Controles Internos, Gestão de Riscos e Governança
Perguntas e Respostas - Instrução Normativa MP/CGU nº 01/2016
1) A IN Conjunta MP/CGU nº 01/2016 aplica-se para quais unidades?
3) Quais as finalidades da IN Conjunta MP/CGU nº 01/2016?
4) De quem é a responsabilidade pela implementação da IN Conjunta MP/CGU nº 01/2016?
5) Quais as referências a serem utilizadas para implementação da IN Conjunta MP/CGU nº 01/2016?
7) Há necessidade de criação do Comitê de Governança, Riscos e Controles?
10) Deve-se contratar consultoria para implementação da IN Conjunta MP/CGU nº 01/2016?
13) Como a CGU pretende acompanhar a implantação da IN Conjunta MP/CGU nº 01/2016?
16) Qual a melhor forma de gerenciar riscos em um órgão pequeno?
1) A IN Conjunta MP/CGU nº 01/2016 aplica-se para quais unidades?
Resposta: Nos termos do Art. 1º da IN Conjunta MP/CGU nº 01/2016, essa norma se aplica a todos os órgãos e entidades do Poder Executivo federal, considerando-se a administração direta e indireta. Isso posto, a aplicação da norma deverá ser observada pelas Autarquias, Empresas Públicas, Sociedades de Economia Mista e Fundações Públicas vinculadas ao Poder Executivo federal.
2) A IN Conjunta MP/CGU nº 01/2016 é aplicável às Entidades do Sistema S e aos Conselhos Profissionais?
Resposta: Nos termos do Art. 1º da IN Conjunta MP/CGU nº 01/2016, essa norma se aplica aos órgãos e às entidades do Poder Executivo federal. Não há referência explícita à aplicação da norma pelas Entidades Paraestatais e pelos Conselhos Profissionais. Contudo, considerando que essas entidades colaboram com o Estado no desempenho das atividades de interesse público, recomenda-se fortemente que elas observem as diretrizes dispostas neste normativo, a fim de fortalecer as práticas de gestão e o alcance de seus objetivos organizacionais.
3) Quais as finalidades da IN Conjunta MP/CGU nº 01/2016?
Resposta: A IN Conjunta MP/CGU nº 01/2016 tem como finalidades fortalecer a gestão, aperfeiçoar os processos e o alcance dos objetivos organizacionais, por meio de criação e aprimoramento dos controles internos da gestão, da governança e sistematização da gestão de riscos.
4) De quem é a responsabilidade pela implementação da IN Conjunta MP/CGU nº 01/2016?
Resposta: Nos termos do Art. 19 da IN conjunta MP/CGU nº 01/2016, o dirigente máximo da organização é o principal responsável pelo estabelecimento da estratégia da organização e da estrutura de gerenciamento de riscos, incluindo o estabelecimento, a manutenção, o monitoramento e o aperfeiçoamento dos controles internos da gestão. Ainda, segundo o Art. 12 da mesma norma, a responsabilidade por estabelecer, manter, monitorar e aperfeiçoar os controles internos da gestão é da alta administração da organização, sem prejuízo das responsabilidades dos gestores dos processos organizacionais e de programas de governos nos seus respectivos âmbitos de atuação, assim como cabe aos demais funcionários e servidores a responsabilidade pela operacionalização dos controles internos da gestão e pela identificação e comunicação de deficiências às instâncias superiores.
Portanto, cabe a todos os agentes internos à Unidade a responsabilidade pela efetividade da implementação dos Controles Internos da Gestão e da Política de Gestão de Riscos e, consequentemente, pelo cumprimento da IN Conjunta MP/CGU nº 01/2016. Na hipótese de que existam, no órgão ou na entidade, áreas que tenham a responsabilidade de apoiar e instrumentalizar a gestão de riscos e a implementação de controles, tais áreas deverão atuar na facilitação e monitoramento do processo de gerenciamento de riscos e no acompanhamento da implementação dos controles mitigadores dos riscos identificados, sem que sejam eximidas as responsabilidades de todos os agentes do órgão ou entidade em relação ao monitoramento e tratamento dos riscos específicos.
5) Quais as referências a serem utilizadas para implementação da IN Conjunta MP/CGU nº 01/2016?
Resposta: Poderão ser utilizados como referência para gestão de riscos a norma ABNT NBR ISO/IEC 31000 – Gestão de Riscos – Princípios e Diretrizes, o COSO ERM (Enterprise Risk Management, em português: Gerenciamento de Riscos Corporativos - Estrutura Integrada), o modelo de gestão de riscos do Reino Unido - The Orange Book Management of Risk - Principles and Concepts, o modelo de gestão de riscos do governo canadense, entre outros, lembrando-se da importância que a estrutura e seus processos sejam feitos sob medida para a necessidade da organização.
Relativamente ao tema de controles internos, recomenda-se a Estrutura Integrada de Controles Internos do COSO (COSO ICIF 2013) como possível boa prática para as organizações.
6) É necessário que a unidade tenha elaborado planejamento estratégico para implementação da IN Conjunta MP/CGU nº 01/2016?
Resposta: O planejamento estratégico é o documento formal que estabelece os objetivos organizacionais de médio e longo prazo. A importância de sua implementação está centrada, principalmente, na comunicação a todas as partes interessadas (internos e externos) dos objetivos, valores, missão e visão da Unidade. Em que pese sua importância, a IN Conjunta MP/CGU nº 01/2016 não é mandatória quanto à necessidade de planejamento estratégico formal por parte dos órgãos e das entidades do Poder Executivo federal. Contudo, a gestão de riscos e a implementação dos controles internos da gestão devem ser orientadas pelo valor a ser entregue a partir de cada macroprocesso e pelos objetivos organizacionais, além de estar aderentes às diretrizes estabelecidas pelas instâncias de governança, e aos princípios e objetivos constituídos na IN Conjunta MP/CGU nº 01/2016.
7) Há necessidade de criação do Comitê de Governança, Riscos e Controles?
Resposta: O Art. 23 da IN Conjunta MP/CGU nº 01/2016 determina que os órgãos e as entidades do Poder Executivo federal devem instituir, pelos seus dirigentes máximos, o Comitê de Governança, Riscos e Controles. O § 1o do referido artigo diz que o Comitê deverá ser composto pelo dirigente máximo e pelos dirigentes das unidades a ele diretamente subordinadas e será apoiado pelo respectivo Assessor Especial de Controle Interno. Todavia, caso a Unidade já disponha de forma regimental de colegiado responsável por sua governança com a mesma composição prevista na norma, essa instância existente pode substituir o comitê previsto pela IN, desde de que todas as competências estabelecidas no §2º do mesmo artigo lhe sejam formalmente atribuídas. Em organizações com uma estrutura organizacional mais complexa, a instância máxima de governança, representada pelo dirigente máximo e os dirigentes de órgãos singulares, poderá delegar a comitê específico algumas das competências previstas no art. 23 da IN, sem que isso implique em ausência de responsabilidade da referida instância máxima sobre os temas de gestão de riscos e controles internos.
8) Para as unidades que não possuem Assessor Especial de Controle Interno, quem deverá apoiar o Comitê de Governança, Riscos e Controles?
Resposta: O § 1o do Art. 23 da IN Conjunta MP/CGU nº 01/2016 estabelece que, no âmbito de cada órgão ou entidade, o Comitê de Governança, Riscos e Controles será apoiado pelo respectivo Assessor Especial de Controle Interno (AECI). As unidades que não possuírem AECI poderão contar com o apoio do AECI do Ministério Supervisor e da unidade de auditoria interna, quando houver. O apoio a ser prestado pela unidade de auditoria interna deve ser tal que seja preservada a independência e a objetividade da atividade, não sendo adequado, por exemplo, que a auditoria interna participe da definição do nível de exposição a determinado risco.
9) O prazo estabelecido no Art. 17 da IN Conjunta MP/CGU nº 01/2016 é aplicável às empresas estatais?
Resposta: A superveniência do Decreto nº 8.945/2016, que dispõe sobre o estatuto jurídico da empresa pública, da sociedade de economia mista e de suas subsidiárias na regulamentação, no âmbito da União, da Lei no 13.303/2016, tornou o prazo previsto no Art. 17 da IN Conjunta MP/CGU nº 01/2016 não aplicável a essas entidades.
Importante ressaltar apenas que as “etapas” com prazos previstos a serem superadas por essas organizações na implementação da gestão de riscos não são necessariamente as mesmas da prevista na Instrução Normativa Conjunta MP/CGU nº 01/2016 – publicação da Política de Gestão de Riscos.
Considerando, ainda, que a implementação da gestão de riscos por uma organização não é um processo simples e imediato, e sim composto de diversas ações encadeadas a serem desdobradas dentro de um período temporal razoável, as Unidades de Auditoria Interna Governamentais (UAIG), de forma concorrente, já devem atuar de modo a facilitar e suportar essa implementação por meio da atividade de consultoria e assessoramento à gestão.
10) Deve-se contratar consultoria para implementação da IN Conjunta MP/CGU nº 01/2016?
Resposta: Não se recomenda contratação de consultoria para implementação da IN Conjunta MP/CGU nº 01/2016. O Ministério de Planejamento, Desenvolvimento e Gestão (MP) tem disponibilizado material a respeito do tema (http://www.planejamento.gov.br/assuntos/gestao/controle-interno), incluindo exemplo de metodologia e ferramental para a implementação da gestão de riscos (política do MP como referencial, método de priorização de processos e planilha documentadora para a construção do mapa de riscos), além da inclusão na grade permanente da ENAP de treinamento em Governança e Gestão de Riscos, a fim de auxiliar os gestores na implementação de controles internos e gerenciamento de riscos.
Além dessas iniciativas suportadas pelo MP, destaca-se que o Ministério de Transparência, Fiscalização e Controladoria Geral da União – CGU –, por meio de ações de treinamento, tem atuado também na capacitação de gestores e multiplicadores nesse processo de assimilação pela gestão pública da gestão de riscos e de controles internos. Os cursos ministrados pela CGU apresentam técnicas e ferramentas passíveis de aplicação no setor público, bem como as experiências das unidades que já estão desenvolvendo a gestão de riscos e uma aplicação prática com intuito de fomentar que a gestão de riscos seja feita sob medida.
Diversos referenciais teóricos sobre o tema ressaltam a importância de que a gestão de riscos seja feita sob medida para cada organização, sendo, portanto, etapa fundamental para o seu sucesso a assimilação por todos os servidores e empregados. A conscientização de todos os integrantes da organização acerca de suas premissas, objetivos e responsabilidades individuais nesse processo permitirá que a gestão de riscos seja implementada com eficiência, agregando melhorias à gestão e ao alcance dos objetivos.
11) A IN Conjunta MP/CGU nº 01/2016 obriga a publicação da Política de Gestão de Riscos do órgão/entidade no Diário Oficial da União?
Resposta: A IN Conjunta MP/CGU nº 01/2016 não obriga a publicação da Política de Gestão de Riscos no Diário Oficial da União. Entretanto, como a Política de Gestão de Riscos é um ato administrativo geral (sem destinatários determinado e de finalidade ordinatório) e de efeitos externos (porque se destinam a cumprir uma obrigação perante à Administração), e ainda em respeito aos princípios da publicidade, da transparência, do accountability e ao componente dos controles internos da gestão “informação e comunicação”, o órgão ou entidade deve assegurar que a Política de Gestão de Riscos esteja permanentemente disponível em local de fácil acesso aos interessados, ou no sítio eletrônico do órgão ou entidade, por meio de disponibilização de seus boletins internos ou de outra forma.
12) Na IN Conjunta MP/CGU nº 01/2016, o Art. 16, inciso IV diz que os eventos de riscos devem ser avaliados sob a perspectiva de probabilidade e impacto. É possível que o gestor utilize metodologia diversa da citada para avaliar os riscos?
Resposta: De acordo com o Art. 16, inciso IV, da IN Conjunta MP/CGU nº 01/2016, os eventos devem ser avaliados sob as perspectivas de probabilidade e impacto, por meio de análises qualitativas, quantitativas ou de combinação de ambas. Contudo, outros modelos de avaliação de riscos poderão ser utilizados. Há, por exemplo, modelos de avaliação de riscos que utilizam outras perspectivas, tais como vulnerabilidade, velocidade do impacto e persistência do impacto. O importante é que as escolhas das perspectivas sejam adequadas ao contexto da organização e aos eventos a qual essa organização está sujeita.
13) Como a CGU pretende acompanhar a implantação da IN Conjunta MP/CGU nº 01/2016?
Resposta: A abordagem a ser dada à avaliação da CGU permeará a colaboração com os gestores, reforçando a necessidade de estabelecimento da Política de Gestão de Riscos, e auxiliando em eventuais dúvidas e/ou dificuldades. Sabe-se que o processo de elaboração e constituição de uma Política de Riscos é complexo, envolve diversas áreas e atores dentro das instituições, e deve ser implementado de forma sistemática, gradual e contínua. Os principais instrumentos a serem utilizados pela CGU no acompanhamento da implantação serão as ações de capacitações, a prestação de serviços de consultorias e as avaliações das auditorias.
14) Quais os principais pontos que devem ser considerados para definir os processos mais relevantes para terem os riscos gerenciados?
Resposta: Existem diferentes ferramentas que possibilitam avaliar processos, áreas ou atividades e inseri-los dentro de uma escala de criticidade ou de priorização na implementação da gestão de riscos. Cabe ressaltar que, em um primeiro estágio de implementação da gestão de riscos em uma organização, poderá ser adequado, a depender da segurança e da experiência da equipe responsável por sua condução, a escolha de processo ou área que tenha relevância para os objetivos da organização, mas que não possua um elevado nível de complexidade. Essa escolha poderá servir como um “piloto” no processo e sedimentar conhecimento, antes de selecionar objetos de maior grau de complexidade e abrangência. Conforme trazido por diversos referenciais teóricos, a reflexão sobre as áreas ou processos que impactam no atingimento dos principais objetivos organizacionais deverá nortear a escolha daqueles que passarão pelo processo de gerenciamento de riscos.
A norma ABNT NBR ISO/IEC 31010 – “Gestão de riscos - Técnicas para o processo de avaliação de riscos” – fornece orientações sobre a seleção e a aplicação de técnicas sistemáticas para o processo de gerenciamento de riscos.
Adicionalmente, o Ministério do Planejamento, Desenvolvimento e Gestão desenvolveu um método de priorização de processos, cujo manual está disponível no seguinte link: http://www.planejamento.gov.br/assuntos/gestao/controle-interno/metodo-de-priorizacao-de-processos.
15) O método utilizado para avaliar riscos em processos é o mesmo utilizado para os riscos nos objetivos estratégicos?
Resposta: As experiências práticas que a CGU buscou conhecer por meio de benchmarkings e a teoria não diferenciam necessariamente a metodologia a ser usada no processo de gerenciamento de riscos de acordo com sua tipologia (Art. 18, da IN Conjunta MP/CGU nº 01/2016). Entretanto, não há impedimentos de que a organização, dentro do seu grau de maturidade no tema, busque aprimorar o método para captar eventuais diferenças conceituais ou de comunicação, como o exemplo descrito a seguir: no tratamento de oportunidades (riscos com impacto positivo) relacionadas aos objetivos estratégicos, não se aplicam as mesmas estratégias de respostas aplicadas aos riscos com impacto negativo: “aceitar”, “mitigar”, “compartilhar” e “evitar”. Nesse exemplo, faz-se necessária a adaptação da metodologia para abranger as respostas “Explorar”, “Compartilhar” e “Melhorar”.
16) Qual a melhor forma de gerenciar riscos em um órgão pequeno?
Resposta: Conforme preconizado pelos diversos referenciais teóricos, o processo de gerenciamento de riscos deverá ser adaptado ao porte, à realidade quanto aos recursos, à estrutura e governança da organização. Portanto, cada órgão ou entidade deverá refletir como adequar esse processo a sua necessidade, de forma que esse contribua para a melhoria da gestão e o alcance dos objetivos organizacionais.
17) Os órgãos devem aguardar o desenvolvimento da ferramenta tecnológica de apoio à gestão de riscos do Ministério do Planejamento ou podem utilizar uma solução própria?
Resposta: As disposições trazidas pela IN Conjunta MP/CGU nº 01/2016 não buscam definir a implementação da gestão de riscos em uma única metodologia nem em um único sistema como ferramenta de suporte para sua implementação. As iniciativas trazidas pelo Ministério do Planejamento, Desenvolvimento e Gestão com a disponibilização de sua política, sua metodologia e futuramente de sistema informatizado de suporte à gestão de riscos visam auxiliar e reduzir os custos das organizações públicas na implementação da gestão de riscos, não sendo, porém, de utilização obrigatória por todos.
Caso a organização já possua sistemas e metodologias próprias ou mesmo já adquiridas, não há a necessidade de alteração desses, desde que os princípios e as diretrizes trazidos pelo referencial normativo sejam atendidos, ou que as excepcionalidades sejam adequadamente justificativas pelos gestores.
Reforça-se que as organizações, especialmente em função do contexto de restrição fiscal, sejam incentivadas a avançarem em seu processo de gestão de riscos, com o apoio do ferramental disponibilizado pelo MP e pela CGU, antes de efetuar aquisições que possam resultar em elevados dispêndios de recursos financeiros e de customização.