natureza: relatório de levantamento. unidades: ministério ... · a equipe participou de...

TRIBUNAL DE CONTAS DA UNIÃO TC 011.745/2012-6

1

GRUPO I – CLASSE V – PLENÁRIO. TC 011.745/2012-6

Natureza: Relatório de Levantamento. Unidades: Ministério do Planejamento, Orçamento e Gestão –

MPOG e outras 66 entidades da administração indireta. Interessada: Secretaria de Métodos Aplicados e Suporte à Auditoria – Seaud.

Advogados: Eduardo Luiz Ferreira Araújo de Souza (OAB/RJ 140.563) e outros – peça 159, p. 2/7.

SUMÁRIO: LEVANTAMENTO DE AUDITORIA. ELABORAÇÃO DE INDICADOR PARA MEDIR O GRAU DE

MATURIDADE DE ENTIDADES PÚBLICAS NA GESTÃO DE RISCOS. CONSTATAÇÃO DE QUE, EM MÉDIA, AS

ENTIDADES ESTÃO EM NÍVEL INTERMEDIÁRIO NO GERENCIAMENTO DE RISCOS. DETERMINAÇÕES À UNIDADE TÉCNICA. AUTORIZAÇÃO PARA DIVULGAÇÃO

DAS INFORMAÇÕES CONSOLIDADAS E DOS DADOS PÚBLICOS COLETADOS.

RELATÓRIO

Trata-se de levantamento com o objetivo de elaborar indicador que reflita o grau de maturidade dos órgãos e entidades públicos em relação à gestão de riscos e aos controles internos.

2. Após a conclusão dos trabalhos, foi produzido o seguinte relatório no âmbito da Secretaria

de Métodos Aplicados e Suporte à Auditoria – Seaud:

“1. INTRODUÇÃO

1. O Tribunal de Contas da União incluiu, na versão mais recente do seu planejamento estratégico, objetivo voltado para ‘intensificar ações que promovam a melhoria da gestão de riscos e de controles internos da Administração Pública’. Em consonância com seu planejamento, o TCU aprovou o Plano de Ação TMS 10.1: Governança, gestão de riscos e de controles internos, para 2012.

2. A Secretaria de Fiscalização e Avaliação de Programas de Governo – Seprog encaminhou, com anuência da Secretaria Adjunta de Planejamento e Procedimentos – Adplan, proposta de realização de levantamento de auditoria, a ser conduzido em parceria com a Secretaria de Fiscalização de Tecnologia da Informação – Sefti, com o objetivo de avaliar a gestão de riscos e os controles internos em toda a administração pública federal. O levantamento foi autorizado pela Ministra Ana Arraes em despacho no TC 009.863/2012-5 em 24/04/2012.

3. Conceitualmente, a gestão de risco, em qualquer dos modelos adotados nos setores público e privado, nacionais e internacionais, é abordagem que privilegia o alcance de resultados. Riscos são eventos ou circunstâncias que têm potencial para comprometer, no todo ou em parte, a consecução dos objetivos ou dos resultados desejados. Consequentemente, ao buscar-se a mitigação dos riscos por meio de controles apropriados, o efeito será maior certeza de que os resultados serão atingidos, o que significa maior eficácia da gestão pública.

4. A gestão de riscos contribui para a boa governança corporativa ao aumentar a chance de que os resultados pretendidos sejam atingidos. De fato, o processo de gestão de riscos desenvolve o ambiente de controle, o qual, por sua vez, fornece maior garantia de que os objetivos organizacionais sejam alcançados dentro de um grau aceitável de risco residual (KNIGHT, 2003). A governança corporativa pode ser definida como o meio pelo qua l uma organização é controlada e dirigida para alcançar objetivos,

Para verificar as assinaturas, acesse www.tcu.gov.br/autenticidade, informando o código 50432045.


2

percebe-se que o fator comum que liga gestão de riscos, controle e governança corporativa é o foco em alcançar objetivos (DAHMS, 2008).

5. O TCU vem desenvolvendo desde 2007 trabalhos voltados para a avaliação da governança de tecnologia da informação no setor público. A partir de 2010, a Secretaria de Fiscalização de Tecnologia da Informação – SEFTI passou a calcular o Índice de Governança de TI (IGovTI) em várias entidades da administração pública, e a utilizar esse indicador para planejar suas ações de controle nessa área especializada. Ao mensurar o grau de maturidade de cada entidade em relação à governança de TI, torna-se possível fornecer aos gestores informações sobre os possíveis pontos de melhoria nessa área, bem como acompanhar sua evolução ao longo do tempo.

6. Em alguns países, a gestão de riscos já é prática consolidada no setor público. O Treasury Board Secretariat (Secretaria do Tesouro) do Canadá adotou oficialmente modelo de gestão de riscos em 2001 (Integrated Risk Management Framework, abril de 2001), o qual vinha sendo a referência na administração direta daquele país. Em 2010, promoveu revisão ampla do tema, e editou novos documentos de referência (Framework for the Management of Risk), mas mantendo a continuidade da adoção da gestão de riscos no setor público canadense.

7. O Reino Unido também tem adotado gestão de riscos no seu setor público há alguns anos. Já no ano 2000, o Auditor Geral do Reino Unido publicou relatório de auditoria sobre o tema (Supporting innovation: Managing risk in government departments). Em 2009, o Tesouro britânico publicou ferramenta voltada para a avaliação da gestão de risco nos diversos setores do governo (Risk Management assessment framework: a tool for departments), consolidando assim o uso dessa abordagem na sua administração pública.

8. No Brasil, ainda não há um referencial que oriente a estruturação da gestão de riscos na administração pública federal. O mais próximo disso é o Gespública, que consiste em conjunto de orientações e parâmetros para avaliação da gestão, embora esse modelo de gestão não tenha enfoque específico para gerenciamento de riscos.

9. Nesse contexto, foi proposto o presente levantamento, que tem como objetivo avaliar a maturidade da gestão de riscos nos diversos setores da administração pública federal indireta brasileira, por meio da construção e divulgação de um indicador que estimule o aperfeiçoamento da gestão de riscos no setor público e que forneça ao TCU informações relevantes para o planejamento das suas ações de controle.

10. O método adotado neste levantamento consiste nos passos descritos sucintamente nesta seção. Maiores detalhes são fornecidos na descrição de como foi construído o modelo de aferição da maturidade da gestão de riscos usado neste levantamento.

11. A equipe participou de treinamento ministrado por consultor internacional sobre modelos de gestão de risco, com duração de 18 horas, no qual foram apresentados fundamentos da gestão de riscos e expostos exemplos de outros países e do setor privado.

12. O primeiro passo para a construção do indicador foi identificar e analisar diversos modelos de gestão de riscos aplicável ao setor público federal e selecionar aqueles que pudessem fornecer arcabouço conceitual consistente e estrutura para a compilação de boas práticas do gerenciamento de riscos.

13. Analisados os modelos descritos no capítulo 2, o próximo passo foi definir que dimensões da gestão de riscos seriam incorporadas ao indicador em construção e, para cada uma dessas dimensões, desenvolver um conjunto de questões avaliativas que pudessem ser usadas para mensurar a adequabilidade da gestão de risco de uma entidade.

14. O terceiro passo consistiu em definir fatores matemáticos de ponderação, para que as avaliações de cada dimensão pudessem ser expressas conjuntamente em um único número que representasse a maturidade organizacional em gestão de riscos, dentro de uma escala de avaliação. Utilizou-se, para tanto, a técnica de hierarquização de fatores denominada Analytic Hierarchy Process (COYLE, 2004).

15. O quarto passo foi desenvolver o questionário com as questões avaliativas selecionadas anteriormente, conforme descrito no capítulo 3.


FranciscoEHB

Realce


3

16. O questionário foi então aplicado a 66 entidades da administração indireta selecionadas por critérios de relevância e materialidade, com o cuidado de garantir que houvesse representantes de quatro tipos de entidades (autarquias, fundações, empresas públicas e sociedades de economia mista). Cada entidade respondeu a um questionário eletrônico criado como formulário do MS Word, enviado ao seu dirigente máximo por meio de correio eletrônico. As questões objetivas foram analisadas usando o MS Excel.

17. A análise de dados permitiu avaliar a maturidade da gestão de riscos nessas organizações com limitações inerentes ao método de coleta de dados adotado, baseado em pesquisa respondida pelas entidades participantes. As limitações, descritas no capítulo de resultados, não impedem que se obtenha um retrato do estágio de maturidade da gestão de riscos nas entidades participantes, nem que se inicie um processo de indução de melhorias nas práticas de gerenciamento de risco nessas organizações, como comprova a grande amplitude de níveis de maturidade revelada pela pesquisa. A coleta de evidências documentais e a consulta a maior número de atores organizacionais deverão ser realizadas por ocasião da realização de auditorias de gestão de risco, como desdobramento dos resultados deste levantamento.

18. O relatório descreve brevemente, no capítulo 2, os modelos de avaliação da gestão de riscos e controles estudados. No capítulo 3 descreve como foi construído o modelo de avaliação e o cálculo do indicador da maturidade da gestão de riscos, trazendo mais detalhes do método utilizado. O capítulo 4 apresenta os resultados do trabalho e traça uma visão geral da gestão de riscos nessas organizações, bem como visões por setor de atuação. No capítulo 6, incluem-se possíveis ações de controle que podem ser realizadas valendo-se dos resultados deste levantamento. Por fim, apresentam-se a conclusão e a proposta de encaminhamento.

2. MODELOS DE AVALIAÇÃO DA GESTÃO DE RISCOS E CONTROLES

19. Foram examinados cinco modelos relacionados à gestão de riscos e controles, desenvolvidos pelos seguintes órgãos e entidades: Secretaria do Tesouro do Reino Unido; Comitê das Organizações Patrocinadoras da Comissão Treadway (COSO); International Organization for Standardization (ISO); Secretaria do Tesouro do Governo do Canadá; e Escritório de Accountability Governamental dos Estados Unidos (GAO).

20. Os modelos dos órgãos canadense, britânico e norte-americano foram desenvolvidos no contexto da administração pública, enquanto que os referenciais elaborados por COSO e ISO são genéricos e aplicam-se aos setores público e privado. Entre os modelos examinados, o que mais influenciou o modelo construído pela equipe do levantamento foi o britânico e, em seguida, os desenvolvidos por COSO e ISO.

21. A equipe também revisou o modelo de avaliação da gestão pública do Ministério do Planejamento - o Gespública - que, apesar de não ser voltado para gestão de riscos especificamente, apresenta componentes que contribuíram para a seleção de dimensões do modelo construído neste levantamento.

22. Finalmente, também foi estudado documento, elaborado pela Sefti, que descreve o uso e a aplicação do Índice de Governança de TI (IGovTI), tema correlato ao da gestão de riscos.

2.1. Modelo do Reino Unido

23. Em julho de 2009 o governo britânico (HM Treasury) divulgou o Risk Management Assessment Framework: a Tool for Departments, contendo arcabouço para avaliação da gestão de riscos nos seus departamentos (REINO UNIDO, 2009). Essa ferramenta tem por objetivo permitir a aferição da gestão de riscos nas organizações governamentais do Reino Unido, com vistas a identificar oportunidades de melhoria. Pode ser aplicada por examinadores externos ou auto aplicada pelos gestores.

24. Esse modelo é derivado de modelo consolidado de excelência de gestão - The EFQM Excellence Model (EFQM, 2012), utilizado por mais de 30 mil organizações, principalmente na Europa, e está estruturado em sete componentes, a saber: i) liderança; ii) pessoas; iii) política e estratégias para riscos; iv) parcerias; v) processo de gestão de riscos; vi) eficácia da gestão de riscos; e vii) resultados.



4

Figura 1 - Modelo de avaliação da gestão de riscos utilizado pelo Tesouro Britânico

25. Esse modelo foi selecionado para ser a base conceitual da construção do indicador de gestão de riscos pelas seguintes razões:

a) trata-se de ferramenta desenvolvida para a mesma finalidade ora pretendida (avaliar a gestão de riscos);

b) trata explicitamente a gestão dos riscos que envolvem parcerias no setor público, aspecto não enfocado em outros modelos;

c) baseia-se em modelo consagrado de excelência de gestão;

d) foi desenvolvido especificamente para o setor público.

2.2. COSO Gestão de Riscos Corporativos

26. Trata-se do modelo de gestão de riscos predominante no cenário corporativo internacional, especialmente na América do Norte, e, por isso, mereceu especial consideração na formulação do indicador objeto do presente levantamento. A estrutura conceitual adotada como base para o indicador de gestão de riscos baseia-se no modelo britânico, mas com adaptações feitas a partir do COSO GRC e dos demais modelos mencionados neste relatório.

27. Em novembro de 2006, a Audibra (Instituto dos Auditores Internos do Brasil) publicou versão em português do modelo de gestão de riscos produzido pelo Comitê das Organizações Patrocinadoras da Comissão Treadway (COSO), sob o título Gerenciamento de Riscos Corporativos – Estrutura Integrada, doravante referido como COSO GRC (COSO, 2006).

28. O COSO pode ser representado pelo cubo reproduzido na figura a seguir.



5

Figura 2 - Estrutura de gestão de riscos segundo COSO GRC

29. A face frontal do cubo descreve os oito componentes estruturantes do modelo. Na face superior, encontram-se as quatro categorias de objetivos corporativos, cujo alcance norteia todas as ações dos gestores em todos os níveis. A formulação dos objetivos, nessas categorias, é passo indispensável para a identificação dos eventos de riscos e para as demais etapas do processo de gestão. Finalmente, temos na face lateral direita os diversos níveis ou recortes organizacionais, nos quais os processos operacionais, de apoio e de gestão de riscos de fato ocorrem.

30. Há uma ênfase na importância do Ambiente Interno como sendo o alicerce principal sobre o qual toda a gestão de riscos é construída, e do qual todas as etapas dependem. Transcrevemos, por relevante, o seguinte excerto (COSO, 2006, p. 27):

O ambiente interno abrange a cultura de uma organização [e] a influência sobre a consciência de risco de seu pessoal, [e,] sendo a base para todos os outros componentes do gerenciamento de

riscos corporativos, possibilita disciplina e estrutura. Os fatores do ambiente interno compreendem a filosofia administrativa de uma organização no que diz respeito aos riscos; o seu apetite a risco; a supervisão do conselho de administração; a integridade, os valores éticos e a competência do pessoal da organização; e a forma pela qual a administração atribui alçadas e responsabilidades, bem como organiza e desenvolve o seu pessoal. (grifo nosso)

31. Uma contribuição estrutural do COSO GRC para o modelo deste levantamento foi a especificação da dimensão Ambiente de Gestão de Riscos com base no componente Ambiente Interno. Nessa dimensão foram abrangidas as dimensões do modelo britânico denominadas Liderança, Políticas e Estratégias, e Pessoas, que passaram a ser subdimensões do modelo de avaliação de maturidade de gestão de riscos.

2.3. A Norma ISO 31000/2009

32. A abordagem descrita na ISO 31000/2009 (ABNT, 2009) propõe-se a fornecer princípios e diretrizes para gerenciar qualquer forma de risco de uma maneira sistemática, transparente e confiável, dentro de qualquer escopo e contexto.

33. A norma indica que convém que o processo de gestão de riscos seja parte integrante da gestão, seja incorporado na cultura e nas práticas da organização, e seja adaptado aos processos de negócio.

34. Dentre outros benefícios, o normativo tem por finalidade ajudar a organização a aumentar a probabilidade de atingir seus objetivos, melhorar sua governança e estabelecer base confiável para tomada de decisões. A figura a seguir sintetiza o processo de gestão de riscos preconizado pela ISO. Foram mantidas as referências numéricas a parágrafos do documento original.



6

Figura 3 - Processo de gestão de riscos segundo a ISO 31000/2009

2.4. Modelo Canadense

35. O modelo de gestão de riscos adotado atualmente pela Secretaria do Conselho do Tesouro do Governo Canadense está descrito no Framework for the Management of Risk , vigente a partir de agosto de 2010 (CANADÁ, 2010a). O objetivo desse documento é capacitar a alta administração pública a identificar os diferentes tipos de riscos a que a administração pública está exposta e a tomar decisões voltadas para a sua mitigação.

36. Esse documento é complementado pelo Guide to Integrated Risk Management, publicado pela Secretaria do Tesouro do Governo do Canadá em 2012 (CANADÁ, 2010b). Serve como guia para implementação e operação da gestão de riscos no governo canadense. Em síntese, esse guia prevê o estabelecimento de processo de gestão de riscos na administração direta canadense, composto das seguintes etapas: identificação de riscos; avaliação de riscos; resposta a riscos; comunicação de riscos; e monitoramento de riscos.

37. Na primeira etapa desse processo, a organização deve prover diretrizes sobre quem deve identificar riscos, qual o rigor requerido nas atividades de identificação de riscos, que tipo de informação deve ser coletada e como os riscos devem ser documentados para fins de avaliação.

38. Na segunda etapa do processo de gestão de riscos, riscos devem ser analisados e priorizados. A análise envolve, no mínimo, avaliação da probabilidade de ocorrência do risco e do seu impacto sobre os objetivos, caso concretizado, e deve basear-se em critérios apropriados.

39. A avaliação de riscos deve focalizar tanto riscos residuais (isto é, levando-se em consideração o efeito dos controles e das respostas a risco existentes) ou riscos inerentes (sem levar em consideração o efeito dos controles e das respostas a risco existentes).

40. Devem ser definidas pela organização quem são as pessoas responsáveis pela avaliação dos riscos, qual o rigor requerido para essa atividade, que tipo de informação deve ser coletada e como os riscos avaliados devem ser documentados para fins de adoção de respostas adequadas

41. Resposta a riscos, terceira etapa do processo de gestão de riscos, tem por finalidade a seleção e a implementação de medidas para contrapor a riscos. Deve levar em consideração o nível de tolerância a riscos da organização e as prioridades da corporação no que tange à alocação de recursos. Podem ser necessários trade-offs entre os esforços de mitigação de riscos, diante das limitações de recursos, e os níveis de risco considerados toleráveis.



7

42. A comunicação de riscos ocorre durante o processo de gestão de riscos, e integra o processo de tomada de decisões. Deve ser definido pela organização que tipo de informação deve ser comunicada a quem, e que meios devem ser usados para que as informações cheguem à audiência pretendida.

43. Informações sobre riscos devem ser comunicadas aos níveis adequados dentro da organização e em tempo hábil para serem usadas nos processos decisórios. Tanto as pessoas responsáveis pela gestão dos riscos como as que são afetadas devem receber as informações relevantes.

44. O monitoramento contínuo dos riscos, segundo este modelo, é essencial para assegurar que as informações sobre riscos continuem relevantes. Envolve a revisão das informações de riscos para garantir que o impacto de eventuais mudanças nas circunstâncias é devidamente considerado. Também inclui acompanhar a implementação das medidas de respostas aos riscos, para verificar se estão de fato sendo efetivadas.

2.5. Modelo de avaliação de gestão e de controles internos do GAO

45. Em agosto de 2001, o Escritório de Accountability Governamental norte-americano (GAO) publicou a Ferramenta de Gestão e Avaliação de Controle Interno (ESTADOS UNIDOS, 2001), com o objetivo de auxiliar os órgãos governamentais daquele país a manter e implementar um controle interno efetivo e, quando necessário, ajudá-los a determinar o que, onde e como melhorias podem ser implementadas.

46. Embora seja voltado para gestão de controles internos, que é um dos aspectos da gestão de riscos, essa ferramenta avaliativa segue estrutura baseada na primeira versão do COSO, reproduzindo cinco áreas estruturantes que foram mantidas no COSO GRC, a saber: i) Ambiente de Controle; ii) Avaliação de Riscos (desdobrada no COSO GRC em identificação de eventos, avaliação de riscos e resposta a riscos); iii) Atividades de Controle; iv) Informações e Comunicação; e v) Monitoramento. Para cada uma dessas áreas, são apresentados agrupamentos de questões estruturadas, cujas respostas, tomadas em conjunto, permitem ao gestor avaliar sua organização em relação a cada um desses componentes.

2.6. Programa Nacional de Gestão Pública e Desburocratização – Gespública

47. A Secretaria de Gestão do Ministério do Planejamento publicou o Instrumento para Avaliação da Gestão Pública – Ciclo 2010 (BRASIL, 2009), que consiste em conjunto de orientações e parâmetros para avaliação da gestão. O instrumento tem por referência o Modelo de Excelência em Gestão Pública e os conceitos e os fundamentos preconizados pelo Programa Nacional de Gestão Pública e Desburocratização – Gespública.

48. Tal instrumento vem sendo utilizado para avaliação e melhoria da gestão das organizações públicas que aderiram ao Gespública, mediante uso do resultado dessa avaliação para melhorar o sistema de gestão da entidade.

49. Embora esse modelo de gestão não tenha enfoque específico para gerenciamento de riscos, foi considerado importante incorporar contribuições desse modelo ao instrumento construído neste levantamento. Em especial, foram adotados os oito critérios em que o Gespública se estrutura, por ser oficialmente adotado pelo poder executivo federal com o objetivo de aperfeiçoar a gestão pública. A figura a seguir contém representação gráfica do modelo.



8

Figura 4 - Representação do Modelo de Excelência em Gestão Pública

50. Como se trata de instrumento de avaliação, nele já estão previstos critérios e itens de avaliação para cada componente do modelo, bem como a pontuação máxima para cada um deles, conforme detalhado na tabela 1. Na figura 4, estão indicadas os critérios do Gespública. Acima do nome do critério é indicada sua numeração e abaixo o número máximo de pontos possível de ser alcançado pela organização pública avaliada. O Gespública está sendo reformulado pelo Secretaria de Gestão Pública (Segep) do Ministério do Planejamento. Grupo de servidores do TCU, inclusive membros da equipe deste levantamento e auditores da Coestado, Seaud, Sefip e SecexAdmin, assistiu a uma apresentação sobre o novo modelo proposto e o revisou a pedido da Segep. Entre as mudanças detectadas em relação ao modelo anterior, está a inclusão de um componente dedicado ao sistema de governança organizacional e perguntas sobre práticas de gestão de riscos.



9

Tabela 1 - Critérios e itens do Gespública

Fonte: BRASIL, 2009, p. 35.

3. CONSTRUÇÃO DE MODELO DE AVALIAÇÃO DA MATURIDADE DA GESTÃO DE

RISCOS

51. Cada um dos modelos tratados no capítulo anterior foi examinado, e foram identificadas as vantagens e desvantagens de sua adoção na administração pública federal brasileira. Após análise comparativa, o modelo de gestão de riscos adotado pelo governo do Reino Unido foi considerado o mais adequado para servir de referência à elaboração de um modelo do TCU para avaliação da maturidade em gestão de riscos, pelas seguintes razões:

a) é um modelo abrangente, já adaptado para o setor público;

b) deriva de um modelo maduro de excelência de gestão (EFQM, 2012) utilizado por mais de 30 mil organizações , principalmente da Europa;


FranciscoEHB

Realce


10

c) é um referencial flexível que pode ser adaptado pelas organizações segundo suas necessidades;

d) não prescreve formas de implantar ou aprimorar a gestão de risco, mas limita-se a indicar quais características são esperadas de gestão de risco madura;

e) incorpora a dimensão parcerias, o que outros modelos estudados não fazem (parceria caracteriza-se quando o ente público se vale de outros agentes para alcançar seus resultados).

52. Definido o modelo estruturante do índice, a etapa seguinte foi o desenvolvimento da versão preliminar do questionário avaliativo. Para cada dimensão da gestão de riscos definida no modelo, a equipe formulou perguntas avaliativas, a partir do conteúdo dos documentos estudados. Os modelos descritos, à exceção dos modelos britânico e norte-americano, não trazem as perguntas a ser incluídas no questionário, pois seu objetivo não é avaliativo, mas descritivo de boas práticas.

53. A tabela 2 registra o esforço inicial de selecionar perguntas aplicáveis à avaliação da gestão de riscos oriundas de cada um dos modelos estudados. Na coluna ‘dimensão’, estão discriminadas as áreas componentes do modelo britânico, adotado como base para a produção do indicador, com a inclusão das etapas do processo de gestão de riscos previstas no COSO.

Tabela 2 – Quantidade de perguntas selecionadas por dimensão da gestão de riscos e por

documento-fonte

Dimensão

Documento-fonte

Tot

al Canadá

COS

O e

GAO1

Gespúbli

ca

IS

O

Rein

o

Unid

o

LIDERANÇA

6 7 26 16 20 75

PESSOAS 1 12 19 1 24 57

POLÍTICAS & ESTRATÉGIAS

9 55 24 14 22 124

PARCERIAS

1 0 15 1 14 31

PROCESSOS DE GESTÃO DE RISCOS

11 11 22 8 19 71

Identificação de evento de risco

4 0 1 3 9 17

Avaliação de Risco

3 3 0 6 5 17

Resposta a Risco

3 3 0 1 7

Atividades de Controle

0 8 0 3 4 15



11

EFICÁCIA DA GESTÃO DE RISCOS

2 0 0 0 34 36

RESULTADO

1 1 7 6 16 31

Total 41 100 114 59 167 481

Fonte: Elaboração própria.

Nota 1: O documento de avaliação de controles internos do GAO é fortemente baseado no modelo COSO. Por essa razão, as perguntas selecionadas nesses dois documentos foram contabilizadas na mesma coluna.

54. Partindo-se das 481 questões selecionadas, chegou-se, com base em julgamento profissional e para evitar redundâncias e questões acessórias, à versão preliminar do questionário, com 190 itens distribuídos pelas dimensões relacionadas na tabela 2.

55. Essa versão do questionário foi apresentada ao Ministério do Planejamento e à Eletronorte com o objetivo de expor a ferramenta, por meio de testes-piloto, ao ambiente da administração direta e ao da administração indireta, e de aferir sua aplicabilidade em dois contextos distintos. O Ministério do Planejamento foi escolhido por seu papel central de orientação do Poder Executivo na área de planejamento e gestão. Optou-se pela Eletronorte pelo fato de essa entidade já haver sido fiscalizada por membro da equipe e ser considerada como organização em que a gestão de riscos encontra-se estruturada.

56. Com técnicos e dirigentes do Ministério do Planejamento, foram realizadas duas reuniões para análise da proposta. Os servidores daquele ministério esclareceram que, na administração pública federal direta, a abordagem de gestão de riscos tem sido utilizada somente em alguns poucos setores, e que na ampla maioria dos órgãos o tema gestão de riscos é praticamente desconhecido. Nessa linha de argumentação, ponderaram que o questionário proposto tem ao mesmo tempo caráter bastante abrangente e profundo, o que pressupõe, para sua aplicação, a existência de nível mínimo de conhecimento do tema por parte dos gestores públicos.

57. Essa questão foi analisada pela equipe e pelos dirigentes das unidades técnicas envolvidas no trabalho, e concluiu-se pela opção de iniciar a aplicação dessa ferramenta avaliativa na esfera da administração federal indireta, uma vez que nesse setor a gestão de riscos é assunto de conhecimento geral, e é adotada em muitas empresas estatais e autarquias como parte do seu modelo gerencial.

58. Assim, a versão preliminar foi apresentada à Eletronorte para aplicação naquela empresa em caráter de teste-piloto. Realizou-se reunião com técnicos daquela empresa para os esclarecimentos necessários, ocasião em que também foi solicitado que fossem feitas críticas e observações que pudessem contribuir para o aperfeiçoamento da ferramenta. Em seguida, foi feita nova reunião, em que a Eletronorte apresentou suas respostas ao questionário, bem como ofereceu sugestões para seu aperfeiçoamento.

59. Incorporadas as sugestões e críticas julgadas pertinentes, o questionário foi submet ido ao escrutínio do mesmo consultor internacional responsável por ministrar treinamento à equipe de fiscalização. Dessa última fase de aprimoramento, resultou questionário com 64 perguntas, que cobrem 75 itens, reagrupados em apenas quatro dimensões, conforme descrito na próxima seção. O questionário completo encontra-se no anexo A.

60. O modelo proposto pela equipe baseou-se principalmente no modelo de avaliação da gestão de riscos desenvolvido pelo governo britânico (REINO UNIDO, 2009), com adaptações vindas dos modelos COSO e ISO 31000/2009. Possui quatro dimensões avaliativas: Ambiente de Gestão de Riscos, Processos de Gestão de Riscos, Gestão de Riscos em Parcerias e Resultados, cujos nomes simplificados são mostrados na figura 5. Apenas a dimensão Parcerias não se encontra dividida em subdimensões.

3.1. Ambiente de Gestão de Riscos


FranciscoEHB

Realce


12

61. A dimensão Ambiente, tomada do modelo COSO, engloba as subdimensões Liderança, Políticas e Estratégias, e Pessoas, as quais figuram explicitamente no modelo britânico. As perguntas desta dimensão, integrantes da Parte A do questionário, procuram definir condições fundamentais que devem estar presentes para que a gestão de riscos possa prosperar na organização.

Figura 5 - Modelo de avaliação da maturidade em gestão de riscos elaborado

3.1.1. Liderança

62. A importância do papel da alta administração nos processos de implantação e de operação de gestão de riscos é tema recorrente na literatura. Por exemplo, o GESPUBLICA, modelo de gestão adotado pelo poder Executivo Federal, também tem Liderança como seu primeiro componente (BRASIL, 2009, p. 37).

63. Por seu turno, o COSO (2006, p.35) assim se manifesta sobre a importância da liderança para a gestão de riscos corporativos:

Para que uma organização possa desfrutar de um gerenciamento de riscos corporativos eficaz, a atitude e o interesse da alta administração devem ser claros e definitivos, bem como permear toda a organização. Não é suficiente apenas dizer as palavras corretas, uma atitude de ‘faça o que digo e não o que faço’ somente gerará um ambiente inadequado.

64. Em essência, a subdimensão liderança busca avaliar o quanto a alta administração promove e dá suporte à gestão dos riscos da entidade, tanto na fase de implantação como na operação de todos os aspectos da gestão de riscos. No questionário avaliativo, as questões de 1 a 5 (Parte A) buscam mensurar a atuação da alta administração quanto à gestão de riscos.

3.1.2. Políticas e estratégias

65. As estratégias e políticas voltadas para gestão de riscos devem ser claramente definidas, comunicadas e postas em prática. Segundo a ISO 31000/2009, política de gestão de riscos é ‘declaração das intenções e diretrizes gerais de uma organização relacionadas à gestão de riscos’ (ABNT, 2009, p. 8). Ainda segundo esse normativo, é missão da administração definir e aprovar essa política , e assegurar que a cultura da organização e a política de gestão de riscos estejam alinhadas.

66. O COSO GRC afirma que ‘o gerenciamento de riscos é um processo conduzido pelo conselho de administração, pela diretoria executiva e pelos demais empregados, e aplicado no estabelecimento de estratégias por meio de toda a organização’ (COSO, 2006, p. 29). Ou seja, a gestão de riscos será concretizada pela adoção de estratégias apropriadas nas diversas partes da organização.

67. No questionário, as questões 6 a 11 (Parte A) cobrem esse tópico.

3.1.3. Pessoas

68. Nesta dimensão procura-se avaliar até que ponto as pessoas da entidade estão informadas, habilitadas e autorizadas a exercer seu papel na gestão de riscos. Aspectos como o grau de conhecimento dos servidores sobre os objetivos da entidade, a existência de canais de comunicação para que questões associadas a risco sejam levantadas e decididas, e a clara definição e distribuição das responsabilidades e das tarefas de integrantes dos processos de gestão de riscos são partes integrantes desta subdimensão.



13

69. Outros aspectos relevantes são a existência de arcabouço conceitual de risco que seja uniformemente conhecido e utilizado na entidade, bem como a oferta de cursos de capacitação sobre o tema.

70. O Gespública destaca a dimensão pessoal como parte integrante do seu modelo (BRASIL, 2009, p.57), e a definição de gestão de riscos oferecida pelo COSO (2006, p.4), a seguir transcrita, corrobora a importância desse componente:

O gerenciamento de riscos corporativos é um processo conduzido em uma organização pelo conselho de

administração, diretoria e demais empregados, aplicado no estabelecimento de estratégias, formuladas para identificar em toda a organização eventos em potencial, capazes de afetá-la, e administrar os riscos de modo a mantê-los compatíveis com o apetite a risco da organização e possibilitar garantia razoável do cumprimento dos seus objetivos. (grifo nosso).

71. No questionário avaliativo, a dimensão pessoal está contemplada nas questões de 12 a 19 (Parte A).

72. Há ainda uma pergunta aberta sobre papéis e responsabilidades relativos à gestão de risco formalmente definidos para órgãos ou departamentos da organização, tais como conselho de administração, auditoria interna, comitê de risco e unidades de negócio, quesito importante para a maturação da gestão de riscos (pergunta 20), e outra sobre os esforços empreendidos para implantar ou aprimorar a gestão de riscos abordando aspectos de liderança, políticas e estratégias e responsabilidades e desenvolvimento de pessoas (pergunta 21).

3.2. Processos de gestão de riscos

73. Os processos de gestão de riscos constituem o coração dos modelos de gestão de riscos. Para lidar com os riscos que podem impactar os objetivos de uma organização, devem ser instituídos processos de trabalho voltados para identificar eventos de risco; avaliar a probabilidade de ocorrência e o impacto dos riscos identificados sobre os resultados pretendidos (essa análise pode ser qualitativa ou quantitativa); escolher o tipo de resposta apropriada para cada risco, que pode consistir em aceitar, evitar, mitigar ou transferir o risco; desenhar e implementar respostas para os riscos priorizados na avaliação; comunicar assuntos relacionados a risco às partes interessadas; e monitorar a integridade da estrutura e do processo de gestão de riscos.

74. Tais processos devem estar embutidos ou integrados aos demais processos organizacionais, tanto gerenciais como operacionais. Nessa última categoria estão incluídos os processos finalísticos (core business) e os de apoio.

75. Tendo em vista que a adoção de controles é uma das possíveis maneiras de mitigar os riscos, optou-se, no questionário avaliativo, por considerar que o papel dos controles está implícito no conceito de respostas aos riscos, que está avaliado por grupo específico de questões.

76. No questionário, as perguntas de 1 a 22 da Parte B estão voltadas para a avaliação dos processos de gestão de riscos da entidade.

3.3. Gestão de riscos em parcerias

77. Esta dimensão trata de aspectos relativos à gestão de riscos em parcerias estabelecidas pela organização com entes públicos ou privados. Entende-se por parceria qualquer arranjo estabelecido a fim de possibilitar relacionamento colaborativo entre as partes visando o alcance de objetivos previamente acordados. Parcerias envolvem riscos e benefícios compartilhados.

78. O Gespública afirma que ‘as parcerias são usualmente estabelecidas para atingir um objetivo estratégico ou entrega de um produto ou serviço, sendo formalizadas por um determinado período e envolvem a negociação e o claro entendimento das funções de cada parte, bem como dos benefícios decorrentes’ (BRASIL, 2009, p. 21).

79. Devem existir medidas específicas para gerenciar riscos quando se trabalha com parceiros, sendo necessário haver clareza sobre quais riscos serão gerenciados por quem, e como se darão as trocas de informações sobre o tema. No questionário, as perguntas de 1 a 10 (Parte C) cobrem esse aspecto.

3.4. Resultados



14

80. Finalmente, a última parte do modelo adotado busca averiguar até que ponto o gerenciamento de riscos de fato contribui para conferir mais garantia de que os objetivos institucionais são alcançados. A razão de ser de todos os modelos de gestão de riscos é apoiar as organizações na consecução dos seus resultados planejados. Portanto, todos os objetivos organizacionais relevantes devem ser consideradas no processo de implementação da gestão de riscos, e, por conseguinte, deverá haver impacto positivo no alcance de todos eles.

81. Um pressuposto utilizado na estruturação desta dimensão é que os efeitos produzidos pela gestão de riscos em uma organização se dá em duas esferas: uma de efeitos imediatos e outra de efeitos mediatos. Na esfera dos efeitos imediatos, denominada Eficácia da Gestão de Riscos, estão os efeitos das práticas de gestão de riscos observados na qualidade do processo decisório, na coordenação entre unidades organizacionais, no gerenciamento de riscos com parceiros, no aperfeiçoamento de planos e políticas organizacionais, na comunicação sobre riscos com partes interessadas e no envolvimento dos servidores com avaliação e controle de riscos.

82. Os efeitos ditos mediatos são aqueles que se caracterizam como resultados organizacionais e que surgem a partir da presença dos efeitos imediatos. Em outras palavras, somente com a eficácia da gestão de riscos pode-se chegar a melhorar resultados organizacionais, tais como eficiência das operações, governança, qualidade de bens e serviços e cumprimento de leis e normas.

83. No questionário, as perguntas de 1 a 8 da Parte D avaliam a eficácia da gestão de riscos e a pergunta 9, desdobrada em 6 subitens, cobre os resultados organizacionais. Há ainda duas perguntas abertas que abordam casos de sucesso na aplicação da gestão de riscos (pergunta 10) e dificuldades na avaliação da gestão de riscos (pergunta 11).

3.5. O questionário e as escalas de avaliação

84. O questionário é composto por 55 perguntas fechadas e nove questões abertas, conforme discriminado na tabela 3.

Tabela 3 – Número de perguntas abertas e fechadas por dimensão no questionário.

Dimensão Perguntas

fechadas

Perguntas

abertas

Ambiente de gestão de riscos 19 2

Liderança 5 ---

Políticas & estratégias 6 ---

Pessoas 8 ---

Processos de gestão de riscos 19 3

Identificação e avaliação de riscos 8 ---

Respostas a riscos 6 ---

Monitoramento e comunicação de riscos

5 ---

Gestão de riscos em parcerias 9 1

Resultados 9 2

Perspectivas1 0 1

Total 55 9


Nota 1: ‘Perspectivas’ não é uma d imensão de maturidade, mas uma seção do questionário com apenas uma

pergunta aberta.



15

85. As perguntas fechadas das dimensões Ambiente, Parcerias e Resultados foram construídas para serem respondidas em escalas de concordância de cinco pontos (quadro 1), à exceção das perguntas 6 e 7 da parte A, que tratam da existência e composição de política de gestão de riscos e admitem apenas respostas sim/não.

Quadro 1 – Escala de resposta para perguntas de Ambiente, Parcerias e Resultados

1 2 3 4 5

Discordo

totalmente

Discordo mais

do que

concordo

Não

discordo

Nem

concordo

Concordo

mais do que

discordo

Concordo

totalmente

86. As perguntas pertencentes a Processos utilizam escala de maturidade de práticas de gestão de riscos ancorada nas pontas, ou seja, apenas as descrições das extremidades da escala são fornecidas (quadro 2). A escolha de pontos intermediários da escala pelo respondente em cada questão referente a processos de gestão de riscos irá se basear em sua avaliação da situação real da organização relativa ao tópico perguntado em comparação com os estados descritos nos extremos.

Quadro 2 – Escala de resposta para perguntas referentes a Processos.

87. Ambas as escalas baseiam-se na percepção dos respondentes e, portanto, são subjetivas. Daí a importância de que o dirigente máximo da entidade ou outro membro da alta administração, destinatário do questionário, reunisse pessoas que conhecessem bem a organização para debaterem e escolherem as respostas que melhor refletissem a situação da gestão de riscos na entidade.

88. Ressalte-se que em novembro de 2012 foi realizado seminário nas instalações do Tribunal com representantes das entidades participantes com o fim de esclarecê-los sobre os objetivos do levantamento e responder dúvidas sobre o modelo de avaliação da maturidade da gestão de risco. Com a mesma finalidade, foi elaborado glossário com termos empregados no questionário (anexo B).

3.6. Índice de maturidade

89. A maturidade de uma organização em gestão de riscos é determinada, segundo o modelo construído, pelas capacidades existentes em termos de liderança, políticas e estratégias, e preparo das pessoas para gestão de riscos, bem como pelos resultados decorrentes do emprego dessas capacidades. Assim, pode-se falar em maturidade da organização em cada uma das dimensões do modelo, como também em maturidade geral em gestão de riscos.

90. Para efeito de cálculo dos índices de maturidade de uma organização, adotou-se, no caso das escalas de cinco pontos, a correspondência mostrada na tabela 4, segundo a qual à primeira opção de resposta (‘discordo totalmente’ ou ‘prática inexistente na instituição’) atribuiu-se zero ponto por representar a ausência total da prática ou característica de gestão enfocada, e à última opção (‘concordo totalmente’ ou ‘prática sistemática plenamente incorporada à cultura’) atribuíram-se quatro pontos. No caso de perguntas que admitiam resposta sim/não, foram atribuídos quatro pontos ao ‘sim’ e nenhum ponto ao ‘não’.

Tabela 4 – Critério de correspondência das escalas de cinco pontos para efeito de cálculo da maturidade em gestão de riscos.

Ponto da

escala

Pontuação

correspondente

1 0


FranciscoEHB

Realce


16

2 1

3 2

4 3

5 4


91. O índice de maturidade em cada dimensão da gestão de riscos foi construído tomando-se o conjunto de itens que compõem a referida dimensão (Ambiente; Processos; Parcerias; e Resultados) e calculando-se a razão entre a pontuação obtida com as respostas e a pontuação máxima possível, expressando esse quociente com um número entre 0% e 100%. Se, por exemplo, uma entidade obtém 40 pontos de 76 pontos possíveis na dimensão Ambiente (dezenove perguntas, cada uma valendo até quatro pontos), então o índice de maturidade em Ambiente é de 52,6%.

92. Nas perguntas 7 da parte A e 1 da parte C, que possuem subitens e permitem mais de uma resposta, é possível obter um número decimal como pontuação. Na pergunta 7 da parte A, cada subitem relativo ao conteúdo de política de gestão de riscos recebeu 4/7 de ponto de modo que a pontuação máxima da questão fosse igual a quatro, como as demais perguntas. Na pergunta 1 da parte C, em que se pedia fossem listados os parceiros em gestão de riscos, fez-se uma média aritmética dos pontos atribuídos à existência de gestão conjunta de riscos nas parcerias listadas, considerando quatro pontos para a opção ‘sim’, dois pontos para a opção ‘em parte’ e nenhum ponto para a opção ‘não’.

93. Na pergunta 9 da parte D, apesar de ser uma questão com subitens, cada subitem foi tratado como uma questão que podia receber até quatro pontos, visto que a formatação em subitens deu-se apenas por razões redacionais, visando evitar a repetição de um mesmo trecho em todas as sentenças.

94. As respostas às questões discursivas não entraram no cálculo da maturidade, e serviram ao propósito de conhecer melhor o contexto em que se insere a gestão de riscos nas entidades participantes do levantamento.

95. Calculados os índices de maturidade nas quatro dimensões, o índice de maturidade em gestão de riscos é obtido aplicando-se a média ponderada das quatro dimensões com base nos seguintes pesos: Ambiente - 30%; Processos - 40%; Parcerias - 10%; e Resultados - 20%. O índice global derivado desse cálculo permite classificar o nível de maturidade de uma organização em uma das cinco faixas mostradas na tabela 5.

96. Ressalte-se que os pesos de cada dimensão foram determinados usando-se a técnica AHP (Analytic Hierarchy Process, COYLE, 2004) aplicada às respostas dadas por oito especialistas do TCU a comparações duas-a-duas da importância relativa das quatro dimensões do modelo. A técnica AHP presta-se a facilitar a tomada de decisão por meio da hierarquização de opções com base na opinião de um grupo de pessoas acerca dos atributos de cada opção.

Tabela 5 - Níveis de maturidade organizacional em gestão de riscos segundo o índice apurado.

Nível de

maturidade

Índice

Apurado

Inicial De 0% a 20%

Básico De 20,1% a 40%

Intermediário De 40,1% a 60%

Aprimorado De 60,1% a 80%

Avançado De 80,1% a 100%



17


97. O Índice de Governança de TI adota apenas três níveis de maturidade: inicial (0 a 40%); Intermediário (40% a 60%); e Aprimorado (60% a 100%). Optou-se, no presente levantamento sobre gestão de riscos e controle, em adotar cinco faixas de mesma amplitude (20%) de modo a poder discriminar melhor os diferentes estágios de maturidade em que se encontram as organizações.

4. AVALIAÇÃO DA GESTÃO DE RISCOS NA ADMINISTRAÇÃO INDIRETA

98. O questionário desenvolvido foi enviado para 66 entidades da administração federal indireta, tendo sido recebidas 65 respostas (taxa de retorno de 98,4%). A análise das respostas permite conhecer o grau em que práticas promotoras de gestão de riscos estão instaladas nessas instituições, bem como o efeito dessas práticas sobre os resultados organizacionais, segundo a percepção dos respondentes.

Gráfico 1 – Distribuição das organizações participantes do levantamento por natureza da entidade.


99. O fato de a pesquisa ter se baseado em questionário autoaplicável que busca capturar percepções da alta administração das entidades traz algumas limitações que afetam a precisão das respostas e devem ser consideradas na leitura dos resultados da análise. Por um lado, o contato com representantes das entidades e a própria análise de dados revelaram que o entendimento acerca da gestão de riscos varia sobremaneira entre as instituições, o que cria a possibilidade de que respostas tenham sido fornecidas sem a devida compreensão do que foi perguntado, em que pese a distribuição de um glossário (anexo B) e a disponibilidade da equipe para prestar orientações durante o período de aplicação. Por outro lado, como as entidades não foram solicitadas a encaminhar ou mesmo relatar as evidências que sustentam suas respostas, o que burocratizaria e prolongaria o levantamento, não havia possibilidade de verificar a acuidade das respostas.

100. Ainda que as entidades fossem instadas a enviar evidências documentais das respostas, isso não garantiria a efetivação de práticas de gestão de risco, a exemplo de uma política publicada, mas não aplicada pela organização. A evidenciação da existência de práticas de gestão de riscos é mais apropriada por meio da realização de auditorias, o que não impede que se tenha uma visão geral da maturidade da gestão de riscos na amostra de entidades selecionadas. A análise das respostas ao questionário trazem elementos de análise de consistência, que permitem identificar possíveis casos de organizações que poderiam ser objeto de auditoria.

101. A análise que se segue mostra o quadro da maturidade da gestão de riscos no conjunto das entidades participantes e em subconjuntos definidos por tipo de entidade (autarquias, empresas públicas e sociedades de economia mista), por setor de atuação (agência reguladora; energia elétrica; petróleo; financeiro; transportes) e por vinculação ministerial. Na análise por setor de atuação, mostram-se as lacunas críticas encontradas e apontam-se medidas que, se adotadas, poderiam contribuir para o desenvolvimento da gestão de riscos nas respectivas instituições.

4.1. Visão geral

26

2 20

17 AUTARQUIA

FUNDAÇÃO

EMPR.PÚBLICA

SOC.EC.MISTA



18

102. Observando-se a distribuição das entidades participantes do levantamento, segundo o nível de maturidade em gestão de riscos (gráfico 2), verifica-se que dois terços das organizações estão nos níveis básico e intermediário e que apenas 9% da amostra atingiu o estágio avançado. Tais dados mostram que há bastante espaço para que a gestão de riscos possa ser estruturada e fortalecida, ainda que as metas quanto ao nível de maturidade a se alcançar possam variar entre segmentos de atuação e de organização para organização. Em outras palavras, nem todas as entidades necessitam buscar o nível avançado para atuar com efetividade. Assim, organizações sujeitas a riscos mais críticos e que operam em ambientes de maior complexidade e dinamismo, como é o caso do sistema financeiro, precisam desenvolver maior competência em gestão de riscos do que outras que não operam nessas condições.

Gráfico 2 - Número de entidades segundo o nível de maturidade em gestão de riscos


103. Se o conjunto de entidades respondentes fosse visto como sendo uma única organização, atribuindo-se peso idêntico para cada uma delas, seu nível de maturidade seria considerado intermediário (índice de 43%). Quando se examina o desempenho global do conjunto de entidades por meio de média e desvio-padrão da amostra em cada dimensão e subdimensão (tabela 6), nota-se que o intervalo de variação dos índices vai de 0% a 100% em quase todos os quesitos, refletindo a enorme diversidade que caracteriza a gestão de riscos nas entidades pesquisadas. Observando-se as quatro dimensões, vê-se que Ambiente, Processos e Resultados estão no nível intermediário de maturidade (médias entre 42% e 49%), enquanto Parcerias é a única em patamar inferior de maturidade (nível básico, média de 35%), sinalizando que as entidades tendem a estruturar internamente a gestão de riscos antes de procurar fazê-lo com as organizações com as quais mantêm relações de parceria.

104. Examinando-se as subdimensões de Ambiente, nota-se que Liderança (média de 57%) está pouco mais desenvolvida do que Pessoas (49%) e Políticas e Estratégias (44%). O principal fato associado ao menor avanço nesse último quesito é a inexistência de política corporativa de gestão de riscos em 68% das entidades. Na dimensão Pessoas, os itens com pior avaliação são os relativos à designação e capacitação de gestores e servidores para lidar com riscos e à disseminação de boas práticas de gestão de riscos.

105. A dimensão Processos teve média de 42%, sendo que identificação e avaliação de riscos foi mais bem avaliada (média de 49%) que respostas a risco (38%) e monitoramento e comunicação de riscos (35%). Tais números são consistentes com a ordem lógica com que as etapas do processo de gestão de riscos são implantadas, pois cada etapa logicamente precedente apresenta maturidade maior que a etapa sucessora.

Tabela 6 – Estatísticas que caracterizam cada dimensão e subdimensão de maturidade em gestão de

riscos presentes no conjunto de entidades pesquisadas.

0

10

20

30



19

Dimensão de Maturidade Mínimo Máximo Média Desvio-

Padrão

Ambiente de gestão de riscos 1% 100% 49% 23%

Liderança 0% 100% 57% 23%

Políticas & estratégias 0% 100% 44% 30%

Pessoas 3% 100% 49% 21%

Processos de gestão de riscos 1% 100% 42% 24%

Identificação e avaliação de riscos 0% 100% 49% 27%

Respostas a riscos 0% 100% 38% 25%

Monitoramento e comunicação de riscos

0% 100% 35% 24%

Gestão de riscos em parcerias 0% 100% 35% 30%

Resultados 0% 100% 43% 30%

Índice 1% 95% 43% 22%


106. Observando-se a amostra de entidades agrupadas segundo sua natureza (gráfico 3), pode-se notar que as sociedades de economia mista têm a gestão de riscos mais desenvolvida que as empresas públicas, as quais, por sua vez, estão à frente das autarquias. Ressalte-se que esse resultado se refere somente à amostra pesquisada e que não pode ser extrapolado, uma vez que a amostra não é estatisticamente representativa do universo de entidades da administração pública indireta. Porém, o resultado é consistente com o fato de que a gestão de riscos tem origem no ambiente corporativo e é mais necessária em ambientes onde há maior incerteza quanto ao alcance de resultados, bem como com a suposição de que as sociedades de economia mista e as empresas públicas atuam em ambiente mais semelhante ao corporativo do que as autarquias

Gráfico 3 - Percentual de entidades em cada nível de maturidade de gestão de riscos segundo suas

naturezas.


Nota: as duas fundações participantes, não incluídas no gráfico, classificaram-se uma no nível básico e outra no

aprimorado.

107. Outra forma de ver a distribuição dos níveis de maturidade das entidades é segundo suas vinculações ministeriais. Considerando apenas os sete ministérios aos quais estão vinculadas ao menos três entidades (gráfico 4), pode-se notar que os ministérios mais bem colocados (Fazenda;

0%

20%

40%

60%

80%

100%

AVANÇADO

APRIMORADO

INTERMEDIÁRIO

BÁSICO

INICIAL



20

Desenvolvimento, Indústria e Comércio Exterior) não possuem entidades em nível inicial e têm cerca de um terço de suas entidades no nível avançado. Em outro extremo, estão o Ministério dos Transportes e o de Ciência e Tecnologia, com a totalidade de suas entidades nos níveis inicial e básico de maturidade. Novamente, deve-se ressaltar que apenas com uma amostra representativa ou com um censo será possível avaliar em que medida a vinculação ministerial da entidade está relacionada com seu estágio de maturidade.

Gráfico 4 - Percentual de entidades em cada nível de maturidade de gestão de riscos segundo sua

vinculação ministerial.


108. A seguir, analisa-se a situação da gestão de riscos em entidades que atuam em setores específicos, com o fito de revelar lacunas críticas e apontar medidas que poderão contribuir para o desenvolvimento da gestão de riscos nessas organizações. Em cada conjunto de entidades de maturidade semelhante dentro de um mesmo setor, foram apontadas as práticas menos desenvolvidas que deveriam ser alvo da atenção das entidades. Quando havia relação de precedência entre práticas pouco desenvolvidas no conjunto de entidades analisado, foi indicada a necessidade de dedicar-se a implementação de práticas básicas, sem mencionar práticas mais avançadas que dependem das básicas.

4.2. Maturidade da gestão de riscos em agências reguladoras

109. As dez agências reguladoras participantes do levantamento, apresentam graus de maturidade em gestão de riscos que variam de inicial a intermediário, conforme tabela 7, o que indica haver um longo caminho de aprimoramento a ser percorrido para que essas entidades apresentem uma gestão de riscos compatível com as exigências de suas áreas de negócio.

110. Esses resultados corroboram o que foi verificado na auditoria operacional realizada pela Sefid na governança regulatória das agências reguladoras de infraestrutura (BRASIL, 2011). Um dos achados desse trabalho foi a existência de falhas no gerenciamento de riscos adotados pelas agências decorrrentes da ausência de processos de gestão de riscos formalmente institucionalizados.

111. Na dimensão Ambiente, as agências exibem índices que variam de 18% a 54% (média de 36%). Ao se examinarem os subgrupos de perguntas que compõem esta dimensão, pode-se observar que: a) apenas em três entidades (Agência 1, Agência 2 e Agência 3) há sinais moderados da presença de práticas de liderança que promovem a gestão de riscos; b) nenhuma das agências reguladoras possui política institucional de gestão de riscos; c) nenhuma das agências declarou que existem papéis e responsabilidades relativos a gestão de riscos formalmente definidos para seus departamentos; e d) dos oito aspectos perguntados relativos a Pessoas, o único que parece estar presente é o que diz que ‘os gestores mantêm suas equipes informadas dos objetivos e das prioridades de suas unidades organizacionais’, item com o qual 70% das agências concordaram parcialmente.

Tabela 7 – Níveis de maturidade em gestão de riscos das agências reguladoras.

0%

20%

40%

60%

80%

100%

AVANÇADO

APRIMORADO

INTERMEDIÁRIO

BÁSICO

INICIAL



21

Entidade

Critérios Índi

ce

Ger

al

Nível de

Maturidade Am

biente

Pro

cessos

Par

cerias

Resu

ltados

Agência 1 47

%

57

%

69

%

70%

58%

Intermediário

Agência 2 54

%

51

%

28

%

60%

51%

Intermediário

Agência 3 43

%

42

%

64

%

65%

49%

Intermediário

Agência 4 38

%

43

%

39

%

27%

38%

Básico

Agência 5 50

%

8%

0%

50%

28%

Básico

Agência 6 28

%

20

%

67

% 5%

24%

Básico

Agência 7 21

%

22

%

3%

13%

18%

Inicial

Agência 8 36

%

13

%

0%

0% 16%

Inicial

Agência 9 18

%

14

%

0%

8% 13%

Inicial

Agência 10

24

%

7%

0%

0% 10%

Inicial

Média

3

6

%

2

8

%

2

7

%

30

%

31

%

---


112. Tais sinais de baixa maturidade no que tange a Ambiente dificultam a sistematização da gestão de riscos, como confirma o baixo nível de desenvolvimento das práticas tanto na dimensão Processos (média de 28%), quanto em Parcerias (média de 27%). Foi mencionado, entre os fatores que dificultam a implantação do processo de gestão de riscos, o não estabelecimento da gestão de riscos como prioridade organizacional.

113. Na dimensão resultados, que procura refletir a eficácia das práticas de gestão de riscos e seu impacto nos resultados da organização, os índices alcançados pelas agências tiveram ampla variação (de 0% a 70%). As três agências mais bem posicionadas, com nível intermediário de maturidade em gestão de



22

riscos, alcançaram índices na dimensão Resultados superiores aos índices obtidos em Ambiente e em Processos. Isso configura uma inconsistência nas respostas, pois é de se esperar que o índice em Resultados não supere os índices de Ambiente e Processos, que são as bases sobre as quais se constroem resultados. O caso extremo de inconsistência coube à Agência 5, que obteve 8% em Processos e 50% em Resultados.

Gráfico 5 –Índices obtidos pelas agências reguladoras nos critérios de maturidade em gestão de

riscos.


114. Apesar das mencionadas inconsistências indicarem imprecisão nas respostas, a análise dos dados permite identificar que as maiores oportunidades de melhoria nas agências reguladoras visando à institucionalização da gestão de riscos são as seguintes:

a) implantar planejamento estratégico nas agências onde esse processo não existe;

b) obter o envolvimento ativo da alta administração com a implantação da gestão de riscos;

c) instituir política corporativa de gestão de riscos;

d) formalizar processos de identificação, avaliação, tratamento, monitoramento e comunicação de riscos;

e) delegar de forma clara e formal a responsabilidade pelo gerenciamento de riscos aos gestores;

f) designar servidores para as atividades de identificação, avaliação e tratamento de riscos; e

g) instituir a capacitação regular de gestores e servidores para lidar com riscos.

115. A adoção dessas medidas certamente levaria as agências reguladoras a um nível mais elevado de maturidade em gestão de riscos, necessário para conferir maior eficácia a suas atuações.

116. Finalmente, constatou-se que, nos setores de energia elétrica e de petróleo, a maturidade em gestão de riscos das agências é consideravelmente menor do que a maturidade das empresas que estão sob sua ação reguladora.

4.3. Maturidade da gestão de riscos em empresas do setor elétrico

117. As doze empresas do setor elétrico participantes do levantamento apresentam níveis de maturidade em gestão de riscos bastante heterogêneos, variando do básico, onde se posicionam metade das empresas, ao avançado, onde estão duas empresas (tabela 8).

Tabela 8 – Níveis de maturidade em gestão de riscos de empresas do setor elétrico.

0% 50% 100% 150% 200% 250% 300%

Agência 10

Agência 9

Agência 8

Agência 7

Agência 6

Agência 5

Agência 4

Agência 3

Agência 2

Agência 1

Ambiente

Processos

Parcerias

Resultados



23

Entidade

Critérios Ín

di

ce G

er

al

Nível de

Maturidad

e

Am

bie

nte

Proc

essos

Parc

erias

Result

ados

Empresa 1 100

%

87%

100%

100%

95%

Avançado

Empresa 2 97

%

80%

86%

88% 88%

Avançado

Empresa 3 63

%

74%

67%

92% 73%

Aprimorado

Empresa 4 86

%

68%

50%

58% 70%

Aprimorado

Empresa 5 70

%

70%

0% 50% 59%

Intermediário

Empresa 6 75

%

49%

22%

38% 52%

Intermediário

Empresa 7 74

%

38%

0% 12% 40%

Básico

Empresa 8 72

%

33%

8% 0% 36%

Básico

Empresa 9 66

%

36%

8% 0% 35%

Básico

Empresa 10 64

%

33%

8% 0% 33%

Básico

Empresa 11 59

%

32%

8% 0% 31%

Básico

Empresa 12 61

%

30%

3% 2% 31%

Básico

Média 7

4

%

52

%

30

%

37% 5

3

%

---




24

118. Ao examinarem-se as quatro dimensões da maturidade em gestão de riscos, nota-se que Ambiente é a dimensão mais desenvolvida, com índices variando de 59% a 100% e média de 74%. Analisando-se os subgrupos de itens que compõem essa dimensão (Liderança; Políticas e Estratégias; Pessoas), pode-se dizer que as práticas de liderança voltadas à gestão de riscos estariam plenamente instaladas na Empresa 1 e na Empresa 2 e instaladas em grande medida na Empresa 4. Tais práticas seriam menos presentes nas empresas 7, 11 e 12.

119. Com respeito às práticas ligadas a política e estratégia, pode-se afirmar que elas seriam plenas nas empresas 1 e 2, e estariam presentes em grande medida nas empresas 4, 5, 6, 7 e 8 . Ressalte-se que todas as empresas do grupo adotam uma única política de gestão de riscos, a qual aborda todos os pontos essenciais de uma política dessa natureza perguntados no questionário. Contudo, a implementação da política tem-se dado em ritmos desiguais, como aponta o fato de comitês e gerências operacionais de riscos terem sido implantados em 58% das empresas pesquisadas.

120. Na dimensão Processos, as empresas obtiveram índices entre 30% e 87%, com média de 52%. As práticas de identificação e avaliação de riscos parecem estar mais presentes (média de 73%) do que as de respostas a riscos (média de 43%) e as de monitoramento e comunicação de riscos (média de 35%). As maiores fraquezas, nessa dimensão, estão nas etapas de respostas a riscos e de monitoramento e comunicação de riscos nas empresas 6, 7, 8, 9, 10, 11 e 12. Tais organizações mencionaram, como principais dificuldades à implantação de processos de gestão de riscos, as seguintes: a) falta de aculturamento, por parte dos gestores, quanto à necessidade de incorporar atividades de análise de riscos às suas atividades cotidianas; b) não integração da gestão de riscos ao planejamento estratégico; c) ausência de sistema informatizado para a gestão integrada de riscos; e d) ausência de estrutura dedicada à gestão de riscos.

121. Na dimensão Parcerias, a maturidade das empresas apresenta grande heterogeneidade, com índices que variam de 0% a 100% (média de 30%). A gestão de riscos em parcerias parece estar bem desenvolvida nas empresas de maturidade avançada (Empresa 2 e Empresa 1) e razoavelmente desenvolvida nas entidades de maturidade aprimorada (Empresa 3 e Empresa 4). Nas demais empresas, pode-se afirmar que não se faz gestão de riscos com parceiros.

122. A principal dificuldade relatada nas perguntas abertas pelas empresas avançadas em gestão de riscos, quanto a parcerias, está na sistematização da comunicação com as Sociedades de Propósito Específico com as quais têm vínculo. Nas empresas menos desenvolvidas, as dificuldades concentram-se na adequação dos processos de elaboração de editais de contratação e de gestão de contratos às boas práticas da gestão de riscos, bem como na ausência de fluxo constante e confiável de informações entre empresas e fornecedores.

123. No que tange a Resultados, as empresas exibiram índices que variam de um extremo a outro da escala, com média 37%. Metade das companhias nunca avaliou a eficácia da gestão de riscos por ser um processo ainda em implantação. As empresas de maturidade avançada relataram como dificuldades na avaliação da gestão de riscos a inexistência de um sistema de informação comum para acompanhar riscos e a não disseminação de metodologia de gerenciamento integrado de riscos. As entidades com nível aprimorado de maturidade apontaram a não disseminação de uma cultura de gestão de riscos na empresa como obstáculo à avaliação da eficácia da gestão de riscos.

124. Considerando que o desempenho na dimensão Resultados é fruto do desempenho em Ambiente e Processos, notam-se inconsistências nas respostas das três entidades de maior maturidade, onde os índices em Resultados foram maiores que os índices em Processos e, no caso da Empresa 3, que seu índice em Ambiente.

Gráfico 6 – Índices obtidos pelas empresas do setor elétrico nos critérios de maturidade em gestão de riscos.



25


125. Como existem grupos de empresas com estágios de maturidade bastante distintos, passa-se a indicar as oportunidades de melhoria para cada grupo. Para as empresas que estão no nível básico, o desafio está em aumentar a institucionalização da gestão de riscos por meio das seguintes medidas:

a) obter o envolvimento ativo da alta administração com a institucionalização da gestão de riscos;

b) utilizar informações produzidas por auditorias internas e externas para o aperfeiçoamento da estrutura e do processo de gestão de riscos;

c) manter servidores informados dos objetivos e prioridades da organização e de suas unidades, assim como dos riscos enfrentados;

d) orientar e estimular os servidores a encaminhar assuntos relacionados a risco às instâncias decisórias adequadas;

e) aprimorar a avaliação de riscos, incluindo a estimativa da probabilidade de ocorrência de riscos e das consequências da materialização desses riscos sobre os objetivos organizacionais;

f) estruturar e operacionalizar as etapas de tratamento, monitoramento e comunicação de riscos; e

g) estruturar e operacionalizar a gestão de riscos em parcerias.

126. Já para as empresas que estão nos níveis intermediário e aprimorado, as principais medidas para fortalecer a gestão de riscos são as seguintes:

a) obter o envolvimento ativo da alta administração com o fortalecimento da gestão de riscos;

b) manter servidores informados dos objetivos e prioridades da organização e de suas unidades, assim como dos riscos enfrentados;

c) orientar e estimular os servidores a encaminhar assuntos relacionados a risco às instâncias decisórias adequadas;

d) aprimorar a estimativa da probabilidade de ocorrência de riscos e das consequências da materialização desses riscos sobre os objetivos organizacionais;

e) definir parâmetros para a escolha das ações de aceitar, transferir, evitar ou mitigar os riscos analisados;

f) definir e revisar periodicamente medidas de contingência para garantir a continuidade dos serviços;

0% 50% 100% 150% 200% 250% 300% 350% 400%

Empresa 12

Empresa 11

Empresa 10

Empresa 9

Empresa 8

Empresa 7

Empresa 6

Empresa 5

Empresa 4

Empresa 3

Empresa 2

Empresa 1

Ambiente

Processos

Parcerias

Resultados



26

g) estruturar e operacionalizar a etapa de monitoramento e comunicação de riscos; e

h) estruturar e operacionalizar a gestão de riscos em parcerias (em especial, nos casos de Empresa 6 e Empresa 5).

127. Finalmente, para as empresas que estão em nível avançado, as oportunidades de melhoria consistem em:

a) aperfeiçoar a avaliação de riscos produzindo informações qualitativas e quantitativas relevantes para a definição de respostas a riscos;

b) definir parâmetros para a escolha das ações de aceitar, transferir, evitar ou mitigar os riscos analisados; e

c) implantar sistema informatizado que permita a gestão integrada das etapas de identificação, avaliação, tratamento e monitoramento de riscos.

128. A adoção dessas medidas certamente contribuiria para a elevação dos níveis de maturidade das empresas do setor elétrico. Ressalte-se a importância de que a empresa-matriz se engaje no processo de autoaprimoramento da gestão de riscos para poder contribuir melhor com a institucionalização da gestão de riscos nas empresas do grupo.

4.4. Maturidade da gestão de riscos em empresas do setor de petróleo

129. As cinco empresas do setor de petróleo que participaram do levantamento exibiram níveis de maturidade muito próximos, com índices variando de 59% a 63% (média de 61%) e índices em cada dimensão bastante semelhantes entre si. Ainda assim, devido aos critérios de classificação utilizados, a três companhias foi atribuído o nível ‘aprimorado’ e às demais, o nível ‘intermediário’ (tabela 9).

Tabela 9 – Níveis de maturidade em gestão de riscos de empresas do setor de petróleo.

Entidade

Critérios Ín

di

ce

Ger

al

Nível de

Maturid

ade

Am

bie

nte

Proce

ssos

Parc

erias

Result

ados

Empresa 1 55%

64% 67% 70% 63%

Aprimorado

Empresa 2 59%

59% 67% 68% 62%

Aprimorado

Empresa 3 59%

59% 67% 65% 61%

Aprimorado

Empresa 4 54%

64% 58% 60% 60%

Intermediário

Empresa 5 59%

54% 67% 65% 59%

Intermediário

Média 57

% 60% 65% 66%

6

1

%

---




27

130. Examinando-se a dimensão Ambiente (média 57%), observam-se sinais de presença moderada de práticas de liderança promotoras da gestão de riscos nas companhias 1, 4 e 5. Somente duas das empresas possuem política corporativa de gestão de riscos: as empresas 2 e 3. Apenas duas das oito práticas ligadas a Pessoas apresentam presença moderada nas empresas: manter os servidores informados dos objetivos e prioridades das unidades e orientar e estimular os servidores a encaminhar assuntos relacionados a riscos a instâncias decisórias adequadas. As demais práticas são menos desenvolvidas.

131. Na dimensão Processos (média 60%), a etapa em que as companhias estão mais adiantadas é a de identificação e avaliação de riscos, onde seis de oito práticas têm presença moderada, sendo os aspectos menos desenvolvidos a existência de critérios formalmente estabelecidos para levar os riscos identificados às instâncias decisórias pertinentes e a existência de instrumentos para documentar as etapas de identificação e avaliação de riscos. Na etapa de respostas a riscos, somente uma em seis práticas estaria presente: a escolha de respostas ao risco considerando sua relação custo-benefício. Quanto a monitoramento e comunicação de riscos, nenhuma das práticas está instalada nas empresas do grupo.

132. Existem dificuldades para o aprimoramento do processo de gestão de riscos relativas à definição de metodologia única para tratar riscos de naturezas distintas (estratégicos, operacionais, financeiros), identificação clara do proprietário de riscos que permeiam várias áreas da organização e consolidação de uma cultura de gestão de riscos.

133. Na dimensão Parcerias (média 65%), 80% das empresas afirmam fazer gestão de riscos conjunta. Cerca de metade das práticas de gestão de riscos em parcerias apresentam presença moderada nas companhias. As principais lacunas estão no fluxo de informações entre os parceiros, na estruturação de arranjos de contingência e na transferência de riscos a organizações parceiras. As dificuldades, nesta dimensão, residem nas diferenças culturais das empresas em relação a parceiros e nos diferentes níveis de desenvolvimento organizacional dos parceiros.

134. Em termos de resultados, apesar de apenas três empresas declararem que avaliam a eficácia da gestão de riscos (empresas 1, 2 e 5), todas relatam benefícios derivados do gerenciamento de riscos. Os índices apurados na dimensão Resultados situam-se no intervalo de 60% a 70%, mostrando que há margem considerável para aperfeiçoamento.

Gráfico 7 – Índices obtidos pelas empresas do setor de petróleo nos critérios de maturidade em

gestão de riscos.


135. Com base nas respostas obtidas com o questionário, pode-se apontar como medidas de fortalecimento da gestão de riscos nas empresas do setor de petróleo as seguintes:

a) ampliar o envolvimento da alta administração no aperfeiçoamento da estrutura e do processo de gestão de riscos;

0% 50% 100% 150% 200% 250% 300% 350%

Empresa 5

Empresa 4

Empresa 3

Empresa 2

Empresa 1

Ambiente

Processos

Parcerias

Resultados



28

b) instituir política corporativa de gestão de riscos (nos casos das empresa 1, 4 e 5);

c) aprimorar a capacitação de gestores e servidores para lidar com riscos;

d) ampliar o compartilhamento interno de boas práticas de gestão de riscos;

e) aprimorar o encaminhamento de riscos às instâncias decisórias adequadas com base em critérios formalmente estabelecidos;

f) aprimorar a documentação das etapas de identificação e avaliação de riscos;

g) aperfeiçoar as fases de tratamento, monitoramento e comunicação de riscos;

h) aperfeiçoar a gestão de riscos com organizações parceiras, em especial quanto ao estabelecimento de fluxo regular e confiável de informações para monitorar o desempenho da gestão de riscos nessas organizações; estruturação de arranjos de contingência; e transferência de riscos com base na avaliação prévia da capacidade de gestão dos parceiros.

136. A adoção dessas medidas levaria as empresas do setor de petróleo a alcançar maior maturidade em gestão de riscos e, consequentemente, a gerar mais valor para as partes interessadas.

4.5. Maturidade da gestão de riscos em entidades do sistema financeiro

137. As sete entidades pertencentes ao setor financeiro que participaram do levantamento possuem estágios de maturidade bastante distintos entre si, variando desde o nível básico ao avançado, como mostra a tabela a seguir.

Tabela 10 – Níveis de maturidade em gestão de riscos das entidades do setor financeiro.

Entidade

Critérios Ín

di

ce

G

er

al

Nível de

Maturidade

Am

biente

Proc

essos

Parc

erias

Result

ados

Empresa 1

89

%

100

%

64%

100%

93%

Avançado

Empresa 2

86

%

92%

83%

98% 91%

Avançado

Empresa 3

83

%

80%

75%

78% 80%

Avançado

Empresa 4

87

%

66%

44%

68% 70%

Aprimorado

Empresa 5

55

%

43%

50%

50% 49%

Intermediário

Empresa 6

29

%

43%

78%

63% 46%

Intermediário

Empresa 7

33

%

30%

0%

25% 27%

Básico



29

Média

6

6

%

65

%

56

%

69

%

6

5

%

---


138. Na dimensão Ambiente, as entidades possuem índices entre 29% e 89% (média 66%). Quatro entidades do setor bancário possuem índices elevados nessa dimensão (de 83% a 89%), devido à elevada presença de práticas de liderança e de políticas e estratégias que promovem a gestão de riscos. Nessa dimensão, a empresa 5 apresenta nível intermediário (55%), índice alcançado principalmente pela existência de uma política de gestão de riscos e pela discreta presença de algumas práticas de liderança. Já no caso das empresas 6 e 7, o ambiente mostra-se pouco propício ao fortalecimento da gestão de riscos, especialmente devido à ausência de práticas de lideranças e de políticas de gestão de riscos.

139. Todas as entidades, à exceção da empresa 7, possuem normas que apontam as responsabilidades de órgãos e departamentos para a gestão corporativa de riscos.

140. Na dimensão Processos (índices entrem 30% e 100%; média 65%), apenas as empresas 1 e 2 encontram-se em nível avançado de maturidade. Um pouco abaixo estão as empresas 3 e 4, que apontam maior desenvolvimento na etapa de identificação e avaliação de riscos do que nas etapas subsequentes (tratamento, monitoramento e comunicação de riscos). As demais instituições apresentam muitas lacunas relativas a processos de gestão de riscos.

141. Algumas das dificuldades, apontadas pelas entidades mais amadurecidas, para o aprimoramento da gestão de riscos são o aperfeiçoamento constante das equipes dedicadas ao tema; a incorporação de metodologias alinhadas às melhores práticas; a escolha e o desenvolvimento de ferramentas adequadas que se adaptem ao processo de revisão de estratégias da empresa; e a garantia da qualidade e da integridade de informações para a gestão de riscos. Entre as entidades menos amadurecidas, foram apontadas como dificuldades a falta de percepção dos colaboradores internos sobre os objetivos e benefícios trazidos pelo gerenciamento de riscos; a baixa importância dada à gestão de riscos devido à percepção de que se trata de uma atividade apartada dos demais processos organizacionais; a ausência de modelos referenciais em aplicação em outras entidades governamentais; e a dificuldade em mobilizar pessoas para trabalhar com o processo de gestão de riscos.

142. A dimensão Parcerias apresenta a maior heterogeneidade em termos de maturidade (índices entre 0% e 90%; média 57%), sendo que apenas a empresa 2 está no nível avançado neste tema e três entidades, no nível aprimorado (empresas 1, 3 e 6). Entre essas entidades, foram apontadas como dificuldades nesta dimensão, entre outras: dificuldades de relacionamento com órgãos que regulam a atividade da entidade; assimetria de informações entre parceiros; ausência de estrutura adequada do parceiro; e, no caso de contratação de serviços de caráter continuado, a adoção de medidas que possam configurar ingerência indevida na atividade empresarial dos contratados.

143. Nas entidades menos desenvolvidas, algumas das dificuldades enfrentadas na gestão de riscos com organizações parceiras são: integração insuficiente, no processo de gestão de riscos, das atividades conduzidas em parcerias; falta de clareza na divisão de atribuições no processo de gerenciamento de riscos; e diferenças dos níveis de maturidade e das metodologias aplicadas pelos parceiros. Na empresa 7, ainda não há gestão de riscos com parceiros.

144. Na dimensão Resultados, observa-se uma ampla variação de índices (de 25% a 100%; média 69%), sendo que apenas três entidades concordam que avaliam a eficácia da gestão de riscos (empresas 1, 2 e 3). Detectou-se o mesmo tipo de inconsistência registrado na análise de outros setores econômicos, qual seja, desempenho em Resultados acima do desempenho em Ambiente ou Processos – caso das empresas 1, 2 e 6. Esse tipo de inconsistência sugere que o índice real de maturidade dessas entidades pode ser inferior ao computado com base nas respostas fornecidas.

Gráfico 8 –Índices obtidos pelas empresas do setor financeiro nos critérios de maturidade em

gestão de riscos.


FranciscoEHB

Realce


30


145. Pelo fato de haver grupos de entidades em estágios de maturidade bastante distintos, passa-se a indicar as oportunidades de melhoria para cada grupo. Para as empresas que estão no nível básico ou no intermediário, o desafio está em aumentar a institucionalização da gestão de riscos por meio das seguintes medidas:

a) obter o envolvimento ativo da alta administração com a institucionalização da gestão de

riscos;

b) instituir política corporativa de gestão de riscos (nos casos das empresas 6 e 7) e comunicá-la a todos na organização;

c) instituir a delegação clara e formal da responsabilidade pelo gerenciamentos de riscos aos gestores;

d) instituir a capacitação regular de gestores para lidar com riscos;

e) aprimorar a designação e a capacitação de servidores para as atividades de identificação, avaliação e tratamento de riscos;

f) manter servidores informados dos objetivos e prioridades da organização e de suas unidades, assim como dos riscos enfrentados;

g) orientar e estimular os servidores a encaminhar assuntos relacionados a risco às instâncias decisórias adequadas;

h) aprimorar a etapa de identificação de riscos e estruturar e operacionalizar as etapas de tratamento, monitoramento e comunicação de riscos; e

i) estruturar e operacionalizar (no caso da empresa 7) e aperfeiçoar (nos casos das empresas 5 e 6) a gestão de riscos em parcerias.

146. Para as empresas que estão nos níveis aprimorado e avançado, as principais medidas visando fortalecer a gestão de riscos são as seguintes:

a) aprimorar a capacitação de servidores para as atividades de identificação, avaliação e tratamento de riscos;

b) aperfeiçoar as etapas de tratamento, monitoramento e comunicação de riscos (nos casos das empresas 3 e 4); e

c) nos casos das empresas 1, 3 e 4, aperfeiçoar a gestão de riscos em parcerias, especialmente quanto ao estabelecimento de fluxo de informação regular e confiável para monitorar o desempenho das

0% 100% 200% 300% 400%

Empresa 7

Empresa 6

Empresa 5

Empresa 4

Empresa 3

Empresa 2

Empresa 1

Ambiente

Processos

Parcerias

Resultados



31

gestão de riscos das organizações parceiras e à transferência de riscos com base na avaliação prévia da capacidade de gestão dos parceiros.

147. A implantação dessas medidas beneficiaria a maturidade da gestão de riscos das empresas pesquisadas, até mesmo das que já se encontram em nível avançado.

4.6. Maturidade da gestão de riscos em entidades do setor de transportes

148. A gestão de riscos encontra-se pouco desenvolvida em todas as quatro entidades do setor de transportes que participaram deste levantamento (tabela 11), com níveis de maturidade bastante aquém do requerido para fazer frente às exigências do negócio. No caso da Empresa 4, o estágio do gerenciamento de riscos é inicial.

Tabela 11 – Níveis de maturidade em gestão de riscos de empresas do setor de transportes.

Entidade

Critérios Í

n

di

c

e

G

e

r

al

Nível de

Maturid

ade

Am

bien

te

Proc

esso

s

Parc

eria

s

Resul

tados

Empresa 1

4

3%

22%

6%

75%

3

8%

Básico

Empresa 2 36

%

37

%

28

%

45

%

37

%

Básico

Empresa 3

3

3%

14%

25%

50%

2

8%

Básico

Empresa 4 13

%

5

%

19

% 0%

8

% Inicial

Média

3

1

%

20

%

19

%

43

%

2

8

%

---


149. Os índices, na dimensão Ambiente, variaram de 13% a 43% (média de 31%). Os principais pontos que estão por trás desses baixos índices são os seguintes: a) existem poucos sinais de práticas de liderança que promovem a gestão de riscos na empresa 2; b) nenhuma das entidades possui política de gestão de riscos, nem há responsabilidades formalmente definidas nessa área para órgãos e departamentos; e c) não há sinais de que gestores e servidores sejam designados ou recebam delegação formal para lidar com riscos, nem que sejam capacitados para isso.

150. Na dimensão Processos, a empresa 2 apontou a presença parcial de apenas quatro dos dezenove aspectos perguntados, enquanto as demais entidades não registraram a presença de quaisquer desses aspectos. A situação quanto a Parcerias também se mostrou precária, pois nenhuma entidade concordou estarem presentes quaisquer práticas de gestão de riscos com organizações parceiras. É clara, portanto, a



32

necessidade de se estruturar processos de gestão de riscos internamente e com parceiros em todas as entidades do setor de transportes.

151. Na dimensão Resultados, todas as três entidades do nível básico incorreram na inconsistência de indicar níveis de resultados mais elevados do que permitiriam seus desempenhos em Ambiente e Processos, o que sugere que seus níveis reais de maturidade sejam inferiores aos computados com base nas respostas fornecidas.

Gráfico 9 – Índices obtidos pelas empresas do setor de transportes nos critérios de maturidade

em gestão de riscos.


152. A análise dos dados permite identificar que as maiores oportunidades de melhoria nas entidades do setor de transporte visando à institucionalização da gestão de riscos são as seguintes:

a) implantar planejamento estratégico nas entidades onde esse processo não existe;

b) obter o envolvimento ativo da alta administração com a implantação da gestão de riscos;

c) instituir política corporativa de gestão de riscos;

d) formalizar processos de identificação, avaliação, tratamento, monitoramento e comunicação de riscos;

e) instituir a delegação clara e formal da responsabilidade pelo gerenciamentos de riscos aos gestores;

f) instituir a designação de servidores para as atividades de identificação, avaliação e tratamento de riscos; e

g) instituir a capacitação regular de gestores e servidores para lidar com riscos.

153. Tais medidas certamente levariam as entidades do setor de transportes a um nível mais elevado de maturidade em gestão de riscos, quando, então, poderão dedicar-se à implantação de novas medidas cabíveis para entidades em estágio mais adiantado.

5. POSSÍVEIS AÇÕES DE CONTROLE

154. O universo composto dos órgãos, entidades e recursos públicos federais sujeitos ao controle externo exercido pelo Tribunal de Contas da União é de tal modo amplo, complexo e diversificado que se torna impossível ao TCU o desenvolvimento de ações de controle que cubram todos os atos, processos e resultados da administração pública federal. Em tal contexto, é imprescindível que o Tribunal desenvolva processos de trabalho voltados para a produção de conhecimentos que possibilitem selecionar entidades, temas, setores ou abordagens que mereçam ser priorizados.

0% 50% 100% 150% 200% 250%

Empresa 4

Empresa 3

Empresa 2

Empresa 1

Ambiente

Processos

Parcerias

Resultados



33

155. O potencial da ferramenta desenvolvida nesse trabalho reside nos conhecimentos por ele produzido sobre maturidade e lacunas em gestão de riscos de entidades da administração indireta, os quais têm alto potencial de uso no planejamento de ações de controle. O grau de maturidade no gerenciamento de riscos, quando analisado em conjunto com a materialidade e a relevância de possíveis objetos de controle, é parâmetro útil para selecionar os objetos que serão alvos de ações de fiscalização.

156. Portanto, as falhas ou lacunas identificadas no nível institucional, em especial aquelas que podem ter alto impacto negativo na consecução dos resultados, podem ser consideradas como um dos critérios de priorização do objeto a ser fiscalizado quando da elaboração de proposta de plano de ações de controle pela Secretaria que a jurisdiciona. Selecionada uma entidade a ser auditada, as lacunas em gestão de riscos detectadas serviriam para subsidiar a formulação de questões de auditoria específicas para essa entidade.

157. Também poderão ser realizadas auditorias em parte das entidades que responderam ao questionário de avaliação da gestão de riscos, com vistas a aferir com mais precisão a maturidade da gestão dessas entidades e avaliar a fidedignidade das respostas obtidas. Em outras palavras, esses trabalhos de campo prestar-se-íam a buscar evidências das práticas de gestão informadas pelas entidades no levantamento e a aprofundar o diagnóstico das oportunidades de melhoria nas áreas ou processos que não foram bem avaliados.

158. Auditorias de gestão de riscos em algumas das entidades participantes do levantamento seriam de grande valia para o aperfeiçoamento contínuo da metodologia de avaliação ora desenvolvida, e a inclusão dessa nova abordagem no portfolio de métodos disponíveis para o exercício do controle externo.

159. Outro potencial uso do método de avaliação da gestão de riscos é o diagnóstico de falhas ou lacunas em nível setorial, tal como realizado neste trabalho com respeito aos setores financeiro, de energia elétrica, de petróleo, de transportes e de regulação. Análises consolidadas das respostas das entidades integrantes de um dado setor de atuação tornam possível a identificação de falhas ou lacunas que perpassam todo o setor em análise, facultando ao TCU emitir recomendações e determinações de caráter sistêmico, aumentando a eficiência da ação de controle externo. Tal análise setorial pode ser útil para as Coordenações Gerais criadas recentemente na Segecex como subsídio para suas atuações em coordenação e planejamento.

(...)

7. PROPOSTA DE ENCAMINHAMENTO

168. Com base nas análises realizadas neste levantamento, propõe-se determinar à Secretaria de Métodos Aplicados e Suporte à Auditoria que:

a) divulgue para as entidades participantes deste levantamento as respectivas avaliações individualizadas de maturidade de gestão de riscos e comparação com os resultados consolidados do grupo a que pertence: (a) autarquias e fundações; (b) empresas públicas e sociedades de economia mista;

b) divulgue as informações consolidadas e os dados públicos coletados no presente levantamento, sem a identificação individual dos órgãos/entidades respondentes;

c) acompanhe as ações do Ministério do Planejamento voltadas à disseminação de metodologia de gestão de riscos nos órgãos do Poder Executivo com o fito de desenvolver instrumentos de avaliação da maturidade de gestão de riscos apropriados a esse segmento da administração.”

É o relatório.



1

VOTO

O processo trata de levantamento feito pela Secretaria de Métodos Aplicados e Suporte à Auditoria – Seaud para avaliar a maturidade da gestão de riscos nos diversos setores da administração

pública federal indireta brasileira, por meio da construção e divulgação de indicador que estimule o aperfeiçoamento da gestão de riscos no setor público e que forneça ao TCU informações para

planejamento de suas ações de controle.

2. A fiscalização encontra precedente em trabalhos desenvolvidos com a finalidade de avaliar a governança de tecnologia da informação do setor público (acórdãos 2.308/2010 e 2.585/2012 –

Plenário), nos quais foi criado e aferido o Índice de Governança de TI (IGovTI).

3. Avaliações dessa natureza coadunam-se com a missão deste Tribunal de controlar a

administração pública para contribuir com seu aperfeiçoamento em benefício da sociedade.

4. Certamente, a melhoria da gestão e do desempenho dos entes públicos é um dos principais resultados almejados por esta Corte, e tem sido colocada pela sua administração como um dos fins

prioritários das ações de fiscalização, tanto que faz parte do plano estratégico do Tribunal para o período de 2011/2015 objetivo voltado para intensificar ações que promovam a melhoria da gestão de riscos e de controles internos da administração pública.

5. Isso porque, entre outros motivos, resta clara a ideia de que a boa governança propicia eficiência nas ações governamentais, com redução dos desperdícios de dinheiros públicos derivados de

deficiências administrativas e consequente incremento dos avanços sociais e econômicos para toda a população brasileira.

6. Conforme apontado no TC 044.446/2012-8, que cuidou das diretrizes para elaboração do

relatório sobre as contas do governo da República referentes ao exercício de 2013, sob minha relatoria, estudo comparativo produzido pela Organização para Cooperação e Desenvolvimento Econômico –

OCDE, em acordo firmado com o TCU, apontou o papel central das entidades de fiscalização superiores no apoio à boa governança pública, “ao assegurar accountability do uso dos recursos públicos e do desempenho dos serviços prestados pelo Estado”.

7. Destarte, foi determinado que a avaliação das referidas contas contemple aná lises específicas sobre a Governança Pública para o Desenvolvimento, com foco em políticas públicas

prioritárias para a promoção do desenvolvimento nacional justo e sustentável, objetivo fundamental da República Federativa do Brasil (art. 3º, inciso II, da Constituição).

8. Diante disso, vislumbro, desde já, que o resultado do presente levantamento poderá

subsidiar a elaboração do parecer prévio sobre as mencionadas contas.

9. Como indicou a unidade técnica, a gestão de riscos é uma abordagem que, em qualquer

organização, privilegia o alcance de resultados, de forma que sua mitigação, por meio de controles apropriados, tem potencial de garantir maior eficácia da gestão pública. No Brasil, com a inclusão da eficiência no rol dos princípios da administração pública (art. 37, caput, da Constituição), tornou-se

“explícita a obrigação dos gestores públicos de direcionarem seus esforços para a consecução de resultados, sendo insuficiente o atendimento aos imperativos legais e normativos”.

10. Ainda assim, com base em reuniões realizadas com servidores do Ministério do Planejamento, Orçamento e Gestão – MPOG, este trabalho demonstrou que, na administração pública federal direta, a abordagem da gestão de riscos tem sido utilizada somente em alguns poucos setores.

11. Por essa razão, o questionário desenvolvido para medir a maturidade das organizações em gestão de riscos, a partir do modelo de avaliação da gestão de riscos do governo britânico e de

adaptações vindas dos modelos COSO (Comitê das Organizações Patrocinadoras da Comissão


FranciscoEHB

Realce


2

Treadway) e ISO 31000/2009, foi aplicado a 66 entidades da administração indireta, selecionadas por critérios de relevância e materialidade, com resposta de 65 delas (taxa de retorno de 98,5%).

12. O questionário conteve quatro dimensões avaliativas: ambiente de gestão de riscos (incluindo as subdimensões liderança, políticas e estratégias, e pessoas – peso de 30% no índice de maturidade), processos de gestão de riscos (subdimensões identificação e avaliação de riscos e

respostas a riscos – peso de 40%), gestão de riscos em parcerias (peso de 10%) e resultados (peso de 20%).

13. A classificação dos níveis de maturidade, por sua vez, foi a seguinte: inicial (índice de 0 a 20%), básico (de 20,1 a 40%), intermediário (de 40,1 a 60%), aprimorado (de 60,1 a 80%) e avançado (de 80,1 a 100%).

14. A análise das respostas indicou que dois terços das organizações estão nos níveis básico e intermediário e apenas 9% da amostra alcançou o estágio avançado. Em média, concluiu-se que há

difusão de práticas de gerenciamento de riscos em nível intermediário nas entidades (pontuação de 43%).

15. No exame das dimensões, ambiente, processos e resultados apresentaram nível

intermediário de maturidade (médias de 49, 42 e 43%, respectivamente), enquanto a dimensão parcerias ficou no nível básico (média de 35%). Esses números evidenciaram que as entidades “tendem a estruturar internamente a gestão de riscos antes de procurar fazê-lo com as organizações

com as quais mantêm relações de parceria”.

16. Na avaliação setorial, as seguintes médias foram alcançadas:

SETOR ÍNDICE MÉDIO DE MATURIDADE

Elétrico 53%

Petróleo 61%

Transportes 28%

Financeiro 65%

Agências Reguladoras 31%

17. A título de exemplo, as dez agências reguladoras participantes do levantamento apresentaram graus de maturidade em gestão de riscos nos níveis inicial (quatro agências, com índices

gerais de 10 a 18%), básico (três agências, com índices de 24 a 38%) e intermediário (três agências, com índices de 49 a 58%), com situações em que a maturidade das agências foi consideravelmente menor do que a das empresas sob sua ação reguladora.

18. Para cada setor avaliado, o trabalho apontou medidas que podem ser adotadas pelas entidades públicas com o fim de institucionalizar ou melhorar a gestão de riscos, como a implantação

de planejamento estratégico onde esse processo não existe, a busca pelo envolvimento ativo da alta administração com a implantação da gestão de riscos e a capacitação regular de ge stores e servidores para lidar com riscos, dentre várias outras providências.

19. Mesmo considerando as limitações referentes aos métodos de coleta de dados adotados (pesquisas respondidas pelas próprias entidades avaliadas; dados relativos a setores diferenciados, em

termos de natureza jurídica e área de negócio etc.), os resultados mostram que, de fato, existem várias possibilidades de aperfeiçoamentos na área. Além disso, o indicador elaborado poderá ser útil na seleção de objetos ou entidades para futuras ações de fiscalização e na posterior formulação de

questões de auditoria específicas.

20. Nesse contexto, a Seaud já propôs a seguinte estratégia para a avaliação da gestão de

riscos:



3

“a) aplicação, a cada dois anos, de questionário de maturidade de gestão de riscos com vistas a subsidiar a seleção de entidades a auditar;

b) realização de análises das respostas por entidade e por setor de atuação;

c) repasse de dados e das análises às Secretarias do TCU às quais se vinculam as unidades jurisdicionadas alvo da avaliação para que se apropriem das informações e as utilizem em suas ações de controle;

d) apresentação dos resultados aos pesquisados em evento que destaque a relevância do tema e faça análise da maturidade da gestão de riscos, sem prejudicar a confidencialidade dos resultados.

e) seleção, pelas Coordenações, de entidades e setores de atuação a serem auditados com base em risco, relevância e materialidade;

f) realização de auditorias-piloto de gestão de riscos pelas Secretarias em parceria com a Seaud, com o duplo objetivo de contar com o apoio técnico da unidade que conduziu o levantamento e de viabilizar o desenvolvimento e aprimoramento de métodos de avaliação do gerenciamento de riscos levado a cabo pelas entidades;

g) elaboração de orientações às equipes de auditoria que contenha os conceitos chave sobre gestão de riscos, bem como exemplos de papéis de trabalho já testados em auditorias-piloto.”

21. Com a apreciação do processo por este Colegiado, a unidade técnica pretende iniciar, de imediato, as medidas a que se referem as alíneas “c” e “d”, bem como submeter a estratégia definida à consideração da Secretaria Geral de Controle Externo – Segecex.

22. Sem prejuízo da avaliação que a Segecex deva fazer sobre a matéria, tenho por convenientes e oportunas as medidas sinalizadas para aplicação imediata, uma vez que estão em

consonância com o planejamento estratégico do Tribunal.

23. Destaco, como lembrou a unidade técnica, a necessidade de, por ocasião da divulgação dos resultados ao público externo, manter a confidencialidade das respostas fornecidas pelas entidades

participantes da pesquisa.

24. Quanto ao relatório produzido, por conter dados gerais a respeito das avaliações efetuadas,

entendo que possa ser divulgado externamente, razão pela qual proponho levantar o “sigilo” do processo. Ressalvo, porém, o sigilo das respostas enviadas e das respectivas análises individuais, que somente poderão ser repassadas, internamente, às unidades técnicas e, externamente, a cada entidade

interessada.

25. Nesses termos, como acenado nos despachos que indeferiram pedidos de cópias dos autos

(peças 168 e 184), devem ser enviadas cópias do inteiro teor da presente deliberação ao Departamento Nacional de Infraestrutura de Transportes – Dnit, à Agência Nacional de Energia Elétrica – Aneel e à Petróleo Brasileiro S.A. – Petrobrás.

26. Ademais, diante do contido no item 10 acima, é conveniente que a Seaud acompanhe, na forma proposta, as ações do MPOG voltadas à disseminação de metodologia de gestão de riscos nos

órgãos do Poder Executivo, com a finalidade de desenvolver instrumentos de avaliação da maturidade de gestão de riscos apropriados a esse segmento da administração.

27. Antes de finalizar, registro a relevância de realizar futuros trabalhos semelhantes ao ora

apreciado, pois, como lembrou o ministro Aroldo Cedraz no voto condutor do acórdão 2.308/2010 – Plenário, ao identificarem pontos vulneráveis ou boas práticas, permitem ao TCU atuar como indutor

do aperfeiçoamento da governança pública.

28. Por último, ressalto que, da mesma forma como ocorreu na elaboração inicial do Índice de Governança de TI, a metodologia adotada neste levantamento poderá ser aprimorada em próximos

trabalhos, a fim de mitigar suas limitações e conferir maior confiabilidade aos resultados, notadamente por meio de coleta de evidências comprobatórias para confirmar as respostas ao questionário.



4

29. Esse aspecto também foi abordado quando da aprovação pelo Plenário de auditoria proposta pela Secretaria de Controle Externo no Estado do Rio de Janeiro – Secex-RJ em 26 unidades

jurisdicionadas da sua clientela, com a finalidade de conhecer a estrutura e o funcionamento das suas unidades de controle e de auditoria interna, constatar possíveis deficiências nas suas estruturas de governança e verificar a aderência de suas estruturas, procedimentos e atividades às normas e boas

práticas, nacionais e internacionais, de auditoria interna e governança (acórdão 1.486/2013, por mim relatado).

Ante o exposto, cumprimento a Seaud pelo trabalho realizado, acato sua proposta de encaminhamento, com os pequenos acréscimos consignados nesta peça, e voto no sentido de que o colegiado aprove a minuta de acórdão que submeto à sua consideração.

TCU, Sala das Sessões, em 11 de setembro de 2013.

ANA ARRAES Relatora



1

ACÓRDÃO Nº 2467/2013 – TCU – Plenário

1. Processo TC 011.745/2012-6.

2. Grupo I – Classe V – Relatório de Levantamento. 3. Interessada: Secretaria de Métodos Aplicados e Suporte à Auditoria – Seaud.

4. Unidades: Ministério do Planejamento, Orçamento e Gestão – MPOG e outras 66 entidades da administração indireta. 5. Relatora: ministra Ana Arraes.

6. Representante do Ministério Público: não atuou. 7. Unidade Técnica: Secretaria de Métodos Aplicados e Suporte à Auditoria – Seaud.

8. Advogados: Eduardo Luiz Ferreira Araújo de Souza (OAB/RJ 140.563) e outros. 9. Acórdão:

VISTOS, relatados e discutidos estes autos de levantamento destinado a avaliar a maturidade da gestão de riscos nos diversos setores da administração pública federal indireta brasileira,

por meio da construção e divulgação de indicador que estimule o aperfeiçoamento da gestão de riscos no setor público e que forneça ao TCU informações relevantes para planejamento de suas ações de controle.

ACORDAM os ministros do Tribunal de Contas da União, reunidos em sessão ordinária do Plenário, diante das razões expostas pela relatora, em:

9.1. determinar à Secretaria de Métodos Aplicados e Suporte à Auditoria – Seaud que:

9.1.1. divulgue para as entidades participantes deste levantamento as respectivas avaliações individualizadas de maturidade de gestão de riscos e a comparação com os resultados consolidados do

grupo a que pertença: (a) autarquias e fundações; (b) empresas públicas e sociedades de economia mista;

9.1.2. acompanhe as ações do Ministério do Planejamento, Orçamento e Gestão – MPOG

voltadas à disseminação de metodologia de gestão de riscos nos órgãos do Poder Executivo, com a finalidade de desenvolver instrumentos de avaliação da maturidade de gestão de riscos apropriados a

esse segmento da administração;

9.2. sem prejuízo da análise a ser efetuada pela Secretaria Geral de Controle Externo – Segecex sobre as estratégias de atuação identificadas no processo, autorizar a Seaud a realizar evento

destinado à divulgação das informações consolidadas e dos dados públicos coletados no presente levantamento, observando-se a necessária confidencialidade das respostas fornecidas e das respectivas

análises individuais;

9.3. enviar cópia deste acórdão, acompanhado do relatório e do voto que o fundamentaram, ao Departamento Nacional de Infraestrutura de Transportes – Dnit, à Agência Nacional de Energia

Elétrica – Aneel, à Petróleo Brasileiro S.A. – Petrobras e ao Ministério do Planejamento, Orçamento e Gestão – MPOG;

9.4. levantar o sigilo do processo, salvo quanto às peças correspondentes aos documentos indicados na parte final do subitem 9.2 acima.

10. Ata n° 35/2013 – Plenário. 11. Data da Sessão: 11/9/2013 – Ordinária.

12. Código eletrônico para localização na página do TCU na Internet: AC-2467-35/13-P. 13. Especificação do quorum: 13.1. Ministros presentes: Aroldo Cedraz (na Presidência), Valmir Campelo, Raimundo Carreiro, José

Jorge, José Múcio Monteiro e Ana Arraes (Relatora).


FranciscoEHB

Realce

FranciscoEHB

Realce


2

13.2. Ministro-Substituto convocado: Augusto Sherman Cavalcanti.

13.3. Ministro-Substituto presente: Marcos Bemquerer Costa.

(Assinado Eletronicamente)

AROLDO CEDRAZ (Assinado Eletronicamente)

ANA ARRAES Vice-Presidente, no exercício da Presidência Relatora

Fui presente:

(Assinado Eletronicamente)

PAULO SOARES BUGARIN

Procurador-Geral


natureza: relatório de levantamento. unidades: ministério ... · a equipe participou de...

Documents