sistemática aplicação da política de gestão de riscos, que, por sua vez, define procedimentos e práticas das atividades de comunicação, identificação, análise, avaliação, tratamento, monitoramento e revisão dos riscos, como se pode observar na ilustração a seguir: Fonte: researchgate.net O fluxo continuado do processo de gerenciamento de riscos precisa estar alicerçado em uma sólida estrutura de governança corporativa. Portanto, é imprescindível que todas as pessoas da organização, nos níveis estratégico, tático e operacional possuam o entendimento sobre os conceitos de risco e se comprometam a aplicá-los em suas atividades laborais. Para que isso aconteça da melhor maneira, os processos organizacionais precisam estar bem modelados em todas as áreas, inclusive no setor de compras públicas. Com os recursos humanos capacitados e os processos de trabalho ajustados, resta implementar uma infraestrutura tecnológica que dê suporte às necessidades do serviço, como uma boa rede de internet, sistemas de TI integrados, computadores com bom desempenho, rede de energia elétrica estabilizada etc. Com esses requisitos atendidos, as ferramentas de gerenciamento de riscos poderão ser aplicadas de forma precisa e os resultados adequadamente alcançados. O grande desafio para a implementação da gestão de riscos nas organizações, sejam elas públicas ou privadas, é a quebra de paradigma, com a transição de uma visão tradicional, em que se busca a todo custo evitar o risco, para uma visão emergente em que o objetivo não é evitar o risco, mas sim otimizá-lo. Em um cenário 1 7 global de constante mudança, a exposição ao risco deixa de ser plenamente conhecida, exigindo que os gestores monitorem as ameaças em tempo real. O ambiente organizacional não é mais tão seguro e mensurável. Isso exige medidas de mapeamento e monitoramento que envolvam toda a companhia e façam com que ela administre os riscos proativamente. Nesse contexto, verifica-se que as ameaças às instituições se originam das mais variadas fontes, podendo ser ameaças humanas (roubo, fraude, terrorismo, negligência, imperícia), ameaças tecnológicas (invasão de sistemas, falta de energia elétrica), como também ameaças legais (não cumprimento de leis, inovação legislativa). Por conta disso, é fundamental que os gestores e agentes públicos responsáveis pelas contratações públicas estejam preparados para identificar fontes de perigo em suas rotinas, tomando as seguintes providências iniciais: a. Conhecer seu local de trabalho e observar suas fragilidades; b. Consultar os colegas de trabalho sobre os problemas que lhes tenham surgido; c. Analisar sistematicamente o que se passa realmente no seu local de trabalho; d. Analisar as operações não rotineiras e intermitentes. 1 8 OBJETIVOS INSTRUCIONAIS a) Conhecer as principais normas internacionais que regulamentam a gestão de riscos no mundo, COSO-ERM e ISO 31.000, seus princípios, processos, estrutura e benefícios; b) Compreender o caso do Banco Central, entendendo como se deu a implantação da Gestão de Riscos na autarquia federal; c) Conhecer os conceitos de Governança Corporativa, seus princípios, objetivos, sistema de funcionamento e sua relação com a gestão de riscos. PRINCIPAIS TÓPICOS Normas de referência para a gestão de riscos; Norma COSO Enterprise Risk Management – COSO-ERM (2004 e 2017), conceitos, filosofia, estrutura e benefícios; ISO 31000:2018, conceitos, princípios, estrutura, processos e benefícios; Governança Corporativa: conceitos, princípios, objetivos, relação entre a prática da Governança e a Gestão de Riscos. Parte II 1 9 NORMAS INTERNACIONAIS SOBRE GESTÃO DE RISCOS De acordo com Brasiliano (2009), a norma é um documento estabelecido pelo consenso de especialistas das mais diversas áreas e segmentos do mercado sobre determinado tema, que precisa ser aprovado por um organismo reconhecido nacional ou mundialmente, e que tenha como competência institucional a manutenção e atualização de normas técnicas, seja numa perspectiva regional ou global. A norma fornece regras, diretrizes ou características para atividades ou seus resultados, visando ao atingimento de um grau de excelência nos processos organizacionais inseridos em certo contexto. Historicamente, as normas surgiram por conta da necessidade de se dar mais qualidade aos serviços prestados pelo Exército dos Estados Unidos. A norma da qualidade do exército americano sofreu várias atualizações, até que em 1987, foi lançada a ISO 9001, norma internacional da qualidade. Quanto às normas que tratam da gestão de riscos, a COSO-ERM (Enterprise Risk Management) e a ISO 31000 são as mais utilizadas em todo o mundo na orientação e regulação das ações tomadas pelos gestores de riscos. Devido ao seu nível de alcance, passaram a ser conhecidas como “normas guarda-chuva”, dando suporte aos demais documentos que também tratam do tema, e sendo aplicadas aos mais diversos tipos de riscos, tais como o risco financeiro, operacional, de projetos, da saúde do trabalhador, ao meio ambiente, à segurança da informação, da segurança empresarial, entre outros. COSO-ERM (ENTERPRISE RISK MANAGEMENT) O COSO (Committee of Sponsoring Organizations of the Treadway Commission) é uma organização privada americana, criada na década de 80, que tem por objetivo prevenir fraudes nos processos organizacionais. O primeiro objeto de estudo do comitê foram os controles internos das empresas com foco na melhoria dos relatórios financeiros, principalmente pela aplicação dos valores éticos nas práticas institucionais. Em 2004, o COSO publicou o Enterprise Risk Management - integrated framework, que foi projetado com o 2 0 objetivo de orientar as organizações no estabelecimento de um processo de gestão de riscos corporativos e na aplicação de boas práticas sobre o tema (Portal TCU). A nova versão, COSO ERM – Integrating with Strategy and Performance, editada em 2017, destaca a importância de considerar os riscos tanto noprocesso de estabelecimento da estratégia quanto na melhoria da performance (Portal TCU). Percebe-se, portanto, que a evolução da norma COSO trouxe a reboque uma preocupação não apenas com a aplicação das boas práticas na execução do trabalho, mas também com o planejamento estratégico das organizações. Esse entendimento se insere perfeitamente no âmbito das aquisições públicas, tendo em vista que a IN 05/2017 dispõe que a gestão de riscos deve estar presente em todas as fases das contratações, do planejamento ao encerramento do contrato administrativo. A partir do momento que a norma COSO-ERM passa a dar maior relevância ao planejamento institucional, ela passa a estabelecer quatro tópicos que precisam ser supervisionados continuamente pela alta gestão organizacional: • A filosofia de risco da entidade e o apetite ao risco da entidade; • O portfólio de risco da entidade e a sua relação quanto ao apetite ao risco da entidade; • Os riscos mais significativos e a resposta adequada a esses riscos; • A eficácia do gerenciamento dos riscos corporativos. A filosofia de risco refere-se ao entendimento da organização quanto ao tema risco. Procura-se verificar o quão madura é a instituição em relação ao conhecimento dos riscos a que está exposta e suas respectivas ações mitigadoras. Será que determinada instituição pública possui uma relação atualizada das ameaças que podem impactar negativamente o seu desenvolvimento? Caso possua, existem planos de ação definidos para o tratamento de cada ameaça encontrada? Será que a gestão de riscos está presente na cultura organizacional? Essas são as questões que precisam ser levantadas para que se entenda a filosofia de risco presente em cada ente da administração pública. Por sua vez, o apetite ao risco define um limite para que a organização passe a atuar na mitigação daquela ameaça. Quanto mais avessa ao risco, menor será o apetite da instituição a qualquer situação que possa comprometer seu 2 1 desempenho, seu corpo funcional e sua imagem. Um exemplo claro de apetite ao risco pode ser percebido ao se analisar o perfil de dois investidores financeiros. Aquele com menor apetite ao risco irá procurar opções de investimento mais seguras, mesmo que proporcionem retornos bem menos significativos, enquanto o investidor com maior apetite ao risco irá se expor mais, aumentando a probabilidade de sofrer um maior impacto negativo, porém com benefícios mais atraentes. Na administração pública, observa-se, de um modo geral, grande aversão ao risco, afinal, os recursos geridos pertencem ao contribuinte e necessitam ser bem alocados. Além disso, a extensa legislação vigente procura controlar toda e qualquer ação governamental em prol de uma gestão pública de excelência, tanto em relação aos seus valores éticos quanto aos resultados alcançados. É através de uma filosofia de risco bem definida que a instituição pública irá definir o seu apetite ao risco e, consequentemente, iniciar um processo de gerenciamento de riscos mais sólido. O primeiro passo, então, é identificar os riscos que possivelmente possam atingi-la, criando um portfólio de riscos, que precisará ser revisado e alimentado ininterruptamente. Ao se estabelecer a relação de riscos organizacionais, os gestores necessitam definir quais são os riscos de maior relevância, associando cada um deles a ações mitigadoras adequadas aos seus tratamentos. Assim que os planos de ação forem colocados em prática, a gestão pública estará preparada para alcançar níveis de eficácia mais elevados, atingindo, então, os objetivos anteriormente planejados. Seguindo esse raciocínio, a COSO-ERM diz que o gerenciamento de riscos corporativos é um processo, construído pela diretoria da entidade, sua alta gestão, e demais funcionários, aplicado no cenário estratégico e em toda a empresa, projetado para identificar eventos com potencial de afetar a entidade, e gerir o risco dentro do apetite de risco, para fornecer uma garantia razoável em relação à realização dos objetivos. 2 2 ISO 31000:2018 Em 2009, a ISO 31000 surgiu com o objetivo de criar um padrão internacional para a gestão de riscos corporativos, tendo sido publicada no Brasil sob o nome ABNT NBR ISO 31000:2009 Gestão de riscos – Princípios e diretrizes (Portal TCU). Em 2018, a ISO 31000 foi revisada e seu conteúdo foi totalmente substituído pela nova versão, incluindo as etapas relativas às atividades de comunicação e consulta, ao estabelecimento do contexto, tratamento dos riscos (identificar, analisar e avaliar os riscos), uma etapa relativa ao monitoramento e, por fim, registro e relato dos riscos. A ISO 31000:2018 está balizada em três pilares de sustentação, que são seus princípios, estrutura e processos. São 9 os princípios trazidos pela ISO 31000:2018, tendo como princípio central a criação e proteção de valor, como se pode observar na Figura abaixo: PRINCÍPIOS Fonte: Projeto de revisão ABNT NBR ISO 31000:2018 2 3 Ao lançar mão da gestão de riscos de acordo com os princípios traçados pela norma 31000, a organização tende a criar valor organizacional, ou seja, tende a fazer com que os seus recursos humanos se tornem mais capacitados e produtivos, seus processos fiquem mais robustos e condizentes com as demandas organizacionais e sua infraestrutura dê o suporte necessário à produção de produtos e serviços de qualidade. Para que isso realmente aconteça, é necessário que a gestão de riscos se torne parte integrante de todos os processos organizacionais, como também seja uma ferramenta de apoio a todas as tomadas de decisão, garantindo maior assertividade aos gestores. Com a prospecção de cenários advinda da gestão de riscos, o ente público abordará explicitamente as incertezas ambientais e estará mais bem preparado para enfrentá-las num mundo de contínua mudança. Todas essas ações precisam funcionar de maneira sistemática, estruturada e oportuna, em que as atividades estejam interligadas, com as etapas bem definidas e sendo aplicadas nos momentos ideais. Para que os riscos sejam corretamente geridos, é fundamental que o levantamento de dados seja preciso e criterioso, pois, assim, as decisões serão tomadas levando em consideração as melhores informações possíveis, o que elevará o seu grau de acerto. Cada risco precisa ser tratado de maneira específica, de acordo com o contexto em que está inserido. Esse trabalho exige que as pessoas compreendam a importância da gestão de riscos e percebam que o risco é parte integrante da cultura organizacional, devendo ser identificado, analisado e tratado com transparência e interatividade. Todos esses princípios reunidos e aplicados corretamente fazem com que se estabeleça um padrão de melhoria contínua na administração pública de um modo geral e, pontualmente, nas compras públicas. Como visto, torna-se imprescindível que os princípios elencados pela ISO 31000 sejam realmente aplicados para que a instituição atinja seus objetivos com maior nível de qualidade. A aplicação desses princípios depende de uma estrutura formal estabelecida pela alta gestão, demonstrando que há o comprometimento da diretoria com a concepção e implementação da gestão de riscos e que esse processo deve ser avaliado e melhorado continuamente por todos os colaboradores. 2 4 ESTRUTURA Fonte: Projeto de revisão ABNT NBR ISO 31000:2018 O processo de gestão de riscos, conforme definido pela ISO 31000, segue as etapas clássicas de identificação, análise, avaliação e tratamento dos riscos, conforme indica a ilustração a seguir: PROCESSO Fonte: Projeto de revisãoABNT NBR ISO 31000:2018 2 5 Além das quatro etapas anteriormente citadas, o ciclo do processo de gestão de riscos determina que o primeiro passo se dá com o estabelecimento do contexto em que a organização está inserida: trata-se de um ente público ou privado? Sendo um ente público, pertence a que esfera de governo? O risco a ser analisado é estratégico ou operacional? Essas e outras perguntas precisam ser feitas para se definir em que situação o risco está inserido. Outro ponto de bastante relevância refere-se à comunicação e consulta. De acordo com a NBR ISO 31000:2018, essa etapa visa a reunir diferentes áreas de especialização para que contribuam com a gestão de riscos, assegurar que diferentes pontos de vista sejam considerados nos estudos dos riscos, fornecer informações suficientes para a tomada de decisão, e também construir um senso de inclusão entre os participantes possivelmente afetados pelos riscos organizacionais. Quanto ao monitoramento e análise crítica, busca-se assegurar que todas as etapas foram bem executadas e que, dessa forma, os resultados serão alcançados. Essa etapa deve ser executada durante todo o processo de gestão de riscos, pois assim as inconsistências podem ser ajustadas de imediato e o curso das ações redirecionado. Após todas as medidas serem tomadas, faz-se necessário documentar o processo de gestão de riscos e seus resultados para que, além de servir como fonte de pesquisa, demonstrem os resultados alcançados. A ISO 31000 diz que o relato é parte integrante da governança corporativa, ajuda a melhorar o diálogo entre os stakeholders e também auxilia a alta direção a cumprir suas responsabilidades. A ISO 31000:2018 elenca os seguintes benefícios, que nada mais são do que reflexo de sua correta implementação: ➢ Redução de surpresas; ➢ Melhoria da identificação de oportunidades e ameaças; ➢ Melhoria do planejamento, desempenho e eficácia; ➢ Economia e eficiência; ➢ Melhoria das relações com as partes interessadas; ➢ Melhoria das informações para a tomada de decisões; ➢ Melhoria no processo de prevenção de perdas; ➢ Atendimento aos documentos normativos; ➢ Melhoria dos controles; 2 6 ➢ Tomada de decisão baseada em riscos; ➢ Melhoria do processo de aprendizagem organizacional; ➢ Aumento da resiliência da organização; ➢ Encorajamento para uma gestão proativa; ➢ Melhoria na governança corporativa. GOVERNANÇA CORPORATIVA A Governança Corporativa é o conjunto de práticas que tem a finalidade de otimizar o desempenho de uma companhia ao proteger todas as partes interessadas (investidores, empregados e credores, entre outros), facilitando o acesso ao capital (CVM, 2002). Conforme o Instituto Brasileiro de Governança Corporativa (IBGC), os princípios e práticas da boa Governança Corporativa aplicam-se a qualquer tipo de organização, independentemente do porte, natureza jurídica ou tipo de controle, adaptável a outros tipos de organizações, como, por exemplo, os órgãos governamentais. No Brasil, mas especificamente no setor público brasileiro, a governança começou a ser implementada em 1995, com o surgimento da Administração Pública Gerencial ou Nova Gestão Pública (New Public Management-NPM). Entre outras ações, essa abordagem introduziu a governança na gestão pública federal com o objetivo primordial de reduzir custos, garantindo maior eficiência à máquina pública, através de medidas como a terceirização de mão de obra, privatizações, contratos de gestão e parcerias público-privadas. Tudo isso associado aos princípios basilares da Governança Corporativa: transparência, equidade, responsabilidade corporativa e prestação de contas. Para que a real importância da governança seja assimilada e sua relação com a gestão de riscos nas contratações públicas seja compreendida, é preciso que algumas perguntas iniciais sejam respondidas. 2 7 O QUE ESPERAMOS QUE AS PESSOAS FAÇAM NAS EMPRESAS? Quando uma empresa, seja pública ou privada, realiza um processo de recrutamento e seleção, ela busca pessoas que possuam determinadas competências técnicas, como também certas características comportamentais. Isso se deve à necessidade de que esses colaboradores tomem as melhores decisões possíveis para o negócio e que cumpram as regras estabelecidas pelos regulamentos internos e pela legislação vigente, além do respeito aos princípios éticos. É sabido que as melhores decisões são aquelas que agregam maior valor para a organização, dentre um conjunto de opções disponíveis, deixando-a mais eficiente, competitiva e acreditada. Como já visto anteriormente, para que os gestores e agentes públicos possam ser assertivos em suas escolhas, faz-se necessário que as informações obtidas sejam precisas e reflitam a realidade do contexto organizacional e do ambiente em que a organização encontra-se inserida. As decisões precisam ser inteligentes e baseadas em diagnósticos confiáveis. POR QUE AS PESSOAS, MUITAS VEZES, NÃO TOMAM AS MELHORES DECISÕES EM SUA ATUAÇÃO COMO GESTORES, CONSELHEIROS OU EXECUTIVOS? Há vários motivos para que as pessoas não tomem as decisões mais acertadas no ambiente de trabalho. Um desses motivos é o conflito de interesses entre acionistas e gestores, conhecido como Conflito de Agência. Nessa situação, existe um confronto entre os objetivos organizacionais e os objetivos individuais dos gestores. Geralmente, quando os gestores são remunerados em função do desempenho obtido, suas ações tendem a priorizar resultados de curto prazo, que proporcionem ganhos financeiros como participação nos lucros e bônus salariais, em detrimento aos resultados organizacionais de longo prazo. Outro motivo bastante comum que leva os executivos a tomarem decisões equivocadas é a falta de conhecimento sobre as atividades a serem desempenhadas. Muitas vezes, os gestores são promovidos rapidamente e alcançam cargos que exigem competências ainda não desenvolvidas por eles. Esse conceito é nomeado como Princípio de Peter ou Princípio da Incompetência, e tem como consequência as falhas 2 8 nas tomadas de decisão, o não atingimento dos objetivos organizacionais e o consequente desligamento do colaborador responsável. Para finalizar essa questão, os gestores também acabam escolhendo soluções inadequadas por acreditarem fielmente que sabem o que estão fazendo, mas, na realidade, não sabem. Esses vieses cognitivos distorcidos acabam causando uma miopia gerencial, levando o gestor a enxergar as demandas de forma inapropriada, que, por sua vez, levam a decisões insatisfatórias e prejudiciais aos anseios institucionais. COMO SE INSERE A GOVERNANÇA CORPORATIVA DE ACORDO COM A VISÃO TRADICIONAL? A visão tradicional define a governança como sendo um conjunto de mecanismos de incentivo e controle, internos ou externos, que visam a fazer com que as pessoas tomem as melhores decisões para a organização, sempre cumprindo as regras e regulamentos estabelecidos por seus processos e políticas, conduta tipicamente associada ao modelo burocrático da administração. Nesse prisma, os mecanismos de incentivo são estabelecidos com foco na remuneração, avaliação de desempenho, meritocracia etc., o que traz resultados justos aos gestores, tendo em vista que suas recompensas estão atreladas ao sucesso de suas ações. Ao mesmo tempo em que os executivos e demais colaboradores executam suas tarefas, a organização adota medidas de controle que garantam o monitoramento dos processos e a adoção de possíveis ajustes. Entre os mecanismos de controle mais empregados, pode-se citar a gestão de riscos, a auditoria interna, o Compliance, a elaboração de relatórios periódicos e a supervisão do conselho de administração. O QUE ESTÁ POR TRÁS DA VISÃO TRADICIONAL SOBRE GOVERNANÇA CORPORATIVA? A ideia ortodoxa de que o indivíduo trabalha baseado apenas em incentivos epunições está presente na visão tradicional da governança. Mesmo com a evolução das teorias administrativas a respeito dos fatores motivacionais nas organizações, esse paradigma continua presente na mentalidade 2 9 dos gestores. Atrelada aos incentivos está a concepção de que os colaboradores só adotam um comportamento ético e comprometido com a organização por conta do receio de possíveis retaliações e punições. Isso acaba por acarretar um clima organizacional desfavorável ao bom desempenho, criando um ambiente competitivo, desgastante, com alto índice de absenteísmo e difícil de ser administrado no longo prazo. A MERA IMPLANTAÇÃO DE MECANISMOS DE INCENTIVO E CONTROLE É SUFICIENTE PARA GARANTIR QUE AS INSTITUIÇÕES SEJAM BEM GOVERNADAS AO LONGO DO TEMPO? Na realidade, os mecanismos de incentivo e controle funcionam como balizadores das ações organizacionais, mas não garantem que as organizações serão à prova de fraudes e desvios funcionais. Conforme abordado no início deste curso, pode-se perceber diversos colapsos acontecidos com empresas que, aparentemente, possuíam bons mecanismos de governança corporativa. A grande questão é que muitas instituições utilizam a governança apenas como uma lista de itens a serem cumpridos diariamente, focando apenas nos processos e esquecendo dos resultados efetivos. Em situações assim, a preocupação dos colaboradores está apenas em cumprir as etapas de determinada atividade, direcionando os esforços para os meios e deixando os fins em segundo plano. ENTÃO, O QUE FALTA PARA ASSEGURAR QUE AS INSTITUIÇÕES SEJAM BEM GOVERNADAS? As organizações são formadas por pessoas e para pessoas. Por conseguinte, para que as instituições sejam bem governadas, faz-se necessário valorizar o fator humano, afinal, são os colaboradores que dão vida às empresas e contribuem para o crescimento e desenvolnvimento institucional. Sendo assim, o trabalho de conscientização das pessoas quanto ao comprometimento com a instituição, com os processos, com os valores, precisa ser realizado continuamente, demonstrando que elas são a peça chave para o alcance dos objetivos traçados, e que esses objetivos organizacionais estão alinhados aos objetivos pessoais de cada um. A 3 0 direção da organização precisa compreender as motivações psicológicas que levam as pessoas a cumprir e descumprir regras e procedimentos. É importante que a alta administração patrocine as inovações e modelos de gestão implantados na organização, como a gestão de riscos, dando sustentabilidade e credibilidade ao trabalho desenvolvido pelo corpo funcional. Uma ferramenta administrativa extremamente útil é a gestão de desempenho, em que metas individuais são traçadas em comum acordo entre a chefia e subordinados, prazos são definidos e os resultados monitorados pontualmente. Aliada à gestão de desempenho, está a gestão por competências, que serve para identificar os conhecimentos, habilidades e atitudes dos gestores e demais colaboradores, no intuito de alocar os profissionais em posições estratégicas, de acordo com suas capacidades técnicas e comportamentais. A gestão por competências, além de servir como ferramenta para alcance de resultados, também serve como ferramenta motivacional, já que os profissionais serão aproveitados em funções correlatas às suas formações acadêmicas e em áreas de seu interesse. CONCLUSÃO - O que significa uma empresa bem governada? Do ponto de vista interno, são as organizações cujas decisões são tomadas visando à orientação para o longo prazo, alinhadas ao planejamento estratégico, e nas quais as pessoas estão motivadas, cumprem as regras porque acreditam nelas e se comportam de forma ética, preservando os valores institucionais. Do ponto de vista externo, são as organizações que adotam a gestão transparente – aumentando o conforto dos stakeholders – e asseguram aos gestores a capacidade de tomar decisões de forma assertiva e legítima, embasadas em informações precisas e confiáveis. Trata-se de um contexto multidimensional, cujo atendimento pleno depende do contexto social criado por suas lideranças, da efetividade dos mecanismos de incentivo e controle (ferramentas administrativas) e das melhores práticas adotadas por seus gestores e colaboradores. 3 1 PRINCÍPIOS DA GOVERNANÇA CORPORTIVA A Governança Corporativa é alicerçada por quatro princípios básicos: 1) Transparência: orienta a disponibilizar para os stakeholders as informações que sejam de seu interesse. Essas informações não devem se restringir ao desempenho econômico-financeiro, contemplando também os demais fatores (inclusive intangíveis, como a imagem) que norteiam a ação gerencial e que conduzem à preservação e à otimização do valor da organização. Além do mais, a prática de informar o que se passa na organização gera um clima de confiança interna e externa. 2) Equidade: refere-se ao tratamento justo e isonômico de todas as partes interessadas (stakeholders), levando em consideração seus direitos, deveres, necessidades, interesses e expectativas. Esse princípio procura fomentar a igualdade dentro da organização para que todos os seus integrantes, sejam do alto escalão ou do chão de fábrica, tenham o direito de expressar suas opiniões a respeito do que eles entendem ser o melhor para a instituição e para seu corpo funcional. 3) Prestação de contas: os agentes de governança devem prestar contas de sua atuação de modo claro, conciso, compreensível e tempestivo. Eles devem assumir integralmente as consequências de seus atos e omissões, atuando com diligência e responsabilidade no âmbito dos seus papéis. 4) Responsabilidade corporativa: os gestores e colaboradores devem zelar pela viabilidade econômico-financeira das organizações, afinal, a sobrevivência organizacional e seu desenvolvimento beneficia a todos, acionistas, executivos e demais empregados. Para que essa viabilidade seja garantida, os agentes de governança devem reduzir as externalidades negativas de seus negócios e aumentar as externalidades positivas, investindo fortemente nos diversos capitais (financeiro, manufaturado, intelectual, humano, social, ambiental etc.) Além desses quatro princípios norteadores, existem mais seis princípios que complementam as boas práticas da governança. São eles: 3 2 5) Avaliação de desempenho: indica a necessidade de avaliar regularmente e formalmente o desempenho dos gestores e colaboradores. A avaliação deve atribuir remuneração em montante adequado e vinculada ao desempenho, bem como recompensas e sanções justas, fomentando a meritocracia. 6) Processo decisório: é importante que se implemente um processo decisório que contemple visões diferentes na tomada de decisões, evitando a concentração de poder, como também trazendo experiências distintas que enriqueçam o debate e propiciem um leque maior de soluções para as demandas apresentadas. Deve haver mecanismos para tratar de conflitos de interesse e resolução de disputas, como ferramentas administrativas que apontem objetivamente as melhores alternativas para cada caso. O Gráfico de Causa e Efeito (Ishikawa) e a análise SWOT são exemplos dessas ferramentas. 7) Formalidades e controles: conscientização de que a informalidade é um inimigo da boa governança. É necessário desenhar processos, criar padrões de execução e estabelecer regras a serem cumpridas, em que os controles sejam feitos através da gestão de riscos, auditorias e Compliance. 8) Ética na liderança: os membros da cúpula devem se comportar com integridade e elevado padrão de conduta, até porque a melhor forma de liderar se dá através do exemplo. É imprescindível que se promova incessantemente os valores da organização, com ações de aculturamento e valorização do comportamento ético. O endomarketing é uma ótima ferramenta para a promoção dos valores organizacionais.9) Colaboração: criação de um contexto organizacional que fomente a cooperação entre os colaboradores e gestores, evitando competição excessiva e rivalidades internas. Os interesses dos colaboradores devem estar alinhados aos interesses organizacionais, o que favorece o atingimento dos objetivos organizacionais de longo prazo. 10) Diversidade: é preciso que as organizações criem políticas concretas para ampliar a diversidade (de gênero, etnia, formações acadêmicas etc.), fomentem o respeito às diferenças individuais do ser humano, bem como punam atitudes discriminatórias no ambiente de trabalho. 3 3 Ao tratar da governança pela perspectiva do setor público, percebe-se que há um ajuste da nomenclatura de alguns princípios para que estes se adaptem à realidade da governança pública. O princípio da equidade passa a se chamar princípio da justiça, em que todos são iguais perante a lei e devem ser tratados como tal. Já o princípio das formalidades e controles passa a ser conhecido como princípio do cumprimento das leis, exigindo que os agentes públicos só façam o que a lei permitir, dentro de um arcabouço formal, em que suas ações passam por auditorias de controle interno e externo. Visando ao atendimento do bem comum, os princípios da governança pública se desdobram, seguindo o ciclo indicado na Figura abaixo: 3 4 Sabe-se que o bom desempenho empresarial está diretamente ligado ao fornecimento de bens e serviços que atendam às necessidades de seus clientes. No âmbito público não é diferente. O atingimento dos objetivos da administração pública está intrinsicamente relacionado ao atendimento dos anseios dos cidadãos, que são os verdadeiros “acionistas” das instituições públicas. Assim sendo, a governança assume papéis bem específicos tanto para a gestão pública quanto para os cidadãos, conforme descrito a seguir. Para a gestão pública: • A governança deve tornar explícito o papel de cada ator, definindo os seus objetivos, responsabilidades, modelos de decisão, rotinas, entre outros; • Deve haver uma visão administrativa, responsável pela definição dos objetivos (eficácia) e suas precondições, como a qualidade, eficiência, conformidade com os regulamentos e leis relevantes, e o controle financeiro. Fonte: forum.ibgp.net.br 3 5 Para os cidadãos: • Que as organizações sejam transparentes e responsáveis por suas atividades; • Que demonstrem que os recursos públicos estão sendo usados apropriadamente; • Que indique o que está sendo alcançado com a aplicação dos recursos públicos. Fonte: portal.tcu.gov.br 3 6 OBJETIVOS INSTRUCIONAIS Conhecer e aplicar as principais ferramentas administrativas utilizadas na identificação, análise, avaliação e mitigação dos riscos por meio da utilização do Plano de Gerenciamento de Risco – PGR. PRINCIPAIS TÓPICOS Identificação dos riscos por meio das ferramentas “Séries Históricas” e “Brainstorming”; análise dos riscos através da ferramenta “Matriz de Vulnerabilidades”; avaliação dos riscos através da ferramenta “Matriz de Priorização”; mitigação dos riscos através das ferramentas “Diagrama de Ishikawa”, “Análise SWOT”, “Planilha 5W2H” e do Mapa de Riscos – Instrução Normativa nº 05/2017 – MPDG. Parte III 3 7 PLANO DE GERENCIAMENTO DE RISCO – PGR Após o estudo aprofundado dos conceitos da gestão de riscos, inicia- se a fase de implementação de tudo que foi compreendido até o momento. Isso se dá através do Plano de Gerenciamento de Risco (PGR), que é formado por um conjunto de ferramentas administrativas que funcionam de forma integrada, e tem por objetivo identificar os riscos organizacionais presentes em cada contexto e dissecá-los em cada detalhe, fornecendo, assim, as informações mais precisas possíveis ao tomador de decisão. De posse desse estudo, o gestor poderá adotar planos de ação mitigadores dos riscos, fundamentando suas escolhas com maior grau de certeza e alcançando resultados mais efetivos. O Plano de Gerenciamento de Risco adota o passo a passo indicado pela doutrina, seguindo as etapas de identificação, análise, avaliação e mitigação dos riscos. Concluído esse ciclo, os responsáveis pela gestão de riscos devem monitorar os resultados e atuar nos ajustes necessários, mantendo o PGR continuamente atualizado. Fonte: suportegerencial.com.br 3 8 ETAPA 1 – IDENTIFICAÇÃO DOS RISCOS O processo de gestão de riscos se inicia com a etapa de identificação dos riscos que podem vir a impactar negativamente os processos organizacionais de determinada instituição. A identificação dos riscos é bastante subjetiva, por isso ela requer a participação das equipes envolvidas nas atividades que serão estudadas. A abordagem utilizada nessa etapa utiliza quatro ferramentas: • Checklist; • Brainstorming; • Julgamentos sobre experiências anteriores; • Análise de cenários. O checklist ou lista de verificação é uma ferramenta que deve ser utilizada individualmente. Cada integrante da equipe que irá trabalhar gerindo riscos precisa criar sua própria lista de possíveis ameaças, identificando-as de acordo com seu entendimento sobre o processo que está sendo trabalhado e suas peculiaridades. O checklist é elaborado de forma bastante subjetiva. Após a conclusão do checklist, a equipe de gestão de riscos deve se reunir e lançar mão de mais uma ferramenta administrativa, o brainstorming ou tempestade de ideias, que nada mais é do que uma reunião em que os participantes elencam suas sugestões e debatem sobre elas com os demais integrantes do grupo, elegendo quais ideias serão levadas adiante. Para garantir uma maior diversidade de opiniões, é fundamental que as pessoas envolvidas possuam competências e vivências distintas. Inicialmente, nenhuma ideia é descartada, mesmo que pareça absurda. O grupo é responsável por deliberar sobre quais ideias serão mantidas ou não, até que se chegue em um consenso e que se coloque a relação final de ideias no papel, processo conhecido como brainwriting. Para dar suporte à elaboração tanto do checklist quanto do brainstorming, utilizam-se duas ferramentas que ajudam o gestor na identificação da origem dos 3 9 prováveis riscos. A primeira delas é conhecida como Séries Históricas. Essa ferramenta toma por base acontecimentos passados, experiências anteriores vividas ou conhecidas pelos integrantes da equipe de gestão de riscos. Por conta disso, os registros de situações que prejudicaram o adequado andamento de processos organizacionais, como o das aquisições públicas, são tão importantes e precisam ser identificados e lançados pela equipe de planejamento das licitações públicas e pelos fiscais durante a execução dos contratos administrativos. Já pensando em ocorrências futuras, os gestores de riscos podem utilizar a ferramenta Prospecção de Cenários, que consiste em analisar a conjuntura atual e tentar relacionar prováveis situações de risco que possam vir a se concretizar, gerando impactos gravosos aos processos de trabalho e, consequentemente, às organizações. Segue, abaixo, modelo de planilha que pode ser utilizada na etapa de identificação dos riscos: 4 0 ETAPA 2 – ANÁLISE DOS RISCOS A análise dos riscos tem por objetivo entender mais detalhadamente cada risco identificado. Ela gera as informações necessárias para os gestores decidirem como o risco será tratado, baseando-se na estratégia mais adequada e no melhor custo-benefício. A análise subdivide-se em análise qualitativa e análise quantitativa dos riscos. A análise qualitativa dosriscos descreve os potenciais impactos (efeitos) e a probabilidade de acontecerem. Deve-se observar como o risco é entendido por aqueles que integram as equipes de trabalho responsáveis por analisá-los. Nunca é demais repetir que a gestão de riscos é extremamente subjetiva e, por isso, precisa ser moldada de acordo com cada situação apresentada. A ferramenta utilizada na análise qualitativa é conhecida como Matriz de Risco ou Matriz de Vulnerabilidade. É uma ferramenta visual que possibilita identificar de imediato quais riscos devem receber maior atenção, facilitando a análise situacional e atraindo a atenção das equipes para o processo. Essa matriz é composta por uma coluna, referente à probabilidade de acontecimento, que possui uma gradação que vai da probabilidade rara até a quase certa, e por uma linha, referente ao impacto que os riscos podem gerar, possuindo um nível de criticidade que vai do impacto mais leve ao mais severo. Ao cruzar essas duas informações, probabilidade versus impacto, encontra-se o quadrante específico para cada risco, sendo possível definir quais são os mais relevantes para o processo organizacional, como no caso das compras públicas. Segue, abaixo, modelo da Matriz de Vulnerabilidade que pode ser usado na análise qualitativa dos riscos: Fonte: siteware.com.br 4 1 Por outro lado, a análise quantitativa dos riscos utiliza valores numéricos para definir os prováveis impactos monetários negativos que os riscos identificados podem gerar para a organização. Os gestores precisam definir se financeiramente é mais interessante investir na mitigação do risco ou se é mais vantajoso suportar o prejuízo, caso ele venha a ocorrer. Por exemplo, será que vale a pena investir um milhão de reais para proteger um possível prejuízo de cem mil reais caso o risco se concretize ou seria melhor aceitar esse risco? A análise quantitativa é aplicada para encontrar essa resposta e direcionar a tomada de decisão no caso concreto. ETAPA 3 – AVALIAÇÃO DOS RISCOS A avaliação dos riscos tem por objetivo tomar decisões baseadas no que foi observado na análise dos riscos, determinando quais desses riscos precisam ser priorizados e tratados. Para que se chegue a uma conclusão, utiliza-se a ferramenta Matriz de Priorização, que mostra de forma clara a influência do esforço empreendido versus o benefício alcançado. Através dessa ferramenta, o gestor decide em que momento cada risco deve ser tratado, estabelecendo um ranking de prioridade para as ações de mitigação. Quanto menor o esforço e maior o benefício, melhor ranqueado ficará o risco avaliado, ficando, então, como a primeiro da lista a receber o devido tratamento. Segue, abaixo, modelo da Matriz de Priorização que pode ser usado na avaliação dos riscos: Fonte: imasters.com.br 4 2 ETAPA 4 – TRATAMENTO DOS RISCOS O tratamento do risco é o processo utilizado para modificar o nível do risco. Normalmente, o tratamento modifica a probabilidade ou os impactos do risco. Pode, ainda, eliminar a fonte do risco, dividir ou transferir o risco para outrem, como no caso dos seguros. Após concluídas as etapas de identificação, análise (qualitativa e quantitativa) e avaliação dos riscos, o gestor deve fazer um estudo aprofundado dos riscos que serão tratados, identificando suas causas e buscando os recursos organizacionais, sejam financeiros, humanos, estruturais, necessários à sua mitigação. Nessa etapa, utilizam-se três ferramentas clássicas da administração de empresas: o Diagrama de Causa e Efeito, a Análise SWOT e o Plano de Ação 5W2H. O Diagrama de Causa e Efeito, também conhecido como Espinha de Peixe ou Diagrama de Ishikawa, é utilizado para a identificação de direcionadores, as causas, que potencialmente levam ao efeito indesejável, o risco. Essa é uma ferramenta analítica que parte de um problema de interesse e possibilita a ocorrência de um brainstorming no sentido de identificar as causas possíveis para o problema encontrado. A formatação padrão do Diagrama de Ishikawa é estabelecido por seis tipos diferentes de causas raiz, seguindo a metodologia 6M: • Método: toda a causa que envolve os processos de trabalho; • Material: toda causa que envolve a matéria-prima utilizada no trabalho; • Mão de obra: toda causa que envolve ações dos recursos humanos; • Máquina: toda causa envolvendo a infraestrutura organizacional; • Medida: toda causa que envolve os instrumentos de medida, indicadores; • Meio ambiente: toda causa que envolve tanto o ambiente interno (organizacional) quanto externo. De posse dos riscos selecionados, monta-se uma espinha de peixe para cada um deles, proporcionando uma melhor visualização das ações a serem tomadas quanto às causas elencadas, obtendo o Gráfico a seguir: 4 3 Fonte: pt.wikipedia.org A análise SWOT ou FOFA (sigla em português) é uma ferramenta utilizada na elaboração do planejamento estratégico das organizações para auxiliar na identificação de suas forças (strenghts), fraquezas (weaknesses), oportunidades (opportunities) e ameaças (threats), de acordo com o contexto em que está sendo analisada, seja em seu ambiente interno ou externo, conforme esquematizado a seguir: • Strenghts - pontos fortes: vantagens internas da organização; • Weaknesses - pontos fracos: desvantagens internas da organização; • Opportunities - oportunidades: aspectos positivos da organização fora das suas instalações ou área de influência; • Threats - ameaças: aspectos negativos da organização fora das suas instalações ou área de influência. De acordo com Dess (2018), a matriz SWOT destina-se a especificar os objetivos e riscos associados aos negócios, e identificar os fatores internos e externos que são favoráveis e desfavoráveis para alcançar esses objetivos, aproveitando as oportunidades e mitigando as ameaças. Durante a elaboração da análise SWOT é recomendável que os integrantes da equipe de gestão de riscos perguntem e 4 4 respondam questões para gerar informações significativas a respeito de cada categoria, de maneira a tornar a ferramenta útil e identificar a vantagem competitiva (forças associadas a oportunidades) e as fragilidades (fraquezas associadas a ameaças) da instituição em que trabalham. Segue, abaixo, modelo da Matriz SWOT, que pode ser usada como ferramenta de mitigação dos riscos: Fonte: www.cursodeecommerce.com.br O Plano de Ação 5W2H é uma ferramenta de gestão organizacional e trata-se de um relatório definido por linhas, cada uma delas encabeçada por uma palavra em inglês, constituindo um questionário esclarecedor sobre as atividades que precisam ser desenvolvidas no tratamento dos riscos. Ao ser montada, a tabela estabelecerá o que será feito, quem serão os responsáveis, em que prazo, em que setor da organização, além dos motivos pelos quais essa atividade deve ser feita. Também será definido o método para a realização da atividade e o seu custo de execução. A seguir, um modelo de tabela para implementação do Plano de Ação 5W2H com o objetivo de mitigar os riscos ora identificados, analisados e avaliados durante as três primeiras etapas da gestão de riscos: 4 5 Risco Insira o nome do risco. Grau de probabilidade atribuído ao risco Indique o grau de probabilidade de acontecimento atribuído ao risco (raro, baixo, médio, alto, quase certo). Grau de impacto atribuído ao risco Indique o grau de impacto atribuído ao risco (sem impacto, leve, médio, grave, gravíssimo). Nível de priorização atribuída ao plano Indique o grau de priorização atribuído ao risco (1, 2, 3 ou 4). What (o quê?) O que será proposto no plano de ação? Why (por quê?) Por que será necessário um plano de ação? Who (quem fará?) Quem será o responsável pela implementação? When (quando será?) Quando será o períodode implementação? Data inicial e final. Where (onde será?) Onde o plano de ação será implementado? How (como será?) Que método será utilizado na implementação? How much (quanto?) Haverá custo? Caso afirmativo, quanto custará? Tratando-se de aquisições públicas, é necessário, em complemento a tudo que foi aplicado até o momento no estudo da gestão de riscos, seguir as orientações da Instrução Normativa nº 05/2017 – MPDG, no que tange à aplicação do Mapa de Riscos, conforme determinado em seu artigo 26, parágrafo primeiro: “Art. 26. O Gerenciamento de Riscos materializa-se no documento Mapa de Riscos. § 1º O Mapa de Riscos deve ser atualizado e juntado aos autos do processo de contratação, pelo menos: I - ao final da elaboração dos Estudos Preliminares; II - ao final da elaboração do Termo de Referência ou Projeto Básico; III - após a fase de Seleção do Fornecedor; e IV - após eventos relevantes, durante a gestão do contrato pelos servidores responsáveis pela fiscalização. § 2º Para elaboração do Mapa de Riscos poderá ser observado o modelo constante do Anexo IV”. 4 6 ANEXO IV IN 05/2017-MPDG MAPA DE RISCOS 4 7 Conclui-se, portanto, que a gestão de riscos nas contratações públicas é materializada por uma combinação de técnicas administrativas, definição de políticas, aplicação de normas legais e participação integral dos gestores e colaboradores, que contribuem com suas experiências e conhecimentos na construção desses estudos, em prol do desenvolvimento das organizações públicas e o consequente atingimento do bem comum. A participação das pessoas em cada uma das etapas da gestão de riscos, como também nas fases de controle de resultados e ajuste das rotinas, é fundamental para o que os objetivos sejam alcançados sem maiores percalços, tendo seus riscos minimizados ao máximo. O fomento à disseminação da cultura organizacional voltada ao gerenciamento de riscos é tarefa da alta administração, que precisa declarar seu comprometimento com a ideia e criar eventos que internalizem o tema Risco às rotinas de trabalho das instituições pelas quais são responsáveis. Por outro lado, as equipes precisam apoiar e confiar nas competências de seus líderes, aderindo a essa nova perspectiva de gestão com proatividade e dedicação. Só assim os riscos serão efetivamente identificados e tratados continuamente, elevando o nível de qualidade das decisões tomadas, adotando ações planejadas minuciosamente e transformando a administração pública em um centro de excelência na aplicação dos seus recursos. Ao se alcançar esse estágio de amadurecimento, as organizações públicas estarão prontas para atender às demandas da coletividade com presteza e efetividade. 4 8 REFERÊNCIAS BIBLIOGRÁFICAS ESAF. Caderno de Finanças Públicas, n. 14, p. 265/287, 2014. HOUAISS, Antônio. Grande Dicionário Houaiss da Língua Portuguesa. 1.ed. Rio de Janeiro: Objetiva, 2001. BRASILIANO, Antônio Celso Ribeiro. Gestão e Análise de Riscos Corporativos. São Paulo: Sicurezza, 2010. BRASILIANO, Antônio Celso Ribeiro. Resposta aos riscos corporativos – método brasiliano. São Paulo: Sicurezza, 2009. PORTAL CVM. Recomendações da CVM sobre Governança Corporativa. Disponível em:http://www.cvm.gov.br/export/sites/cvm/decisoes/anexos/0001/3935.pdf. Acesso em 12 de janeiro de 2020. PORTAL IBGC. O que é Governança Corporativa. Disponível em: https://www.ibgc.org.br/conhecimento/governanca-corporativa. Acesso em 14 de janeiro de 2020. BARALDI, Paulo. Gerenciamento de riscos empresariais: a gestão de oportunidades, a avaliação de riscos e a criação de controles internos nas decisões empresariais. 2. ed. Rio de Janeiro: Elsevier, 2005. BRASIL. Lei nº 8.666, de 21 de Junho de 1993. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/l8666cons.htm. Acesso em: 10 de janeiro de 2019. BRASIL (2006). Banco Central do Brasil. Resolução CMN 3.380. Disponível em: <http://www5.bcb.gov.br/normativos/detalhamentocorreio.asp?N=106196825&C=&AS S=RESOLUCAO+3.380> Acesso em 05 de janeiro de 2020. BIDERMAN, R., Betiol, L., Macedo, L., & Monzoni, M. (2008). Guia de compras públicas sustentáveis – uso do poder de compra do governo para a promoção do desenvolvimento sustentável. Rio de Janeiro: FGV. http://www.cvm.gov.br/export/sites/cvm/decisoes/anexos/0001/3935.pdf https://www.ibgc.org.br/conhecimento/governanca-corporativa http://www.planalto.gov.br/ccivil_03/leis/l8666cons.htm 4 9 BOGONI, Nadia Mar and Fernandes, Francisco Carlos. Gestão de risco nas atividades de investimento dos Regimes Próprios de Previdência Social (RPPS) dos municípios do Estado do Rio Grande do Sul. REAd. Rev. eletrôn. adm. (Porto Alegre), Abr 2011, vol.17, no.1, p.117-148. ISSN 1413-2311. BRASILIANO, Antônio Celso Ribeiro. Manual de planejamento: gestão de riscos corporativos. São Paulo: Sicurezza, 2006. BURLÁ, Leonardo Andrade de Almeida and Gonçalves, Edson Daniel Lopes. Gestão de risco e os impactos da instrução normativa CVM nº 550: análise empírica. Rev. contab. finanç., Ago 2010, vol.21, no.53, p.1-21. ISSN 1519-7077. CALDAS, Eduardo de Lima and Nonato, Raquel Sobral. Compras públicas: estratégia e instrumento para a gestão do desenvolvimento local. Interações (Campo Grande), Jun 2014, vol.15, no.1, p.161-172. ISSN 1518- 7012. COCURULLO, Antônio. Gestão de riscos corporativos: riscos alinhados com algumas ferramentas de gestão. São Paulo: Scortecci, 2003. DE PAULO, Wanderlei de Lima et al. Riscos e controles internos: uma metodologia de mensuração dos níveis de controle de riscos empresariais. Rev. contab. finanç., Abr 2007, vol.18, no.43, p.49-60. ISSN 1519-7077. Instrução Normativa nº 05, de 26 de maio de 2017. Disponível em: <http://comprasgovernamentais.gov.br> Acesso em: 11 de janeiro de 2020. KIMURA, Herbert and Perera, Luiz Carlos Jacob. Modelo de otimização da gestão de risco em empresas não financeiras. Rev. contab. finanç., Abr 2005, vol.16, no.37, p.59-72. ISSN 1519-7077. LOPES, Alexsandro Broedel, Carvalho, L. Nelson and Teixeira, Aridelmo José Campanharo. A abordagem de Shimpi para gestão de riscos. Rev. contab. finanç., Dez 2003, vol.14, no.33, p.7-15. ISSN 1519-7077. NOGUEIRA, Fernando Rocha, Oliveira, Vanessa Elias de and Canil, Katia Políticas públicas regionais para gestão de riscos: o processo de implementação no ABC, SP. Ambient. soc., Dez 2014, vol.17, no.4, p.177-194. ISSN 1414-753X. 5 0 Dess, Gregory. Strategic Management. Estados Unidos: McGraw-Hill. 2018. ISBN 9781259927621. PORTAL TCU. Modelos de referência de gestão corporativa de riscos. Disponível em: https://portal.tcu.gov.br/planejamento-governanca-e-gestao/gestao-de- riscos/politica-de-gestao-de-riscos/modelos-de-referencia.htm. Acesso em 10 de janeiro de 2020. https://portal.tcu.gov.br/planejamento-governanca-e-gestao/gestao-de-riscos/politica-de-gestao-de-riscos/modelos-de-referencia.htm https://portal.tcu.gov.br/planejamento-governanca-e-gestao/gestao-de-riscos/politica-de-gestao-de-riscos/modelos-de-referencia.htm