Resumo

O objetivo deste artigo é realizar uma análise sobre a importância da implementação da gestão de riscos nas contratações públicas. Com o advento da Nova Lei de Licitações e Contratos, Lei nº 14.133/2021, a gestão de riscos tornou-se um dos princípios basilares dos processos de compras. Destarte, para melhor intervenção no tema proposto utilizou-se o método dialético de abordagem, buscando assim, através de discussão, argumentação e pesquisa bibliográfica, trabalhar o tema de forma qualitativa através de princípios e normas. Pretende-se com essa discussão doutrinária demonstrar que a política de gestão de riscos bem implementada assegura o alcance dos objetivos da administração e promove a accountability na gestão dos recursos públicos.

Palavras-chave: Gestão de Riscos. Governança. Accountability

Introdução

Por muitos anos o Brasil utilizou-se da Lei nº. 8.666/1993 para disciplinar as licitações e os contratos com a Administração Pública. O principal objetivo desse diploma legal era o combate à corrupção. No entanto, com o passar dos anos verificou-se que essa lei trouxe uma grande morosidade nos procedimentos de contratação além de uma péssima qualidade na contratação de bens e serviços pela Administração Pública.

A tentativa de realização do controle dos processos licitatórios sucumbiu para uma grave omissão da lei: falta de mecanismos de planejamento e governança. Nesta esteira é que surge a Nova Lei de Licitações e Contratos Administrativos. Um diploma legal repleto de princípios norteadores que enfatizam a governança pública, dentre eles, a gestão de riscos que é alvo do presente estudo.

Uma boa gestão de riscos está intimamente ligada ao planejamento das contratações para que se atinja a eficiência desejada na prestação de serviços à sociedade. Gerenciar de maneira adequada os riscos que podem afetar os objetivos da licitação e da execução contratual, estabelecer mecanismos de controles capazes de mitigar as possibilidades de sua ocorrência ou os seus efeitos, propicia a accountability pública.

1. Instrumentos de governança estabelecidos pela Lei 14.133/2021

A nova Lei de Licitações traz ao administrador público instrumentos de governança com o objetivo de consolidar uma política voltada para o planejamento e transparência na gestão dos recursos públicos. Tais instrumentos estão intimamente associados e o sucesso da governança pública depende essencialmente da prática integrada desses mecanismos.

Para atender às necessidades da sociedade com eficiência e eficácia é primordial que o alto escalão dos órgãos da administração pública promova a implementação destes mecanismos: Gestão por Competências (Art. 7º); Plano de Contratações Anual (Art. 12); Alinhamento ao Planejamento Estratégico (Art. 11); Fomento à Gestão de Riscos (Arts. 18, 103 e 169); Programa de Integridade (Arts. 25, 60, 156 e 163); e Fortalecimento do Controle Interno. (Arts. 8º, 24, 117 e 170)

Esse conjunto de mecanismos estabelecidos pela Lei nº 14.133/2021 aplicados de forma síncrona e integrada privilegiam a governança pública. Assim dispõe a portaria SEGES/ME Nº 8.678:

Art. 2º Para os efeitos do disposto nesta Portaria, considera-se:

[...]

III - governança das contratações públicas: conjunto de mecanismos de liderança, estratégia e controle postos em prática para avaliar, direcionar e monitorar a atuação da gestão das contratações públicas, visando a agregar valor ao negócio do órgão ou entidade, e contribuir para o alcance de seus objetivos, com riscos aceitáveis; (grifo nosso)

Devido a importância de implementação desses mecanismos é que a Nova Lei de Licitações e Contratos previu no parágrafo único, do art. 11, a participação da alta administração do órgão como responsável pela governança das contratações:

Parágrafo único. A alta administração do órgão ou entidade é responsável pela governança das contratações e deve implementar processos e estruturas, inclusive de gestão de riscos e controles internos, para avaliar, direcionar e monitorar os processos licitatórios e os respectivos contratos, com o intuito de alcançar os objetivos estabelecidos no caput deste artigo, promover um ambiente íntegro e confiável, assegurar o alinhamento das contratações ao planejamento estratégico e às leis orçamentárias e promover eficiência, efetividade e eficácia em suas contratações. (BRASIL, 2021) (grifo nosso)

As práticas de governança aspiram que os gestores adotem um ambiente íntegro, confiável, com responsabilidade de assegurar o alinhamento das contratações ao planejamento estratégico e às leis orçamentárias com eficiência, efetividade e eficácia. No mesmo sentido, posicionou-se o Tribunal de Contas da União no seu Referencial Básico de Governança sobre governança pública organizacional:

“...governança pública organizacional compreende essencialmente os mecanismos de liderança, estratégia e controle postos em prática para avaliar, direcionar e monitorar a atuação da gestão, com vistas à condução de políticas públicas e à prestação de serviços de interesse da sociedade.” (TCU, 2020, p. 36)

Por conseguinte, a gestão de riscos enquadra-se como instrumento de governança estabelecido pela Lei nº 14.133/2021. Gerir os riscos trata-se do estabelecimento de ações que previnem, monitorem e até mitiguem eventos que possam afetar o alcance das estratégias organizacionais.

2. Gestão de riscos: conceitos e previsão legal

A Gestão de Riscos trata-se de um conjunto de ações realizadas para controle e direção de uma organização no que se referem aos riscos que ficam expostos ao realizarem suas atividades organizacionais. Assim definiu o Tribunal de Contas da União:

“A gestão de riscos consiste em um “conjunto de atividades coordenadas para identificar, analisar, avaliar, tratar e monitorar riscos. É o processo que visa conferir razoável segurança quanto ao alcance dos objetivos” (TCU, 2018, apud VIEIRA e BARRETO, 2019, p. 100).

Mas o que vem a ser um risco? Risco pode ser conceituado como um evento que possa afetar de modo negativo os objetivos da instituição. Sob a ótica do gerenciamento de projetos, o risco é um evento ou uma condição incerta que, caso ocorra, trará um efeito em pelo menos um objetivo do projeto (PMBOK, 2013). Por sua vez o Manual de Riscos do Tribunal de Justiça do Estado de Minas Gerais assim conceitua:

“Risco é a possibilidade de ocorrência de um evento que tenha impacto no atingimento dos objetivos da organização. Disto decorre a importância de bem geri-los, estabelecendo-se uma sequência de ações que sejam de fácil compreensão para todos e eficazes em sua aplicação.

A Metodologia de Gestão de Riscos consiste no estabelecimento das etapas a serem seguidas para o gerenciamento dos riscos. Cabe registrar, neste ponto, a diferença entre gestão e gerenciamento de riscos. A gestão de riscos é a estrutura necessária para gerenciar riscos eficazmente, com o objetivo de apoiar a melhoria contínua de projetos e processos de trabalho. Gerenciamento é a gestão de riscos posta em prática para identificar, avaliar, administrar e controlar potenciais eventos ou situações e fornecer segurança razoável no alcance dos objetivos organizacionais.” (MINAS GERAIS, 2020, p. 10)

É de fundamental importância a implementação da gestão de riscos nas organizações como meio para a realização de um planejamento eficaz. Atuar com governança e com accountability é justamente agir preventivamente na identificação, avaliação e tratamento dos riscos que decorrem das contratações públicas. Com planejamento eficaz a Administração poderá minimizar impactos negativos que porventura surjam garantindo assim a sustentabilidade da organização.

Para que isso ocorra, é necessário estabelecer um processo de mudança de cultura organizacional e para isso citamos o entendimento da Controladoria Geral do Estado de Minas Gerais:

Nesse contexto, a participação ativa e comprometida da Alta Gestão se torna fundamental para o sucesso da implementação da gestão de riscos. É por meio do envolvimento e apoio da liderança que se promove a integração dos princípios de gestão de riscos em todos os níveis da organização, criando uma cultura de segurança, transparência e responsabilidade.

A atuação proativa da Alta Gestão no fomento de boas práticas de gestão de riscos não apenas fortalece a resiliência da empresa, mas também demonstra o comprometimento com a excelência operacional e a criação de valor sustentável para a organização como um todo. (MINAS GERAIS, 2024, p.40)

Semelhantemente o Tribunal de Contas da União se posicionou:

A introdução da gestão de riscos representa uma mudança organizacional e deve ser planejada e implementada como tal, optando-se por uma adoção gradual, que priorize as áreas que gerenciam os processos mais relevantes para sustentar a missão da organização. (TCU, 2018, p. 28)

A Nova Lei de Licitações e Contratos Administrativos estabeleceu que a análise de riscos deve preceder qualquer contratação. O Administrador deve ter sempre em mente os riscos que podem comprometer o sucesso do procedimento licitatório e do contrato administrativo. Por isso a Lei nº 14.133/2021 assim asseverou:

“Art. 11. A alta administração do órgão ou entidade é responsável pela governança das contratações e deve implementar processos e estruturas, inclusive de gestão de riscos e controles internos” (grifo nosso);

“Art. 18. A fase preparatória do processo licitatório é caracterizada pelo planejamento e deve compatibilizar-se com o plano de contratações anual de que trata o inciso VII do caput do art. 12. desta Lei, sempre que elaborado, e com as leis orçamentárias, bem como abordar todas as considerações técnicas, mercadológicas e de gestão que podem interferir na contratação, compreendidos:

[...]

X - a análise dos riscos que possam comprometer o sucesso da licitação e a boa execução contratual” (grifo nosso);

“Art. 169. As contratações públicas deverão submeter-se a práticas contínuas e permanentes de gestão de riscos e de controle preventivo” (BRASIL, 2021) (grifo nosso).

Corroborando o texto legal, o Tribunal de Contas da União - TCU assim trata o tema:

“A gestão de riscos está intimamente associada ao princípio constitucional da eficiência, pois sua implementação só faz sentido quando proporciona ganhos em termos de entrega de resultados e alcance dos objetivos institucionais. Isso a torna uma grande aliada do gestor no desafio de garantir a qualidade dos serviços prestados ao cidadão, porque permite a tomada de decisões de forma racional, contribui para aumentar a capacidade da organização em lidar com eventos inesperados, que podem afetar negativamente os objetivos, estimula a transparência, favorece o uso eficiente, eficaz e efetivo dos recursos, bem como fortalece a imagem da instituição.” (TCU, 2020, p. 5)

O Decreto nº 9.203/2017 que dispõe sobre a política de governança da administração pública federal direta, autárquica e fundacional desse modo trata sobre a gestão de riscos:

Art. 17. A alta administração das organizações da administração pública federal direta, autárquica e fundacional deverá estabelecer, manter, monitorar e aprimorar sistema de gestão de riscos e controles internos com vistas à identificação, à avaliação, ao tratamento, ao monitoramento e à análise crítica de riscos que possam impactar a implementação da estratégia e a consecução dos objetivos da organização no cumprimento da sua missão institucional, observados os seguintes princípios:

[...]

II - integração da gestão de riscos ao processo de planejamento estratégico e aos seus desdobramentos, às atividades, aos processos de trabalho e aos projetos em todos os níveis da organização, relevantes para a execução da estratégia e o alcance dos objetivos institucionais; III - estabelecimento de controles internos proporcionais aos riscos, de maneira a considerar suas causas, fontes, consequências e impactos, observada a relação custo-benefício; e IV - utilização dos resultados da gestão de riscos para apoio à melhoria contínua do desempenho e dos processos de gerenciamento de risco, controle e governança.

Fique sempre informado com o Jus! Receba gratuitamente as atualizações jurídicas em sua caixa de entrada. Inscreva-se agora e não perca as novidades diárias essenciais!

Inscrever

Os boletins são gratuitos. Não enviamos spam. Privacidade

Existem também outros documentos normativos que tratam da importância da gestão de riscos, a saber: Portaria – Seges/ME 8.678/202 (art. 6º, 16 e 20); IN – SGD/ME 94/202201 (art. 2º, XIII ao XVIII, 8º, 38); IN – Seges/MP 5/201702 (art. 20, 25); Resolução – CNJ 347/202003 (art. 5º, 30); Enunciado – CJF 54/2023 04; Enunciado CJF 20/2022 05; ATC 14/2022 (Política de Contratações do Senado Federal) 06.

Para que a gestão de riscos possa ser eficiente, a primeira coisa a ser feita é a correta identificação de todos os possíveis riscos que possam impactar na licitação e na execução contratual. Tais riscos deverão ser detalhadamente trabalhados e determinada a alocação de responsabilidades às partes de maneira clara e objetiva no edital do certame e no contrato. É nesse sentido do que o TCU orienta:

Para realizar a gestão de riscos de quaisquer objetos, as seguintes etapas devem ser seguidas: estabelecimento do contexto; identificação dos riscos; análise dos riscos; avaliação dos riscos; tratamento dos riscos; comunicação e consulta com partes interessadas; monitoramento; melhoria contínua. (TCU, 2020, p. 21)

Em outro manual, TCU detalha um pouco mais o tema:

O processo de gestão de riscos consiste na identificação, análise e avaliação de riscos, na seleção e implementação de respostas aos riscos avaliados, no monitoramento de riscos e controles, e na comunicação sobre riscos com partes interessadas, internas e externas, durante toda a aplicação do processo. Ele é aplicável a ampla gama das atividades da organização em todos os níveis, incluindo estratégias, decisões, operações, processos, funções, projetos, produtos, serviços e ativos, e é suportado pela cultura e pela estrutura (ambiente) de gestão de riscos da entidade. (TCU, 2018, p. 36)

Semelhantemente o Guia PMBOK (2013) dispõe que gerenciamento de riscos inclui os processos de planejamento, identificação, análise, planejamento de respostas, monitoramento e controle. Já FHWA (2006) elenca as etapas seguintes: identificação, avaliação, análise, mitigação, alocação, monitoramento e atualização. Caltrans (2012) também aborda o tema ensinado que a gestão de risco possui três partes importantes: identificação, análise e ação. Verifica-se que o tratamento dos riscos é basicamente o mesmo em diversos normativos referenciais que tratam o tema. No presente estudo, abordaremos de forma mais detalhada a metodologia prevista no Manual de Gestão de Riscos do Tribunal de Justiça do Estado de Minas Gerais, a saber:

I - estabelecimento do contexto: definição dos parâmetros externos e internos a serem levados em consideração ao gerenciar riscos e ao estabelecimento do escopo e dos critérios de risco;

II - identificação dos riscos: busca, reconhecimento e descrição dos eventos de risco, suas causas e suas consequências potenciais;

III - análise e avaliação dos riscos: com-preensão da natureza do risco e à determinação do respectivo nível de risco mediante a combinação da probabilidade de sua ocorrência e dos impactos possíveis;

IV - tratamento dos riscos: seleção e adoção de uma ou mais ações para modificar os riscos;

V - monitoramento e análise crítica: verificação, supervisão, observação crítica ou identificação da situação de risco, realizadas de forma contínua, a fim de determinar a adequação, suficiência e eficácia dos controles internos para atingir os objetivos estabelecidos;

VI - comunicação e consulta: manutenção de fluxo regular e constante de informações com as partes interessadas, durante todas as fases do processo de gestão de riscos. (TJMG, 2020, p. 10)

2.1 Estabelecimento do contexto

Trata-se da primeira fase de implantação da metodologia do gerenciamento de riscos. É neste momento que o órgão irá realizar a personalização de seu processo de gestão através do Mapa de Riscos do Macroprocesso. O TCU assim dispõe sobre o assunto:

O estabelecimento do contexto envolve o entendimento da organização, dos objetivos e do ambiente, inclusive do controle interno, no qual os objetivos são perseguidos, com o fim de obter uma visão abrangente dos fatores que podem influenciar a capacidade da organização para atingir seus objetivos, bem como fornecer parâmetros para a definição de como as atividades subsequentes do processo de gestão de riscos serão conduzidas. (TCU, 2018, p. 08)

Ao tratar dessa fase, a Controladoria Geral do Distrito Federal, destacou a importância de que a organização disponibilize uma equipe multidisciplinar para realizar a identificação dos objetivos do macroprocesso das compras públicas. Nesse momento, os atores envolvidos deverão realizar a análise do ambiente externo e interno para que a gestão de riscos seja aplicada no contexto dos objetivos da organização. Nessa mesma linha de entendimento segue o TCU:

Contexto é o ambiente no qual uma organização busca atingir os seus objetivos e estes são uma parte importante da definição daquele, pois a gestão de riscos ocorre no contexto dos objetivos da organização. Assim, os objetivos do processo, do projeto ou da atividade que está sendo objeto do processo de gestão de riscos devem ser considerados no contexto dos objetivos da organização como um todo, de modo a assegurar a identificação dos riscos do objeto que sejam significativos para os objetivos da organização. (TCU, 2018, p. 38)

Ainda de acordo com o TCU o estabelecimento do contexto deve seguir os seguintes passos:

identificar quais objetivos ou resultados devem ser alcançados;

identificar os processos de trabalho relevantes para o alcance dos objetivos/resultados;

identificar as pessoas envolvidas nesses processos e especialistas na área;

mapear os principais fatores internos e externos que podem afetar o alcance dos objetivos/resultados (pessoas, sistemas informatizados, estruturas organizacionais, legislação, recursos, stakeholders etc.);

definir os objetos de gestão de risco mais importantes para a sua unidade ou trabalho;

definir os objetivos/resultados de cada objeto.

(TCU, 2020, p. 22)

Para o mapaeamento do macroprocesso os diversos manuais que discorrem sobre o tema indicam algumas ferramentas de gestão. A Controladoria Geral do Estado de Minas Gerais em seu Guia Metodológico de Gestão Integrada de Riscos sugere a técnica 5W2H e o “Business Process Modelin Notation - BPMN”, ou seja, Notação para Mapeamento de Processos de Trabalho. Já o TCU e o TJMG recomendam a utilização da matriz SWOT ou matriz RACI.

2.2 Identificação dos riscos

Estabelecido o contexto organizacional, o próximo passo é fazer o reconhecimento com a completa descrição das possíveis situações e eventos que, se de alguma maneira ocorrerem, poderão afetar os objetivos estratégicos delineados na fase anterior.

O propósito da identificação de riscos é encontrar, reconhecer e descrever riscos que possam ajudar ou impedir que uma organização alcance seus objetivos. Informações pertinentes, apropriadas e atualizadas são importantes na identificação de riscos. (ISO 31000/2018, p. 12)

Nessa etapa, a organização deverá designar uma equipe de trabalho com competências, habilidades e atitudes para examinar de forma cuidadosa e de maneira ampla todos os aspectos internos e externos que possam trazer prejuízos negativos ao atingimento de suas metas. Nesse sentido, o Tribunal de Contas da União orienta:

A identificação de riscos deve envolver pessoas com conhecimento sobre o funcionamento da organização e dos ambientes interno e externo, e pode se apoiar em análise de dados históricos, opiniões de especialistas, análises teóricas, entre outras fontes de informação. Isso implica catalogar amplo conjunto de riscos que afetam os objetivos estratégicos e avaliá-los, extraindo aqueles que, pela sua importância, devem merecer a atenção da alta administração e, portanto, devem ser levados ao seu conhecimento. (TCU, 2018, p. 20)

O ideal é que o gestor do órgão organize oficinas de trabalho com os agentes detentores das habilidades mencionadas anteriormente para identificação dos riscos de maneira eficiente. Uma lista com os riscos identificados deve ser produzida de maneira sistemática através de fluxogramas, mapas de processos partindo dos riscos mais genéricos até chegar aos mais específicos. O fato do gestor envolver sua equipe que está diretamente envolvida no processo ajudará na identificação de ricos verdadeiramente pertinentes, sem falar no comprometimento e senso de pertencimento dos atores que passarão a figurar diretamente na busca do sucesso dos objetivos da instituição.

É preciso que o gestor trabalhe na capacitação desses profissionais para que estes saibam utilizar as ferramentas de gestão adequadas à sua corporação. Isso nada mais é do que o princípio de gestão por competências estabelecido no art. 7º, da Lei 14.133/2021.

Para identificação dos riscos, existem diversas ferramentas e técnicas tais como: Brainstorming, Diagrama de Ishikawa, Método Bow Tie, entre outros. A norma ISO 31010/12 menciona tais técnicas como meio de se realizar a identificação de riscos.

2.3 Análise e avaliação dos riscos

Com os riscos devidamente identificados, passa-se à análise destes que, nada mais é do que a compreensão do que o risco identificado envolve e sua magnitude (determinação do nível do risco). O objetivo da análise de riscos trata-se da compreensão da natureza do risco. Envolve o detalhamento das incertezas, fontes de risco, consequências, probabilidades, eventos, cenários, controles e sua eficácia. (ISO 31000/2018, p. 12)

Para o TCU a análise de riscos deve seguir os seguintes passos:

avaliar o impacto do risco sobre o objetivo/resultado – o impacto mede o potencial comprometimento do objetivo/resultado (p.ex.: um risco com potencial para comprometer um objetivo na sua totalidade ou na sua quase totalidade é considerado um risco de alto impacto);

avaliar a probabilidade de ocorrência do risco (p.ex.: um evento cuja ocorrência seja quase certa de acontecer é um evento de alta probabilidade);

definir o nível do risco com base na matriz probabilidade x impacto. (TCU, 2020, p. 25)

Definir o nível do risco é que ajudará a fornecer uma base sólida para a avaliação e decisões sobre o tratamento adequado. O nível do risco é determinado pela combinação da probabilidade de ocorrência do evento e de suas consequências, em termos da magnitude do impacto nos objetivos. (TCU, 2018)

Sendo assim, a determinação do risco é realizada através da equação R (risco) = P (probabilidade) x I (impacto).

A probabilidade é o peso selecionado de acordo com a frequência estimada de ocorrência do risco. O impacto consiste no peso selecionado de acordo com ocorrência identificada. Já o valor do risco é uma função tanto da probabilidade quanto da medida do impacto a ele vinculado. (MINAS GERAIS, 2020, p. 17)

Após ser determinado o valor de cada risco, deve ser elaborada a Matriz de Riscos para que seja definido de forma qualitativa o valor do risco. Ao obter esse valor, a partir do apetite de riscos da instituição que foi realizado na fase de estabelecimento do contexto, será decidido quais os riscos poderão ser aceitos e quais deverão ser minimizados pela instituição.

O TCU orienta seguir os seguintes passos para a avaliação dos riscos:

identificar, na matriz probabilidade x impacto, os riscos cujos níveis estão acima do limite de exposição a risco (faixa vermelha da matriz);

identificar, para os riscos acima do limite, as respectivas fontes, causas e eventuais consequências sobre a organização como um todo;

identificar os riscos que estão abaixo do limite de exposição: para os riscos cujos níveis se encontram na faixa amarela, deverá ser avaliada a necessidade de monitoramento; os riscos cujos níveis se encontram na faixa verde, poderão ser aceitos, sem que qualquer providência tenha que ser tomada. (TCU, 2020, p. 30)

2.4 Tratamento dos riscos

Após a mensuração dos riscos e a respectiva consideração entre a probabilidade e o impacto que podem causar nos objetivos da organização, o gestor deve responder aos riscos apresentados propondo ações de controle.

O tratamento de riscos trata-se de ações que envolvem a escolha de uma ou mais opções para poder modificar o nível do risco, ou seja, um conjunto de ações tomadas a partir de um plano de ação para que os riscos inerentes das contratações não afetem os objetivos institucionais desejados.

Em seu Guia de Gestão de riscos das contratações, a Contralodoria Geral do Distrito Federal refere-se ao tratamento de riscos como:

Última etapa da fase de implantação,o tratamento de riscos tem como objetivo permitir a construção do plano de ação para os casos em que o resultado da avaliação do evento tenha indicado a necessidade ou oportunidade de se implementar medidas de prevenção ou contenção. Dessa forma, busca-se estabelecer um planejamento de atividades, por meio deações de caráter imediato, curto, médio ou longo prazo, ou de aperfeiçoamento contínuo. (BRASÍLIA, 2023, p.32)

No tocante a gestão dos recursos públicos, é responsabilidade do gestor a criação de um plano de ação com a finalidade de que os objetivos institucionais sejam cumpridos e proporcionem a confiança necessária para a execução das atividades com eficiência e eficácia. A Controladoria Geral do Estado de Minas Gerais sugere em seu Guia Metodológico de Gestão de Riscos Estratégicos tipos de tratamento de riscos:

Evitar - Eliminar a fonte do risco. Exemplo: gestão de projetos, quando a relação custo/benefício projetada está em perigo.

Aceitar - Não fazer nada. Nenhuma medida é adotada para afetar a probabilidade ou o grau de impacto do risco. Exemplo: não é necessária nenhuma ação.

Reduzir - Controlar ou diversificar o risco. Adoção de medidas para reduzir a probabilidade ou impacto ou ambos. Exemplos: monitoramento de cenários, a fim de se antecipar a eventuais mudanças no panorama político; elaboração de planos de contingência, com o objetivo de preparar a organização caso determinado cenário previsto se concretize.

Transferir - Transferir o risco. Redução da probabilidade ou impacto dos riscos pela transferência de uma porção do risco. Exemplos: terceirização de atividades e contratação de seguros. (MINAS GERAIS, 2020, p. 20)

2.5 Monitoramento e análise crítica

Os riscos podem sofrer mudanças e variações ao longo do tempo e por isso devem ser sempre monitorados para que a instituição realize os devidos ajustes no plano de ação, caso sejam necessários. A ISO 31000/2018 comenta sobre o monitoramento da seguinte forma:

O propósito do monitoramento e análise crítica é assegurar e melhorar a qualidade e eficácia da concepção, implementação e resultados do processo. Convém que o monitoramento contínuo e a análise crítica periódica do processo de gestão de riscos e seus resultados sejam uma parte planejada do processo de gestão de riscos, com responsabilidades claramente estabelecidas.

Convém que monitoramento e análise crítica ocorram em todos os estágios do processo. Monitoramento e análise crítica incluem planejamento, coleta e análise de informações, registro de resultados e fornecimento de retorno.

Convém que os resultados do monitoramento e análise crítica sejam incorporados em todas as atividades de gestão de desempenho, medição e relatos da organização. (ISO 31000, 2018, p. 16)

Percebe-se que o monitoramento e a análise critica dos riscos asseguram a confiabilidade do plano de ação. Tais responsabilidades devem estar objetiva e claramente estabelecidas na política da corporação.

2.6 Comunicação e consulta

Toda organização deve utilizar-se de canais e meios de comunicação para promover sua cultura institucional e não pode ser diferente no tocante a gestão de riscos. Todas as pessoas de uma instituição são responsáveis por uma parcela na gestão de riscos. Por isso, os canais de comunicação devem ser eficazes e a mensagem de governança do gestor deve ser clara a todos os integrantes.

Durante todas as etapas do processo de gestão de riscos a corporação deve manter seus canais de comunicação para:

a) auxiliar a estabelecer o contexto apropriadamente e assegurar que as visões e percepções das partes interessadas, incluindo necessidades, suposições, conceitos e preocupações sejam identificadas, registradas e levadas em consideração;

b) auxiliar a assegurar que os riscos sejam identificados e analisados adequadamente, reunindo áreas diferentes de especialização;

c) garantir que todos os envolvidos estejam cientes de seus papéis e responsabilidades, e avalizem e apoiem o tratamento dos riscos. (MINAS GERAIS, 2020, p. 22)