Curso de Gestão de Riscos nas

Contratações Públicas

br.freepik.com/fotos-vetores-gratis/fundo

Apostila do Aluno

Fundação Escola Nacional de Administração Pública

Brasília – DF, janeiro de 2020
Escola Nacional de Administração Pública
Diretoria de Educação Continuada
Coordenação Geral de Projetos de Capacitação

2
Redação:
Prof. Edmar Gomes de Azevedo Júnior
Revisão e Diagramação:
Equipe da Coordenação Geral de Projetos de Capacitação
Fotografias Apresentadas na Capa:
Assessoria de Comunicação da Enap
Ideação e Montagem da Capa:
Equipe da Coordenação Geral de Projetos de Capacitação
Ano de Produção: 2019

Dados sobre o Docente:

Edmar Gomes de Azevedo Júnior

Servidor Público Federal do Banco Central, graduado em Engenharia

Civil, Pós-graduado em Administração de Empresas pela Fundação
Getúlio Vargas e em Planejamento e Gestão Organizacional pela
Universidade de Pernambuco, Mestrando em Gestão do
Desenvolvimento Local Sustentável pela Universidade de Pernambuco, na linha de pesquisa de
Políticas Públicas com enfoque na Gestão de Riscos nas Contratações Públicas. Atualmente, é
professor colaborador da Fundação Escola Nacional de Administração Pública – ENAP nas
áreas da Gestão Pública. É Professor no Programa de MBA em Gestão Pública da Universidade
de Pernambuco – UPE/FCAP, lecionando o módulo de Governança no Setor Público. É
Professor do Programa de MBA em Gestão Estratégica de Segurança Corporativa da Faculdade
Einstein – FACEI, lecionando o módulo de Consultoria Empresarial. Foi Professor do curso de
graduação em Gestão de Recursos Humanos do Instituto Brasileiro de Gestão e Marketing –
IBGM, lecionando as disciplinas de Ferramentas Estratégicas de Gestão, Liderança e Coach,
Práticas da Qualidade e Gestão do Conhecimento, entre 2013 e 2015. Foi Professor do curso
de Pós-Graduação em Administração de Empresas da Fundação Getúlio Vargas - FGV,
lecionando o módulo de Negociação, em 2014. Foi Professor do Programa de Pós-Graduação
em Inteligência Policial do Centro Universitário Brasileiro - UNIBRA, lecionando a disciplina de
Análise de Riscos, entre 2016 e 2019.
 3
Sumário

INTRODUÇÃO................................................................................................................................. 5

RISCOS: DEFINIÇÕES, PILARES, GESTÃO, TIPOS, PROCESSO DE GESTÃO DE RISCOS.................... 10

NORMAS INTERNACIONAIS SOBRE GESTÃO DE RISCOS ............................................................. 19

COSO-ERM (ENTERPRISE RISK MANAGEMENT) .......................................................................... 19

ISO 31000:2018 ........................................................................................................................... 22

GOVERNANÇA CORPORATIVA ..................................................................................................... 26

PRINCÍPIOS DA GOVERNANÇA CORPORTIVA .............................................................................. 31

PLANO DE GERENCIAMENTO DE RISCO – PGR............................................................................ 37

ETAPA 1 – IDENTIFICAÇÃO DOS RISCOS ...................................................................................... 38

ETAPA 2 – ANÁLISE DOS RISCOS ................................................................................................. 40

ETAPA 3 – AVALIAÇÃO DOS RISCOS ............................................................................................ 41

ETAPA 4 – TRATAMENTO DOS RISCOS ........................................................................................ 42

REFERÊNCIAS BIBLIOGRÁFICAS .................................................................................................... 48

 4
Parte I

OBJETIVOS INSTRUCIONAIS
a) reconhecer a relação da Gestão de Riscos com as contratações púbicas; b)
identificar as vantagens e desafios da implantação da Gestão de Riscos nas
contratações públicas.

PRINCIPAIS TÓPICOS
Contextualização do risco e sua metodologia de estudo; apresentação de
casos reais em que a Gestão de Riscos foi negligenciada, trazendo suas
causas, os impactos gerados e as providências tomadas pelos gestores, tanto
no gerenciamento de crise quanto na mitigação de futuros riscos;
apresentação de exemplos de perdas operacionais, suas causas e seus
respectivos impactos financeiros; pilares da gestão de riscos: probabilidade e
impacto; o que é Gestão de Riscos, tipos de riscos e o processo de gestão de
riscos nas contratações públicas.
INTRODUÇÃO

5
Estima-se que as contratações públicas no Brasil representam 13,8%
do Produto Interno Bruto ("Mensurando o mercado de compras
governamentais brasileiro" de Cássio Garcia Ribeiro e Edmundo Inácio
Júnior, publicado no Caderno de Finanças Públicas, n. 14, p. 265/287,
dez. 2014). Sendo assim, temos que a licitação constitui significativo instrumento de
que dispõe a administração pública para exigir que as empresas que pretendam
contratar com o Poder Público cumpram requisitos de eficiência, eficácia e efetividade,
desde a produção até a distribuição de bens, assim como na prestação de serviços, e
na realização de obras de engenharia.

Dessa forma, é preciso avançar com a efetivação da licitação como instrumento

de gestão, sem nunca descuidar da livre e isonômica participação dos interessados, da
preocupação com a qualidade da despesa pública e com a vantajosidade das propostas
para a administração pública.

Tecnicamente falando, as contratações públicas devem ser implementadas a

partir de três passos básicos. O primeiro passo visa a identificar a necessidade da
contratação e a possibilidade de reuso/redimensionamento ou aquisição pelo processo
de desfazimento de bens. Busca-se, com isso, a mitigação de riscos no tocante aos
critérios de eficiência utilizados na aquisição de bens ou serviços. Será que essa
contratação pública é realmente necessária ou seria possível reutilizar os bens ora
existentes? Ou, ainda, adquirir esses produtos através de doações advindas de outros
órgãos públicos?

Já o segundo passo indica que o planejamento da contratação deve gerenciar

os riscos quanto à escolha do bem ou serviço por meio de parâmetros sustentáveis.
Esses parâmetros precisam ser definidos por diretrizes de sustentabilidade, conforme
art. 4º do Decreto nº 9.178/2017:
 Art. 4º Para os fins do disposto no art. 2º, são considerados critérios e
práticas sustentáveis, entre outros:

6
I – Baixo impacto sobre recursos naturais como flora, fauna, ar, solo e água;
II – Preferência para materiais, tecnologias e matérias-primas de origem
local;
III – Maior eficiência na utilização de recursos naturais como água e energia;
IV – Maior geração de empregos, preferencialmente com mão de obra local;
V – Maior vida útil e menor custo de manutenção do bem e da obra;
VI – Uso de inovações que reduzam a pressão sobre recursos naturais;
VII - Origem sustentável dos recursos naturais utilizados nos bens, nos
serviços e nas obras; e
VIII - Utilização de produtos florestais madeireiros e não madeireiros
originários de manejo florestal sustentável ou de reflorestamento.

No terceiro e último passo, o gestor público deve buscar o equilíbrio entre os

três princípios norteadores da licitação pública: sustentabilidade, economicidade e
competitividade. Entretanto, a sustentabilidade pode, de modo justificado, se
sobrepor aos outros dois princípios. Ressalte-se que, nesses casos, a justificativa do
gestor é necessária. Ele pode, por exemplo, optar por um produto mais caro do que o
similar, desde que isso faça parte de uma medida de gestão de riscos mais ampla, que
no final reduz o custo em outros produtos ou no mesmo, em razão da economia
gerada no processo. Além disso, ao escolher produtos e serviços com características
sustentáveis, os responsáveis pelo setor de licitações fomentam o surgimento de
novos mercados que sejam necessários à administração pública em ações ligadas à
sustentabilidade.

É sabido que o mundo se encontra diante de um cenário de rara complexidade,

onde fenômenos econômicos e sociais de largo espectro, tal qual a globalização da
economia e a generalização do uso da tecnologia da informação, são grandes
responsáveis pela reestruturação não só do ambiente organizacional público e privado,
mas também do novo modo de vida das pessoas.

Fazer com que a organização mantenha e aprimore suas competências,

gerando riquezas e seja eficiente num ambiente cada vez mais restritivo não é tarefa
das mais simples. Não basta, apenas, ter as pessoas certas nas posições correlatas no
organograma, nem profissionais habilidosos sendo motivados cotidianamente. Para
que haja continuidade do negócio, faz-se necessário que a organização seja
responsável com seus recursos humanos, seus recursos financeiros e sua imagem. E,
como de praxe, é tênue a relação entre a elaboração dos objetivos, a formulação das
estratégias, a implementação das ações organizacionais e a utilização dos seus

7
recursos de maneira equilibrada.

Portanto, uma organização pública que utiliza ferramentas garantidoras de

ações estudadas e planejadas estará cada vez mais comprometida com seus gestores,
funcionários, parceiros e com a sociedade em que atua, focando esforços não apenas
na maximização dos resultados entregues à população, mas também na redução dos
riscos existentes ou que possam se manifestar no futuro, seja no aspecto ambiental,
social ou econômico.

Para que uma instituição seja reconhecida como exemplo de excelência em

gestão, é necessário identificar os riscos que possivelmente a afetam, e quais são seus
impactos sobre a organização e o ambiente em que atua. Afinal, os riscos permeiam
todos os níveis das atividades dos órgãos públicos e, se não forem gerenciados
adequadamente, poderão resultar em perdas que comprometerão o seu
desenvolvimento e, consequentemente, a consecução dos seus objetivos.

Devido à popularização dos riscos organizacionais, muitas obras surgiram a fim

de conceituá-los, por isso, existe uma gama de compreensões sobre o tema. O
dicionário Houaiss (2001) define o risco como “a probabilidade de insucesso, de
malogro de determinada coisa, em função de acontecimento eventual, incerto, cuja
ocorrência não depende exclusivamente da vontade dos interessados”. Para Brasiliano
(2010), o risco é uma condição que cria ou aumenta o potencial de perdas. Este
conceito foca o risco sob o aspecto negativo de seus impactos. Assim, risco é a
possibilidade de perda decorrente de um determinado evento. Segundo Cocurullo
(2003), um dos conceitos aplicáveis a risco encontra-se na existência de situações que
possam impedir o alcance dos objetivos corporativos ou a inexistência de situações
consideradas necessárias para se chegar a tais objetivos. Com isso, a visão do autor
não limita o risco ao campo econômico, pois, no mundo corporativo, os objetivos são
estabelecidos em diversos aspectos e devem ser alcançados por todas as áreas da
organização.
 Assim, tem-se que o risco é toda inconformidade com os objetivos
anteriormente traçados pela administração. De acordo com esses autores, o risco está
ligado a eventualidades no ambiente organizacional com consequências altamente

8
negativas em suas estratégias, sejam elas financeiras ou não financeiras. Desse modo,
o gerenciamento de riscos torna-se perfeitamente aplicável à consecução das
aquisições públicas, através da identificação, análise e mitigação das ameaças,
assegurando, com isso, a proteção ao patrimônio público, ao bem-estar social e ao
meio ambiente.

Caso 1 - Acidente com o ônibus espacial Challenger

O Challenger foi o terceiro de uma frota de cinco ônibus espaciais

construídos pela NASA. Em 1986, o Challenger se envolveu em um
acidente que vitimou os sete astronautas que estavam a bordo, explodindo em pleno
ar, 73 segundos após o seu lançamento. O acidente aconteceu após seis adiamentos
dos lançamentos, devido a problemas técnicos e instabilidades climáticas. Após tantos
atrasos e indefinições quanto ao dia exato do início da missão, decidiu-se pelo
lançamento do ônibus espacial em 28 de janeiro de 1986. Porém, na manhã do dia 28,
verificou-se que a temperatura no Centro Espacial Kennedy estava muito baixa, não
sendo ideal para o início da missão. De acordo com a equipe de engenheiros da NASA,
as baixas temperaturas poderiam alterar o funcionamento dos anéis de vedação dos
tanques de combustível da nave, trazendo sérios riscos à segurança do ônibus espacial.
O fato foi relatado aos superiores, responsáveis pelo programa espacial, que
negligenciaram o alerta e o lançamento seguiu adiante. Por conta das baixas
temperaturas, os anéis de vedação se retraíram, causando vazamento de combustível
e a consequente explosão da nave. Além das sete mortes, a tragédia trouxe diversos
impactos negativos à NASA, tais como o atraso do projeto em 32 meses, a denúncia da
NASA ao Congresso norte americano por negligência, milhões de dólares de prejuízo
etc. Em resposta ao desastre, as políticas de segurança e gestão de riscos dos Estados
Unidos passaram por avaliações e reformulações em seus processos.
 Caso 2 – Assalto ao Banco Central

O furto ao Banco Central aconteceu na representação regional da

9
instituição em Fortaleza/CE, entre os dias 6 e 7 de agosto de 2005. Os
assaltantes escavaram um túnel de 80 metros de comprimento, ligando o local
utilizado pela quadrilha à caixa forte do BC, com características de uma verdadeira
obra de engenharia. No evento, foram subtraídos 164 milhões de reais, tornando-se,
assim, o maior assalto a banco do Brasil e o segundo maior do mundo.
Após os graves impactos negativos trazidos pela concretização do risco de
assalto à caixa forte, como o dano financeiro e a fragilização da imagem institucional
perante a sociedade, o BC promoveu uma série de mudanças em sua estrutura
organizacional relacionadas à gestão de riscos, segurança e continuidade de negócios.
Essas ações envolveram a modelagem de processos internos, a readequação da
infraestrutura dos edifícios-sede e a contratação, treinamento e desenvolvimento de
servidores em áreas específicas.
Além dos casos acima, pode-se verificar algumas outras situações em que a
gestão de riscos não foi adotada da forma adequada, trazendo grandes prejuízos
financeiros, como no caso do Banco do Brasil, que foi penalizado pelo CADE por exigir,
de forma ilícita (risco legal), exclusividade em contratos de crédito consignado, e da
Caixa Econômica Federal, que sofreu perdas financeiras imensas devido a fraudes nos
contratos de crédito imobiliário (risco operacional).
RISCOS: DEFINIÇÕES, PILARES, GESTÃO, TIPOS, PROCESSO DE

10
GESTÃO DE RISCOS

DEFINIÇÕES
No âmbito organizacional, o risco pode ser subdividido em dois tipos
clássicos (dualidade do risco): risco estratégico e risco operacional.

Fonte: Banco Central do Brasil

Os riscos estratégicos foram definidos como os riscos internos ou externos, que

podem ocorrer tanto na definição como na implementação da estratégia e com
potencial para alterar significativamente a posição competitiva da organização
(Resolução BCB nº 3380/2006). Esses riscos encontram-se intrinsicamente ligados à
missão e visão organizacionais, sendo de responsabilidade da alta direção, que deverá
tomar as decisões necessárias no que se refere ao gerenciamento de riscos. Com isso,
a entrega dos produtos e/ou serviços aos cidadãos acaba sendo prejudicada, além de
comprometer o desenvolvimento organizacional, caso o risco não seja mitigado. Dessa
forma, os impactos gerados provavelmente prejudicarão o atingimento dos objetivos
institucionais e, consequentemente, a sobrevivência do órgão. No que tange às
aquisições públicas, os riscos estratégicos internos podem ser refletidos, por exemplo,
nas compras realizadas com custo acima do praticado pelo mercado, como também
aquisições desnecessárias ao atingimento dos objetivos estratégicos, impactando

11
diretamente no orçamento do órgão, implicando em desperdício de dinheiro público e
ineficiência da gestão. No caso dos riscos estratégicos externos, tem-se como exemplo
o risco de contingenciamento orçamentário, que poderá trazer mudanças significativas
para as compras públicas, que terão de ser priorizadas de acordo com o planejamento
estratégico, tendo em vista a limitação dos recursos disponíveis.
Já o risco operacional é estabelecido como a possibilidade de ocorrência de
perdas resultantes de falha, deficiência ou inadequação de processos internos, pessoas
e sistemas, ou eventos externos, incluindo o risco legal (Resolução BCB nº 3380/2006).
Esse tipo de risco está relacionado aos processos organizacionais executados pelos
colaboradores responsáveis pelas atividades cotidianas das instituições, como é o caso
das licitações públicas. O risco operacional está presente no dia a dia dos setores de
licitações e contratos e precisam ser gerenciados de forma a criar ações de defesa
quanto a possíveis ameaças. Os impactos trazidos por esses riscos referem-se a
processos de trabalho mal elaborados ou inexistentes, recursos humanos escassos ou
sem capacitação, sistemas de tecnologia da informação inadequados às necessidades
dos usuários ou com infraestrutura precária, além do contexto externo instável, como
crises econômicas e políticas, que podem trazer alterações legais e organizacionais,
tais como redução de pessoal, extinção de departamentos e órgãos, remoção de
servidores, restrição orçamentária etc. Por isso, esses riscos precisam ser
acompanhados de forma ininterrupta, desde o planejamento da aquisição até a
execução do contrato, objetivando a melhoria contínua dos processos e práticas
ligados às compras públicas.

PILARES
Diariamente, as pessoas deparam-se com inúmeros riscos e,
inconscientemente, realizam a análise e fazem o gerenciamento
destes riscos. Esse gerenciamento é baseado em dois pilares
fundamentais para a existência de qualquer risco, quais sejam: probabilidade e
impacto. A probabilidade nada mais é do que a possibilidade de materialização de
determinado risco. Por exemplo, qual seria a chance de um banhista ser atacado por
um tubarão durante um mergulho na praia de Boa Viagem, em Recife/PE? Seria uma

12
probabilidade alta, média ou baixa? Por sua vez, o impacto se refere ao grau de
prejuízo causado pela materialização do risco, podendo ser de natureza financeira,
reputacional, ambiental, humana, dentre outras. No caso do ataque de tubarão, o
impacto poderia ser leve, médio, grave ou gravíssimo, dependendo do tipo de sequela
sofrida pelo banhista. A medida que deve ser tomada para que a probabilidade de
acontecimento seja reduzida e, consequentemente, o impacto não se efetive, é
chamada de mitigação. A ação de mitigação do risco deve considerar a relação
probabilidade versus impacto, adotando-se medidas que reduzam a possibilidade de
acontecimento, como também o grau de impacto. Ao se refletir sobre o caso do
ataque de tubarão, o ideal seria a mitigação total do risco, evitando-se o mergulho.
Assim, a probabilidade de ataque seria nula e, logicamente, o impacto também.

Fonte: blogdafloresta.com.br Fonte: anda.jor.br

 GESTÃO DE RISCOS
Na análise específica das aquisições públicas, a gestão de riscos

13
assume a função de proteção dos recursos humanos, materiais e da
imagem organizacional referentes aos processos de contratações
públicas, através da mitigação dos riscos, conforme seja financeiramente mais viável,
evitando perdas. Sendo assim, ao gerir os riscos de um processo de contratação
pública, procura-se garantir que os agentes públicos se resguardem quanto a possíveis
falhas ou vulnerabilidades, seja no planejamento do bem ou serviço a ser adquirido,
seja na execução e fiscalização do contrato administrativo. Outro ponto importante
que deve ser observado é a salvaguarda dos recursos materiais, que serão mais bem
aplicados através de uma gestão de riscos bem elaborada, em que se defina a real
necessidade de determinada aquisição ou contratação de serviço, garantindo uma
melhor utilização do dinheiro público. Tão importante quanto a proteção de recursos
humanos e materiais é a preservação da imagem da instituição pública. A partir do
momento que um ente público passa a gerir seus riscos de forma proativa e contínua,
os processos organizacionais tornam-se cada vez mais eficazes, eficientes e efetivos.
Essas três qualidades transformam positivamente a instituição pública, deixando-a
mais confiável, respeitada e madura perante a sociedade e a administração pública.
Dentre os benefícios trazidos pela gestão de riscos nas contratações públicas,
pode-se destacar quatro pontos que agregam valor à organização como um todo. O
primeiro ponto é a proatividade na identificação e estudo de ameaças, que permite
que a instituição se antecipe aos possíveis gargalos que venham impactar
negativamente seus processos de trabalho. O segundo ponto se refere à transparência
nas decisões de alocação de recursos: à medida que a gestão de riscos acontece, as
causas dos problemas são apresentadas claramente e os planos de ação passam a ser
elaborados de forma mais criteriosa e consciente, inclusive quanto à gestão
orçamentária. Já o terceiro ponto tem como foco a preparação da organização para
enfrentar as surpresas em um ambiente de contínua mudança. É sabido que a
globalização, ao mesmo tempo que integra os quatro cantos do mundo, também
impõe desafios às pessoas e organizações. Dessa forma, a gestão de riscos é aplicada
no intuito de se aproveitar o que o mundo globalizado tem a oferecer, como inovação
tecnológica, produtos e serviços sustentáveis, equipamentos mais eficientes. Porém,
também serve para antecipar ameaças trazidas por esse contexto global, como

14
escassez de recursos, crises econômicas, ataques cibernéticos etc. Por fim, o quarto
ponto trata da melhoria dos padrões de governança corporativa. O tópico sobre
governança será aprofundado mais adiante, porém, é importante entender que o
gerenciamento de riscos faz com que a organização seja mais transparente em suas
ações, trate seus stakeholders com igualdade e respeito, fomente a responsabilidade
corporativa e estabeleça regras para a prestação de contas dos gestores públicos,
tornando a administração pública mais eficiente, equilibrada, íntegra e comprometida
com o atendimento do bem comum.

TIPOS DE RISCOS
De acordo com a doutrina, os riscos podem ser classificados em cinco
tipos, que vão sendo diferenciados a partir da elevação do grau de
criticidade dentro de determinado processo organizacional. O
primeiro tipo de risco é chamado de Aceitável. Esse risco se refere a situações que não
necessitam de medidas específicas para serem tratados, pois são parte integrante do
processo. São os riscos inerentes à existência do trabalho. Como exemplo, pode-se
citar o risco de o pregoeiro adoecer e não comparecer ao certame licitatório,
provocando o adiamento de sua abertura. O risco Tolerável é o segundo tipo a ser
estudado. Nesse caso, ações preventivas ainda não precisam ser adotadas. No entanto,
devem ser consideradas soluções mais rentáveis ou melhorias que não impliquem uma
carga econômica importante, como realização de um up grade no sistema de
informática ou a troca dos computadores por modelos mais modernos. Partindo para o
terceiro risco, tem-se o tipo Moderado, que, ao ser identificado, demanda um esforço
para sua mitigação em uma determinada data limite (deadline). Ainda pensando em
sistemas informatizados, tem-se como exemplo a necessidade de atualização da
licença do sistema operacional utilizado pela instituição pública, que, se não for
concretizada, deixará os computadores indisponíveis para utilização. Com um grau de
criticidade mais elevado, o risco Importante é o quarto tipo a ser analisado. Nesse
contexto, as atividades não devem ser iniciadas até que se tenha reduzido o risco.
Podem ser necessários recursos consideráveis para se controlar a ameaça. Seria o
caso, por exemplo, da necessidade de transferência de dados através de uma rede

15
criptografada. Se a criptografia não tem como ser garantida, não há que se falar em
transferência de dados até que uma solução seja encontrada. Por fim, o risco
Intolerável é aquele que não tem como ser mitigado, mesmo utilizando recursos
ilimitados e, assim, a atividade deve ser eliminada do processo. Para exemplificar tal
situação, pode-se prospectar um cenário de contingência orçamentária em que não
seria possível honrar o pagamento de determinada compra pública. Ora, se não há
recursos financeiros disponíveis, também não há como prosseguir com um
procedimento licitatório lícito, e o correto a se fazer é interromper o processo de
aquisição o quanto antes.
Apesar da academia definir categoricamente esses cinco tipos de riscos, a
Instrução Normativa no 05, de 2017 do Ministério do Planejamento – IN 05/2017 –
MPDG, em seu art. 25, inciso III, diz que o risco a ser tratado é aquele considerado
Inaceitável. Então, percebe-se que a IN 05/2017 equiparou o risco Inaceitável ao tipo
de risco classificado como Importante pela doutrina.

PROCESSO DE GESTÃO DE RISCOS

Após entender o conceito de gestão de riscos e os tipos de riscos
existentes, é hora de mergulhar no processo de gestão de riscos. As
teorias administrativas definem Processo como uma série contínua de
etapas que seguem uma sequência lógica e entregam um produto ou serviço ao final
de cada ciclo. Pois bem, no processo de gestão de riscos não é diferente, sendo
formado por quatro etapas básicas, conforme indicado abaixo:
1) Identificação dos Riscos;
2) Análise dos Riscos;
3) Avaliação dos Riscos;
4) Tratamento dos Riscos.
 Sendo assim, o processo de gerenciamento de riscos é a sistemática aplicação
da política de gestão de riscos, que, por sua vez, define procedimentos e práticas das
atividades de comunicação, identificação, análise, avaliação, tratamento,

16
monitoramento e revisão dos riscos, como se pode observar na ilustração a seguir:

Fonte: researchgate.net

O fluxo continuado do processo de gerenciamento de riscos precisa estar

alicerçado em uma sólida estrutura de governança corporativa. Portanto, é
imprescindível que todas as pessoas da organização, nos níveis estratégico, tático e
operacional possuam o entendimento sobre os conceitos de risco e se comprometam
a aplicá-los em suas atividades laborais. Para que isso aconteça da melhor maneira, os
processos organizacionais precisam estar bem modelados em todas as áreas, inclusive
no setor de compras públicas. Com os recursos humanos capacitados e os processos
de trabalho ajustados, resta implementar uma infraestrutura tecnológica que dê
suporte às necessidades do serviço, como uma boa rede de internet, sistemas de TI
integrados, computadores com bom desempenho, rede de energia elétrica
estabilizada etc. Com esses requisitos atendidos, as ferramentas de gerenciamento de
riscos poderão ser aplicadas de forma precisa e os resultados adequadamente
alcançados.
O grande desafio para a implementação da gestão de riscos nas organizações,
sejam elas públicas ou privadas, é a quebra de paradigma, com a transição de uma
visão tradicional, em que se busca a todo custo evitar o risco, para uma visão
emergente em que o objetivo não é evitar o risco, mas sim otimizá-lo. Em um cenário
global de constante mudança, a exposição ao risco deixa de ser plenamente conhecida,
exigindo que os gestores monitorem as ameaças em tempo real. O ambiente
organizacional não é mais tão seguro e mensurável. Isso exige medidas de

17
mapeamento e monitoramento que envolvam toda a companhia e façam com que ela
administre os riscos proativamente.
Nesse contexto, verifica-se que as ameaças às instituições se originam das mais
variadas fontes, podendo ser ameaças humanas (roubo, fraude, terrorismo,
negligência, imperícia), ameaças tecnológicas (invasão de sistemas, falta de energia
elétrica), como também ameaças legais (não cumprimento de leis, inovação
legislativa). Por conta disso, é fundamental que os gestores e agentes públicos
responsáveis pelas contratações públicas estejam preparados para identificar fontes
de perigo em suas rotinas, tomando as seguintes providências iniciais:
a. Conhecer seu local de trabalho e observar suas fragilidades;
b. Consultar os colegas de trabalho sobre os problemas que lhes tenham surgido;
c. Analisar sistematicamente o que se passa realmente no seu local de trabalho;
d. Analisar as operações não rotineiras e intermitentes.
 18
Parte II

OBJETIVOS INSTRUCIONAIS
a) Conhecer as principais normas internacionais que regulamentam a gestão
de riscos no mundo, COSO-ERM e ISO 31.000, seus princípios, processos,
estrutura e benefícios; b) Compreender o caso do Banco Central,
entendendo como se deu a implantação da Gestão de Riscos na autarquia
federal; c) Conhecer os conceitos de Governança Corporativa, seus
princípios, objetivos, sistema de funcionamento e sua relação com a gestão
de riscos.

PRINCIPAIS TÓPICOS
Normas de referência para a gestão de riscos; Norma COSO Enterprise Risk
Management – COSO-ERM (2004 e 2017), conceitos, filosofia, estrutura e
benefícios; ISO 31000:2018, conceitos, princípios, estrutura, processos e
benefícios; Governança Corporativa: conceitos, princípios, objetivos, relação
entre a prática da Governança e a Gestão de Riscos.
 NORMAS INTERNACIONAIS SOBRE GESTÃO DE RISCOS

19
De acordo com Brasiliano (2009), a norma é um documento
estabelecido pelo consenso de especialistas das mais diversas áreas e
segmentos do mercado sobre determinado tema, que precisa ser
aprovado por um organismo reconhecido nacional ou mundialmente, e que tenha
como competência institucional a manutenção e atualização de normas técnicas, seja
numa perspectiva regional ou global. A norma fornece regras, diretrizes ou
características para atividades ou seus resultados, visando ao atingimento de um grau
de excelência nos processos organizacionais inseridos em certo contexto.
Historicamente, as normas surgiram por conta da necessidade de se dar mais
qualidade aos serviços prestados pelo Exército dos Estados Unidos. A norma da
qualidade do exército americano sofreu várias atualizações, até que em 1987, foi
lançada a ISO 9001, norma internacional da qualidade. Quanto às normas que tratam
da gestão de riscos, a COSO-ERM (Enterprise Risk Management) e a ISO 31000 são as
mais utilizadas em todo o mundo na orientação e regulação das ações tomadas pelos
gestores de riscos. Devido ao seu nível de alcance, passaram a ser conhecidas como
“normas guarda-chuva”, dando suporte aos demais documentos que também tratam
do tema, e sendo aplicadas aos mais diversos tipos de riscos, tais como o risco
financeiro, operacional, de projetos, da saúde do trabalhador, ao meio ambiente, à
segurança da informação, da segurança empresarial, entre outros.

COSO-ERM (ENTERPRISE RISK MANAGEMENT)

O COSO (Committee of Sponsoring Organizations of the Treadway
Commission) é uma organização privada americana, criada na década
de 80, que tem por objetivo prevenir fraudes nos processos
organizacionais. O primeiro objeto de estudo do comitê foram os controles internos
das empresas com foco na melhoria dos relatórios financeiros, principalmente pela
aplicação dos valores éticos nas práticas institucionais. Em 2004, o COSO publicou
o Enterprise Risk Management - integrated framework, que foi projetado com o
objetivo de orientar as organizações no estabelecimento de um processo de gestão de
riscos corporativos e na aplicação de boas práticas sobre o tema (Portal TCU). A nova
versão, COSO ERM – Integrating with Strategy and Performance, editada em 2017,

20
destaca a importância de considerar os riscos tanto no processo de estabelecimento
da estratégia quanto na melhoria da performance (Portal TCU). Percebe-se, portanto,
que a evolução da norma COSO trouxe a reboque uma preocupação não apenas com a
aplicação das boas práticas na execução do trabalho, mas também com o
planejamento estratégico das organizações. Esse entendimento se insere
perfeitamente no âmbito das aquisições públicas, tendo em vista que a IN 05/2017
dispõe que a gestão de riscos deve estar presente em todas as fases das contratações,
do planejamento ao encerramento do contrato administrativo.
A partir do momento que a norma COSO-ERM passa a dar maior relevância ao
planejamento institucional, ela passa a estabelecer quatro tópicos que precisam ser
supervisionados continuamente pela alta gestão organizacional:
• A filosofia de risco da entidade e o apetite ao risco da entidade;
• O portfólio de risco da entidade e a sua relação quanto ao apetite ao risco da
entidade;
• Os riscos mais significativos e a resposta adequada a esses riscos;
• A eficácia do gerenciamento dos riscos corporativos.

A filosofia de risco refere-se ao entendimento da organização quanto ao tema

risco. Procura-se verificar o quão madura é a instituição em relação ao conhecimento
dos riscos a que está exposta e suas respectivas ações mitigadoras. Será que
determinada instituição pública possui uma relação atualizada das ameaças que
podem impactar negativamente o seu desenvolvimento? Caso possua, existem planos
de ação definidos para o tratamento de cada ameaça encontrada? Será que a gestão
de riscos está presente na cultura organizacional? Essas são as questões que precisam
ser levantadas para que se entenda a filosofia de risco presente em cada ente da
administração pública. Por sua vez, o apetite ao risco define um limite para que a
organização passe a atuar na mitigação daquela ameaça. Quanto mais avessa ao risco,
menor será o apetite da instituição a qualquer situação que possa comprometer seu
desempenho, seu corpo funcional e sua imagem. Um exemplo claro de apetite ao risco
pode ser percebido ao se analisar o perfil de dois investidores financeiros. Aquele com
menor apetite ao risco irá procurar opções de investimento mais seguras, mesmo que

21
proporcionem retornos bem menos significativos, enquanto o investidor com maior
apetite ao risco irá se expor mais, aumentando a probabilidade de sofrer um maior
impacto negativo, porém com benefícios mais atraentes. Na administração pública,
observa-se, de um modo geral, grande aversão ao risco, afinal, os recursos geridos
pertencem ao contribuinte e necessitam ser bem alocados. Além disso, a extensa
legislação vigente procura controlar toda e qualquer ação governamental em prol de
uma gestão pública de excelência, tanto em relação aos seus valores éticos quanto aos
resultados alcançados.
É através de uma filosofia de risco bem definida que a instituição pública irá
definir o seu apetite ao risco e, consequentemente, iniciar um processo de
gerenciamento de riscos mais sólido. O primeiro passo, então, é identificar os riscos
que possivelmente possam atingi-la, criando um portfólio de riscos, que precisará ser
revisado e alimentado ininterruptamente. Ao se estabelecer a relação de riscos
organizacionais, os gestores necessitam definir quais são os riscos de maior relevância,
associando cada um deles a ações mitigadoras adequadas aos seus tratamentos. Assim
que os planos de ação forem colocados em prática, a gestão pública estará preparada
para alcançar níveis de eficácia mais elevados, atingindo, então, os objetivos
anteriormente planejados.
Seguindo esse raciocínio, a COSO-ERM diz que o gerenciamento de riscos
corporativos é um processo, construído pela diretoria da entidade, sua alta gestão, e
demais funcionários, aplicado no cenário estratégico e em toda a empresa, projetado
para identificar eventos com potencial de afetar a entidade, e gerir o risco dentro do
apetite de risco, para fornecer uma garantia razoável em relação à realização dos
objetivos.
 ISO 31000:2018
Em 2009, a ISO 31000 surgiu com o objetivo de criar um padrão
internacional para a gestão de riscos corporativos, tendo sido

22
publicada no Brasil sob o nome ABNT NBR ISO 31000:2009 Gestão de
riscos – Princípios e diretrizes (Portal TCU). Em 2018, a ISO 31000 foi
revisada e seu conteúdo foi totalmente substituído pela nova versão, incluindo as
etapas relativas às atividades de comunicação e consulta, ao estabelecimento do
contexto, tratamento dos riscos (identificar, analisar e avaliar os riscos), uma etapa
relativa ao monitoramento e, por fim, registro e relato dos riscos.
A ISO 31000:2018 está balizada em três pilares de sustentação, que são seus
princípios, estrutura e processos.
São 9 os princípios trazidos pela ISO 31000:2018, tendo como princípio central
a criação e proteção de valor, como se pode observar na Figura abaixo:

PRINCÍPIOS

Fonte: Projeto de revisão ABNT NBR ISO 31000:2018

 Ao lançar mão da gestão de riscos de acordo com os princípios traçados pela
norma 31000, a organização tende a criar valor organizacional, ou seja, tende a fazer
com que os seus recursos humanos se tornem mais capacitados e produtivos, seus

23
processos fiquem mais robustos e condizentes com as demandas organizacionais e sua
infraestrutura dê o suporte necessário à produção de produtos e serviços de
qualidade. Para que isso realmente aconteça, é necessário que a gestão de riscos se
torne parte integrante de todos os processos organizacionais, como também seja uma
ferramenta de apoio a todas as tomadas de decisão, garantindo maior assertividade
aos gestores. Com a prospecção de cenários advinda da gestão de riscos, o ente
público abordará explicitamente as incertezas ambientais e estará mais bem
preparado para enfrentá-las num mundo de contínua mudança. Todas essas ações
precisam funcionar de maneira sistemática, estruturada e oportuna, em que as
atividades estejam interligadas, com as etapas bem definidas e sendo aplicadas nos
momentos ideais. Para que os riscos sejam corretamente geridos, é fundamental que o
levantamento de dados seja preciso e criterioso, pois, assim, as decisões serão
tomadas levando em consideração as melhores informações possíveis, o que elevará o
seu grau de acerto. Cada risco precisa ser tratado de maneira específica, de acordo
com o contexto em que está inserido. Esse trabalho exige que as pessoas
compreendam a importância da gestão de riscos e percebam que o risco é parte
integrante da cultura organizacional, devendo ser identificado, analisado e tratado
com transparência e interatividade. Todos esses princípios reunidos e aplicados
corretamente fazem com que se estabeleça um padrão de melhoria contínua na
administração pública de um modo geral e, pontualmente, nas compras públicas.
Como visto, torna-se imprescindível que os princípios elencados pela ISO 31000
sejam realmente aplicados para que a instituição atinja seus objetivos com maior nível
de qualidade. A aplicação desses princípios depende de uma estrutura formal
estabelecida pela alta gestão, demonstrando que há o comprometimento da diretoria
com a concepção e implementação da gestão de riscos e que esse processo deve ser
avaliado e melhorado continuamente por todos os colaboradores.
 ESTRUTURA

24
Fonte: Projeto de revisão ABNT NBR ISO 31000:2018

O processo de gestão de riscos, conforme definido pela ISO 31000, segue as

etapas clássicas de identificação, análise, avaliação e tratamento dos riscos, conforme
indica a ilustração a seguir:

PROCESSO

Fonte: Projeto de revisão ABNT NBR ISO 31000:2018

 Além das quatro etapas anteriormente citadas, o ciclo do processo de gestão
de riscos determina que o primeiro passo se dá com o estabelecimento do contexto
em que a organização está inserida: trata-se de um ente público ou privado? Sendo um

25
ente público, pertence a que esfera de governo? O risco a ser analisado é estratégico
ou operacional? Essas e outras perguntas precisam ser feitas para se definir em que
situação o risco está inserido. Outro ponto de bastante relevância refere-se à
comunicação e consulta. De acordo com a NBR ISO 31000:2018, essa etapa visa a
reunir diferentes áreas de especialização para que contribuam com a gestão de riscos,
assegurar que diferentes pontos de vista sejam considerados nos estudos dos riscos,
fornecer informações suficientes para a tomada de decisão, e também construir um
senso de inclusão entre os participantes possivelmente afetados pelos riscos
organizacionais. Quanto ao monitoramento e análise crítica, busca-se assegurar que
todas as etapas foram bem executadas e que, dessa forma, os resultados serão
alcançados. Essa etapa deve ser executada durante todo o processo de gestão de
riscos, pois assim as inconsistências podem ser ajustadas de imediato e o curso das
ações redirecionado. Após todas as medidas serem tomadas, faz-se necessário
documentar o processo de gestão de riscos e seus resultados para que, além de servir
como fonte de pesquisa, demonstrem os resultados alcançados. A ISO 31000 diz que o
relato é parte integrante da governança corporativa, ajuda a melhorar o diálogo entre
os stakeholders e também auxilia a alta direção a cumprir suas responsabilidades.
A ISO 31000:2018 elenca os seguintes benefícios, que nada mais são do que
reflexo de sua correta implementação:
➢ Redução de surpresas;
➢ Melhoria da identificação de oportunidades e ameaças;
➢ Melhoria do planejamento, desempenho e eficácia;
➢ Economia e eficiência;
➢ Melhoria das relações com as partes interessadas;
➢ Melhoria das informações para a tomada de decisões;
➢ Melhoria no processo de prevenção de perdas;
➢ Atendimento aos documentos normativos;
➢ Melhoria dos controles;
 ➢ Tomada de decisão baseada em riscos;
➢ Melhoria do processo de aprendizagem organizacional;
➢ Aumento da resiliência da organização;

26
➢ Encorajamento para uma gestão proativa;
➢ Melhoria na governança corporativa.

GOVERNANÇA CORPORATIVA
A Governança Corporativa é o conjunto de práticas que tem a
finalidade de otimizar o desempenho de uma companhia ao proteger
todas as partes interessadas (investidores, empregados e credores,
entre outros), facilitando o acesso ao capital (CVM, 2002). Conforme o Instituto
Brasileiro de Governança Corporativa (IBGC), os princípios e práticas da boa
Governança Corporativa aplicam-se a qualquer tipo de organização,
independentemente do porte, natureza jurídica ou tipo de controle, adaptável a
outros tipos de organizações, como, por exemplo, os órgãos governamentais. No
Brasil, mas especificamente no setor público brasileiro, a governança começou a ser
implementada em 1995, com o surgimento da Administração Pública Gerencial ou
Nova Gestão Pública (New Public Management-NPM). Entre outras ações, essa
abordagem introduziu a governança na gestão pública federal com o objetivo
primordial de reduzir custos, garantindo maior eficiência à máquina pública, através de
medidas como a terceirização de mão de obra, privatizações, contratos de gestão e
parcerias público-privadas. Tudo isso associado aos princípios basilares da Governança
Corporativa: transparência, equidade, responsabilidade corporativa e prestação de
contas.
Para que a real importância da governança seja assimilada e sua relação com a
gestão de riscos nas contratações públicas seja compreendida, é preciso que algumas
perguntas iniciais sejam respondidas.
 O QUE ESPERAMOS QUE AS PESSOAS FAÇAM NAS EMPRESAS?
Quando uma empresa, seja pública ou privada, realiza um processo de
recrutamento e seleção, ela busca pessoas que possuam

27
determinadas competências técnicas, como também certas
características comportamentais. Isso se deve à necessidade de que esses
colaboradores tomem as melhores decisões possíveis para o negócio e que cumpram
as regras estabelecidas pelos regulamentos internos e pela legislação vigente, além do
respeito aos princípios éticos. É sabido que as melhores decisões são aquelas que
agregam maior valor para a organização, dentre um conjunto de opções disponíveis,
deixando-a mais eficiente, competitiva e acreditada.
Como já visto anteriormente, para que os gestores e agentes públicos possam
ser assertivos em suas escolhas, faz-se necessário que as informações obtidas sejam
precisas e reflitam a realidade do contexto organizacional e do ambiente em que a
organização encontra-se inserida. As decisões precisam ser inteligentes e baseadas em
diagnósticos confiáveis.

POR QUE AS PESSOAS, MUITAS VEZES, NÃO TOMAM AS MELHORES

DECISÕES EM SUA ATUAÇÃO COMO GESTORES, CONSELHEIROS OU
EXECUTIVOS?
Há vários motivos para que as pessoas não tomem as decisões mais
acertadas no ambiente de trabalho. Um desses motivos é o conflito de
interesses entre acionistas e gestores, conhecido como Conflito de Agência. Nessa
situação, existe um confronto entre os objetivos organizacionais e os objetivos
individuais dos gestores. Geralmente, quando os gestores são remunerados em função
do desempenho obtido, suas ações tendem a priorizar resultados de curto prazo, que
proporcionem ganhos financeiros como participação nos lucros e bônus salariais, em
detrimento aos resultados organizacionais de longo prazo.
Outro motivo bastante comum que leva os executivos a tomarem decisões
equivocadas é a falta de conhecimento sobre as atividades a serem desempenhadas.
Muitas vezes, os gestores são promovidos rapidamente e alcançam cargos que exigem
competências ainda não desenvolvidas por eles. Esse conceito é nomeado como
Princípio de Peter ou Princípio da Incompetência, e tem como consequência as falhas
nas tomadas de decisão, o não atingimento dos objetivos organizacionais e o
consequente desligamento do colaborador responsável.
Para finalizar essa questão, os gestores também acabam escolhendo soluções

28
inadequadas por acreditarem fielmente que sabem o que estão fazendo, mas, na
realidade, não sabem. Esses vieses cognitivos distorcidos acabam causando uma
miopia gerencial, levando o gestor a enxergar as demandas de forma inapropriada,
que, por sua vez, levam a decisões insatisfatórias e prejudiciais aos anseios
institucionais.

COMO SE INSERE A GOVERNANÇA CORPORATIVA DE ACORDO COM

A VISÃO TRADICIONAL?
A visão tradicional define a governança como sendo um conjunto de
mecanismos de incentivo e controle, internos ou externos, que visam
a fazer com que as pessoas tomem as melhores decisões para a organização, sempre
cumprindo as regras e regulamentos estabelecidos por seus processos e políticas,
conduta tipicamente associada ao modelo burocrático da administração. Nesse
prisma, os mecanismos de incentivo são estabelecidos com foco na remuneração,
avaliação de desempenho, meritocracia etc., o que traz resultados justos aos gestores,
tendo em vista que suas recompensas estão atreladas ao sucesso de suas ações. Ao
mesmo tempo em que os executivos e demais colaboradores executam suas tarefas, a
organização adota medidas de controle que garantam o monitoramento dos processos
e a adoção de possíveis ajustes. Entre os mecanismos de controle mais empregados,
pode-se citar a gestão de riscos, a auditoria interna, o Compliance, a elaboração de
relatórios periódicos e a supervisão do conselho de administração.

O QUE ESTÁ POR TRÁS DA VISÃO TRADICIONAL SOBRE

GOVERNANÇA CORPORATIVA?
A ideia ortodoxa de que o indivíduo trabalha baseado apenas em
incentivos e punições está presente na visão tradicional da
governança. Mesmo com a evolução das teorias administrativas a respeito dos fatores
motivacionais nas organizações, esse paradigma continua presente na mentalidade
dos gestores. Atrelada aos incentivos está a concepção de que os colaboradores só
adotam um comportamento ético e comprometido com a organização por conta do
receio de possíveis retaliações e punições. Isso acaba por acarretar um clima

29
organizacional desfavorável ao bom desempenho, criando um ambiente competitivo,
desgastante, com alto índice de absenteísmo e difícil de ser administrado no longo
prazo.

A MERA IMPLANTAÇÃO DE MECANISMOS DE INCENTIVO E

CONTROLE É SUFICIENTE PARA GARANTIR QUE AS INSTITUIÇÕES
SEJAM BEM GOVERNADAS AO LONGO DO TEMPO?
Na realidade, os mecanismos de incentivo e controle funcionam como
balizadores das ações organizacionais, mas não garantem que as
organizações serão à prova de fraudes e desvios funcionais. Conforme abordado no
início deste curso, pode-se perceber diversos colapsos acontecidos com empresas que,
aparentemente, possuíam bons mecanismos de governança corporativa. A grande
questão é que muitas instituições utilizam a governança apenas como uma lista de
itens a serem cumpridos diariamente, focando apenas nos processos e esquecendo
dos resultados efetivos. Em situações assim, a preocupação dos colaboradores está
apenas em cumprir as etapas de determinada atividade, direcionando os esforços para
os meios e deixando os fins em segundo plano.

ENTÃO, O QUE FALTA PARA ASSEGURAR QUE AS INSTITUIÇÕES

SEJAM BEM GOVERNADAS?
As organizações são formadas por pessoas e para pessoas. Por
conseguinte, para que as instituições sejam bem governadas, faz-se
necessário valorizar o fator humano, afinal, são os colaboradores que dão vida às
empresas e contribuem para o crescimento e desenvolnvimento institucional. Sendo
assim, o trabalho de conscientização das pessoas quanto ao comprometimento com a
instituição, com os processos, com os valores, precisa ser realizado continuamente,
demonstrando que elas são a peça chave para o alcance dos objetivos traçados, e que
esses objetivos organizacionais estão alinhados aos objetivos pessoais de cada um. A
direção da organização precisa compreender as motivações psicológicas que levam as
pessoas a cumprir e descumprir regras e procedimentos. É importante que a alta
administração patrocine as inovações e modelos de gestão implantados na

30
organização, como a gestão de riscos, dando sustentabilidade e credibilidade ao
trabalho desenvolvido pelo corpo funcional. Uma ferramenta administrativa
extremamente útil é a gestão de desempenho, em que metas individuais são traçadas
em comum acordo entre a chefia e subordinados, prazos são definidos e os resultados
monitorados pontualmente. Aliada à gestão de desempenho, está a gestão por
competências, que serve para identificar os conhecimentos, habilidades e atitudes dos
gestores e demais colaboradores, no intuito de alocar os profissionais em posições
estratégicas, de acordo com suas capacidades técnicas e comportamentais. A gestão
por competências, além de servir como ferramenta para alcance de resultados,
também serve como ferramenta motivacional, já que os profissionais serão
aproveitados em funções correlatas às suas formações acadêmicas e em áreas de seu
interesse.

CONCLUSÃO - O que significa uma empresa bem governada?

Do ponto de vista interno, são as organizações cujas decisões são
tomadas visando à orientação para o longo prazo, alinhadas ao
planejamento estratégico, e nas quais as pessoas estão motivadas,
cumprem as regras porque acreditam nelas e se comportam de forma ética,
preservando os valores institucionais.

Do ponto de vista externo, são as organizações que adotam a gestão

transparente – aumentando o conforto dos stakeholders – e asseguram aos gestores a
capacidade de tomar decisões de forma assertiva e legítima, embasadas em
informações precisas e confiáveis.

Trata-se de um contexto multidimensional, cujo atendimento pleno depende

do contexto social criado por suas lideranças, da efetividade dos mecanismos de
incentivo e controle (ferramentas administrativas) e das melhores práticas adotadas
por seus gestores e colaboradores.
 PRINCÍPIOS DA GOVERNANÇA CORPORTIVA

31
A Governança Corporativa é alicerçada por quatro princípios básicos:
1) Transparência: orienta a disponibilizar para os stakeholders as
informações que sejam de seu interesse. Essas informações não
devem se restringir ao desempenho econômico-financeiro, contemplando também os
demais fatores (inclusive intangíveis, como a imagem) que norteiam a ação gerencial e
que conduzem à preservação e à otimização do valor da organização. Além do mais, a
prática de informar o que se passa na organização gera um clima de confiança interna
e externa.
2) Equidade: refere-se ao tratamento justo e isonômico de todas as partes
interessadas (stakeholders), levando em consideração seus direitos, deveres,
necessidades, interesses e expectativas. Esse princípio procura fomentar a igualdade
dentro da organização para que todos os seus integrantes, sejam do alto escalão ou do
chão de fábrica, tenham o direito de expressar suas opiniões a respeito do que eles
entendem ser o melhor para a instituição e para seu corpo funcional.
3) Prestação de contas: os agentes de governança devem prestar contas de sua
atuação de modo claro, conciso, compreensível e tempestivo. Eles devem assumir
integralmente as consequências de seus atos e omissões, atuando com diligência e
responsabilidade no âmbito dos seus papéis.
4) Responsabilidade corporativa: os gestores e colaboradores devem zelar pela
viabilidade econômico-financeira das organizações, afinal, a sobrevivência
organizacional e seu desenvolvimento beneficia a todos, acionistas, executivos e
demais empregados. Para que essa viabilidade seja garantida, os agentes de
governança devem reduzir as externalidades negativas de seus negócios e aumentar as
externalidades positivas, investindo fortemente nos diversos capitais (financeiro,
manufaturado, intelectual, humano, social, ambiental etc.)

Além desses quatro princípios norteadores, existem mais seis princípios que
complementam as boas práticas da governança. São eles:
5) Avaliação de desempenho: indica a necessidade de avaliar regularmente e
formalmente o desempenho dos gestores e colaboradores. A avaliação deve atribuir
remuneração em montante adequado e vinculada ao desempenho, bem como

32
recompensas e sanções justas, fomentando a meritocracia.
6) Processo decisório: é importante que se implemente um processo decisório que
contemple visões diferentes na tomada de decisões, evitando a concentração de
poder, como também trazendo experiências distintas que enriqueçam o debate e
propiciem um leque maior de soluções para as demandas apresentadas. Deve haver
mecanismos para tratar de conflitos de interesse e resolução de disputas, como
ferramentas administrativas que apontem objetivamente as melhores alternativas
para cada caso. O Gráfico de Causa e Efeito (Ishikawa) e a análise SWOT são exemplos
dessas ferramentas.
7) Formalidades e controles: conscientização de que a informalidade é um inimigo da
boa governança. É necessário desenhar processos, criar padrões de execução e
estabelecer regras a serem cumpridas, em que os controles sejam feitos através da
gestão de riscos, auditorias e Compliance.
8) Ética na liderança: os membros da cúpula devem se comportar com integridade e
elevado padrão de conduta, até porque a melhor forma de liderar se dá através do
exemplo. É imprescindível que se promova incessantemente os valores da
organização, com ações de aculturamento e valorização do comportamento ético. O
endomarketing é uma ótima ferramenta para a promoção dos valores organizacionais.
9) Colaboração: criação de um contexto organizacional que fomente a cooperação
entre os colaboradores e gestores, evitando competição excessiva e rivalidades
internas. Os interesses dos colaboradores devem estar alinhados aos interesses
organizacionais, o que favorece o atingimento dos objetivos organizacionais de longo
prazo.
10) Diversidade: é preciso que as organizações criem políticas concretas para ampliar a
diversidade (de gênero, etnia, formações acadêmicas etc.), fomentem o respeito às
diferenças individuais do ser humano, bem como punam atitudes discriminatórias no
ambiente de trabalho.
 Ao tratar da governança pela perspectiva do setor público, percebe-se que há
um ajuste da nomenclatura de alguns princípios para que estes se adaptem à realidade
da governança pública. O princípio da equidade passa a se chamar princípio da justiça,

33
em que todos são iguais perante a lei e devem ser tratados como tal. Já o princípio das
formalidades e controles passa a ser conhecido como princípio do cumprimento das
leis, exigindo que os agentes públicos só façam o que a lei permitir, dentro de um
arcabouço formal, em que suas ações passam por auditorias de controle interno e
externo.

Visando ao atendimento do bem comum, os princípios da governança pública

se desdobram, seguindo o ciclo indicado na Figura abaixo:
 34
Fonte: forum.ibgp.net.br

Sabe-se que o bom desempenho empresarial está diretamente ligado ao

fornecimento de bens e serviços que atendam às necessidades de seus clientes. No
âmbito público não é diferente. O atingimento dos objetivos da administração pública
está intrinsicamente relacionado ao atendimento dos anseios dos cidadãos, que são os
verdadeiros “acionistas” das instituições públicas. Assim sendo, a governança assume
papéis bem específicos tanto para a gestão pública quanto para os cidadãos, conforme
descrito a seguir.

Para a gestão pública:

• A governança deve tornar explícito o papel de cada ator, definindo os seus
objetivos, responsabilidades, modelos de decisão, rotinas, entre outros;
• Deve haver uma visão administrativa, responsável pela definição dos objetivos
(eficácia) e suas precondições, como a qualidade, eficiência, conformidade com os
regulamentos e leis relevantes, e o controle financeiro.
Para os cidadãos:
• Que as organizações sejam transparentes e responsáveis por suas atividades;
• Que demonstrem que os recursos públicos estão sendo usados apropriadamente;

35
• Que indique o que está sendo alcançado com a aplicação dos recursos públicos.

Fonte: portal.tcu.gov.br
 36
Parte III

OBJETIVOS INSTRUCIONAIS
Conhecer e aplicar as principais ferramentas administrativas utilizadas na
identificação, análise, avaliação e mitigação dos riscos por meio da utilização
do Plano de Gerenciamento de Risco – PGR.

PRINCIPAIS TÓPICOS
Identificação dos riscos por meio das ferramentas “Séries Históricas” e
“Brainstorming”; análise dos riscos através da ferramenta “Matriz de
Vulnerabilidades”; avaliação dos riscos através da ferramenta “Matriz de
Priorização”; mitigação dos riscos através das ferramentas “Diagrama de
Ishikawa”, “Análise SWOT”, “Planilha 5W2H” e do Mapa de Riscos –
Instrução Normativa nº 05/2017 – MPDG.
 37
PLANO DE GERENCIAMENTO DE RISCO – PGR
Após o estudo aprofundado dos conceitos da gestão de riscos, inicia-
se a fase de implementação de tudo que foi compreendido até o
momento. Isso se dá através do Plano de Gerenciamento de Risco
(PGR), que é formado por um conjunto de ferramentas administrativas que funcionam
de forma integrada, e tem por objetivo identificar os riscos organizacionais presentes
em cada contexto e dissecá-los em cada detalhe, fornecendo, assim, as informações
mais precisas possíveis ao tomador de decisão. De posse desse estudo, o gestor
poderá adotar planos de ação mitigadores dos riscos, fundamentando suas escolhas
com maior grau de certeza e alcançando resultados mais efetivos. O Plano de
Gerenciamento de Risco adota o passo a passo indicado pela doutrina, seguindo as
etapas de identificação, análise, avaliação e mitigação dos riscos. Concluído esse ciclo,
os responsáveis pela gestão de riscos devem monitorar os resultados e atuar nos
ajustes necessários, mantendo o PGR continuamente atualizado.

Fonte: suportegerencial.com.br
 38
ETAPA 1 – IDENTIFICAÇÃO DOS RISCOS
O processo de gestão de riscos se inicia com a etapa de identificação
dos riscos que podem vir a impactar negativamente os processos
organizacionais de determinada instituição. A identificação dos riscos
é bastante subjetiva, por isso ela requer a participação das equipes envolvidas nas
atividades que serão estudadas. A abordagem utilizada nessa etapa utiliza quatro
ferramentas:
• Checklist;
• Brainstorming;
• Julgamentos sobre experiências anteriores;
• Análise de cenários.

O checklist ou lista de verificação é uma ferramenta que deve ser utilizada

individualmente. Cada integrante da equipe que irá trabalhar gerindo riscos precisa
criar sua própria lista de possíveis ameaças, identificando-as de acordo com seu
entendimento sobre o processo que está sendo trabalhado e suas peculiaridades. O
checklist é elaborado de forma bastante subjetiva.
Após a conclusão do checklist, a equipe de gestão de riscos deve se reunir e
lançar mão de mais uma ferramenta administrativa, o brainstorming ou tempestade
de ideias, que nada mais é do que uma reunião em que os participantes elencam suas
sugestões e debatem sobre elas com os demais integrantes do grupo, elegendo quais
ideias serão levadas adiante. Para garantir uma maior diversidade de opiniões, é
fundamental que as pessoas envolvidas possuam competências e vivências distintas.
Inicialmente, nenhuma ideia é descartada, mesmo que pareça absurda. O grupo é
responsável por deliberar sobre quais ideias serão mantidas ou não, até que se chegue
em um consenso e que se coloque a relação final de ideias no papel, processo
conhecido como brainwriting.
Para dar suporte à elaboração tanto do checklist quanto do brainstorming,
utilizam-se duas ferramentas que ajudam o gestor na identificação da origem dos
prováveis riscos. A primeira delas é conhecida como Séries Históricas. Essa ferramenta
toma por base acontecimentos passados, experiências anteriores vividas ou
conhecidas pelos integrantes da equipe de gestão de riscos. Por conta disso, os

39
registros de situações que prejudicaram o adequado andamento de processos
organizacionais, como o das aquisições públicas, são tão importantes e precisam ser
identificados e lançados pela equipe de planejamento das licitações públicas e pelos
fiscais durante a execução dos contratos administrativos. Já pensando em ocorrências
futuras, os gestores de riscos podem utilizar a ferramenta Prospecção de Cenários, que
consiste em analisar a conjuntura atual e tentar relacionar prováveis situações de risco
que possam vir a se concretizar, gerando impactos gravosos aos processos de trabalho
e, consequentemente, às organizações.
Segue, abaixo, modelo de planilha que pode ser utilizada na etapa de
identificação dos riscos:
 ETAPA 2 – ANÁLISE DOS RISCOS
A análise dos riscos tem por objetivo entender mais detalhadamente
cada risco identificado. Ela gera as informações necessárias para os

40
gestores decidirem como o risco será tratado, baseando-se na
estratégia mais adequada e no melhor custo-benefício. A análise subdivide-se em
análise qualitativa e análise quantitativa dos riscos.
A análise qualitativa dos riscos descreve os potenciais impactos (efeitos) e a
probabilidade de acontecerem. Deve-se observar como o risco é entendido por
aqueles que integram as equipes de trabalho responsáveis por analisá-los. Nunca é
demais repetir que a gestão de riscos é extremamente subjetiva e, por isso, precisa ser
moldada de acordo com cada situação apresentada. A ferramenta utilizada na análise
qualitativa é conhecida como Matriz de Risco ou Matriz de Vulnerabilidade. É uma
ferramenta visual que possibilita identificar de imediato quais riscos devem receber
maior atenção, facilitando a análise situacional e atraindo a atenção das equipes para
o processo. Essa matriz é composta por uma coluna, referente à probabilidade de
acontecimento, que possui uma gradação que vai da probabilidade rara até a quase
certa, e por uma linha, referente ao impacto que os riscos podem gerar, possuindo um
nível de criticidade que vai do impacto mais leve ao mais severo. Ao cruzar essas duas
informações, probabilidade versus impacto, encontra-se o quadrante específico para
cada risco, sendo possível definir quais são os mais relevantes para o processo
organizacional, como no caso das compras públicas.
Segue, abaixo, modelo da Matriz de Vulnerabilidade que pode ser usado na
análise qualitativa dos riscos:

Fonte: siteware.com.br
 Por outro lado, a análise quantitativa dos riscos utiliza valores numéricos para
definir os prováveis impactos monetários negativos que os riscos identificados podem
gerar para a organização. Os gestores precisam definir se financeiramente é mais

41
interessante investir na mitigação do risco ou se é mais vantajoso suportar o prejuízo,
caso ele venha a ocorrer. Por exemplo, será que vale a pena investir um milhão de
reais para proteger um possível prejuízo de cem mil reais caso o risco se concretize ou
seria melhor aceitar esse risco? A análise quantitativa é aplicada para encontrar essa
resposta e direcionar a tomada de decisão no caso concreto.

ETAPA 3 – AVALIAÇÃO DOS RISCOS

A avaliação dos riscos tem por objetivo tomar decisões baseadas no
que foi observado na análise dos riscos, determinando quais desses
riscos precisam ser priorizados e tratados. Para que se chegue a uma
conclusão, utiliza-se a ferramenta Matriz de Priorização, que mostra de forma clara a
influência do esforço empreendido versus o benefício alcançado. Através dessa
ferramenta, o gestor decide em que momento cada risco deve ser tratado,
estabelecendo um ranking de prioridade para as ações de mitigação. Quanto menor o
esforço e maior o benefício, melhor ranqueado ficará o risco avaliado, ficando, então,
como a primeiro da lista a receber o devido tratamento.
Segue, abaixo, modelo da Matriz de Priorização que pode ser usado na
avaliação dos riscos:

Fonte: imasters.com.br
 ETAPA 4 – TRATAMENTO DOS RISCOS
O tratamento do risco é o processo utilizado para modificar o nível do
risco. Normalmente, o tratamento modifica a probabilidade ou os

42
impactos do risco. Pode, ainda, eliminar a fonte do risco, dividir ou
transferir o risco para outrem, como no caso dos seguros. Após concluídas as etapas de
identificação, análise (qualitativa e quantitativa) e avaliação dos riscos, o gestor deve
fazer um estudo aprofundado dos riscos que serão tratados, identificando suas causas
e buscando os recursos organizacionais, sejam financeiros, humanos, estruturais,
necessários à sua mitigação. Nessa etapa, utilizam-se três ferramentas clássicas da
administração de empresas: o Diagrama de Causa e Efeito, a Análise SWOT e o Plano
de Ação 5W2H.
O Diagrama de Causa e Efeito, também conhecido como Espinha de Peixe ou
Diagrama de Ishikawa, é utilizado para a identificação de direcionadores, as causas,
que potencialmente levam ao efeito indesejável, o risco. Essa é uma ferramenta
analítica que parte de um problema de interesse e possibilita a ocorrência de um
brainstorming no sentido de identificar as causas possíveis para o problema
encontrado. A formatação padrão do Diagrama de Ishikawa é estabelecido por seis
tipos diferentes de causas raiz, seguindo a metodologia 6M:
• Método: toda a causa que envolve os processos de trabalho;
• Material: toda causa que envolve a matéria-prima utilizada no trabalho;
• Mão de obra: toda causa que envolve ações dos recursos humanos;
• Máquina: toda causa envolvendo a infraestrutura organizacional;
• Medida: toda causa que envolve os instrumentos de medida, indicadores;
• Meio ambiente: toda causa que envolve tanto o ambiente interno (organizacional)
quanto externo.

De posse dos riscos selecionados, monta-se uma espinha de peixe para cada
um deles, proporcionando uma melhor visualização das ações a serem tomadas
quanto às causas elencadas, obtendo o Gráfico a seguir:
 43
Fonte: pt.wikipedia.org

A análise SWOT ou FOFA (sigla em português) é uma ferramenta utilizada na

elaboração do planejamento estratégico das organizações para auxiliar na
identificação de suas forças (strenghts), fraquezas (weaknesses), oportunidades
(opportunities) e ameaças (threats), de acordo com o contexto em que está sendo
analisada, seja em seu ambiente interno ou externo, conforme esquematizado a
seguir:
• Strenghts - pontos fortes: vantagens internas da organização;
• Weaknesses - pontos fracos: desvantagens internas da organização;
• Opportunities - oportunidades: aspectos positivos da organização fora das suas
instalações ou área de influência;
• Threats - ameaças: aspectos negativos da organização fora das suas instalações ou
área de influência.

De acordo com Dess (2018), a matriz SWOT destina-se a especificar os objetivos

e riscos associados aos negócios, e identificar os fatores internos e externos que são
favoráveis e desfavoráveis para alcançar esses objetivos, aproveitando as
oportunidades e mitigando as ameaças. Durante a elaboração da análise SWOT é
recomendável que os integrantes da equipe de gestão de riscos perguntem e
respondam questões para gerar informações significativas a respeito de cada
categoria, de maneira a tornar a ferramenta útil e identificar a vantagem competitiva
(forças associadas a oportunidades) e as fragilidades (fraquezas associadas a ameaças)

44
da instituição em que trabalham.
Segue, abaixo, modelo da Matriz SWOT, que pode ser usada como ferramenta
de mitigação dos riscos:

Fonte: www.cursodeecommerce.com.br

O Plano de Ação 5W2H é uma ferramenta de gestão organizacional e trata-se

de um relatório definido por linhas, cada uma delas encabeçada por uma palavra em
inglês, constituindo um questionário esclarecedor sobre as atividades que precisam ser
desenvolvidas no tratamento dos riscos. Ao ser montada, a tabela estabelecerá o que
será feito, quem serão os responsáveis, em que prazo, em que setor da organização,
além dos motivos pelos quais essa atividade deve ser feita. Também será definido o
método para a realização da atividade e o seu custo de execução.
A seguir, um modelo de tabela para implementação do Plano de Ação 5W2H
com o objetivo de mitigar os riscos ora identificados, analisados e avaliados durante as
três primeiras etapas da gestão de riscos:
Risco Insira o nome do risco.
Grau de probabilidade Indique o grau de probabilidade de acontecimento atribuído ao

45
atribuído ao risco risco (raro, baixo, médio, alto, quase certo).
Grau de impacto Indique o grau de impacto atribuído ao risco (sem impacto, leve,
atribuído ao risco médio, grave, gravíssimo).
Nível de priorização Indique o grau de priorização atribuído ao risco (1, 2, 3 ou 4).
atribuída ao plano
What (o quê?) O que será proposto no plano de ação?
Why (por quê?) Por que será necessário um plano de ação?
Who (quem fará?) Quem será o responsável pela implementação?
When (quando será?) Quando será o período de implementação? Data inicial e final.
Where (onde será?) Onde o plano de ação será implementado?
How (como será?) Que método será utilizado na implementação?
How much (quanto?) Haverá custo? Caso afirmativo, quanto custará?

Tratando-se de aquisições públicas, é necessário, em complemento a tudo que

foi aplicado até o momento no estudo da gestão de riscos, seguir as orientações da
Instrução Normativa nº 05/2017 – MPDG, no que tange à aplicação do Mapa de Riscos,
conforme determinado em seu artigo 26, parágrafo primeiro:

“Art. 26. O Gerenciamento de Riscos materializa-se no documento Mapa de

Riscos.
§ 1º O Mapa de Riscos deve ser atualizado e juntado aos autos do processo de
contratação, pelo menos:
I - ao final da elaboração dos Estudos Preliminares;
II - ao final da elaboração do Termo de Referência ou Projeto Básico;
III - após a fase de Seleção do Fornecedor; e
IV - após eventos relevantes, durante a gestão do contrato pelos servidores
responsáveis pela fiscalização.
§ 2º Para elaboração do Mapa de Riscos poderá ser observado o modelo
constante do Anexo IV”.
 ANEXO IV
IN 05/2017-MPDG

46
MAPA DE RISCOS
 Conclui-se, portanto, que a gestão de riscos nas contratações públicas é
materializada por uma combinação de técnicas administrativas, definição de políticas,
aplicação de normas legais e participação integral dos gestores e colaboradores, que

47
contribuem com suas experiências e conhecimentos na construção desses estudos, em
prol do desenvolvimento das organizações públicas e o consequente atingimento do
bem comum. A participação das pessoas em cada uma das etapas da gestão de riscos,
como também nas fases de controle de resultados e ajuste das rotinas, é fundamental
para o que os objetivos sejam alcançados sem maiores percalços, tendo seus riscos
minimizados ao máximo. O fomento à disseminação da cultura organizacional voltada
ao gerenciamento de riscos é tarefa da alta administração, que precisa declarar seu
comprometimento com a ideia e criar eventos que internalizem o tema Risco às
rotinas de trabalho das instituições pelas quais são responsáveis. Por outro lado, as
equipes precisam apoiar e confiar nas competências de seus líderes, aderindo a essa
nova perspectiva de gestão com proatividade e dedicação.
Só assim os riscos serão efetivamente identificados e tratados continuamente,
elevando o nível de qualidade das decisões tomadas, adotando ações planejadas
minuciosamente e transformando a administração pública em um centro de excelência
na aplicação dos seus recursos. Ao se alcançar esse estágio de amadurecimento, as
organizações públicas estarão prontas para atender às demandas da coletividade com
presteza e efetividade.
REFERÊNCIAS BIBLIOGRÁFICAS

48
ESAF. Caderno de Finanças Públicas, n. 14, p. 265/287, 2014.

HOUAISS, Antônio. Grande Dicionário Houaiss da Língua Portuguesa. 1.ed. Rio de

Janeiro: Objetiva, 2001.

BRASILIANO, Antônio Celso Ribeiro. Gestão e Análise de Riscos Corporativos.

São Paulo: Sicurezza, 2010.

BRASILIANO, Antônio Celso Ribeiro. Resposta aos riscos corporativos – método

brasiliano. São Paulo: Sicurezza, 2009.

PORTAL CVM. Recomendações da CVM sobre Governança Corporativa.

Disponível em:http://www.cvm.gov.br/export/sites/cvm/decisoes/anexos/0001/3935.pdf.
Acesso em 12 de janeiro de 2020.

PORTAL IBGC. O que é Governança Corporativa. Disponível em:

https://www.ibgc.org.br/conhecimento/governanca-corporativa. Acesso em 14 de
janeiro de 2020.

BARALDI, Paulo. Gerenciamento de riscos empresariais: a gestão de

oportunidades, a avaliação de riscos e a criação de controles internos nas
decisões empresariais. 2. ed. Rio de Janeiro: Elsevier, 2005.

BRASIL. Lei nº 8.666, de 21 de Junho de 1993. Disponível em:

http://www.planalto.gov.br/ccivil_03/leis/l8666cons.htm. Acesso em: 10 de janeiro de
2019.

BRASIL (2006). Banco Central do Brasil. Resolução CMN 3.380. Disponível em:
<http://www5.bcb.gov.br/normativos/detalhamentocorreio.asp?N=106196825&C=&AS
S=RESOLUCAO+3.380> Acesso em 05 de janeiro de 2020.

BIDERMAN, R., Betiol, L., Macedo, L., & Monzoni, M. (2008). Guia de compras
públicas sustentáveis – uso do poder de compra do governo para a promoção
do desenvolvimento sustentável. Rio de Janeiro: FGV.
BOGONI, Nadia Mar and Fernandes, Francisco Carlos. Gestão de risco nas
atividades de investimento dos Regimes Próprios de Previdência Social (RPPS)

49
dos municípios do Estado do Rio Grande do Sul. REAd. Rev. eletrôn. adm. (Porto
Alegre), Abr 2011, vol.17, no.1, p.117-148. ISSN 1413-2311.

BRASILIANO, Antônio Celso Ribeiro. Manual de planejamento: gestão de riscos

corporativos. São Paulo: Sicurezza, 2006.

BURLÁ, Leonardo Andrade de Almeida and Gonçalves, Edson Daniel Lopes. Gestão
de risco e os impactos da instrução normativa CVM nº 550: análise
empírica. Rev. contab. finanç., Ago 2010, vol.21, no.53, p.1-21. ISSN 1519-7077.

CALDAS, Eduardo de Lima and Nonato, Raquel Sobral. Compras

públicas: estratégia e instrumento para a gestão do desenvolvimento
local. Interações (Campo Grande), Jun 2014, vol.15, no.1, p.161-172. ISSN 1518-
7012.

COCURULLO, Antônio. Gestão de riscos corporativos: riscos alinhados com

algumas ferramentas de gestão. São Paulo: Scortecci, 2003.

DE PAULO, Wanderlei de Lima et al. Riscos e controles internos: uma

metodologia de mensuração dos níveis de controle de riscos empresariais. Rev.
contab. finanç., Abr 2007, vol.18, no.43, p.49-60. ISSN 1519-7077.
Instrução Normativa nº 05, de 26 de maio de 2017. Disponível em:
<http://comprasgovernamentais.gov.br> Acesso em: 11 de janeiro de 2020.

KIMURA, Herbert and Perera, Luiz Carlos Jacob. Modelo de otimização da gestão
de risco em empresas não financeiras. Rev. contab. finanç., Abr 2005, vol.16,
no.37, p.59-72. ISSN 1519-7077.

LOPES, Alexsandro Broedel, Carvalho, L. Nelson and Teixeira, Aridelmo José

Campanharo. A abordagem de Shimpi para gestão de riscos. Rev. contab. finanç.,
Dez 2003, vol.14, no.33, p.7-15. ISSN 1519-7077.

NOGUEIRA, Fernando Rocha, Oliveira, Vanessa Elias de and Canil, Katia Políticas
públicas regionais para gestão de riscos: o processo de implementação no ABC,
SP. Ambient. soc., Dez 2014, vol.17, no.4, p.177-194. ISSN 1414-753X.
Dess, Gregory. Strategic Management. Estados Unidos: McGraw-Hill. 2018. ISBN
9781259927621.

50
PORTAL TCU. Modelos de referência de gestão corporativa de riscos. Disponível
em: https://portal.tcu.gov.br/planejamento-governanca-e-gestao/gestao-de-
riscos/politica-de-gestao-de-riscos/modelos-de-referencia.htm. Acesso em 10 de
janeiro de 2020.