GESTÃO DE RISCOS APLICÁVEL ÀS LICITAÇÕES E CONTRATAÇÕES DOS SERVIÇOS SOCIAIS AUTÔNOMOS

14 de janeiro de 2019

Tema que comumente tem despertado a atenção dos órgãos de controle é pertinente à gestão de riscos nas contratações. Muito embora a temática ganhe contornos mais abrangentes, envolvendo a organização como um todo e não apenas as aquisições/contratações, para os fins propostos neste artigo, a abordagem ficará restrita às contratações.

Segundo o Referencial Básico de Gestão de Riscos do Tribunal de Contas da União[1], risco é “o efeito da incerteza sobre objetivos estabelecidos. É a possibilidade de ocorrência de eventos que afetem a realização ou alcance dos objetivos, combinada com o impacto dessa ocorrência sobre os resultados pretendidos”.[2]–[3]–[4]

Do conceito colacionado, é possível concluir que risco é toda ocorrência que possa interferir nos objetivos almejados, sendo mensurado a partir da probabilidade versus impacto. Toda atividade traz em si um risco, em maior ou menor grau. As licitações e contratos, por seu turno, estão inseridos num ambiente repleto de riscos que, se não gerenciados de maneira adequada, podem comprometer substancialmente os objetivos definidos pelos Serviços Sociais Autônomos. Com efeito, cada decisão tomada (ou mesmo eventual omissão) altera consideravelmente a probabilidade da ocorrência de eventos futuros e incertos e, por consequência, reduz ou amplia os riscos a que a entidade se expõe. Tudo depende do apetite de risco, ou seja, “nível de risco que uma organização está disposta a aceitar”.[5]
Nesse contexto, a gestão de riscos “consiste em um conjunto de atividades coordenadas para identificar, analisar, avaliar, tratar e monitorar riscos. É o processo que visa conferir razoável segurança quanto ao alcance dos objetivos”.[6]

Tendo em vista que toda contratação se divide em três etapas – planejamento, seleção do fornecedor e gestão contratual – a gestão de riscos deve ser capaz de identificar os riscos em cada uma dessas fases, mensurar a probabilidade de sua ocorrência e respectivos impactos e definir ações mitigadoras e as responsabilidades das partes envolvidas nesse processo[7], o que se faz por meio da matriz de riscos, conforme balizada doutrina de Rodrigo Pironti Aguirre de Castro:

“Uma matriz de impacto x probabilidade, como o próprio nome induz, irá aquilatar e conjugar dois critérios para a obtenção do nível de riscos: um critério de impacto e outro de probabilidade. A conjugação destes dois critérios em um diagrama de cálculo de riscos, permitirá a confirmação do nível de risco da atividade verificada e, a depender do apetite de riscos da Entidade, determinará sua correção ou aceitação.
A escala de impacto, que determina o grau de afetação do evento de risco no objetivo da Entidade, pode ser qualitativa ou quantitativa, a depender do interesse e do nível de maturidade do gerenciamento de risco da entidade.
(…)
A escala de probabilidade, que determinará qual a frequência de ocorrência de risco identificado, para que seja possível prever a maior ou menor preocupação em enfrentá-lo, terá uma análise pautada também por critérios objetivos, ou seja, pelo número (real ou percentual) de acontecimentos de determinado evento de risco em razão do atingimento do objeto pretendido”.[8]

No âmbito da Administração Pública Federal, o tema encontra-se disciplinado na Instrução Normativa 05/2017, do Ministério do Planejamento, Desenvolvimento e Gestão. Com efeito, a norma prescreve como uma das etapas do planejamento da contratação o gerenciamento de riscos, que deverá ser materializado por meio da respectiva matriz de riscos:

“Art. 20. O Planejamento da Contratação, para cada serviço a ser contratado, consistirá nas seguintes etapas:
I – Estudos Preliminares;
II – Gerenciamento de Riscos; e
III – Termo de Referência ou Projeto Básico.
Seção III
Do Gerenciamento de Riscos
Art. 25. O Gerenciamento de Riscos é um processo que consiste nas seguintes atividades:
I – identificação dos principais riscos que possam comprometer a efetividade do Planejamento da Contratação, da Seleção do Fornecedor e da Gestão Contratual ou que impeçam o alcance dos resultados que atendam às necessidades da contratação;
II – avaliação dos riscos identificados, consistindo da mensuração da probabilidade de ocorrência e do impacto de cada risco;
III – tratamento dos riscos considerados inaceitáveis por meio da definição das ações para reduzir a probabilidade de ocorrência dos eventos ou suas consequências;
IV – para os riscos que persistirem inaceitáveis após o tratamento, definição das ações de contingência para o caso de os eventos correspondentes aos riscos se concretizarem; e
V – definição dos responsáveis pelas ações de tratamento dos riscos e das ações de contingência.
Parágrafo único. A responsabilidade pelo Gerenciamento de Riscos compete à equipe de Planejamento da Contratação devendo abranger as fases do procedimento da contratação previstas no art. 19.
Art. 26. O Gerenciamento de Riscos materializa-se no documento Mapa de Riscos.
§ 1º O Mapa de Riscos deve ser atualizado e juntado aos autos do processo de contratação, pelo menos:
I – ao final da elaboração dos Estudos Preliminares;
II – ao final da elaboração do Termo de Referência ou Projeto Básico;
III – após a fase de Seleção do Fornecedor; e
IV – após eventos relevantes, durante a gestão do contrato pelos servidores responsáveis pela fiscalização.
§ 2º Para elaboração do Mapa de Riscos poderá ser observado o modelo constante do Anexo IV.
Art. 27. Concluídas as etapas relativas aos Estudos Preliminares e ao Gerenciamento de Riscos, os setores requisitantes deverão encaminhá-los, juntamente com o documento que formaliza a demanda, à autoridade competente do setor de licitações, que estabelecerá o prazo máximo para o envio do Projeto Básico ou Termo de Referência, conforme alínea “c” do inciso I, do art. 21.
Parágrafo único. A Secretaria de Gestão do Ministério do Planejamento, Desenvolvimento e Gestão poderá estabelecer regras e procedimentos para elaboração do Plano Anual de Contratações do órgão ou entidade, que será registrado em sistema informatizado”.

No âmbito do Sistema S não há disciplina legal[9] que obrigue a gestão de riscos nas contratações. Não obstante, considerando que o seu intuito é identificar situações que possam comprometer os resultados almejados com a contratação, a fim de mitigar ou até mesmo evitar a ocorrência dos riscos, não se pode olvidar que sua adoção decorre do próprio princípio da eficiência. Em outras palavras, a gestão de riscos pode contribuir significativamente para a maximização dos resultados, a aplicação eficiente dos recursos gerenciados pelo Sistema S (os quais, diga-se de passagem, estão cada vez mais escassos) e, inclusive, minimizar eventual responsabilização dos gestores. Em suma, trata-se de boa prática de gestão[10], que tem sido recomendada pelo Tribunal de Contas da União, consoante ilustram os julgados colacionados abaixo:

“1.7.1.2. o item 9.2.3 do acórdão 699/2016-TCU-Plenário recomendou a todas as entidades do “Sistema S” que envidem esforços para a melhoria dos seus processos de controle, estudando a viabilidade da implantação de unidades de auditorias internas, sem perder de vista a autonomia regional de cada departamento, a fim de aprimorar a eficácia dos seus processos de gerenciamento de riscos, controle e governança”;[11]
“9.6.6. o disposto no item 9.2.3 do acórdão 699/2016-TCU-Plenário, no sentido de envidar esforços para a melhoria dos seus processos de controle, estudando a viabilidade da implantação de unidades de auditorias internas, sem perder de vista a autonomia regional de cada departamento, a fim de aprimorar a eficácia dos seus processos de gerenciamento de riscos, controle e governança”;[12]
“1.7.2. dar ciência ao departamento regional do Serviço Nacional de Aprendizagem Industrial no Estado do Piauí (Senai/PI) que o item 9.2.3 do acórdão 699/2016-TCU-Plenário recomendou a todas as entidades do “Sistema S” que envidem esforços para a melhoria dos seus processos de controle, estudando a viabilidade da implantação de unidades de auditorias internas, sem perder de vista a autonomia regional de cada departamento, a fim de aprimorar a eficácia dos seus processos de gerenciamento de riscos, controle e governança”;[13]
“ACORDAM os Ministros do Tribunal de Contas da União, reunidos em sessão do Plenário, com fundamento no art. 43, inciso I, da Lei 8.443/1992 c/c o art. 250, inciso II, do Regimento Interno do TCU, em:
9.1. determinar ao Ministério da Transparência e Controladoria-Geral da União – CGU, que, no âmbito das auditorias anuais de gestão, exercício 2016 e subsequentes, adote metodologia uniforme com vistas à análise dos controles internos e gestão de riscos dos serviços sociais autônomos regionais;
9.2. encaminhar cópia desta deliberação aos conselhos nacionais e às entidades nacionais do Sebrae, do Senac, do Senai, do Sesi, do Sesc, do Senar e do Sescoop para que levem os resultados ao conhecimento das entidades regionais a eles vinculadas e estabeleçam diretrizes para implantar, manter, monitorar e revisar controles internos institucionais, tendo por base a identificação, a avaliação e o gerenciamento de riscos que possam impactar a consecução dos objetivos estabelecidos, com vistas a assegurar eficiência na prestação dos serviços de interesse público ou social financiados com contribuições parafiscais”;[14]
“VISTOS, relatados e discutidos estes autos de auditoria cujo objetivo foi avaliar o nível de transparência das entidades do “Sistema S” sob os seguintes aspectos: divulgação de dados sobre receitas e despesas; demonstrações contábeis; licitações; contratos; transferências de recursos a federações e confederações; e atendimento ao público em geral.
ACORDAM os ministros do Tribunal de Contas da União, reunidos em Sessão do Plenário, ante as razões expostas pelo relator, em:
(…)
9.2. recomendar a todas as entidades do “Sistema S”:
9.2.3. que envidem esforços para a melhoria dos seus processos de controle, estudando a viabilidade da implantação de unidades de auditorias internas, sem perder de vista a autonomia regional de cada departamento, a fim de aprimorar a eficácia dos seus processos de gerenciamento de riscos, controle e governança;
9.2.4. que, a partir do estímulo e da orientação dos órgãos nacionais, aprimorem seus serviços de atendimento aos clientes/cidadãos, de forma a facilitar o acesso destes às informações e aos dados das entidades, prestando serviços por departamento, de forma presencial e remota;
9.2.5. que avaliem a viabilidade de instituição ou de aprimoramento, caso já existentes, de ouvidorias e de códigos de ética e de conduta, observando a autonomia regional de cada departamento, de forma a aprimorar os serviços de atendimento ao cidadão;
9.2.6. que fixem prazos para cada uma das etapas do atendimento e implementação de sistemas de monitoramento e controle de prazos, de forma a aperfeiçoar a gestão dos serviços de atendimento prestados aos cidadãos;
9.3. determinar, por força do estabelecido na NBC T 16.1, às entidades do Senar e quaisquer outras entidades do “Sistema S” que ainda não o tenham feito, que, no prazo de um ano, contado da notificação dessa deliberação, adequem seus sistemas contábeis, de forma que suas demonstrações contábeis sejam elaboradas, no que couber, com base na contabilidade aplicada ao setor público, seguindo os moldes exigidos pela NBC T 16.6, admitindo-se a utilização concomitante da contabilidade empresarial, se assim entender necessário e conveniente a entidade jurisdicionada.
9.4. determinar às entidades do “Sistema S” (Senac, Senar, Senai, Sesc, Sesi, Sebrae, Sest/Senat, Sescoop), com fulcro no art. 43, I, da Lei 8.443/1992 c/c o art. 250, II, do RI/TCU, que, no prazo de 180 (cento e oitenta) dias, a contar do recebimento da comunicação, encaminhe plano de ação a este Tribunal, previamente discutido com os atores envolvidos, que contemple o cronograma de adoção, ainda que parcial, das medidas necessárias à implementação das recomendações constantes nos itens 9.1 e 9.2 deste acórdão, com a indicação de prazos e responsáveis, bem como justificativas a respeito de eventual impossibilidade ou inviabilidade de implementação da recomendação alvitrada”;[15]

E, conforme destacado, referida gestão deve ser estruturada a partir da identificação, mapeamento, avaliação, tratamento e monitoramento dos riscos inerentes às três etapas que formam o processo de contratação. Para tanto, é de suma importância ter em mente os objetivos de cada etapa, para que seja crível, com base no histórico das licitações/contratações anteriores, identificar tudo aquilo que possa comprometer os resultados pretendidos.

Deve a Entidade na fase de planejamento da contratação realizar estudos acerca da necessidade que se pretende satisfazer, com vistas a buscar a melhor solução para o seu total atendimento, otimizando, dessa maneira, a utilização dos recursos postos à sua disposição. Essa fase de planejamento, conhecida como fase interna da licitação, é de suma importância e deve ser eficientemente realizada, de modo que, dentre outros aspectos, o objeto a ser contratado seja corretamente definido, com quantitativo suficiente, características técnicas e modo de execução adequados para suprimir a totalidade da demanda em voga e que seu custo seja levantado de forma escorreita, para garantir a existência de recursos orçamentários que darão suporte à despesa e eleger a modalidade de licitação, conforme o caso. O custo estimado da contratação, apurado em face das especificações e quantidades fixadas, servirá, ainda, como critério para verificação da aceitabilidade das propostas no curso do futuro certame.
Sobre a importância e imprescindibilidade da fase interna da licitação, explica Marçal Justen Filho:

“Proíbe-se a aplicação de recursos públicos em empreendimentos com dimensões não estimadas ou estimadas em perspectivas irreais, inexequíveis, onerosas ou não isonômicas. Não poderá ser desencadeado um empreendimento sem serem cumpridas todas as exigências prévias. Nem sequer poderá iniciar-se a licitação sem o cumprimento de tais requisitos, que se inserem na fase interna da atividade administrativa.
(…)
2.1) As duas finalidades básicas da etapa interna
A primeira finalidade da Lei é evitar contratações administrativas defeituosas, assim entendidas aquelas que se inviabilizem ao longo da execução do objeto ou que não assegurem o aproveitamento mais eficiente dos recursos públicos.
Outra finalidade legal é promover uma licitação satisfatória, reduzindo o risco de conflitos, impugnações e atrasos.
2.2) A definição do contrato e a fixação das condições da licitação
Para atingir essas duas finalidades, é imperioso que a Administração identifique de modo perfeito o objeto a ser executado, a presença dos requisitos legais de admissibilidade da contratação e a conveniência da solução a ser adotada para execução do objeto contratado. Essa é a primeira etapa a ser cumprida pela Administração.”[16] (grifou-se)

Deve se preocupar, também, ao definir o objeto, com os requisitos de participação e de contratação, estabelecendo em instrumento convocatório condições que propiciem a obtenção de proposta realmente vantajosa mediante a participação do maior número possível de interessados. Exige-se o cotejo, então, dos princípios da eficiência, da economicidade e da competitividade.
Para tanto, estudos e pesquisas devem ser feitos, considerando, em especial, as práticas de mercado relativas às especificações do objeto, à forma de execução e ao custo da despesa, pois a busca de proposta vantajosa é da essência da licitação, mas não se pode perder de vista a obtenção de um objeto que realmente atenda a finalidade pretendida, sob pena de o certame restar inadequado.

Em outras palavras, essa etapa procedimental requer uma ampla pesquisa interna (referente às demandas e necessidades da Entidade) e externa, para avaliar as práticas de mercado relativas às condições de fornecimento/prestação do objeto pretendido, a exemplo de suas especificações, características, condições de execução, prazos, etc., pois todas as condições impostas no edital deverão estar devidamente justificadas nos autos do processo, de forma que fique evidenciado que a solução adotada é a mais eficaz, econômica e pertinente aos critérios e condições efetivamente praticados pelo mercado.

Consigne-se que o desrespeito às regras de mercado pode inviabilizar a contratação, sendo incabível a imposição de condições impraticáveis pelos particulares atuantes no ramo específico do objeto licitado, sob pena de nulidade do procedimento.

Nessa linha, a orientação do Tribunal de Contas da União ao tratar da fase interna da licitação:

“Fase interna ou preparatória. Nesse momento, verificam-se procedimentos prévios à contratação: identificação de necessidade do objeto, elaboração do projeto básico (ou termo de referência), estimativa da contratação, estabelecimento de todas as condições do ato convocatório, etc. (…) Durante a fase inicial da licitação, comumente chamada de interna, a Administração terá a oportunidade de corrigir falhas porventura verificadas no procedimento, sem precisar anular atos praticados. Exemplo: inobservância de dispositivos legais, estabelecimento de condições restritivas, ausência de informações necessárias, ou desconhecimento de condições usuais do mercado.”[17] (grifou-se)

E a fase de planejamento, por seu turno, definirá as demais etapas – seleção de fornecedor e gestão de contratos. Com efeito, é a partir das informações constantes no termo de referência que a Comissão de Licitação terá condições de selecionar a proposta mais vantajosa. Equívocos no termo de referência, portanto, poderão comprometer a atuação da Comissão que, por estar vinculada ao julgamento objetivo, somente poderá exigir das empresas o que já restou consignado no termo de referência e no edital. Da mesma forma, tais documentos servem de parâmetro para elaboração do contrato, e, portanto, definem as rotinas de execução, gestão e fiscalização contratual.

A identificação de eventuais riscos depende do tipo de contratação que se almeja formalizar, o nível de conhecimento no objeto por parte da área demandante, a antecedência com que se instaura a licitação, o fato de já ter ou não realizado anteriormente processo para aquele objeto, o grau de conhecimento e qualificação dos profissionais responsáveis pelo processo, a qualificação das empresas que atuam no segmento, dentre outros fatores. Portanto, não há um modelo único[18] a ser adotado, ao revés, a gestão de riscos deve ser implantada de acordo com a realidade de cada Serviço Social Autônomo e, ainda, levar em conta as especificidades de cada objeto da contratação. Além disso, não é viável a definição taxativa de todos os riscos que poderão ocorrer, por isso que a matriz deve ser atualizada a cada etapa do processo (depois do planejamento, após a seleção do fornecedor e ao longo da gestão do contrato) e, ainda, a cada nova contratação para aquele objeto.

Assim, a título de exemplo, na etapa de planejamento o que pode comprometer os resultados almejados com a contratação – seleção da proposta mais vantajosa, respeito ao princípio da isonomia e promoção do desenvolvimento nacional sustentável – é a descrição equivocada do objeto (por exemplo, objeto muito genérico ou muito específico), a estimativa dos custos em patamares discrepantes à prática de mercado, exigências restritivas a título de qualificação técnica e ou qualificação econômico-financeira, prazos de execução incompatíveis com a realidade mercadológica, dentre outros fatores.

Já na etapa de seleção do fornecedor, por exemplo, é possível identificar como pontos críticos eventual licitação deserta (aquela que não comparece interessados), licitação fracassada (quando os interessados não cumprem as condições do edital), que pode decorrer de propostas excessivas ou inexequíveis, a falta de qualificação dos membros da Comissão de Licitação e/ou do Pregoeiro, dentre outros.

Por derradeiro, na gestão do contrato é possível vislumbrar a entrega de objeto diverso do licitado, a perda das condições de habilitação no decorrer do contrato, o descumprimento de obrigações trabalhistas nos serviços terceirizados com dedicação exclusiva de mão-de-obra, o descumprimento do cronograma de execução, entre outros.

A luz dessas informações e de outras pertinentes a cada demanda é que a Entidade deverá estruturar sua matriz de riscos, cuja probabilidade de ocorrência e impacto vão depender do grau de maturidade da instituição, da qualificação dos profissionais envolvidos no processo e, principalmente, do adequado planejamento da contratação.

Assim, se a entidade possui uma área demandante altamente qualificada, com vasto conhecimento técnico no objeto, e o processo é instaurado com antecedência devida, permitindo assim uma ampla pesquisa de mercado, a rigor, o direcionamento do objeto – em que pese apresentar um impacto gravíssimo, porquanto levará à nulidade do certame – terá, a rigor, uma baixa probabilidade de ocorrência, sendo viável à entidade aceitar o risco. Ao contrário, se a área demandante não dispõe de conhecimento técnico e a contratação é feita às pressas, além do impacto ser gravíssimo, a probabilidade de ocorrência do vício também será alta, exigindo ações que possam mitiga-lo.

Essa problemática – desconhecimento da demanda e falta de planejamento – poderá ensejar, indevidamente, contratação direta emergencial, por exemplo, com fundamento no art. 9º, V, do Regulamento de Licitações e Contratos. Não obstante, sabe-se que a emergência válida não pode ter decorrido de falta de planejamento, sob pena de responsabilização dos gestores omissos. É possível, nesse contexto, que o gestor se veja diante do seguinte dilema: contratar por emergência para evitar a interrupção de um serviço essencial, ainda que comprovada falta de planejamento, correndo o risco de um apontamento pelos órgãos de controle ou, ao revés, deixar de atendar a necessidade de uma área finalística? Tudo dependerá do apetite de risco da organização. Mas o ideal, por evidente, é que o adequado planejamento seja capaz de evitar tais riscos.

[1] TCU. Referencial de Gestão de Riscos. SEGECEX/COGER, Abril de 2018, p. 08. Disponível em: https://portal.tcu.gov.br/biblioteca-digital/referencial-basico-de-gestao-de-riscos.htm. Acesso em 18/12/2018.

[2] No mesmo sentido é o conceito previsto na ISO 31.000/2018, que versa sobre a gestão de riscos.

[3] Também discorre sobre o tema a Instrução Normativa Conjunta MP/CGU nº. 01/2016, em seu art. 2º, inciso XIII: “risco: possibilidade de ocorrência de um evento que venha a ter impacto no cumprimento dos objetivos. O risco é medido em termos de impacto e de probabilidade”.

[4] Neste artigo vamos analisar o risco sob a perspectiva negativa, que é a concepção adotada pelo COSO. Porém, é importante destacar que o risco pode decorrer de uma incerteza positiva.

[5] Instrução Normativa Conjunta MP/CGU nº. 01/2016, art. 2º, inciso II.

[6] TCU. Referencial de Gestão de Riscos. SEGECEX/COGER, Abril de 2018, p. 12. Disponível em: https://portal.tcu.gov.br/biblioteca-digital/referencial-basico-de-gestao-de-riscos.htm. Acesso em 18/12/2018.

[7] Fonte: <http://www.planejamento.gov.br/assuntos/gestao/controle-interno/matriz-de-riscos/view>.

[8] PIRONTI, Rodrigo. A matriz de risco nos contratos celebrados por empresas estatais. RJML nº. 46, seção Doutrina, março de 2018, p. 06.

[9] Para a Administração Pública essa exigência consta em algumas normas, a exemplo da Instrução Normativa 05/2017, do Ministério do Planejamento, Desenvolvimento e Gestão; a Lei 13.303/2016, aplicável às empresas estatais; a Instrução Normativa Conjunta MP/CGU nº. 01/2016; a Portaria-Segecex nº 9/2017, do TCU, dentre outras.

[10] “Quando implementada e mantida de acordo com as diretrizes técnicas da norma, a gestão de riscos possibilita a uma organização, por exemplo: aumentar a probabilidade de atingir os objetivos; encorajar uma gestão proativa; estar atenta para a necessidade de identificar e tratar os riscos através de toda a organização; melhorar a identificação de oportunidades e ameaças; atender às normas internacionais e requisitos legais e regulatórios pertinentes; melhorar o reporte das informações financeiras; melhorar a governança; melhorar a confiança das partes interessadas; estabelecer uma base confiável para a tomada de decisão e o planejamento; melhorar os controles; alocar e utilizar eficazmente os recursos para o tratamento de riscos; melhorar a eficácia e a eficiência operacional; melhorar o desempenho em saúde e segurança e a proteção do meio ambiente; melhorar a prevenção de perdas e a gestão de incidentes; minimizar perdas; melhorar a aprendizagem organizacional; e aumentar a resiliência da organização”. SILVA, Felipe Bezerra da. Considerações a respeito da ABNT NBR ISO 31000:2009 (GESTÃO DE RISCOS) e sua aplicabilidade na Administração Pública Direta e Indireta. In: Compliance, Gestão de Riscos e Combate à Corrupção: integridade para o desenvolvimento. PAULA, Marco Aurélio Borges de; CASTRO, Rodrigo Pironti Aguirre de (coord.). Belo Horizonte: 2018, Fórum, p. 388-390.

[11] TCU. Acórdão nº. 2717/2017 – Plenário.

[12] TCU. Acórdão nº. 11255/2017 – 1ª Câmara.

[13] TCU.Acórdão nº. 11202/2017 – 1ª Câmara.

[14] TCU.Acórdão nº. 2504/2017 – Plenário.
[15] TCU. Acórdão nº 699/2016 – Plenário.

[16] JUSTEN FILHO, Marçal. Comentários à lei de licitações e contratos administrativos. 16. ed. São Paulo: Revista dos Tribunais, 2014, p. 178-179.

[17] Brasil. Tribunal de Contas da União. Licitações e contratos: orientações e jurisprudência do TCU. 4. ed. rev., atual. e ampl. – Brasília: TCU, Secretaria-Geral da Presidência: Senado Federal, Secretaria Especial de Editoração e Publicações, 2010, p. 135-138.

[18] O Roteiro de Auditoria de Gestão de Riscos do TCU, por exemplo, indica como diretrizes técnicas para a gestão de riscos as seguintes metodologias: a) COSO; B) The Orange Book Management of Risk – Principles and Concepts; c) Associação Brasileira de Normas Técnicas – NBR ISO 31000 – Gestão de Riscos – Princípios e Diretrizes.