Riscos? Que riscos?!

Como um instituto federal pode implementar as prescrições da gestão de riscos que a CGU e o MPOG determinaram à administração federal?

A Instrução Normativa nº 01/2016, editada pela CGU (Controladoria-Geral da União) em parceria com o MPOG (Ministério do Planejamento, Orçamento e Gestão), veio com o objetivo de tornar obrigatória, a todos os entes do Poder Executivo Federal, a “sistematização de práticas relacionadas à gestão de riscos, aos controles internos, e à governança” (art. 1º).

Então, para responder a pergunta com que abri a postagem, acho válido compreender a IN CGU/MPOG nº 001/2016 com relação ao ambiente institucional dos institutos federais. Nesta análise, procurarei relacionar os dispositivos da instrução normativa com iniciativas quase certamente plausíveis à maioria dos institutos federais. Vou me apegar ao que há de comum entre eles e ao que se pode compreender da IN CGU/MPOG nº 01/2016.

Em linhas gerais, há um aspecto comum aos institutos federais: a distinção entre gestão colegiada e gestão executiva, que é como eu denomino a repartição entre os ocupantes de cargos executivos (Reitor, Pró-Reitores e Diretores-Gerais) e os ocupantes de cargos em colegiados (Conselho Superior, Colégio de Dirigentes, e outros criados por cada instituto federal). Farei referência a esta distinção ao longo da análise.

Também em linhas gerais, mais da metade dos dispositivos da instrução normativa ocupa-se de conceitos de controle interno, gestão de riscos e governança; uma minoria prescreve medidas aos entes federais, mas de modo a deixar por conta de cada um a definição exata da forma de cumprimento.

Então, é possível repartir a análise da IN CGU/MPOG nº 01/2016 em duas partes:

  1. O que você precisa fazer
  2. O que você precisa saber

Começarei pelo que você precisa fazer.

O que você precisa fazer

Algumas disposições da IN CGU nº 01/2016 requerem iniciativas da gestão colegiada (desempenhada pelo Conselho Superior, com auxílio do Colégio de Dirigentes e, geralmente, colegiados criados pelo próprio instituto federal) e da gestão executiva (desempenhada pelos pró-reitores e diretores-gerais, que geralmente se reúnem no Colégio de Dirigentes) em consequência das disposições dos arts. 3º, § 4º, 12, 16, parágrafo único, e 19.

A meu ver, o dispositivo do parágrafo único do art. 16 deve ser compreendido à luz da distinção entre gestão executiva e gestão colegiada. Caberá à gestão executiva o mapeamento e a avaliação dos riscos no âmbito das atividades, assim como, a seus altos cargos, a proposição da gestão dos riscos no âmbito da unidade e da organização; caberá à gestão colegiada deliberar sobre as proposições da gestão executiva, o que as converterá em políticas organizacionais que refletirão a visão organizacional dos riscos.

Gestão colegiada: estruturas de governança

Caberá à gestão colegiada:

  • formalizar as políticas e os mecanismos de governança (art. 21)
  • instituir o Comitê de Governança, Riscos e Controles, com Assessor Especial de Controle Interno (art. 23, caput e § 1º)
  • aprovar a Política de Gestão de Riscos (art. 17)

A formalização das políticas e dos mecanismos de governança irá demandar a revisão dos regimentos internos dos colegiados e do fluxo decisório entre eles.

A instituição do Comitê de Governança, Riscos e Controles, com Assessor Especial de Controle Interno vai inserir duas novas figuras gerenciais na gestão do instituto federal:

  1. O Comite de Governança, Riscos e Controles (art. 23, caput), com composição (§ 1º) e competências (§ 2º) definidos
  2. O Assessor Especial de Controle Interno (art. 23, § 1º).

O Comitê de Governança, Riscos e Controles deverá ser composto pelo dirigente máximo do instituto federal, que corresponde ao Reitor, e “pelos dirigentes das unidades a ele diretamente subordinadas” (art. 23, § 1º), que correspondem aos diretores-gerais e aos pró-reitores.

Devido a esta composição determinada pela IN CGU/MPOG nº 01/2016, o Comitê de Governança, Riscos e Controles provavelmente corresponderá ao membros do Colégio de Dirigentes reunidos em sessão especial, com presença do Assessor Especial de Controle Interno, e algum poder deliberativo. Este poder deliberativo deverá ser dimensionado em vista do poder deliberativo do Conselho Superior.

O Assessor Especial de Controle Interno deverá apoiar o Comitê de Governança, Riscos e Controles. A competência de “apoiar” é vaga, então o instituto federal deverá delimitá-la e também definir quem exercerá este cargo.

O dispositivo do art. 7º, que estrema os controles internos e a Unidade de Auditoria Interna, indica que talvez o Assessor Especial de Controle Interno não possa ser o Titular da Unidade de Auditoria Interna. Parece inapropriado que o Titular da Unidade de Auditoria Interna influencie, através de seu apoio ao Comitê de Governança, Riscos e Controles, o estabelecimento de políticas que posteriormente serão auditados pela equipe que ele coordena.

A Política de Gestão de Riscos deverá tomar a forma de uma resolução do Conselho Superior com os seguintes conteúdos mínimos (art. 17):

  • princípios e objetivos do instituto federal, geralmente disponíveis no PDI (Plano de Desenvolvimento Institucional)
  • diretrizes para a gestão de risco, tais como integração com o planejamento, com os processos e as políticas organizacionais, periodicidade de reavaliação, mensuração de desempenho, metodologias, ferramentas e capacitação

Há um prazo de doze meses, a contar da entrada em vigor da IN CGU/MPOG nº 01/2016, para a elaboração da Política de Gestão de Riscos – o prazo terminará em 11 de maio de 2017, portanto.

Pode ser interessante que a proposição da Política de Gestão de Riscos seja atribuição do Comitê de Governança, Riscos e Controles. Porém, isto depende de como for realizada a formalização das políticas e dos mecanismos de governança do instituto federal.

Gestão executiva: procedimentos de riscos

Caberá à gestão executiva:

  • formalizar os controles internos da gestão (art. 11)
  • identificar os gestores de riscos (art. 20), que formam a primeira e a segunda linha de defesa contra riscos (arts. 3º e 6º)
  • mapear riscos (art. 18)

A figura do gestor de riscos afetará o cotidiano dos servidores que ocupam cargos de gestão. O gestor de riscos deverá estar associado a um risco identificado no mapeamento e deverá “ser o gestor com alçada suficiente para orientar e acompanhar as ações de mapeamento, avaliação e mitigação de risco” (art. 20, § 1º).

O art. 18 fornece uma tipologia mínima de riscos, a ser aproveitada no mapeamento deles: riscos operacionais, riscos de reputação, riscos legais e riscos financeiros. O art. 22 completa os requisitos ao determinar que a gestão executiva realize uma gestão integrada dos riscos e dos controles internos.

Políticas organizacionais: elo entre a gestão colegiada e a gestão executiva

A integração das abordagens de riscos em estratégias, processos e políticas (art. 17, II, “a”) demandará uma interligação formalizada entre a gestão colegiada e a gestão executiva.

Um fluxo saudável de construção das políticas organizacionais em um instituto federal poderia trazer a gestão executiva como propositora de documentação que, se aprovada pela gestão colegiada, seria convertida em política organizacional. Este fluxo de proposição, discussão e aprovação das políticas organizacionais deveria ser compreendido como a interligação formalizada entre a gestão colegiada e a gestão executiva.

Unidade de Auditoria Interna

Caberá à Unidade de Auditoria Interna abordar dois novos temas de auditoria (art. 24):

  1. avaliação da execução da Política de Gestão de Riscos pelo instituto federal
  2. avaliação da Política de Gestão de Riscos em sua aderência à IN CGU/MPOG nº 01/2016

Não há, porém, nenhum outro impacto da IN CGU/MPOG nº 01/2016 em uma Unidade de Auditoria Interna.

Tende, inclusive, a ser esta a interpretação mais consonante com o posicionamento do TCU a respeito da gestão de riscos nos institutos e nas universidades federais. Pronunciou-se assim o TCU, no Acórdão TCU nº 1089/2014  (item 214): “A maior interessada em realizar a avaliação e a gestão dos riscos deveria ser a própria administração, pois tais instrumentos apontariam as providências a serem tomadas a fim de evitar que vulnerabilidades não detectadas impeçam o atingimento dos objetivos da organização. A Audin [Unidade de Auditoria Interna] deveria atuar na avaliação desses instrumentos, apontando as oportunidades de melhoria”. (Veja uma análise completa de como aproveitar o Acórdão TCU nº 1.089/2014 no plano anual de auditoria interna.)

Naturalmente, a elaboração dos PAINTs (Planos Anuais de Auditoria Interna) continuará a tomar por base as políticas e os procedimentos de controles, riscos e governança do instituto federal em que a Unidade de Auditoria Interna opere; e, se uma Política de Gestão de Riscos estiver disponível, deverá ser considerada.

Todavia, a elaboração dos PAINTs, assim como das auditorias, continuará a lastrear-se em bons padrões de auditoria, assim como na Instrução Normativa CGU nº 24/2015 e na Instrução Normativa SCIF nº 01/2001, sem razões para discussões suscitadas pela IN CGU/MPOG nº 01/2016.

O que você precisa saber

Controles internos

As disposições da IN CGU/MPOG nº 01/2016 a respeito dos controles internos podem orientar a formalização deles pelo instituto federal. São elas:

  1. definição (arts. 2º, V, e 7º)
  2. obrigatoriedade e requisitos (art. 3º, §§ 1º, 2º, 3º e 5º, e arts. 4º e 5º)
  3. princípios (art. 8º)
  4. finalidade e objetivos (arts. 9º e 10)
  5. estrutura da estrutura dos controles internos da gestão (art. 11) e seus componentes: ambiente de controle, avaliação de riscos, atividades de controles internos, informação e comunicação, monitoramento

O art. 7º assume uma importância conceitual e prática fundamental porque impede a confusão entre controles internos e auditoria interna. Os controles internos são uma atividade disseminada no instituto federal através da qual se procura garantir a lisura dos procedimentos e o alcance dos objetivos organizacionais. A auditoria interna é uma atividade de avaliação sistemática dos controles internos. Por conseguinte, a implementação da IN CGU/MPOG nº 01/2016 não deve ser atribuída à Unidade de Auditoria Interna. Mas a avaliação desta implementação deverá entrar no raio de ação da Unidade de Auditoria Interna.

Aceito o sacrifício de reiterar o já mencionado pronunciamento do TCU no Acórdão TCU nº 1089/2014  (item 214): “A maior interessada em realizar a avaliação e a gestão dos riscos deveria ser a própria administração, pois tais instrumentos apontariam as providências a serem tomadas a fim de evitar que vulnerabilidades não detectadas impeçam o atingimento dos objetivos da organização. A Audin [Unidade de Auditoria Interna] deveria atuar na avaliação desses instrumentos, apontando as oportunidades de melhoria”. (Veja uma análise completa de como aproveitar o Acórdão TCU nº 1.089/2014 no plano anual de auditoria interna.)

Política e modelo de riscos

As disposições a respeito dos riscos propõem que a gestão de riscos seja operacionalizada com base em um modelo de gestão de riscos, por sua vez concebido em conformidade com uma política de gestão de riscos.

Os requisitos da política de gestão de riscos constam no art. 17.

O modelo de gestão de riscos possui os componentes do art. 16:

  • ambiente interno
  • fixação de objetivos
  • identificação de eventos
  • avaliação de riscos
  • resposta a riscos
  • atividades de controles internos (distintas da Unidade de Auditoria Interna)
  • informação e comunicação
  • monitoramento

O modelo de gestão de riscos deve, ainda, justapor três linhas de prevenção de riscos:

  1. Primeira linha → controles internos da gestão (art. 3º)
  2. Segunda linha → opcional, formada por comitês, colegiados e assessorias (art. 6º)
  3. Terceira linha → a Unidade de Auditoria Interna (art. 2º, II)

As disposições da IN CGU/MPOG nº 01/2016 referentes especificamente à gestão de riscos limitam-se a determinar os seguintes parâmetros:

  • obrigatoriedade e processo de gestão de riscos (art. 13)
  • princípios (art. 14)
  • objetivos (art. 15)
  • tipologia para mapeamento de riscos (art. 18)

Responsabilidade dos gestores

As responsabilidades dos gestores estão definidas nos arts. 3º, § 4º, 12, 16, parágrafo único, e 19. Essencialmente, clarificam que incumbe aos gestores tomar as iniciativas de implantação, manutenção e aprimoramento da gestão de riscos.

(Não, desta vez não incorrerei no sacrifício de reiterar o já mencionado pronunciamento do TCU no Acórdão TCU nº 1089/2014  (item 214) – por favor, veja-o alguns parágrafos acima.)

Governança

As disposições sobre governança resumem-se a apresentar qualidades do que a IN CGU/MPOG nº 01/2016 trata de “boa governança”. Estas qualidades são apresentadas na forma de princípios (art. 21) e de gestão integrada de riscos e controles internos (art. 22).

Conclusão

A gestão institucional do instituto federal deve tomar providências para a implementação gradativa das disposições da IN CGU/MPOG nº 01/2016.

O primeiro passo pode ser constituir o Comitê de Governança, Riscos e Controles, com Assessor Especial de Controle Interno.

O segundo, a elaboração e a aprovação da Política de Gestão de Riscos, antes de maio de 2017.

O terceiro, a formalização das políticas e dos mecanismos de governança.

O quarto, a capacitação da gestão executiva a operacionalizar a gestão de riscos.

Paralelamente, a Unidade de Auditoria Interna pode, desde já, considerar as disposições da IN CGU/MPOG nº 01/2016 como prováveis parâmetros de auditoria para o próximo PAINT.