O Capítulo 1 descreveu e analisou os principais desafios enfrentados pelo Brasil para garantir a efetiva implementação da atual abordagem da gestão doa riscos para a integridade, e, em particular, para promover uma cultura de gestão de riscos em todo o Executivo Federal. Ao mesmo tempo, a gestão de riscos para a integridade se torna ainda mais crucial em tempos de crise, visto que assegura políticas de integridade não apenas efetivas, mas também eficientes e, portanto, econômicas.

Nesse sentido, o país poderia considerar o fortalecimento da atual metodologia e abordagem, trabalhando ao longo de três caminhos principais que complementam e se estruturam uns sobre os outros:

A abordagem baseada em riscos é fundamental para a Recomendação da OCDE sobre Integridade Pública. A ideia pode ser encontrada ao longo de toda a Recomendação, a qual enfatiza que as análises de riscos devem orientar as medidas adotadas para mitigar esses riscos para a integridade, a fim de que essas medidas sejam proporcionais, eficientes e eficazes. No entanto, é necessário lembrar que o alcance desses objetivos depende, entre outros, de três passos fundamentais: da identificação precisa, da avaliação e mitigação dos riscos que podem afetar o cumprimento do mandato e dos objetivos de uma instituição pública (Figura 2.1). Além disso, a gestão de riscos para a integridade deve ser claramente comunicada, monitorada e avaliada para garantir uma efetiva implementação e aprendizado ao longo do tempo. Cada um desses passos necessita ser eficaz para alcançar o objetivo geral da gestão de riscos para a integridade, sendo crucial identificar e compreender os potenciais desafios e problemas.

Embora o Guia da CGU descrito no Capítulo 1 apresente informações sobre esses três passos e enfatize a necessidade de promover culturas de gestão de riscos para a integridade nas instituições públicas, as orientações sobre como esses aspectos podem ser concretamente alcançados são limitadas. Naturalmente, existe uma ampla variedade de aspectos relacionados, por exemplo, com as estruturas normativas ou as capacidades disponíveis, que constituem elementos fundamentais para a consolidação de uma efetiva gestão dos riscos para a integridade. Esses aspectos serão analisados com mais detalhe na próxima Revisão de Integridade da OCDE no Brasil (OECD, em preparo[5]). A presente seção examina algumas barreiras comportamentais e vieses que podem prejudicar a gestão dos riscos para a integridade em cada um dos três passos ilustrados na Figura 2.1, para os quais o discernimento e a experiência humana continuam e continuarão a contribuir com informações relevantes. De fato, o Guia da CGU atualmente carece de uma análise dessas dimensões comportamentais.

A aplicação de lições de ciência comportamental pode ajudar a revelar esses vises cognitivos e erros sistemáticos de julgamento, subsidiando, assim, estratégias de apoio aos gestores públicos (os responsáveis pelos riscos) a fim de melhorar sua compreensão, identificação e avaliação dos riscos. Isso, por sua vez, pode ensejar medidas de integridade melhor direcionadas e um sistema de controle interno mais resiliente à fraude e à corrupção e, finalmente, contribuir para estabelecer uma cultura de gestão de riscos para a integridade nas entidades públicas.

De fato, os seres humanos estão sujeitos a diversos vieses que dificultam a identificação e a avaliação da probabilidade da ocorrência e do potencial impacto de um determinado evento de risco. Apesar do uso de metodologias que simulam avaliações objetivas, a identificação e a avaliação dos riscos sempre terão um componente subjetivo (Slovic, 1999[12]). Os seguintes aspectos podem afetar o julgamento dos agentes públicos que participam de avaliações de riscos para a integridade, particularmente as avaliações qualitativas de riscos, como aquelas exemplificadas no Guia da CGU:

• O conceito de “risco” e de tolerância ao risco é muitas vezes mal compreendido ou difícil de definir ou comunicar, particularmente no contexto da gestão de riscos para a integridade, em que a retórica política promove a chamada “tolerância zero”. Ademais, a racionalização inconsciente de práticas antiéticas ou a suscetibilidade que acompanha as violações de integridade podem comprometer a identificação de eventos de risco relevantes. Por um lado, a tarefa de identificar os riscos para a integridade pode desencadear desconforto ou até receio. Os agentes públicos podem sentir que a identificação de riscos nos processos sob sua responsabilidade corresponde de fato a uma avaliação de sua própria integridade ou da integridade de suas equipes, confundindo o risco de violações da integridade com sua real ocorrência. Por outro lado, o valor agregado na identificação e gestão de riscos muitas vezes é menos valorizado pelos agentes públicos do que os riscos potenciais para si mesmos. Eles podem não estar dispostos a identificar riscos para a integridade, por perceberem tal exercício como indicativo de fraquezas em suas unidades e processos, com consequências potencialmente negativas. Por exemplo, os agentes públicos podem relutar em chamar a atenção da investigação ou de unidades de auditoria sobre sua área, no receio de atrair mais trabalho ou pressão.

• Para identificar riscos mais específicos para a integridade, é necessário um conhecimento detalhado do setor, de sua organização e dos seus processos. Esse conhecimento pode ser útil para estimular a participação dos gestores e dos servidores da linha de frente. Eles são diretamente responsáveis pelas operações e serviços em toda a organização e podem contribuir para a identificação de riscos, oferecendo diferentes perspectivas e validando os resultados do mapeamento de riscos (OECD, 2020[1]). Seguindo essa lógica, o Guia da CGU recomenda o uso de oficinas de riscos, similares a sessões de brainstorming, para identificar riscos e considerar diferentes perspectivas e experiências por meio do envolvimento dos servidores públicos (CGU, 2018[8]). Contudo, diversos conceitos comportamentais mostram que as reuniões de brainstorming estão sujeitas a dinâmicas sociais que podem comprometer a identificação dos riscos. Por exemplo, ao invés de corrigir erros cometidos pelos indivíduos de um grupo, o grupo pode amplificar esses erros. Os grupos também podem apenas seguir as ideias dos participantes que se manifestam primeiro, polarizar-se em torno de ideias extremistas ou continuar focando no que todos já sabem, ao invés de considerar informações cruciais de indivíduos que podem não querer externá-las (Sunstein and Hastie, 2014[13]).

• Finalmente, a avaliação de riscos identificados também pode sofrer vieses. Diversos estudos observaram que os seres humanos têm bastante dificuldade em pensar estatisticamente e, como tal, podem enfrentar problemas para avaliar corretamente a probabilidade de riscos (Kahneman and Tversky, 1982[14]; Kahneman and Tversky, 1972[15]). Para lidar com a incerteza e avaliar probabilidades, as pessoas tendem a usar o pensamento heurístico (Tversky and Kahneman, 2007[16]). Embora a heurística seja econômica, muitas vezes ela acarreta julgamentos enviesados. Por exemplo, as pessoas tendem a confundir plausibilidade com probabilidade. Entretanto, um risco que parece mais plausível ou que tem uma narrativa mais coerente não é necessariamente o de ocorrência mais provável. Um fator típico de distorção de nossa estimativa de probabilidade é a falácia da taxa básica. Quando questionadas sobre violações à integridade em determinado procedimento, as pessoas imaginam ou recordam quantas vezes uma violação ocorreu, mas normalmente desconsideram quantas vezes o procedimento aconteceu sem nenhuma violação da integridade. Além disso, eventos de risco que tendem a nos afetar emocionalmente ou que vivenciamos diretamente no passado costumam desencadear sentimentos mais intensos e nos fazem acreditar que são mais prováveis (Loewenstein et al., 2001[17]). A disponibilidade de informação sobre um tópico ou a sua relevância também podem influenciar nossas estimativas. Uma ampla cobertura midiática sobre casos de corrupção, por exemplo, pode distorcer nossa percepção no sentido de superestimar a probabilidade de ocorrência de certos riscos para a integridade. Finalmente, diferentes crenças e visões de mundo podem ensejar classificações de risco muito díspares, resultando em pouco ou nenhum benefício da matriz de riscos para a gestão efetiva e racional destes (Ball and Watt, 2013[18]).

Mesmo quando os riscos para a integridade são adequadamente identificados e avaliados, por meio de técnicas qualitativas ou quantitativas, as preconcepções e as barreiras comportamentais podem dificultar a correta tomada de decisão em relação ao modo de lidar com esses riscos e, portanto, impedir uma efetiva mitigação desses riscos. De fato, os gestores públicos que necessitam agir com base nas informações disponíveis sobre os riscos muitas vezes se veem propensos tanto à inação como a uma reação exagerada.

• Por um lado, o excesso de confiança ou a cegueira em reação às vulnerabilidades pode levar a medidas preventivas que são muito fracas. A já mencionada racionalização de algumas práticas antiéticas e a susceptibilidade ligada aos riscos para a integridade, aliadas à incompreensão da probabilidade do risco versus a ocorrência do risco, podem levar os gestores públicos a preferir fechar os olhos para os riscos para a integridade ao invés de agir – por exemplo, para evitar estar no foco da atenção e atrair potencial estresse, estigma ou trabalho extra.

• Por outro lado, gestores públicos demasiadamente avessos a riscos, ou contextos em que os escândalos de corrupção são largamente cobertos pela mídia, despertando reações tanto dos cidadãos como dos partidos de oposição, podem levar a medidas muito estritas, que acabam indo “além do alvo”. A aversão à perda é, de fato, um conceito comportamental amplamente pesquisado e estabelecido (Kahneman and Tversky, 1979[19]). Os custos do enfrentamento de um escândalo de corrupção em determinada entidade são muitas vezes considerados impeditivos para a alta administração e podem, assim, ensejar medidas extremas. No entanto, é importante ter em mente que as medidas anticorrupção também acarretam custos (Falk and Kosfeld, 2006[20]; OECD, 2018[21]; Schulze and Frank, 2003[22]). Esses custos estão ligados a trade-offs com flexibilidade e inovação, ao dano psicológico decorrente do sinal de desconfiança que é enviado aos servidores públicos e ao risco de afastar a motivação intrínseca à honestidade.

Segundo enfatizado no Capítulo 1, há diversos desafios para implementar uma cultura de gestão de riscos para a integridade. Eles estão relacionados às restrições de capacidade (conhecimento sobre riscos ligados à integridade) e de tempo (prioridades concorrentes). Além disso, a seção prévia ressaltou que os vieses comportamentais podem exacerbar o desafio de estabelecer culturas de gestão de riscos para a integridade. A CGU reconhece alguns desses entraves, mas não oferece orientações e apoio suficiente sobre como abordá-los concretamente. Nesse caso, a aplicação de conceitos comportamentais permite reconhecer e tratar os potenciais problemas identificados na seção anterior. Em resumo, a ideia é tornar a gestão de riscos para a integridade um tópico menos sensível, mais intuitivo e menos complexo.

Em particular, a CGU poderia considerar a aplicação de lições de ciência comportamental por meio das seguintes estratégias ou medidas:

• Apoiar a identificação de riscos para a integridade, superando mal-entendidos e desmistificando os riscos ligados à integridade. A predisposição em identificar riscos para a integridade, em primeiro lugar, é fundamental para os resultados da gestão desses riscos. A CGU e as UGIs, portanto, devem continuar e mesmo intensificar os esforços para esclarecer os conceitos de integridade e de risco. Essencialmente, é crucial que os gestores públicos compreendam que a gestão de riscos para a integridade visa examinar a integridade de funções e processos, não a sua própria integridade pessoal. Tanto quanto possível, a comunicação necessita dissociar a identificação de riscos de casos específicos. Uma estratégia seria começar com um experimento mental nos seguintes moldes: “Imagine que você está deixando seu cargo atual e deseja garantir que a pessoa que vier depois não possa abusar de sua posição e dos processos sob sua responsabilidade”. A comunicação também deve buscar “normalizar” a gestão de riscos para a integridade na medida do possível. Os administradores necessitam se conscientizar de que a gestão dos riscos para a integridade, em última instância, auxilia o alcance dos objetivos institucionais, porquanto favorece uma melhor tomada de decisões, uma alocação mais direcionada de recursos e a prevenção de danos à reputação.

• Apoiar a identificação de riscos para a integridade, simplificando a metodologia e fornecendo orientações intuitivas. Embora a atual abordagem de gestão de riscos para a integridade no Brasil corresponda a diretrizes e práticas internacionais, a averiguação realizada durante o presente trabalho evidenciou que essa gestão é percebida como algo complicado e que demanda habilidades específicas. Os detalhes são importantes, mas os riscos para a integridade são frequentemente bem conhecidos e podem ser tratados de uma forma mais genérica. Essencialmente, levando em consideração o atual nível de maturidade da gestão de riscos para a integridade no governo brasileiro, há benefícios em simplificar as abordagens, identificar pequenas conquistas e resistir ao apelo de metodologias excessivamente sofisticadas de avaliação de riscos para a integridade, atentando, ao mesmo tempo, para as preconcepções e armadilhas das avaliações quantitativas de riscos, conforme discutido.

• Abordar dinâmicas de grupo problemáticas para evitar vieses na identificação e avaliação dos riscos para a integridade. O reconhecimento dos problemas inerentes às sessões de brainstorming ajuda a contrabalançá-los na realização de trabalhos em grupo. Nesse sentido, a CGU pode adotar técnicas para evitar as armadilhas típicas da tempestade de ideias e do pensamento de grupo (Sunstein and Hastie, 2015[23]). Por exemplo, adaptando essas técnicas à identificação de riscos para a integridade, o Brasil poderia considerar uma metodologia desenvolvida no Reino Unido, em que os participantes, em silêncio (mas não de forma anônima), contribuem para um único documento on-line em uma mesma sessão (Box 2.1). De modo semelhante, um grupo poderia identificar riscos para a integridade trabalhando conjuntamente em um mesmo documento on-line. Quando as atividades se aperfeiçoarem, o país também pode explorar a incorporação de conceitos qualitativos e quantitativos para a triangulação de riscos em setores-chave e a validação das percepções dos gestores sobre a probabilidade e o impacto dos riscos, com base em dados históricos, quando disponíveis.

• Apoiar uma avaliação mais adequada de riscos para a integridade e um melhor uso da informação obtida. Ao longo do processo, lembretes ou “toques” poderiam ser usados para salientar pressuposições típicas em avaliações humanas de eventos de risco. Em resumo, a ideia é fazer com que os agentes públicos envolvidos em avaliações de risco adotem um uso mais reflexivo da informação e estejam menos sujeitos aos vieses descritos na seção anterior. Não há dúvida de que mesmo simples lembretes sobre possíveis preconcepções podem levar os gestores públicos a abandonar um modo de pensar intuitivo ou geralmente inconsciente, que poupa esforços mas está sujeito a vieses (“pensar rápido”, ou “sistema 1”), em favor de um processo mental mais racional e consciente (“pensar devagar”, ou “sistema 2”) (Kahneman, 2013[24]).

Finalmente, as ferramentas de TI podem incorporar algumas dessas recomendações do campo comportamental e contribuir para o apoio aos gestores públicos ao longo do processo. Conforme mencionado no Capítulo 1, o Agatha atualmente não é um sistema suficientemente amigável e, por essa razão, não foi amplamente adotado na administração pública brasileira. Portanto, o Brasil poderia considerar uma revisão e uma simplificação do Agatha. Todavia, desenvolver um novo sistema do zero, em consonância com as orientações da CGU e os conceitos comportamentais, talvez represente uma solução mais fácil. O produto resultante poderia constituir uma interface de aplicativo para dispositivos móveis e/ou uma plataforma on-line para auxiliar os gestores públicos no processo de gestão dos riscos para a integridade. A ferramenta teria o objetivo de reduzir as contribuições dos gestores públicos a um mínimo estrito e, ao mesmo tempo, desempenhar a função pedagógica de esclarecer conceitos relacionados à integridade e à gestão de riscos. Para tanto, à CGU caberia elaborar, de forma prévia, orientações e informações automatizadas sobre os riscos para a integridade mais típicos e genéricos, para depois incorporá-los a essa interface. O Órgão já começou a trabalhar na sistematização de tais “riscos transversais para a integridade”, que seriam usados como um ponto de partida. Esse trabalho poderia ser traduzido sob a forma de questões orientadoras para auxiliar os gestores e acompanhá-los ao longo do processo de identificação e avaliação de riscos para a integridade.

Essa interface, mais amigável e de simples utilização, poderia contribuir para desmistificar a gestão de riscos para a integridade e ajudar na superação dos receios e mal-entendidos recorrentes. Em última instância, tal interface proporcionaria a melhoria da qualidade das avaliações de riscos e a implementação de culturas de gestão de riscos para a integridade nas instituições federais. A interface poderia ser promovida por meio das UGIs, a fim de garantir a participação de todas as instituições federais. Com o tempo, se um volume suficiente de participantes estiver usando a ferramenta, os dados coletados podem ser centralizados pela CGU, para subsidiar a elaboração de mapas de riscos setoriais ou regionais. A Figura 2.2 apresenta um panorama da teoria da mudança subjacente a tal ferramenta de TI para apoiar os gestores na gestão dos riscos para a integridade.

O desenvolvimento dos Sistemas de Informação e Comunicação levou ao surgimento de um considerável volume de dados no setor público. Considerando a limitação humana para processar grandes quantidades de informação, os governos de todo o mundo começaram a adotar estratégias digitais para tirar proveito da miríade de dados que se multiplicaram nos últimos anos, criando novas oportunidades para melhorar a gestão de riscos para a integridade. Juntamente com os conceitos comportamentais discutidos na seção anterior, os dados e as ferramentas de análise podem facilitar ainda mais as futuras iniciativas da CGU na gestão e avaliação de riscos para a integridade (OECD, 2019[26]).

De fato, o uso de técnicas quantitativas e de análises de dados pode contribuir para a identificação de potenciais situações de fraude e corrupção em uma série de áreas nas quais os governos tendem a coletar dados confiáveis e válidos graças à emissão de sinais de alerta (OECD, 2021[27]). A inteligência artificial (IA), incluindo o aprendizado de máquina, possui um rico histórico de aplicações para a gestão de riscos, por exemplo, transformando dados estruturados e não estruturados em conceitos para a detecção e monitoramento de risco. Além de emitirem sinais de alerta, as ferramentas analíticas subsidiam a gestão de riscos para orientar a prevenção. Modelos preditivos podem fornecer dados para a tomada de decisão e ajudar os gestores a reagir aos riscos antes que estes se materializem (OECD, 2021[28]). Em geral, a qualidade das metodologias para avaliação de riscos baseadas em IA ou em análises estatísticas corresponde à qualidade dos dados disponíveis. Dados abertos e administrativos em áreas como infraestrutura pública, aquisições, folha de pagamento, serviços sociais, saúde e serviços de emprego costumam ter qualidade suficiente para seu uso e reuso.

A utilização de dados e ferramentas de análise para a integridade pública e redução de riscos é cada vez mais comum na América Latina. Colômbia e México são exemplos recentes dessa aplicação (OECD, 2021[28]; OECD, 2021[29]). O Brasil foi um dos primeiros países na região a adotar ferramentas de análise de dados e um pioneiro no seu uso para o controle e a transparência dos processos. Por exemplo, conforme mencionado no Capítulo 1, o Alice (Analisador de Licitações, Contratos e Editais) e o Faro (Ferramenta de Análise de Risco em Ouvidoria) destacam-se no contexto do apoio a auditorias e investigações. O Alice é uma ferramenta de Automação Robótica de Processos (RPA) que usa inteligência artificial (IA) para permitir a contínua auditoria de aquisições públicas e de processos de contratação. O Alice começou a ser implantado pela CGU em 2015 e, em 2016, pelo Tribunal de Contas da União (TCU). A ferramenta tem contribuído para o combate à corrupção em compras públicas. O Faro também é uma tecnologia baseada em IA, adotada em 2021 pela Ouvidoria-Geral da União (OGU, é uma das Secretarias da CGU) para automatizar a análise de denúncias enviadas pelos cidadãos por meio da plataforma on-line Fala.BR.

No Brasil, o alto volume de licitações representa um grande desafio analítico, considerando que, com base em informações fornecidas pelo país, são publicados em média 357 editais por dia. Além disso, muitas licitações permanecem abertas por apenas algumas semanas ou dias; por conseguinte, os auditores devem realizar avaliações de risco rapidamente, antes que os contratos sejam assinados, o que na prática é quase impossível. Com o objetivo de superar esse desafio, a CGU e o TCU iniciaram a implantação do Alice.

No TCU, por exemplo, essa ferramenta é programada para acessar diariamente o Comprasnet, o portal de compras do Governo Federal (https://www.gov.br/compras/pt-br), que registra dados sobre as aquisições públicas em âmbito federal. Na CGU, o Alice também é programado para recuperar dados do sistema Licitações-e e do Diário Oficial da União. O Licitações-e é o portal de aquisições do Banco do Brasil, também compartilhado com diversas empresas estatais e agências governamentais. A partir do Diário Oficial da União, o Alice extrai informações sobre licitações encerradas e não executadas. De acordo com informações atualizadas da CGU, o Alice baixa os documentos e dados de todos os editais e realiza correspondências de dados usando 223 bases de dados governamentais e 14 tipos de análises textuais para detectar sinais de má conduta e riscos nos documentos licitatórios, tais como manipulação de lances, restrições à concorrência, superfaturamento de preços e ausência de informações importantes no edital (Bemquerer Costa and Leitão Bastos, 2020[30]).

Por exemplo, o Alice analisa o “fator de materialidade”, que é uma estimativa de valor de riscos aplicada aos editais de licitação. Como os editais são salvos em PDF, o texto muitas vezes não é uniforme. O Alice aplica um algoritmo que obtém automaticamente os valores monetários das licitações a partir dos arquivos em PDF e organiza os dados aplicando o método de “floresta aleatória” (“Random Forest”) de classificação. Assim, segundo a CGU, um acordo atualmente em negociação com o Ministério da Economia permitirá que o Alice acesse diretamente o correto valor monetário dos editais. Para detectar irregularidades nas ofertas, o Alice também obtém informações relevantes a partir do Comprasnet e as salva em um repositório em formato computacionalmente legível para, mais tarde, cruzá-las com outros conjuntos de dados. Além disso, o TCU pactuou com a Receita Federal brasileira a obtenção de dados confidenciais relativos ao CNPJ dos proponentes como um identificador único para o cruzamento de referências das entidades ao longo de bases de dados e para a detecção de qualquer indício que possa constituir motivo de inelegibilidade durante a fase de ofertas.

O Alice vem gerando um impacto muito positivo no fortalecimento da prática de identificação de riscos no Brasil e no combate à corrupção em aquisições públicas no âmbito da administração federal. De acordo com informações fornecidas pela CGU, no primeiro ano de utilização do Alice, foram analisados mais de 100.000 editais e, entre dezembro de 2018 e novembro de 2019, oito licitações foram revogadas, totalizando um valor de aproximadamente R$ 3,2 bilhões. Além disso, foram suspensas 14 licitações devido a sinais de corrupção revelados pelo Alice, perfazendo um total de R$ 470 milhões. Em 2021, 139.566 licitações foram examinadas, 35.461 alertas de risco foram emitidos e 646 editais foram analisados por auditores, que abriram 70 processos de auditoria distintos. Segundo o relatório de atividades do TCU, em 2020, o montante decorrente das análises desenvolvidas por meio do sistema Alice totalizou mais de R$ 194 milhões (TCU, 2021[31]).

O Alice constitui um exemplo bem-sucedido de uso de dados e ferramentas analíticas para identificar sinais de alerta quanto a potenciais atos de corrupção e má conduta em aquisições, assim como para melhorar a eficiência do trabalho dos auditores. Podem-se apontar dois fatores subjacentes para o sucesso do instrumento:

• Um fator decisivo para a obtenção de resultados valiosos na identificação de riscos de corrupção em compras públicas foi o apoio da alta administração, o que é considerado um elemento fundamental para a consolidação de uma cultura de integridade. Por exemplo, o uso do Alice inovou a maneira como os auditores enfrentam as irregularidades que são descobertas. O fato de os auditores terem sido prontamente apoiados pelos Conselheiros do TCU, que concordaram em assinar uma Portaria validando o novo fluxo de trabalho, habilitou-os a agir da forma mais eficiente para abordar os riscos de corrupção identificados por essa tecnologia de inteligência artificial.

• Para evitar sobrecarregar os auditores com excesso de informações e compensar a dificuldade humana em lidar com grandes volumes de dados, tanto a CGU como o TCU adotaram duas estratégias para apoiar os auditores. Em primeiro lugar, o Alice envia e-mails diários com as informações mais importantes sobre as licitações e os alertas gerados pelo sistema, considerando as principais responsabilidades de cada área, capacitando os auditores, assim, a priorizar informações na condução de suas análises. Em segundo lugar, foi criado um painel para que permite aos auditores aplicar diferentes filtros para direcionar suas pesquisas, no qual podem ser encontradas informações mais detalhadas sobre a análises de editais conduzidas pelo Alice e as irregularidades resultantes.

No Brasil, a plataforma Fala.BR (https://falabr.cgu.gov.br/) foi criada para enfrentar o desafio de examinar as numerosas manifestações registradas pelos cidadãos por meio da internet. O Fala.BR é gerido pela CGU para substituir dois sistemas diferentes: o sistema de ouvidoria anteriormente denominado e-Ouv e o acesso ao sistema de informações antes conhecido como e-SIC. Trata-se de uma plataforma inovadora, que permite aos cidadãos não apenas requerer informações, mas também registrar reclamações ou alegações contra qualquer órgão federal, expressar satisfação ou insatisfação em relação a um serviço ou programa e oferecer sugestões para melhorar ou simplificar os serviços públicos (OECD, em preparo[32]). Na esfera federal, a Ouvidoria-Geral da União (OGU) é atualmente responsável por receber essas manifestações. A análise de aptidão é uma etapa-chave desse processo, durante a qual todos os materiais referentes às denúncias (seus textos e anexos) são examinados para verificar se cumprem os requisitos mínimos a serem aprofundados pelas áreas disciplinares ou pelas auditorias internas. Para conduzir essa análise, é necessário validar a informação indicada nos textos e complementá-las com outros dados externos.

O grande número de denúncias registradas, juntamente com o extenso volume de documentos a serem analisados, sobrecarrega a OGU e impede a entidade de agir de modo tempestivo para investigar os casos e adotar as medidas cabíveis. Além disso, para um entendimento completo dos fatos apontados pelos cidadãos, geralmente é necessário considerar outras informações não apresentadas no texto das denúncias. Portanto, para automatizar o processo de exame e imprimir mais eficiência à análise de aptidão, em 2021 a OGU iniciou o uso do Faro, uma ferramenta de IA que auxilia o processo decisório sobre se uma denúncia deve continuar a ser investigada ou não. Além de automatizar os processos de identificação e de extração de certas variáveis dos textos das denúncias, essa ferramenta também enriquece os subsídios fornecidos pelos cidadãos, correlacionando-os com dados de 57 bases de dados externas, e, portanto, identificando novos elementos associados às denúncias.

A metodologia aplicada pelo Faro para automatizar a avaliação das denúncias e determinar se elas devem ou não ser levadas adiante envolve cinco passos principais (Paiva and Pereira, 2021[33]).

• Em primeiro lugar, na etapa de conversão, essa tecnologia lê todos os materiais anexos às denúncias, que geralmente se encontram em diferentes formatos (por ex., imagens, planilhas, PDFs, apresentações etc.) e muitas vezes não são computacionalmente legíveis. Esses anexos são transformados em formato de texto e as informações relevantes são extraídas e vinculadas aos textos originais das denúncias.

• Em segundo lugar, o Faro extrai as informações mais importantes dos textos das denúncias, como o nome dos contribuintes e empresas por meio do Cadastro de Pessoas Físicas (CPF) e do Cadastro Nacional de Pessoas Jurídicas (CNPJ), os números dos contratos e acordos, os valores monetários, assim como palavras ou expressões consideradas relevantes no contexto de uma possível falha de conduta indicada nas denúncias (por ex., fraude, corrupção, superfaturamento). Uma vez identificados, todos esses elementos são armazenados em uma base central de dados para serem usados ao longo da investigação.

• Em terceiro lugar, o Faro realiza um processo de expansão, que consiste em encontrar, nas 57 bases de dados externas, novas informações sobre as entidades previamente identificadas, a fim de comprovar sua existência e descobrir novos elementos e conexões. Por exemplo, quando um CNPJ específico é identificado no texto de uma denúncia, essa variável é primeiramente cruzada com outas bases de dados para checar se o CNPJ é válido. Na sequência, outros elementos derivados desse CNPJ são buscados, tais como as pessoas listadas como membros da entidade.

• O quarto passo consiste em qualificar as entidades identificadas nas etapas prévias. Como exemplo, no caso de um CPF, é possível verificar se ele pertence a um servidor público ou mesmo se a pessoa recebe benefícios oriundos de programas sociais.

• Finalmente, o Faro realiza uma elaboração de dados na qual as informações obtidas nos passos anteriores são agregadas, criando uma base de dados centralizada que é usada para treinar o modelo. Cada denúncia é representada por um conjunto de dados estruturados obtidos a partir dos textos originais das denúncias (anexos incluídos), assim como de informações provenientes de outras fontes.

Dessa maneira, o Faro demonstrou um significativo potencial para obter e agregar informações que não fazem originalmente parte das denúncias, assim como para aumentar a eficiência da análise dessas denúncias. O sistema minimiza o esforço de consultar manualmente diversos documentos e sistemas para a avaliação da conveniência e factibilidade da investigação das denúncias direcionadas à OGU por meio da plataforma Fala.BR.

Segundo dados fornecidos pela OGU, desde o começo de sua operação, em janeiro de 2020, o Faro foi responsável pela análise de 5.361 denúncias; destas, 40% foram automaticamente classificadas pelo sistema como não aptas ao avanço da investigação (as que alcançaram menos de 30 pontos) e 8% foram automaticamente classificadas como tendo elementos suficientes para o início da investigação (as que obtiveram mais de 80 pontos). Assim, a equipe da OGU foi capaz de concentrar seus esforços sobre os 52% restantes das denúncias, já previamente pontuadas e qualificadas pelo Faro com base em dados de outras bases governamentais, para decidir se elas continham ou não os elementos necessários ao trabalho das unidades investigativas.

Não obstante os avanços do Brasil no uso de dados e de ferramentas analíticas e os benefícios alcançados até o momento, ainda restam alguns desafios cruciais obter o máximo proveito do uso das análises de dados na gestão de riscos para a integridade entre as organizações do Executivo Federal brasileiro. Para incorporar efetivamente a cultura da gestão de riscos para a integridade nas entidades públicas e promover uma abordagem preventiva, é necessário implementar estratégias que possam ir além da simples identificação de sinais de alerta e de finalidades meramente investigativas.

Por exemplo, embora o sistema Alice ajude a identificar riscos para a integridade no contexto das licitações públicas, essa tecnologia foi primordialmente implementada pela CGU e pelo TCU para aumentar a eficiência do trabalho dos auditores, capacitando-os a analisar uma quantidade muito maior de editais e identificar sinais de alerta de corrupção na etapa de ofertas. De fato, apesar do avanço de ambas as entidades no uso da ciência de dados, de sua excelente estrutura de TI, dos resultados positivos alcançados e da expansão do uso do Alice para outros tribunais locais de contas (Projeto Alice nacional), a ferramenta é atualmente limitada a atividades investigativas nas aquisições públicas (Bemquerer Costa and Leitão Bastos, 2020[30]). Além disso, embora as compras públicas representem uma área crucial no que se refere aos riscos para a integridade, ela não é a única; nesse sentido, o Brasil poderia aprofundar a aplicação das ferramentas analíticas em outros campos, como para as análises de concessões de bolsas e subsídios ou despesas com viagens, por exemplo.

Portanto, a CGU poderia se beneficiar das equipes técnicas e do amadurecimento já alcançado na aplicação da ciência de dados para desenvolver uma estrutura tecnológica que auxilie a gestão de riscos para a integridade nas entidades de todo o Executivo Federal e que seja baseada, fundamentalmente, em modelos preditivos. Para tanto, cabe à CGU desenvolver uma estratégia e um plano de ação para o uso de dados e análises que levem em consideração o contexto de integridade e anticorrupção específico da administração pública federal. Nesse exercício, a coordenação e o compartilhamento de informações entre a CGU e o TCU poderia ser considerado.

Essa estratégia e plano de ação poderiam ter como base os seguintes procedimentos:

• Mapear as bases de dados relevantes para a avaliação dos riscos para a integridade. Tal mapeamento inclui um inventário de todas as bases de dados potencialmente disponíveis para fortalecer a capacidade da CGU de avaliação de riscos para a integridade. O mapeamento pode se estruturar sobre o considerável trabalho já realizado pela CGU e não ser puramente descritivo, mas incluir uma análise da qualidade, acessibilidade e relevância dos dados para a avaliação de riscos para a integridade. Esse mapeamento também poderia incluir uma análise das bases de dados prioritárias para seguir aprimorando a estratégia de análise de dados no futuro.

• Revisar e desenvolver uma análise comparativa da estratégia e capacidade das ferramentas analíticas. O uso de dados e análises depende da existência de estratégias que tenham objetivos claramente articulados, assim como de uma série de pré-condições e capacidades técnicas. A CGU poderia examinar essas áreas, incluindo a governança, gestão e capacidade de dados disponíveis para avaliar os riscos para a integridade. Essa análise ofereceria um mapa situacional claro das áreas que necessitam de melhoria no desenvolvimento e implementação da estratégia e do plano de ação.

• Desenvolver um modelo de avaliação de riscos para a integridade orientado por dados. Esse modelo deve refletir a maturidade da CGU com base em diferentes fatores, incluindo a criação de uma plataforma que congregue diversas bases de dados relacionadas à integridade. O modelo deve ser ambicioso, atualizado e teoricamente sólido. Ampliando a experiência com o Faro, a CGU poderia empregar os mais recentes avanços em aprendizado de máquina e inteligência artificial, como está sendo feito pela Espanha com o apoio da OCDE (OECD, 2021[27]). Outras técnicas poderiam incluir uma pontuação de riscos baseada em indicadores, por exemplo. O objetivo do modelo vai além do mero cruzamento de bases de dados e visa adotar ferramentas de IA que apoiem diretamente a gestão de riscos para a integridade, detectando padrões, realizando previsões e fornecendo ideias úteis.

• Realização de capacitações. A estratégia e o plano de ação devem identificar e incluir objetivos relacionados à oferta de treinamento e à realização de oficinas para apoiar a implementação do modelo de riscos e abordar alguns dos desafios identificados. Essas oficinas são uma oportunidade de reunir participantes de todo o Executivo Federal, conforme o caso, para promover o modelo e aperfeiçoar a identificação de riscos. A CGU pode apoiar as entidades públicas com o uso das informações obtida por meio das ferramentas analíticas (ver a seção seguinte). Isso ajudaria a fortalecer ainda mais o SIPEF e permitiria à CGU, enquanto órgão central do sistema, estender a gestão de riscos para a integridade em nível institucional em todo o Executivo Federal.

Além de desmistificar e simplificar a gestão de riscos para a integridade, aplicando análises de dados para auxiliar os gestores públicos, é essencial continuar a desenvolver a capacidade de gestão dos riscos para a integridade em todo o Executivo Federal brasileiro. Isso inclui a promoção de apoio organizacional, o treinamento regular das equipes, o compartilhamento de boas práticas e a oferta de orientação ad hoc, entre outros, e abrange áreas como conceitos, riscos genéricos para a integridade e metodologias de avaliação de riscos, assim como letramento em dados e TI.

Para alcançar todas as áreas do Executivo Federal, as Unidades de Gestão da Integridade (UGIs) desempenham um papel fundamental no Sistema de Integridade Pública do Poder Executivo Federal (SIPEF). As UGIs são responsáveis por oferecer capacitações e prestar assistência às áreas responsáveis pela gestão de riscos para a integridade, incluindo orientações sobre o uso das ferramentas de análise de dados (OECD, 2021[7]). Concretamente, o Decreto nº 10.756/2021, que estabelece o SIPEF, dispõe que as UGIs devem coordenar a gestão de riscos para a integridade. Além disso, elas são responsáveis por conduzir a elaboração de um Plano de Integridade institucional, que deve ter por base uma análise de riscos para a integridade (CGU, 2018[9]; CGU, 2018[34]). Essa responsabilidade é crucial para a qualidade dos Planos de Integridade, e as medidas preventivas propostas dependem, sobretudo, da qualidade das avaliações de risco.

Portanto, em vista do papel central da gestão de riscos para a integridade, a fim de garantir a relevância, eficiência e eficácia das medidas de integridade implementadas nas instituições públicas federais, a CGU deve priorizar a qualificação das equipes das UGIs nessa área. As UGIs, por sua vez, podem consolidar seu papel como segunda linha de defesa para alcançar os gestores públicos, fornecendo-lhes orientações e apoio. Nesse sentido, o relatório da OCDE sobre o SIPEF já havia enfatizado que as UGIs, em particular, podem promover um melhor entendimento sobre a importância da gestão de riscos para a integridade entre os gestores públicos (OECD, 2021[7]). As UGIs devem ser capazes de comunicar claramente a base lógica da gestão de riscos para a integridade, contribuindo para desmistificar o conceito e reduzir os temores e mal-entendidos a ele relacionados. Ademais, as UGIs devem fornecer orientação e assistência aos gestores públicos. Para tanto, e com o auxílio da Coordenação-Geral de Integridade Pública da CGU, as UGIs necessitam desenvolver capacidades para a realização de avaliações de riscos para a integridade e oferecer apoio aos gestores públicos, se necessário.

Todavia, para promover uma cultura de gestão de riscos para a integridade nos níveis organizacionais, tais medidas são necessárias, mas talvez insuficientes. A fim de alcançar uma mudança cultural, além de intervir diretamente nas rotinas, políticas e procedimentos institucionais e de oferecer treinamento, os conceitos comportamentais sugerem a importância de influenciar indivíduos específicos nessas organizações para garantir mudanças em toda a organização (OECD, 2020[35]). No relatório da OCDE sobre a integridade das lideranças no Brasil, destaca-se o papel dos líderes e dos gestores como exemplos para a promoção de culturas institucionais de integridade (OECD, em preparo[36]). O mesmo se aplica, naturalmente, à gestão de riscos para a integridade. Portanto, as UGIs poderiam iniciar a identificação de um conjunto de gestores públicos em suas entidades que já são líderes ou que mostram potencial para tanto, os quais se tornariam elementos de ligação com outros gestores públicos, uma fonte de conhecimento e informação, e, não menos importante, modelos a serem seguidos (Figura 2.3).

Finalmente, a CGU não está apenas na função de fornecer subsídios e realizar capacitações dentro do SIPEF. A gestão de riscos para a integridade também oferece à CGU uma oportunidade única de obter informações quantitativas e qualitativas sobre riscos para a integridade coletados no nível de cada entidade, além de receber devolutivas e catalogar boas práticas. Essas informações sobre riscos para a integridade e medidas de integridade adotadas podem ser analisadas de modo centralizado e comparativo pela Coordenação-Geral de Integridade Pública da CGU, a fim de se chegar a conclusões acerca de riscos emergentes e variáveis para a integridade, por exemplo, ou sobre o que funciona e por que na mitigação desses riscos. Para fins analíticos, essas informações oriundas de instituições públicas ligadas ao SIPEF podem ser agregadas em âmbito federal, ou de modo a representar setores, regiões ou processos específicos, tais como as aquisições públicas ou a gestão de recursos humanos, por exemplo.