Gestão de riscos

Como gerir riscos no serviço público?
Publicado em 29/11/2019 10h17 Atualizado em 06/07/2021 13h52

O que é gestão de riscos?

O Decreto nº 9.203, de 22 de novembro de 2017, dispõe sobre a política de governança da administração pública federal direta, autárquica e fundacional. Ele estabelece que gestão de riscos é o processo de natureza permanente, estabelecido, direcionado e monitorado pela alta administração, que contempla as atividades de identificar, avaliar e gerenciar potenciais eventos que possam afetar a organização, destinado a fornecer segurança razoável quanto à realização de seus objetivos (art. 2º, inciso IV).

O decreto também informa que uma das diretrizes da governança pública é implementar controles internos fundamentados na gestão de risco, que privilegiará ações estratégicas de prevenção antes de processos sancionadores (art. 4º, inciso VI).

A alta administração das organizações da administração pública federal direta, autárquica e fundacional deverá estabelecer, manter, monitorar e aprimorar sistema de gestão de riscos e controles internos com vistas à identificação, à avaliação, ao tratamento, ao monitoramento e à análise crítica de riscos que possam impactar a implementação da estratégia e a consecução dos objetivos da organização no cumprimento da sua missão institucional, observados os princípios indicados no decreto (art. 17).

Outra definição pode também ser encontrada na norma ABNT NBR ISO 31000:2018: a gestão de riscos é um conjunto de atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos. O mesmo documento estabelece que o risco é o efeito da incerteza nos objetivos. Tal efeito pode ser positivo, negativo ou ambos simultaneamente. Pode também criar oportunidades ou ameaças. De acordo com a ABNT NBR ISO 31000:2018, o propósito da gestão de riscos é a criação e a proteção de valor.

Os conceitos da ABNT NBR ISO 31000:2018 poderão diferir, por exemplo, daqueles previstos na norma ABNT NBR ISO/IEC 27005:2019, sobre gestão de riscos de segurança da informação. A norma ABNT NBR ISO/IEC 31010:2012, que em breve deverá ser atualizada pela norma ISO/IEC 31010:2019, oferece 31 exemplos de técnicas diferentes que podem ser utilizadas no processo de avaliação de riscos, incluindo abordagens qualitativas, quantitativas e mistas.

Existem também outras metodologias e técnicas de gestão de riscos, fora do universo das normas ISO, que podem ser utilizadas pelos órgãos e pelas entidades da administração pública federal direta, autárquica e fundacional. É altamente recomendável que os órgãos e as entidades federais possam incorporar, de forma clara e estruturada, uma ou mais metodologias ou técnicas de gestão de riscos como parte rotineira da gestão pública. Competirá aos gestores públicos efetuar a análise das metodologias e das técnicas mais apropriadas à realidade da instituição pública interessada. 

Gestão de riscos no serviço público federal

Os guias operacionais e suas respectivas ferramentas de apoio, os cursos da ENAP e os demais eventos realizados pela Secretaria de Governo Digital do Ministério da Economia buscam auxiliar os órgãos e as entidades federais a implementar, na prática, a gestão de riscos relacionados à segurança da informação e à proteção de dados.

Além dos casos nos quais a Secretaria de Governo Digital está diretamente envolvida, outros recursos e referências podem igualmente ser consultados e abordados pelos órgãos federais:

  • Assessorias Especiais de Controle Interno (AECI): Os ministérios do Poder Executivo Federal dispõem do apoio das AECIs (ou órgãos equivalentes), que costumam ter atribuições específicas sobre gestão de riscos, em parceria com a Controladoria-Geral da União. A listagem das AECIs dos ministérios está disponível aqui. Caso o órgão ou a entidade não seja vinculado a um ministério, procure a área interna de auditoria, controle e/ou riscos para mais informações.
  • Controladoria-Geral da União (CGU): A CGU publicou o documento Metodologia de Gestão de Riscos, que contém critérios e explicações sobre gestão de riscos no contexto do serviço público federal.
  • Tribunal de Contas da União (TCU): O TCU disponibiliza os documentos 10 Passos para a Boa Gestão de Riscos, Referencial Básico de Gestão de Riscos e Manual de Gestão de Riscos do TCU, que auxiliam gestores públicos a compreender melhor o tema.
  • Rede GIRC: A Rede GIRC é uma rede colaborativa aberta que dissemina boas práticas e promove debates sobre os temas de governança, integridade, gestão de riscos e controles internos no setor público. Além da possibilidade de participação no fórum aberto (clique no link), ela também pode ser contatada por meio do endereço eletrônico .