Tribunal de Contas da União TCU

O Tribunal de Contas da União (TCU) publicou seu Manual de Gestão de Riscos em maio de 2018, com cinquenta e duas páginas. A metodologia de gestão de riscos do TCU foi baseada na ISO 31000, possuindo uma estratégia iterativa, implementada em ciclos sucessivos e com complexidade crescente, a fim de permitir a evolução do modelo de gestão de riscos interno e o aperfeiçoamento do seu manual. (BRASIL, 2018i).

O manual foi elaborado a partir da política de gestão do riscos do órgão e visa sua implementação. O documento aborda o objetivo e os princípios de gestão de riscos do TCU, apresenta sua estrutura de governança e detalha o processo de gestão de riscos organizacionais

a ser adotado pelas unidades do órgão, finalizando com um glossários dos principais termos utilizados e um anexo para apoiar as etapas de Análise e Avaliação de riscos.

De acordo com os princípios, a gestão de riscos do TCU se aplica qualquer tipo de atividade, projeto ou processo, devendo ser uma atitude permanente e integrada ao processo decisório, considerando sempre o custo-benefício de sua aplicação. Além disso, o TCU considera que o sucesso ou fracasso da gestão de riscos depende da cultura organizacional e, portanto, deve considerar a influência dos fatores humanos na execução do processo de gestão de riscos. A gestão de riscos no TCU deve ser apoiada pela alta administração, a qual deve liderar pelo exemplo demonstrando compromisso com a gestão de riscos e gerenciar os riscos- chave.

O manual esclarece que podem ser objeto da gestão de riscos qualquer processo de trabalho, atividade, projeto, iniciativa ou ação de plano institucional, recursos que dão suporte à realização dos objetivos do TCU e, até mesmo, unidades organizacionais podem ser objeto da gestão de riscos.

O Sistema de Gestão de Riscos (SGR) do TCU é composto pela política de gestão de riscos do órgão, estruturas organizacionais, planos, relacionamentos, responsabilidades, atividades, processos e recursos. As instâncias do SGR são: Plenário, Presidente, Comissão de Coordenação-Geral (CCG), Secretaria de Planejamento, Governança e Gestão (SEPLAN), Unidades básicas, Coordenadores setoriais de gestão de riscos.

A SEPLAN é a unidade central de coordenação e supervisão da gestão de riscos no TCU e deve identificar dentre os riscos informados pelos gestores de risco, quais serão considerados os riscos-chave e monitorá-los, reportando-se ao CCG e ao Presidente. O Coordenador setorial de gestão de riscos coordena e fomenta a execução do SGR no âmbito de sua unidade básica e se reporta à SEPLAN. O gestor do risco tem autoridade sobre o risco e executa as atividades do processo de gestão de riscos, podendo ser gestores de projetos, especialistas seniores, gestores de nível operacional, dirigente de unidade básica, responsáveis por um processo, atividade ou ação de plano institucional. O gestor de risco se reporta os resultados da gestão de riscos ao coordenador setorial e à SEPLAN.

O CCG é responsável por validar os riscos-chave. O Presidente do TCU deve definir os limites de exposição a riscos de abrangência institucional, com base em proposta elaborada pela SEPLAN e encaminhada pela CCG. Ao Plenário cabe avaliar as propostas de mudança na política de gestão de riscos da Instituição.

O TCU organiza o funcionamento do SGR de acordo com o objeto onde é feita a gestão de riscos. Assim, caso a objeto da gestão de riscos sejam as competências

constitucionais, objetivos estratégicos ou macroprocessos, a responsável será a SEPLAN, que deverá identificar os riscos e medidas mitigadoras junto aos atores relacionados ao nível estratégico e gerir os riscos-chave da Órgão. Caso o objeto da gestão de riscos sejam os processos, deve ser realizada oficina com servidores que conhecem o processo para identificar os riscos e suas medidas mitigadoras, de acordo com os critérios de priorização dos processos definidos pela SEPLAN. No caso de o objeto da gestão de riscos ser uma unidade organizacional, a gestão de riscos deve ser vinculada ao seu processo de planejamento, onde os riscos devem ser considerados por ocasião da escolha ou não de alguma estratégia, e inseridas as respectivas medidas mitigadoras no plano da unidade. A gestão de riscos de projetos deve seguir o processo de gestão de riscos definido pelo manual.

Para realizar a gestão de riscos desses objetos, o manual define as seguintes etapas: 1 - estabelecimento do contexto; 2 identificação dos riscos; 3 - análise dos riscos; 4 - avaliação dos riscos; 5 - tratamento dos riscos; 6 – monitoramento; 7 - comunicação e consulta com partes interessadas; e 8 - melhoria contínua.

A etapa 1 visa compreender o ambiente interno e externo do objeto da gestão de risco, devendo ser identificado o objetivo a ser alcançado, quais os processos relevantes para o alcance do objetivo definido, quem são as pessoas envolvidas no processo e os principais fatores que podem afetar o alcance do objetivo (pessoas, sistemas, legislação, estruturas organizacionais etc).

A etapa 2 refere-se a identificação e descrição dos riscos, que deve ser realizada por meio de oficinas de trabalho com pessoas que conheçam bem o objeto da gestão de risco, usando técnicas como brainstorming, brainwriting, entrevistas, visitas técnicas etc. Deve-se identificar com clareza o objetivo, listar para cada objetivo os eventos que possam ter impacto negativo no seu alcance e descrever como cada risco impacta no objetivo associado.

Na etapa 3 é analisado o nível do risco. Primeiro avalia-se o impacto do risco no objetivo, depois sua probabilidade de ocorrência, para então definir o nível do risco com base em uma matriz de multiplicação entre a probabilidade e o impacto. A metodologia não define uma escala padrão a matriz de risco, apenas orienta que o gestor deve escolher o nível de análise mais adequado para a tomada de decisão e que não seja algo muito trabalhoso.

A etapa 4 vai definir se o risco é aceitável ou não, por meio da comparação entre o nível do risco (encontrado na etapa anterior) com o limite de exposição ao risco, a fim de avaliar se é desejável seu tratamento. Primeiro deve-se identificar as causas e consequências para a organização como um todo dos riscos com nível acima do limite de tolerância estabelecido, em seguida deve-se avaliar em relação aos riscos abaixo do limite de exposição,

quais necessitarão ser monitorados e quais não precisarão de nenhuma providência (serão aceitos). O manual informa que cabe aos gestor definir quais riscos serão mitigados, independentemente dos níveis de risco encontrados

A etapa 5 corresponde na identificação das medidas de tratamento dos riscos. Deve-se avaliar a viabilidade dessas medidas (custo-benefício, tempestividade, efeitos colaterais etc); decidir quais serão implementadas; e elaborar plano de implementação e incluí-lo nos planos institucionais. O manual reitera que essa etapa deve ser realizada em oficinas com pessoas que conheçam o processo, ou pelo próprio gestor do risco, podendo ser usadas as mesmas técnicas da etapa 2 para a identificação das opções de tratamento, utilizando-se também dos seguintes questionamentos: como reduzir a probabilidade de ocorrência do risco?; como reduzir o impacto do risco?; e é possível transferir o risco?. Esta etapa oferece um modele de tabela para registro das informações, com os seguintes campos: objetivo, risco, nível do risco, causa, consequência e tratamento.

A etapa 6 refere-se ao acompanhamento do desempenho da gestão de riscos específica de um objeto (a cargo do gestor do risco) ou do SGR como um todo (a cargo da SEPLAN, coordenadores setoriais e alta administração do TCU). O monitoramento consiste na atualização das etapas 3 (análise) e 4 (avaliação), e na verificação contínua ou periódica do funcionamento da implementação e resultados da etapa 5 (tratamento). Os riscos chave serão monitorados pela SEPLAN em conjunto com os gestores de risco a cada ciclo de avaliação da estratégia organizacional.

A etapa 7 refere-se ao compartilhamento de informações relativas à gestão de riscos, bem como a identificação das partes interessadas que receberão essas informações, as quais devem fluir nos dois sentidos tanto vertical, quanto horizontalmente. Assim, as informações sobre os riscos e seu tratamento devem ser comunicadas a todos aqueles que possam influenciar ou ser influenciados pelo risco caso o mesmo se materialize.

A etapa 8 diz respeito ao aperfeiçoamento ou ajustes em função do monitoramento dos riscos, ficando a cargo da CCG quando se tratar do Sistema de Gestão de Riscos do TCU, e a cargo dos gestores de risco nos demais objetos.