Quando pensamos em riscos diversas coisas passam por nossas cabeças. Boa parte das pessoas pensam em perigo ou coisas arriscadas que remetem a algum tipo de ameaça. Entretanto, os riscos estão associados às incertezas, e estas podem ser positivas (oportunidades) ou negativas (ameaças). A gestão de riscos, então, corrobora para esclarecer incertezas por meio de métodos racionais e sistêmicos que venham a permitir sua identificação, avaliação e tratamento, mantendo uma comunicação contínua entre os envolvidos.
Podemos destacar as principais metodologias internacionais de gestão de riscos — GR em uma ordem cronológica que seria o Orange Book[1] (2001), ERM[2] Cube COSO II (2004), ISO 31.000[3] (2009) e M_o_R[4] (2010). Já no cenário nacional o IBGC[5] desenvolveu em 2007 o “Guia de Orientação para Gerenciamento de Riscos” e mais recentemente em 2017 o “Gerenciamento de Riscos: Evoluções em Governança e Estratégia”. Estas iniciativas e tendências sobre gestão de riscos, advindas principalmente do setor privado, fizeram com que os benefícios dessa gestão fossem percebidos e incorporados ao setor público.
A gestão de riscos não é totalmente nova na administração pública brasileira. Já se observava estas necessidades principalmente quanto à contratação de produtos e serviços, como presentes na Instrução Normativa 04/2010 da Secretaria de Logística e Tecnologia da Informação (SLTI) do Ministério do Planejamento (MP), gestão de riscos de segurança da informação, como a Norma Complementar 04/2009 do Departamento de Segurança da Informação e Comunicações (DSIC) da Presidência da República, e outras normas relacionadas à auditoria e controle interno. Contudo, estas diretrizes não eram abrangentes ao nível organizacional, mas sim restritas a finalidades específicas.
A Instrução Normativa Conjunta 01/2016 foi desenvolvida pelo MP junto à Controladoria Geral da União (CGU) e publicada em 10/05/2016. Esta norma trata sobre controles internos, gestão de riscos e governança. Três assuntos amplos, complexos e que trazem um sentimento de coisa importada do setor privado. Em seu cerne trata sobre a GRC (governança, riscos e conformidade) já conhecida pelo mercado, e pretende auxiliar as organizações por meio da criação de um comitê interno para tratar estas questões. Após um ano da publicação da referida norma, parece que os órgãos da administração pública ainda estão lutando para entender e incorporar em suas culturas essa atribuição. Por consistir em um ato administrativo expresso por ordem escrita e expedido pelo MP, a INC 01/2016 deverá ser implementada e adotada por todos os órgãos do executivo, e fortemente recomendada aos demais órgãos.
Após a publicação da INC 01/2016, foi desenvolvido pelo MP uma metodologia para gestão de riscos chamada MGR-SISP. Inicialmente está destinada à segurança da informação, mas pode ser aplicada a outras temáticas por possuir um framework genérico de GR embasado no ERM Cube e ISO 31.000. O MGR-SISP contribuiu para a implementação da INC 01/2016, mas não oferece aos gestores públicos um software que permita o registro e acompanhamento destes riscos. Até o momento, existe apenas uma planilha para registro e acompanhamento destas informações. Embora ainda não possuam um software para controle, tanto a norma quanto a metodologia são um grande avanço rumo ao controle interno e ganho de maturidade em governança. Este ganho de controle resulta em aumento das chances no alcance dos objetivos institucionais, além de buscar maior desempenho na execução de atividades finalísticas e formas de mitigar imprevistos e desserviços aos cidadãos.
Em outra mão, estas atividades trazem mais sobrecarga aos servidores, que em alguns casos já possuem uma carga de trabalho elevada. Por conta da obrigatoriedade da execução destas tarefas há a necessidade de novas funções, cargos, e possivelmente departamentos para tratar este assunto. Esta estrutura remete novos cargos de chefia, gratificações, divisão de trabalho, e uma série de outros custos associados a serem arcados pela sociedade. Finalmente, ainda não existem estudos que evidenciem o ganho real de desempenho ou retorno que a GRC propicia, tanto no setor privado quanto no setor público.
Temos a esperança que a gestão de riscos não seja apenas mais um gerenciamento da moda, mas sim, que traga efetivos benefícios na prestação de serviços dos órgãos da Administração Pública. Por ser um assunto amplo e ainda em desenvolvimento pode abordar desde riscos operacionais, financeiros, estratégicos, de saúde e segurança, imagem e reputação, éticos, de segurança da informação, e uma série de outras subdivisões especializadas. Assim, urge a necessidade de entendimento e discussão sobre o assunto, envolvimento da academia, setores privado e público para que os melhores benefícios desta gestão sejam materializados, e que essas incertezas sejam esclarecidas e tratadas, preferencialmente por meio de métodos racionais e sistêmicos.
* Gustavo de Freitas Alves é consultor na Hepta Tecnologia e Informática. É doutorando em administração pela Universidade de Brasília com especialização em gestão de riscos.
