por Luiz Claudio de Azevedo Chaves*
e Keila Pinheiro Pinto**
Gestão de Risco nas Contratações: o que controlar?
No texto anterior [1], verificou-se que o gerenciamento de risco é uma ferramenta operacional que se propõe a trazer segurança, previsibilidade e resposta eficaz para os eventos incertos que possam causar prejuízo para a organização (risco estratégico) ou para um específico projeto[2]. Dependendo do produto a ser obtido com o desenvolvimento de um projeto, os riscos a ele concernentes podem inviabilizá-lo ou reduzir sua efetividade, o que, consequentemente, causará prejuízos aos objetivos organizacionais almejados.
Daí porque, o gerenciamento dos riscos em qualquer projeto, em princípio, é essencial, pois permite a elevação das taxas de sucesso, na medida em que, após identificá-los, seja possível oferecer-lhes o devido tratamento (respostas aos riscos), minimizando sua probabilidade de ocorrência e impacto negativo. Os riscos ligados diretamente a um projeto posto em prática, caso venham a se concretizar durante a execução, tem o poder de causar danos que ultrapassam os objetivos do próprio projeto, indo contaminar o planejamento estratégico da organização, tais como atraso nos cronogramas, inviabilização de um plano de ação, aumento dos custos ou diminuição de seus benefícios. É o seu efeito mediato.
No Brasil, é bastante recente o tratamento da governança corporativa e da gestão de riscos. O Instituto Brasileiro de Governança Corporativa-IBGC, entidade sem fins lucrativos criada em 1995, é a organização nacional dedicada ao desenvolvimento das melhores práticas de Governança Corporativa. É o principal fomentador das práticas e discussões sobre o tema no País, tendo alcançado reconhecimento nacional e internacional. Desde 1999, o IBGC publica, revisa e atualiza o “Código das Melhores Práticas de Governança Corporativa”[3], no qual constam recomendações sobre práticas relacionadas à gestão de riscos (IBGC, 2009).
Em 2007, a entidade lança o “Guia de Orientação para Gerenciamento de Riscos Corporativos”[4], cujo o propósito é oferecer aos dirigentes de organizações de todos os tipos – governamentais, civis, cooperativas, sociedades anônimas, etc. –, reflexões e orientações para uma efetiva implementação de modelos de gerenciamento de riscos corporativos, de modo a contribuir para a otimização da estrutura de governança das organizações.
No setor público, esse tratamento é bem mais jovem. Como a atividade administrativa é pautada pelo princípio da legalidade, a absoluta ausência de normativos nesse sentido acarretou um “engessamento” dos meios e ferramentas de administração.
O primeiro grande estudo sobre o tema foi iniciado em 2013 pelo Tribunal de Contas da União, com base em levantamento[5] realizado nos órgãos e entidades jurisdicionados, incluindo, o Sistema S e os Conselhos Federais, em que se objetivou obter informações e sistematizar informações sobre o nível de maturidade da governança e da gestão das aquisições, “com o intuito de identificar os pontos mais vulneráveis e induzir melhorias nessa área”. Na oportunidade, deu-se destaque na importância da gestão de riscos nos processos de aquisição.
E faz bastante sentido, pois, segundo apontam Cássio Garcia Ribeiro e Edmundo Inácio Júnior[6], a máquina pública, nos países da Organização para a Cooperação e Desenvolvimento Econômico (OCDE), é responsável, no que se refere ao mercado de compras governamentais por aproximadamente 13% do produto interno bruto (PIB). É um volume muito importante e o mesmo tem um peso duplo no desenvolvimento do país: O primeiro é que estes recursos são gastos para atender às necessidades da população: interesse público e o outro é que os valores que são lançados no mercado, tanto no pagamento de servidores, contratação de mão de obra, aquisições e demais contratações, injetam recurso que promovem desenvolvimento econômico.
Mas a gestão de riscos em compras já é abordada na atividade privada há algum tempo, pois, nesse setor, se entendeu que os riscos existentes nos processos de compras tendem a elevar o custo operacional, reduzindo a lucratividade e competitividade da empresa.
Não por outro motivo, várias empresas internacionais de consultoria têm apresentado relatórios em que apontam como ponto prioritário de gestão, o adequado gerenciamento de riscos nos processos de compras. À guisa de exemplo, tem-se o Hackett Group, que informou na agenda CPO 2012 que deve ser prioritário “reduzir os riscos de suprimento”. Também a KPMG, no relatório The Power of Procurement 2012[7] indica uma “preocupante falta de liderança na área de análise de risco de fornecedor”.
Retornando à realidade nos órgãos e entidades da Administração Pública no Brasil, o levantamento realizado pela Corte Federal de Contas acima citado, culminou na edição do Acórdão no. 2.622/2015-P, aprovado à unanimidade pelo Plenário o qual, dentre outras, traçou as seguintes orientações:
“ACORDAM os Ministros do Tribunal de Contas da União, reunidos em sessão do Plenário, com fundamento no art. 43, inciso I, da Lei 8.443/92 c/c o art. 250, incisos II e III, do Regimento Interno, ante as razões expostas pelo Relator, em:
9.1 recomendar ao Ministério do Planejamento, Orçamento e Gestão que expeça orientações no sentido de que, quando pertinente, a escolha dos ocupantes de funções-chave, funções de confiança ou cargos em comissão na área de aquisições seja fundamentada nos perfis de competências definidos no modelo e sempre pautada pelos princípios da transparência, da motivação, da eficiência e do interesse público;
9.2 recomendar à Secretaria de Logística e Tecnologia da Informação (SLTI/MP) que:
9.2.1. oriente as organizações sob sua esfera de atuação a:
(…)
9.2.1.3. avaliar se os normativos internos estabelecem:
(…)
9.2.1.3.2. competências, atribuições e responsabilidades, com respeito às aquisições, dos dirigentes, nesses incluídos a responsabilidade pelo estabelecimento de políticas e procedimentos de controles internos necessários para mitigar os riscos nas aquisições;
(…)
9.2.1.5. estabelecer diretrizes para a gestão de riscos nas aquisições;
9.2.1.6. capacitar os gestores da área de aquisições em gestão de riscos;
9.2.1.7. realizar gestão de riscos nas aquisições;
(…)
9.2.1.12. executar processo de planejamento das aquisições, contemplando, pelo menos:
(…)
9.6. recomendar à Secretaria de Orçamento Federal (SOF/MPOG) que, com base no art. 20, II, do Decreto 8.189/2014, inclua nas normas de elaboração do orçamento federal a obrigatoriedade de as organizações encaminharem, juntamente com as propostas orçamentárias, documento que materialize a gestão de riscos das aquisições relevantes, contendo identificação, análise, avaliação e tratamento dos riscos;
9.7. recomendar à Secretaria de Gestão Pública (Segep/MPOG) que, em atenção ao art. 5º, I e §1º, do Decreto 5.707/2006 estabeleça, após consulta à Secretaria de Logística e Tecnologia da Informação (SLTI/MPOG), um modelo de competências para os atores da função aquisição, em especial daqueles que desempenham papeis ligados à governança e à gestão das aquisições.
9.8. recomendar ao Comitê Gestor da Política Nacional de Desenvolvimento de Pessoal que, em atenção ao art. 7º, II e IV, do Decreto 5.707/2006, estabeleça, após consulta à Secretaria de Logística e Tecnologia da Informação, um programa de capacitação em governança e em gestão das aquisições;
(…)
9.15. classificar como público o presente acórdão, assim como o relatório e voto que o fundamentam, classificando todas as demais peças deste processo como reservadas, nos termos do art. 4º, §§ 1º e 2º, c/c art. 7º, VIII e parágrafo único, todos da Resolução-TCU 254/2013;
9.16. arquivar os presentes autos, nos termos do art. 169, V, do RITCU.” (grifo acrescentado)
Em seu voto, o Relator destacou que há vários órgãos e entidades que despendem vultosas quantias em aquisições e não dispõem de boa capacidade de governar e gerir bem essas aquisições, concluindo ser este um indicativo de maior risco na utilização dos recursos públicos. Destacou ainda que “quanto menor a capacidade de governança de uma organização pública, maior o risco de que não sejam bem aplicados os recursos públicos em benefício da sociedade.
A escassez de normativos sobre gestão de riscos estava por ceder.
Seguindo a linha traçada pelo TCU, a Controladoria-Geral da União e o Ministério do Planejamento editaram a Instrução Normativa Conjunta CGU/MP nº 001, de 10.05.2016, primeiro documento normativo de relevância a tratar do tema Governança e traz orientações quanto ao aspecto da gestão de riscos:
Art. 13. Os órgãos e entidades do Poder Executivo federal deverão implementar, manter, monitorar e revisar o processo de gestão de riscos, compatível com sua missão e seus objetivos estratégicos, observadas as diretrizes estabelecidas nesta Instrução Normativa.
Pouco depois, entra em vigor a Lei Federal no. 13.303/2016, que traz o novo marco regulatório das empresas públicas e sociedade de economia mista, em que a gestão de risco aparece em diversas passagens, a saber:
Art. Omissis
(…)
§ 7o Na participação em sociedade empresarial em que a empresa pública, a sociedade de economia mista e suas subsidiárias não detenham o controle acionário, essas deverão adotar, no dever de fiscalizar, práticas de governança e controle proporcionais à relevância, à materialidade e aos riscos do negócio do qual são partícipes, considerando, para esse fim:
(…)
IX – avaliação das necessidades de novos aportes na sociedade e dos possíveis riscos de redução da rentabilidade esperada do negócio;
Art. 6o O estatuto da empresa pública, da sociedade de economia mista e de suas subsidiárias deverá observar regras de governança corporativa, de transparência e de estruturas, práticas de gestão de riscos e de controle interno, composição da administração e, havendo acionistas, mecanismos para sua proteção, todos constantes desta Lei.
Art. 9o A empresa pública e a sociedade de economia mista adotarão regras de estruturas e práticas de gestão de riscos e controle interno que abranjam:
(…)
§ 1o Deverá ser elaborado e divulgado Código de Conduta e Integridade, que disponha sobre:
(…)
VI – previsão de treinamento periódico, no mínimo anual, sobre Código de Conduta e Integridade, a empregados e administradores, e sobre a política de gestão de riscos, a administradores.
Art. 42. Na licitação e na contratação de obras e serviços por empresas públicas e sociedades de economia mista, serão observadas as seguintes definições:
X – matriz de riscos: cláusula contratual definidora de riscos e responsabilidades entre as partes e caracterizadora do equilíbrio econômico-financeiro inicial do contrato, em termos de ônus financeiro decorrente de eventos supervenientes à contratação, contendo, no mínimo, as seguintes informações:
(…)
§ 1o As contratações semi-integradas e integradas referidas, respectivamente, nos incisos V e VI do caput deste artigo restringir-se-ão a obras e serviços de engenharia e observarão os seguintes requisitos:
I – o instrumento convocatório deverá conter:
(…)
d) matriz de riscos;
Com o advento da a IN 05/2017/MPDG, as contratações governamentais receberam status de processo estratégico, com acerto, diga-se. A norma fez incluir, na etapa de planejamento das contratações a atividade de gerenciamento de risco, o que significa dizer que, para os fins colimados pelo normativo, cada processo de contratação passaria a ser visto e tratado como um projeto cujos riscos devem ser gerenciados.
Assim, não há dúvida acerca da necessidade de se gerenciar os riscos nos processos de contratação, uma vez que os mesmos impactam diretamente nas ações estratégicas das organizações.
Nada obstante, considerando que o número de contratações realizadas ao longo de um exercício financeiro por um órgão costuma ser considerável; levando-se em conta, ainda, que em muitos casos, o órgão ou entidade não dispõe de material humano qualificado e em número minimamente confortável para a realização dessa tarefa, surge a pergunta: o protocolo de gerenciamento de riscos deve ser realizado em todas as contratações? Em um primeiro momento, a vista de uma interpretação conservadora e estritamente gramatical das normas acima transcritas, a resposta seria positiva; ou seja, todos os processos de contratação estariam obrigatoriamente submetidos ao tratamento dos riscos a eles inerentes, isto é: identificação, qualificação e gerenciamento. Em outro dizer, e numa visão mais pragmática sob o ponto de vista processual, todos os processos de contratação deverão passar a ser instruídos com a respectiva matriz de risco.
Mas o fato é que essa interpretação literal, conservadora, não oferece a resposta adequada a esse questionamento. Conforme lição lapidar de Carlos Maximiliano[8], in verbis:
“Deve o Direito ser interpretado inteligentemente: não de modo que a ordem legal envolva um absurdo, prescreva inconveniências, vá ter a conclusões inconsistentes ou impossíveis. Também se prefere a exegese de que resulte eficiente a providência legal ou válido o ato, à que torne aquela sem efeito, inócua, ou este, juridicamente nulo”
O mestre alerta sobre a necessidade de se interpretar uma norma, observando-se todo um processo lógico-sistemático em que os fatos e as próprias normas estão inseridos, isto é, levando-se em consideração os valores fundamentais da ordem jurídica, as circunstâncias do caso concreto, os objetivos almejados pelo dispositivo legal em questão, e não apenas a acepção literal destas[9].
O fato inconteste é que todo controle gera um custo operacional e financeiro. Custo este que, tratando-se de órgão ou entidade da Administração Pública, será suportado por toda a sociedade. Ao mesmo tempo, ébastante cediço que o macro sistema normativo impõe de modo explícito e implícito alguns componentes de custos incomuns ao setor privado, notadamente, aqueles relacionados aos sistemas de controle próprios da Administração Pública (transparência, “custo legal” etc).
Se controlar é oneroso, seria compensador controlar a aquisição de itens corriqueiros e de baixo valor? A resposta encontra guarida nos princípios da eficiência, da economicidade, da razoabilidade, da proporcionalidade.
Em relação ao conteúdo e aplicabilidade do princípio da economicidade, trata-se de uma análise da correlação entre o custo e benefício do ato, no intuito de se obter, a partir do menor dispêndio, o melhor resultado. É executar a despesa de modo inteligente e não apenas “economizar” recursos.
Já o dever de razoabilidade, decorrente do princípio da legalidade e da eficiência (art. 37, caput, da CF). Segundo Celso Antônio Bandeira de Mello[10]:
“(…) nos casos em que a Administração dispõe de certa liberdade para eleger o comportamento cabível diante do caso concreto, isto é, quando lhe cabe exercitar certa discrição administrativa, evidentemente tal liberdade não lhe foi concedida pela lei para agir desarrazoadamente (…). Procede, ainda, do princípio da legalidade o princípio da proporcionalidade do ato à situação que demandou sua expedição. Deveras, a lei outorga competências em vista de certo fim. (…) Assim, a providência administrativa mais extensa ou mais intensa do que o requerido para atingir o interesse público insculpido na regra aplicada é inválida, por consistir em um transbordamento da finalidade legal.”(3)
Em resumo, conjugando os princípios acima relacionados, com as normas sobre gestão de riscos em vigor, numa interpretação consentânea com os fins colimados pela constituição, deve-se reconhecer que os controles não podem custar mais caro do que o ato a ser controlado. E quando se diz “mais caro”, não se está restringindo a ideia de custo financeiro nominal. Há outros custos, inclusive não mensuráveis economicamente, que se relacionam com o uso da estrutura administrativa, com o tempo maior gasto nos processos, ente outros o que interfere no prazo para a implementação das providências a ele relacionadas.[11]
Todavia, não constitui tarefa fácil determinar quais processos serão submetidos a esse controle, mormente quando a organização não dispõe de plano de gerenciamento de riscos estratégicos, com definição do nível de apetite ao risco. O ponto de partida, nesses casos, será a própria norma que regula tal atividade, ainda que lhe falte alguma precisão. Somente a partir dessa investigação é que o gestor terá melhores condições de avaliar qual processo de contratação merece a atenção no que diz respeito ao gerenciamento de riscos. Vejamos o que dizem os normativos em vigor, a começar pela Instrução Normativa Conjunta CGU/MP nº 001, de 10.05.2016 em relação a esse aspecto:
Art. 14. A gestão de riscos do órgão ou entidade observará os seguintes princípios:
(…)
III – estabelecimento de procedimentos de controle interno proporcionais ao risco, observada a relação custo-benefício, e destinados a agregar valor à organização; (grifamos)
Como se pode notar, o normativo acima transcrito deixa espaço para que o gestor observe, nos casos concretos, quais os projetos de contratação vão merecer maior atenção e quais aqueles processos deverão ser simplificados. Na própria página da internet da CGU, há respostas para a seção “Perguntas Frequentes” que dão certo direcionamento. A pergunta 14[12], sobre como o órgão ou entidade deve definir os “processos mais relevantes para terem os riscos gerenciados” deixa bem claro que a Instrução Normativa não considera obrigatória a implementação dessa atividade para todo e qualquer processo, mas apenas para os “processos relevantes”. Veja-se a resposta oferecida:
“Existem diferentes ferramentas que possibilitam avaliar processos, áreas ou atividades e inseri-los dentro de uma escala de criticidade ou de priorização na implementação da gestão de riscos. Cabe ressaltar que, em um primeiro estágio de implementação da gestão de riscos em uma organização, poderá ser adequado, a depender da segurança e da experiência da equipe responsável por sua condução, a escolha de processo ou área que tenha relevância para os objetivos da organização, mas que não possua um elevado nível de complexidade. Essa escolha poderá servir como um “piloto” no processo e sedimentar conhecimento, antes de selecionar objetos de maior grau de complexidade e abrangência. Conforme trazido por diversos referenciais teóricos, a reflexão sobre as áreas ou processos que impactam no atingimento dos principais objetivos organizacionais deverá nortear a escolha daqueles que passarão pelo processo de gerenciamento de riscos. A norma ABNT NBR ISO/IEC 31010 – “Gestão de riscos – Técnicas para o processo de avaliação de riscos” – fornece orientações sobre a seleção e a aplicação de técnicas sistemáticas para o processo de gerenciamento de riscos. Adicionalmente, o Ministério do Planejamento, Desenvolvimento e Gestão desenvolveu um método de priorização de processos, cujo manual está disponível no seguinte link: http://www.planejamento.gov.br/assuntos/gestao/controle-interno/metodo-de-priorizacao-de-processos.”
Também a pergunta 14, sobre como se deve tratar o gerenciamento de riscos em um órgão de estrutura administrativa de porte pequeno, encontra-se a seguinte resposta:[13]
“Conforme preconizado pelos diversos referenciais teóricos, o processo de gerenciamento de riscos deverá ser adaptado ao porte, à realidade quanto aos recursos, à estrutura e governança da organização. Portanto, cada órgão ou entidade deverá refletir como adequar esse processo a sua necessidade, de forma que esse contribua para a melhoria da gestão e o alcance dos objetivos organizacionais.”
Já a Instrução Normativa no. 05/2017/MPDG traz o seguinte norte:
Art. 20 Omissis
(…)
§ 1º As situações que ensejam a dispensa ou inexigibilidade da licitação exigem o cumprimento das etapas do Planejamento da Contratação, no que couber.
§ 2º Salvo o Gerenciamento de Riscos relacionado à fase de Gestão do Contrato, as etapas I e II do caput ficam dispensadas quando se tratar de:
a) contratações de serviços cujos valores se enquadram nos limites dos incisos I e II do art. 24 da Lei nº 8.666, de 1993; ou
b) contratações previstas nos incisos IV e XI do art. 24 da Lei nº 8.666, de 1993.
Os textos acima transcritos dão o indicativo necessário para que a alta administração desenvolva e implemente o procedimento de gerenciamento de riscos, segundo avaliação crítica da relevância do processo escolhido, bem como o peso da estrutura administrativa disponível. Certo, todavia, é que não há espaço para omissão do Gestor Público. Deve, tão logo possível, iniciar os estudos internos visando a escolha dos projetos que deverão sofrer o processo de gerenciamento de riscos.
Não será correto, todavia, tomar por base, exclusivamente, o valor da contratação, como sugeri a norma acima transcrita. Uma aquisição de pequeno valor malsucedida pode ter efeito devastador, por exemplo, quanto à imagem do órgão perante a sociedade, o que se traduz em um prejuízo institucional que ultrapassa em muito os eventuais danos financeiros. Basta termos em mente as manchetes dos canais de imprensa que tratam de compras suspeitas, as vezes até de pequeno monte financeiro, que se mostram altamente ofensivas e que causaram descrédito da população pelo descaso com os recursos públicos, como foi o caso noticiado sobre suspeita de superfaturamento na compra de papel higiênico pela Sabesp[14]. Muitas vezes, esses fatos ocorrem pela fragilidade do planejamento, gerando a precificação incorreta do objeto (sobrepreço ou preço abaixo do mercado), lacunas na especificação do objeto gerando o comportamento oportunista do fornecedor, ou, até mesmo, por ação maliciosa do agente. Nesse caso temos como prova que, não importa o valor do montante, pois o caso da Sabesp tratava de compra de objeto de baixo valor, mas a sua repercussão trouxe, certamente, um grande prejuízo para a imagem institucional do órgão.
Assim, além da premissa estampada no art. 20 §2º, a e b da IN 05/2017, a escolha dos processos que irão receber o tratamento de riscos deve levar em conta o seu valor e importância estratégica.
É bem verdade, que quando se ouve falar em governança e gestão de riscos na Administração pública, logo surgem resistências internas com fundamento na suposta inviabilidade ou extrema dificuldade de implantar mais um processo de trabalho. Trata-se de um processo natural que decorre de diversos fatores culturais. A sobrecarga de tarefas atribuídas ao servidor público é um deles. Em boa parte dos órgãos e entidades da Administração Pública, em razão da pouca mão de obra disponível, o mesmo servidor recebe o encargo de elaborar Termo de Referência, atuar como Pregoeiro e fiscalizar contratos. No momento em que este servidor recebe mais um encargo, que é o de gerenciar riscos, fazendo incluir mais uma atividade dentro das suas atribuições, fatalmente este servidor resistirá a tarefa. Também a falta de capacitação adequada é um empecilho à implementação dessa ferramenta de gestão. Não raro, a alta administração determina a realização de novas tarefas e processos de trabalho, mas não investe em capacitação para que o agente possa melhor desenvolver seu mister. O resultado é que o processo, se implantado, não atingirá os fins colimados.
No próximo trabalho iremos tratar dos métodos de criticidade e priorização para escolha dos processos a serem inicialmente submetidos ao gerenciamento de riscos.
*Luiz Claudio Chaves é especialista em Direito Administrativo e professor da Escola Nacional de Serviços Urbanos-ENSUR e professor convidado da Fundação Getúlio Vargas e da PUC-Rio. Autor das obras Curso Prático de Licitações- Os Segredos da Lei no. 8.666/93, Lúmen Juris e Licitação Pública – Compra e Venda governamental Para Leigos, alta Books. Ministra regularmente, em âmbito nacional, cursos sobre Elaboração de Termos de Referência/Projetos Básico; Gestão e Fiscalização de Contratos e Gestão de Riscos nas Contratações Públicas.
*Keila Pinheiro Pinto é graduada em Gestão Empresaria, especialista em Planejamento e Gestão de Projetos de Políticas Públicas, Profa. da Escola de Nacional de Serviços Urbanos – ENSUR/IBAM e Consultora do Instituto Brasileiro de Administração Municipal. Ministra regularmente, em âmbito nacional, cursos sobre Elaboração de Termos de Referência/Projetos Básico e Gestão de Riscos nas Contratações Públicas