A gestão de riscos auxilia as instituições públicas a cumprirem seus mandatos e alcançarem uma ampla gama de metas e objetivos políticos (OECD, 2020[1]). Os riscos precisam ser identificados, analisados e adequadamente geridos. Entre os vários riscos passíveis de afetar uma entidade pública, a corrupção, a fraude e outras práticas não íntegras podem minar a integridade pública e ameaçar o alcance de metas e objetivos das políticas públicas. Elas impedem, ainda, o uso eficiente dos recursos públicos e contribuem para a redução da confiança nas instituições públicas.

À luz desses fatos, a Recomendação da OCDE sobre Integridade Pública coloca a gestão de riscos no centro de qualquer estratégia ou abordagem que vise garantir e promover a integridade pública. A Recomendação incentiva os participantes a “instituir uma estrutura de controle interno e de gestão de riscos para garantir a integridade em organizações do setor público” (OECD, 2017[2]), em consonância com diversos parâmetros e orientações internacionais. Por exemplo, várias organizações desenvolveram marcos ou diretrizes internacionais para a gestão de riscos no setor público, tais como o Comitê das Organizações Patrocinadoras da Comissão Treadway (COSO), a Organização Internacional das Instituições Superiores de Auditoria (INTOSAI), o Instituto dos Auditores Internos (IIA) e a Organização Internacional de Padronização (ISO), entre outros.

Em particular, os países devem ter como meta a criação de um ambiente de controle com objetivos claros, que demonstre o comprometimento dos gestores com a integridade e com os valores do serviço público, e que propicie um razoável nível de segurança acerca da eficiência e desempenho de uma instituição, assim como a sua observância a leis e práticas. Também se deve buscar uma abordagem estratégica à gestão de riscos, que inclua a avaliação de riscos para a integridade pública, de modo a abordar fragilidades de controle (incluindo o estabelecimento de sinais de alerta para processos críticos), estabelecendo um mecanismo eficiente de monitoramento e de garantia de qualidade para o sistema de gestão de riscos e fortalecendo efetivamente a prevenção das violações à integridade.

No setor público, as estruturas normativas e políticas para a gestão de riscos estão muitas vezes alinhadas com diretrizes internacionais; no entanto, é comum persistirem os desafios para a sua implementação. Idealmente, os gestores públicos devem identificar e gerir os riscos inerentes aos processos e áreas de sua responsabilidade. O adequado entendimento e assimilação da gestão de riscos permite à administração o uso contínuo da informação sobre os riscos no processo de tomada de decisão. Ademais, os mecanismos de avaliação de risco necessitam ser incorporados em um processo cíclico, em que não apenas os riscos, mas também questões metodológicas sejam revisadas e atualizadas mediante a incorporação de novas evidências empíricas (OECD, 2018[3]).

Todavia, a importância da gestão de riscos nem sempre é bem assimilada pelos gestores públicos. Em primeiro lugar, é necessário compreender que a gestão de riscos exige um claro entendimento sobre os valores e objetivos da função pública exercida. A ausência de objetivos nítidos e de uma cultura de desempenho, muitas vezes observada no setor público, juntamente com a falta de transparência e a dificuldade de quantificar tanto o impacto quanto a produtividade do setor público, podem prejudicar tal compreensão. Quando um gestor público não é responsabilizado pelo alcance de objetivos, ou quando esses objetivos não são claramente definidos, pode não haver pressão para o cumprimento de metas e, assim, para identificar e gerir os riscos passíveis de impedir tais conquistas. Além dos objetivos muitas vezes imprecisos, os administradores públicos não raro carecem das habilidades e conhecimentos necessários à gestão de riscos e/ou não contam com o apoio de sua organização.

Na América Latina, assim como em outras regiões, um relatório da OCDE identificou três obstáculos principais para alcançar um sistema efetivo de gestão de riscos (OECD, 2019[4]):

• Os gestores públicos desconhecem ou negligenciam os parâmetros, políticas ou diretrizes sobre gestão de riscos.

• Os gestores públicos não possuem um claro entendimento sobre o conceito de “risco” e sobre os processos e a utilidade da gestão de riscos.

• Os gestores públicos acreditam que a gestão de riscos é uma função a ser assumida por terceiros e não a consideram como tarefa inerente à sua própria função gerencial.

Esses desafios, embora se apliquem à gestão de riscos em geral, são particularmente relevantes para a gestão de riscos para a integridade, em que os desafios podem se afigurar ainda mais severos por se tratar de um tema sensível e complexo. Por um lado, certas práticas não íntegras podem ser racionalizadas por agentes públicos como legítimas ou normais (“é assim que as coisas funcionam aqui”), ou nem serem mais percebidas como um problema. Por outro lado, os agentes públicos podem ter dificuldade em identificar alguns riscos de fraude se não tiverem suficiente compreensão do funcionamento de esquemas complexos de corrupção, ou se simplesmente desconhecerem as muitas práticas diferentes ligadas à corrupção. Os agentes públicos também podem apresentar relutância em falar sobre riscos de fraude e corrupção se igualarem os riscos a ocorrências reais, ou sentirem que estão “falando mal” de sua unidade ou de si mesmos.

Este relatório revisa a atual metodologia de avaliação de riscos para a integridade no Executivo Federal brasileiro e oferece caminhos para modernizar e fortalecer a atual abordagem. O restante do presente capítulo apresenta o arcabouço da gestão de riscos para a integridade e os desafios relacionados à sua implementação. Enquanto a estrutura normativa e a orientação para a gestão de riscos para a integridade serão analisadas em detalhe na próxima Revisão de Integridade da OCDE no Brasil (OECD, em preparo[5]), O Capítulo 2 enfoca os três caminhos concretos para fortalecer e modernizar a atual metodologia, ou seja: reconhecer e enfrentar as barreiras sociais e cognitivas para uma efetiva gestão de riscos para a integridade; alavancar esforços contínuos para melhorar o uso de dados e de ferramentas analíticas, a fim de prevenir violações à integridade; e, finalmente, fortalecer o apoio organizacional à gestão de riscos para a integridade nas instituições públicas do Executivo Federal.

No Executivo Federal Brasileiro, a Instrução Normativa Conjunta nº 01/2016 estabelece a criação e a melhoria dos controles internos da gestão, governança e gestão de risco. No ano seguinte, a gestão de riscos para a integridade tornou-se obrigatória para as instituições públicas federais, mediante o Decreto nº 9.203/2017. A gestão dos riscos para a integridade é um elemento central dos Programas de Integridade e dos Planos de Integridade estabelecidos desde 2017 nas 186 instituições do Executivo Federal para a prevenção, detecção, punição e remediação de atos de fraude, corrupção e outras práticas antiéticas. Em 2021, a criação do Sistema de Integridade Pública do Poder Executivo Federal (SIPEF), por meio do Decreto nº 10.756/2021, avançou na institucionalização e consolidação dos Programas de Integridade, incluindo a exigência de assegurar uma efetiva gestão de riscos para a integridade (Box 1.1).

A Controladoria Geral da União (CGU) inicialmente definiu o risco para a integridade como uma “vulnerabilidade que pode favorecer ou facilitar a ocorrência de práticas de corrupção, fraudes, irregularidades e/ou desvios éticos e de conduta, podendo comprometer os objetivos da instituição” (Portaria CGU nº 57/2019). Recentemente, com o SIPEF, a definição de risco para a integridade foi revista como a “possibilidade de ocorrência de evento de corrupção, fraude, irregularidade ou desvio ético ou de conduta que venha a impactar o cumprimento dos objetivos institucionais” (Decreto nº 10.756/2021). A CGU enfatiza que a gestão dos riscos para a integridade permeia todo o governo federal, abrangendo diferentes funções (por ex., gestão de recursos humanos, gestão de recursos públicos, gestão de riscos e controle interno e aquisições públicas) e setores (por ex., infraestrutura, habitação, saúde, educação, tributação e sistema alfandegário).

Em 2018, a CGU lançou o Guia Prático de Gestão de Riscos para a Integridade para apoiar as entidades federais (CGU, 2018[8]). O documento amplia a conscientização e oferece orientações sobre a gestão de riscos para a integridade, com passo a passos concretos para sua implementação. O guia também reforça a noção de que a gestão dos riscos para a integridade é de responsabilidade dos gestores públicos, enquanto donos dos riscos. Especificamente, o documento determina que os gestores estabeleçam, monitorem e aperfeiçoem a gestão de riscos e os sistemas de controle interno. Isso inclui a identificação, avaliação, mitigação e monitoramento dos riscos para a integridade passíveis de afetar o alcance dos objetivos relativos ao cumprimento da missão institucional das instituições públicas.

Em consonância com a Recomendação da OCDE sobre Integridade Pública (2017), o Guia da CGU altera o foco das políticas de integridade rumo a uma abordagem dependente do contexto, comportamental e baseada em riscos. Sua natureza geral permite às instituições públicas federais adaptar a metodologia a contextos específicos, ao tempo em que assegura uma base de coerência a toda a administração federal. Isso também significa, por exemplo, que se uma instituição pública já adotou uma metodologia de avaliação de riscos para outras áreas, ela poderá aplicar essa mesma metodologia à identificação de riscos para a integridade. Além disso, o Guia oferece flexibilidade para a melhoria contínua da metodologia, à medida em que a instituição amadurece sua implementação.

O Guia também convida as entidades a irem além da abordagem anticorrupção tradicional, baseada no cumprimento de regras, e reforça a relevância de promover uma mudança cultural efetiva na organização. Nesse sentido, a CGU enfatiza certos princípios e aspectos na gestão de riscos para a integridade, tais como o comprometimento da alta administração, o incentivo ao envolvimento de diferentes áreas da entidade e a capacitação no campo da integridade pública.

Adicionalmente, o Guia auxilia os gestores públicos a identificar riscos para a integridade ao apresentar uma lista genérica de potenciais eventos que podem prejudicar a realização dos objetivos institucionais (“riscos transversais para a integridade”) e ao fornecer ferramentas metodológicas. Sugere-se às instituições públicas empregar diferentes metodologias para coletar informações e identificar riscos para a integridade, tais como a análise de informações já existentes dentro da organização (Box 1.1), o aproveitamento da experiência e habilidades dos servidores públicos, o compartilhamento de experiências com organizações similares ou a análise de distintos cenários. A escolha da melhor abordagem dependerá da maturidade da organização e dos recursos humanos e financeiros disponíveis. Por exemplo, como uma possível ferramenta entre muitas, o Guia sugere o uso de reuniões de brainstorming para estimular os participantes a contribuir com pontos de vista para facilitar a identificação de riscos.

Como ponto principal, o Guia da CGU apresenta a metodologia para a avaliação de riscos para a integridade; para tanto, utiliza a abordagem padrão de classificação de um risco de acordo com sua probabilidade e enfatiza diversas maneiras para estimar e apresentar ambas as dimensões de um risco, dependendo de sua precisão e complexidade. Em particular, o Guia da CGU estimula cada instituição a adotar escalas de classificação de impacto e probabilidade para construir um mapa de calor, a depender da complexidade calculada. As instituições com atividades de gestão de riscos para a integridade menos maduras, por exemplo, podem adotar metodologias básicas, como uma matriz 4x4 (quatro níveis de probabilidade e quatro níveis de impacto), conforme ilustrado na Tabela 1.1 a seguir. Consequentemente, para cada risco para a integridade catalogado, a organização deve indicar a possibilidade de sua ocorrência (probabilidade) e a gravidade das possíveis consequências (impacto). Esse processo define a base de análise das medidas mais adequadas para abordar os riscos, de acordo com sua gravidade.

Além de identificar, descrever e classificar os riscos, o Guia também determina que as organizações apontem as causas e as consequências mais significativas associadas a um potencial evento. A identificação das causas possibilita compreender as razões ou circunstâncias com maior probabilidade de estimular, causar ou permitir qualquer conduta que viole a integridade pública. O mapeamento das consequências, por sua vez, favorece um melhor entendimento de como os riscos para a integridade podem afetar os objetivos da organização (CGU, 2018[9]).

Finalmente, o Guia da CGU fornece orientações sobre como usar a informação obtida por meio da avaliação de riscos e do mapa de calor para introduzir medidas eficientes e eficazes de redução desses riscos. No desenvolvimento dos planos de integridade, o Guia recomenda que as instituições públicas se concentrem nos riscos para a integridade mais relevantes a serem geridos, ou seja, aqueles com o impacto mais significativo e maior probabilidade de ocorrência dentro de um nível de risco previamente definido pela alta administração. As organizações públicas devem priorizar os riscos para a integridade que excedam a sua tolerância ao risco (“apetite a riscos”). De acordo com o guia, os programas de integridade, então, devem identificar e promover a implementação de medidas para evitar, minimizar ou transferir os riscos para a integridade mais relevantes e prioritários, garantindo respostas apropriadas e tempestivas. Com base nas prioridades estabelecidas no mapa de calor e no nível de tolerância ao risco, a entidade deve verificar as medidas já existentes e avaliar a necessidade de aperfeiçoar ou estabelecer novas estratégias. A capacitação de equipes, a promoção da transparência, o controle social e a redução do nível de discricionariedade em processos decisórios sensíveis são algumas das medidas recomendadas pelo Guia da CGU para abordar os riscos para a integridade (CGU, 2018[8]). Muitas outras ações podem ser adotadas, dependendo dos riscos específicos de cada organização e da disponibilidade de recursos. O Guia também enfatiza que é essencial adaptar as medidas às reais necessidades da organização para auxiliar o alcance dos seus objetivos, ao invés de gerar burocracia desnecessária e retardar os processos.

A identificação, avaliação e minimização dos riscos para a integridade é um passo essencial para a aprovação do plano de integridade. Como apontado pela CGU, a identificação e avaliação de riscos realizada previamente à implementação do programa de integridade auxilia a reconhecer os processos e as áreas mais suscetíveis à corrupção, capacitando a entidade a agir tempestivamente e a se ajustar a novos riscos ao longo do tempo (CGU, 2018[9]).

Institucionalmente, no âmbito das instituições federais, as Unidades de Gestão da Integridade (UGIs) desempenham um papel crucial na coordenação e no apoio à gestão de riscos para a integridade, atuando como uma segunda linha de defesa. As UGIs são de estabelecimento obrigatório em todas as entidades do Executivo Federal. Elas coordenam a elaboração do Plano de Integridade da instituição e sua subsequente implementação, monitoramento e avaliação. O Sistema de Integridade Pública do Poder Executivo Federal (SIPEF) representa uma oportunidade de fortalecer ainda mais as UGIs para que elas possam cumprir seu relevante papel como unidades setoriais do SIPEF (OECD, 2021[7]).

No Brasil, a capacidade de gestão de riscos sempre representou um desafio para o governo. Em 2014, o Tribunal de Contas da União (TCU) conduziu uma pesquisa em parceria com o Instituto Rui Barbosa, a Associação dos Membros dos Tribunais de Contas do Brasil (ATRICON) e 28 entidades de auditoria regionais, que destacou uma necessidade sistêmica de melhoria da gestão e mitigação de riscos no âmbito governamental. Especificamente, a pesquisa avaliou a maturidade da gestão de riscos com base em um conjunto específico de critérios e identificou ineficiências na gestão de riscos em entidades do setor público. Das 380 entidades públicas pesquisadas, 304 (80%) foram consideradas, à época, em um estágio incipiente de gestão de riscos (ou seja, capacidade inexistente ou insuficiente) (TCU, 2014[10]). A garantia da efetiva implementação permanece como um dos principais entraves enfrentados pelo governo brasileiro no que se refere à gestão de riscos para a integridade, e, em geral, para assegurar a efetiva prestação de contas.

Como anteriormente observado, a implementação da gestão de riscos no setor público constitui um desafio, mas a implementação de riscos para a integridade talvez seja um desafio ainda maior (OECD, 2019[4]). Muitos países envidam grandes esforços para aplicar marcos conceituais à prática cotidiana e promover uma cultura de gestão de riscos para a integridade nas organizações públicas. O Brasil não é exceção. Um questionário de averiguação da OCDE e um grupo focal on-line realizado com as UGIs e a CGU, assim como diversas entrevistas com agentes públicos, evidenciaram que, a despeito do arcabouço normativo e das diretrizes disponíveis, a gestão de riscos para a integridade ainda se encontra em um estágio inicial. Embora exista um grau de heterogeneidade em relação ao amadurecimento da gestão de riscos para a integridade na administração federal, em que algumas instituições públicas se encontram em etapas mais avançadas que outras, há um amplo reconhecimento de que ainda persistem importantes desafios de implementação na maioria das entidades públicas do Executivo Federal brasileiro.

Um dos maiores desafios relacionados ao fortalecimento da gestão de riscos para a integridade no Brasil diz respeito à dificuldade de consolidar uma cultura de integridade pública, que se estenda para além da visão legalista tradicional e comece a incluir uma abordagem dependente do contexto e baseada em riscos. Os resultados obtidos a partir do grupo focal conduzido pela OCDE demonstram que a cultura da conformidade ainda é largamente difundida entre as entidades públicas federais e que há uma forte resistência à mudança por parte dos servidores públicos.

Além disso, é essencial contar com o apoio da alta administração e investir em treinamento de servidores. Na prática, entretanto, as respostas ao questionário da OCDE indicam que a falta de apoio dos altos gestores é uma das principais dificuldades enfrentadas pelas UGIs no desenvolvimento do seu trabalho e na implementação da avaliação dos riscos para a integridade. Ademais, não obstante a relevância de investir em capacitações, os resultados da averiguação realizada pela OCDE revelam que, atualmente, apenas uma pequena parte do trabalho das UGIs está voltada a aconselhar e treinar equipes em questões de integridade. Também se constata uma forte necessidade de intensificar o treinamento em temas específicos de integridade pública para as áreas que desenvolvem atividades relacionadas a essas questões.

Outros desafios dizem respeito aos obstáculos que têm dificultado a efetiva institucionalização da gestão de riscos para a integridade no Executivo Federal brasileiro. Em primeiro lugar, há uma falta de recursos públicos destinados especificamente a essa finalidade, o que acaba impedindo o adequado investimento no treinamento de equipes e na expansão das atividades relacionadas à integridade pública. De acordo com os resultados do questionário da OCDE, 93% (28) das UGIs que participaram da pesquisa não possuíam orçamento próprio à época. Isso significa que as atividades ligadas à integridade ficam muitas vezes sujeitas à disponibilidade de recursos alocados a outras atividades das UGIs, não relacionadas à integridade. Em segundo lugar, verifica-se uma insuficiência de força de trabalho qualificada e dedicada integralmente à gestão dos riscos para a integridade. A esse respeito, o grupo focal da OCDE chamou atenção para o fato de que os gestores públicos responsáveis pela gestão de riscos muitas vezes trabalham no limite de suas capacidades, tendo que realizar outras funções. Por sua vez, as UGIs estão aptas a oferecer apoio aos gestores públicos, mas, em geral, não possuem uma equipe em regime de dedicação exclusiva e adequadamente treinada para lidar com a gestão de riscos para a integridade (OECD, 2021[7]). Tais questões explicam por que a gestão de riscos para a integridade ainda não foi largamente implementada nas instituições governamentais federais, o que dá lugar a planos de integridade incompletos, análises de riscos inacabadas e dificuldades em estabelecer sistemas de detecção eficazes.

Ademais, embora as ferramentas de TI sejam passíveis de auxiliar as instituições públicas na identificação e avaliação dos riscos para a integridade, além de apoiá-las nos processos de tomada de decisão, tais instrumentos são atualmente usados apenas por uma minoria das instituições públicas. Ainda assim, essas ferramentas são quase sempre usadas para fins de detecção e investigação, ao invés de serem empregadas para a antecipação de eventos críticos e o fortalecimento da integridade pública. Como exemplos dessas ferramentas, mencionam-se o Alice (Analisador de Licitações, Contratos e Editais) e o Faro (Ferramenta de Análise de Riscos em Ouvidoria). A CGU e, no caso do Alice, também o TCU, usam esses instrumentos para apoiar a investigação de eventos suspeitos. O Alice tem por foco as aquisições públicas, e o Faro auxilia a análise das denúncias dirigidas à Ouvidoria-Geral da União. O Capítulo 2 analisará mais detalhadamente essas ferramentas de TI e como o Brasil poderia se valer delas para fortalecer a gestão dos riscos para a integridade.

O Agatha, um instrumento desenvolvido pelo extinto Ministério do Planejamento, Desenvolvimento e Gestão (MP), objetiva facilitar a gestão de riscos e os sistemas de controle interno. Essa ferramenta foi projetada para auxiliar os gestores a avaliar as forças, fraquezas, oportunidades e ameaças (análise FOFA), tanto internas quanto externas, e a identificar, avaliar e orientar análises críticas de riscos a fim de impactar positivamente o alcance dos objetivos institucionais das entidades públicas, conforme dispõe o Decreto nº 9.203/17. Todavia, na prática, essa ferramenta não foi amplamente adotada, a despeito de sua gratuidade. Por exemplo, entre as UGIs que responderam ao questionário da OCDE, somente 10% (3) usam atualmente o Agatha, e uma delas está considerando a sua utilização. Outras poucas unidades estão no processo de implementação desse instrumento e algumas apontaram uma urgente necessidade de treinamento e orientações mais claras sobre como utilizar o Agatha. Entrevistas realizadas pela OCDE para entender as razões pelas quais o Agatha não é usado de modo mais sistemático indicaram que a ferramenta é de difícil utilização e limitada em termos de suporte analítico, oferecendo apenas um mapa de calor para facilitar as análises.

De modo geral, os pontos anteriormente levantados reforçam a necessidade de continuar a aperfeiçoar e amadurecer a gestão de riscos para a integridade na administração federal brasileira. Não menos importante, a pandemia de Covid-19 impôs diversos desafios adicionais aos países, incluindo o Brasil, elevando os gastos públicos, agravando a situação financeira nacional, conturbando os processos decisórios e obstruindo o controle social. Conforme relatado na averiguação, as entidades públicas brasileiras experimentaram uma série de dificuldades para desenvolver seu trabalho sob essas novas circunstâncias. Foi também mencionado que, em decorrência da crise, a agenda da integridade pública perdeu importância entre algumas entidades públicas, o que se refletiu na piora das limitações orçamentárias para tratar dessa questão.

Infelizmente, uma pesquisa recente sobre ética e corrupção no serviço público federal brasileiro revelou que, durante a crise da Covid-19, houve um aumento na percepção dos gestores públicos acerca da ocorrência de atos de corrupção, tais como interferência política na tomada de decisões e falta de transparência e responsabilidade em decisões concernentes às aquisições e contratações públicas (Ortega Nieto et al., 2021[11]). Portanto, em um contexto de crise, a gestão de riscos para a integridade se torna ainda mais relevante para guiar políticas de integridade efetivas e eficazes.

Não obstante, cabe ressaltar que, a despeito dos desafios experimentados por algumas entidades públicas durante a atual crise, o estabelecimento do SIPEF, em 2021, representa um marco indicativo de que o país está no rumo certo para concretizar a agenda da integridade no Executivo Federal. Todavia, esse novo sistema ainda necessita ser consolidado para atingir o objetivo de promover culturas de gestão de riscos para a integridade no âmbito da administração federal (OECD, 2021[7]). Com base na análise da situação atual, o capítulo seguinte apresenta caminhos concretos para continuar fortalecendo a cultura de integridade pública e de gestão de riscos para a integridade. As recomendações apresentadas no próximo capítulo serão complementadas pela Revisão de Integridade da OCDE no Brasil (OECD, em preparo[5]), que fornecerá uma análise mais sistêmica da gestão de riscos para a integridade e da sua prevenção no Brasil.