Entre a norma e a prática: um estudo qualitativo sobre a gestão de riscos no Poder Executivo federal brasileiro

Santos, Ziana Souza; Sá, Patrícia Moura e

doi:10.1590/0034-761220240418

Resumo

Este estudo analisou a implementação da gestão de riscos em organizações do Poder Executivo federal brasileiro com níveis mais avançados de maturidade, segundo levantamento do Tribunal de Contas da União em 2021. Com base em entrevistas semiestruturadas com atores-chave, a pesquisa investigou como as práticas institucionais se relacionam com os referenciais normativos de gestão de riscos adotados no setor público brasileiro. Identificou-se a presença de estruturas formais, políticas de riscos e apoio da alta administração como elementos presentes nos casos analisados. No entanto, os resultados indicam que a gestão de riscos ainda apresenta baixo grau de integração com os processos decisórios estratégicos, sendo essa articulação efetiva relatada por apenas uma das organizações. As evidências revelam que a prática permanece, em grande parte, voltada ao cumprimento de exigências normativas, com variações entre administrações direta e indireta. Este estudo apresenta limitações quanto à abrangência da amostra e ao enfoque em organizações com desempenho elevado, o que restringe a possibilidade de generalizações. Ainda assim, oferece uma contribuição relevante para compreender a distância entre a norma e a prática na gestão de riscos no setor público federal e para sugerir caminhos de aprimoramento.

Palavras-chave:
gestão de riscos; governança pública; setor público; política de riscos; alta administração

Abstract

This study analyzed the implementation of risk management in Brazilian federal executive branch organizations with more advanced levels of maturity, according to the 2021 survey by the Federal Court of Accounts. Based on semi-structured interviews with key actors, the research investigated how institutional practices relate to the normative frameworks for risk management adopted in the Brazilian public sector. The study identified formal structures, risk policies, and senior management support as elements observed in the analyzed cases. However, the results indicate that risk management still shows a low degree of integration with strategic decision-making processes, with only one organization reporting effective coordination between the two. The evidence reveals that the practice remains largely focused on meeting regulatory requirements, with variations between direct and indirect administrations. This study presents limitations regarding the scope of the sample and its focus on high-performing organizations, which restricts the possibility of generalization. Nevertheless, it offers a relevant contribution to understanding the gap between norms and practice in risk management in the federal public sector and suggests paths for improvement.

Keywords:
risk management; public governance; public sector; risk policy; senior management

Resumen

Este estudio analizó la implementación de la gestión de riesgos en organizaciones del Poder Ejecutivo federal brasileño con niveles más avanzados de madurez, según el levantamiento realizado por el Tribunal de Cuentas de la Unión en 2021. A partir de entrevistas semiestructuradas con actores clave, la investigación exploró cómo las prácticas institucionales se relacionan con los marcos normativos de gestión de riesgos adoptados en el sector público brasileño. El estudio identificó la presencia de estructuras formales, políticas de riesgos y apoyo de la alta administración como elementos presentes en los casos analizados. Sin embargo, los resultados indican que la gestión de riesgos aún presenta un bajo nivel de integración con los procesos decisorios estratégicos, siendo esta articulación efectiva reportada por solo una de las organizaciones. La evidencia revela que la práctica sigue centrada, en gran medida, en el cumplimiento de requisitos normativos, con variaciones entre la administración directa e indirecta. Este estudio presenta limitaciones en cuanto al alcance de la muestra y el enfoque en organizaciones de alto desempeño, lo que restringe la posibilidad de generalización. Aun así, ofrece una contribución relevante para comprender la distancia entre la norma y la práctica en la gestión de riesgos en el sector público federal y para sugerir caminos de mejora.

Palabras clave:
gestión de riesgos; gobernanza pública; sector público; política de riesgos; alta administración

1. INTRODUÇÃO

A busca pela boa governança pública é uma necessidade premente para melhorar a qualidade da gestão e assegurar maior responsividade (accountability), transparência e integridade das organizações públicas (Tribunal de Contas da União [TCU], 2018; Vieira & Araújo, 2020). Nesse contexto, a gestão de riscos organizacional (Enterprise Risk Management - ERM) é reconhecida como um componente essencial da governança, sendo definida como um processo contínuo e estruturado para identificar, avaliar e tratar riscos, com o objetivo de gerar e preservar valor e apoiar o alcance dos objetivos institucionais (Committee of Sponsoring Organizations of the Treadway Commission [COSO], 2017; International Organization for Standardization [ISO], 2018). A gestão de riscos nas organizações públicas contribui para uma mudança de foco, passando da conformidade para a responsabilidade, mudança essa que enfatiza a medição de desempenho e a formulação de estratégias (Rana et al., 2019b).

Embora o Decreto-Lei n.º 200, de 1967, já previsse mecanismos voltados ao controle e à responsabilização gerencial na administração pública, alinhados de forma incipiente à lógica da gestão de riscos, a institucionalização dessa prática de maneira estruturada e com base em referenciais internacionais é relativamente recente no setor público brasileiro. As primeiras iniciativas da gestão de riscos no governo federal tiveram início na década de 1990, mas somente a partir da publicação da Instrução Normativa Conjunta MP/CGU n.º 1, de 2016; da Lei n.º 13.303, de 2016; e do Decreto n.º 9.203, de 2017, a prática passou a ser largamente difundida (Organisation for Economic Cooperation and Development [OECD], 2012; Souza et al., 2020). Contudo, estudos recentes indicam que muitas organizações ainda não adotam plenamente a gestão de riscos, demonstrando uma lacuna significativa entre a teoria e a aplicação prática (TCU, 2021; Vieira & Araújo, 2020).

Diante desse cenário, este estudo buscou analisar como a gestão de riscos tem sido implementada em organizações públicas brasileiras que demonstraram avanços relevantes nessa prática. Vários estudos anteriores (Bailey, 2022; Bracci et al., 2022; Mahama et al., 2022; Woods, 2009) exploraram as variáveis que influenciam a implementação eficaz de sistemas de gestão de risco. Os principais elementos, também avaliados na nossa pesquisa, são:

A presença de um Diretor de Riscos (CRO) qualificado;
O alinhamento das estratégias de gerenciamento de riscos com a missão e os objetivos organizacionais, assim como a integração em toda a cadeia de valor;
O envolvimento da alta gestão;
A existência de sistemas de controle formalizados com equipes especializadas;
O uso de ferramentas de Tecnologia da Informação e Comunicação (TIC); e
Políticas do governo central que promovam a gestão de riscos.

Esta pesquisa oferece uma análise empírica do estado atual da implementação da gestão de riscos em organizações públicas do Poder Executivo federal, com base na percepção de atores-chave diretamente envolvidos com a prática. Embora os resultados não permitam generalizações, eles contribuem para a literatura ao documentar práticas atuais, limitações e potencialidades observadas. Além disso, oferecem subsídios para reflexão e aprendizado organizacional, especialmente no que se refere à integração da gestão de riscos aos processos decisórios.

2. METODOLOGIA

Este estudo explorou aspectos da implementação da gestão de riscos em organizações públicas brasileiras, utilizando uma abordagem qualitativa baseada em entrevistas semiestruturadas com atores-chave e análise de documentos institucionais disponíveis nos sites das organizações, tais como a política de gestão de riscos, o relatório de gestão e a metodologia de gestão de riscos. Os participantes foram selecionados de organizações do Poder Executivo federal que apresentaram níveis mais avançados de maturidade em gestão de riscos, conforme os resultados do ciclo 2021 do Índice Integrado de Governança e Gestão Públicas (iGG), conduzido pelo Tribunal de Contas da União (TCU, 2021). Esse levantamento avaliou a governança pública de 378 organizações jurisdicionadas, incluindo práticas relacionadas ao eixo “Gerir riscos”. A seleção focou em organizações com desempenho destacado nesse eixo, com o objetivo de compreender os fatores institucionais, técnicos e culturais que contribuem para o avanço dessa prática.

Os dados foram obtidos por meio de documentos públicos e entrevistas com chefes de áreas de riscos, assessores de controle interno e representantes da alta administração, buscando entender tanto a implementação quanto as percepções e os desafios da gestão de riscos. As entrevistas, conduzidas entre dezembro de 2022 e janeiro de 2023, visaram captar insights profundos sobre as práticas atuais e as necessidades de aprimoramento. Para preservar o anonimato dos participantes e permitir a referência cruzada das falas, os entrevistados foram identificados no texto como Entrevistado 1, Entrevistado 2 e assim por diante.

O perfil das organizações participantes está descrito no Quadro 1. Todas as organizações selecionadas demonstraram desempenho acima da média nacional no componente “Gerir riscos” do iGG, o que pressupõe um contexto institucional relativamente mais propício à institucionalização da gestão de riscos.

QUADRO 1
MAPA DAS ORGANIZAÇÕES QUE PARTICIPARAM DO ESTUDO

3. RESULTADOS E DISCUSSÃO

3.1. Contexto geral das organizações pesquisadas

As unidades de gestão de riscos nas organizações estudadas são definidas como aquelas responsáveis pelo aconselhamento em riscos, treinamento, facilitação na implementação de processos de gestão de riscos e melhoria contínua dessas práticas (Barrett, 2014). Nos ministérios, essa função é geralmente desempenhada pela Assessoria Especial de Controle Interno (AECI), enquanto nas organizações da administração indireta ela se situa no quarto nível hierárquico, frequentemente dentro de diretorias que fazem parte do colegiado de governança. Os líderes dessas unidades reportam periodicamente à alta administração, embora não estejam diretamente ligados às instâncias superiores de governança.

As equipes de gestão de riscos tendem a ser pequenas e multidisciplinares, com a maioria das organizações mantendo grupos de 3 a 5 membros que trazem experiência diversificada de várias áreas da organização, facilitando a comunicação interdepartamental. Os chefes dessas unidades são tipicamente servidores públicos experientes, com mais de 20 anos de carreira, refletindo achados na literatura que correlacionam a experiência e diversidade de especializações com uma gestão de riscos mais efetiva (Bailey, 2022).

3.2. Implementação de práticas de gestão de riscos

Os diversos aspectos abordados neste tópico baseiam-se em dados coletados durante as entrevistas realizadas. Esses dados também incorporam referências históricas relevantes, destacando os desafios enfrentados ao longo do processo de implementação da gestão de riscos nas organizações. O Quadro 2 a seguir apresenta uma síntese de algumas das características mapeadas das organizações estudadas.

QUADRO 2
SÍNTESE DAS CARACTERÍSTICAS DO PROCESSO DE GESTÃO DE RISCOS DAS ORGANIZAÇÕES

Muito embora algumas das organizações já possuíssem estruturas específicas de gestão de riscos para determinados negócios da organização, o aspecto considerado para a institucionalização do processo de gestão de riscos organizacional foi a publicação da primeira Política de Gestão de Riscos (PGR). A implementação da gestão de riscos variou entre as organizações, influenciada especialmente pelo nível de maturidade do seu sistema interno de governança. Na administração indireta, onde dirigentes possuem mandatos e a estrutura de governança já existia antes de 2016, a implementação foi facilitada, como apontou um entrevistado.

Desde que algum diretor presidente, lá em 2013, viu alguma apresentação do TCU e teve o estalo [...] vamos botar isso na [organização], sem ninguém pedir; desde esse momento, toda a alta direção que passou de 2013 até hoje, todos eles patrocinam e apoiam muito a gestão de risco (Entrevistado 1).

Em contraste, nas organizações da administração direta, a ausência de estrutura de governança exigiu esforços adicionais para incluir a gestão de riscos, base essencial dos demais componentes de governança (COSO, 2017). Nos ministérios, havia o desafio de introduzir uma cultura de decisões colegiadas e de compartilhamento de riscos entre dirigentes, alinhando-se à recomendação de Barrett (2014) de envolver ministros nos processos de gestão de riscos como parte da boa governança. Os Assessores Especiais de Controle Interno (AECIs), na função de chefes da área de riscos, foram essenciais para estruturar o sistema de governança e obter o apoio da alta administração nas organizações da administração direta. Esse papel exigiu muita resiliência dos AECIs, especialmente devido à alta rotatividade de dirigentes (ministros e secretários) entre 2017 e 2022 em alguns ministérios, como relatou um entrevistado:

E em 2017, como eu falei [...] estou aqui até hoje. Eu passei com [...], acho que deve ser o sétimo ministro. Tivemos diversos ministros em pouco tempo. Quando a gente acabava de convencer da questão da importância do planejamento estratégico, aí vinha outro ministro (Entrevistado 4).

A percepção dos entrevistados sobre a elevada rotatividade de dirigentes em ministérios da administração direta entre 2017 e 2022 encontra respaldo em dados oficiais. O Quadro 3 apresenta a sequência de ministros em três ministérios estratégicos durante esse período, evidenciando que ocorreram entre seis e sete trocas em cada pasta.

QUADRO 3
ROTATIVIDADE DE MINISTROS EM TRÊS MINISTÉRIOS FEDERAIS (2017-2022)

A atuação da AECI no processo de implantação da gestão de riscos foi considerada fundamental pelo entrevistado da alta gestão de um dos ministérios, uma vez que permitiu uma integração entre os controles internos e a gestão de riscos. Segundo um entrevistado, “eu avalio como fundamental, porque a gente tem duas dimensões nesse processo: a gente tem a interferência do pessoal do planejamento e a interferência do pessoal do controle”. Essa escolha estratégica de vincular o controle de riscos ao controle interno conferiu, segundo ele, uma atuação preventiva, proporcionando segurança e um efeito psicológico ao gestor, que “se sente apoiado pelo controle interno e validado, de certa forma, na decisão que ele toma” (Entrevistado 3).

Para iniciar a gestão de riscos, algumas organizações da amostra, especialmente aquelas da administração direta, começaram seus processos de identificação pelos riscos estratégicos, pois precisavam convencer a alta administração dos benefícios diretos da gestão de riscos. Além disso, o processo começou sem nenhum sistema de TIC, tornando mais simples a operação de planilhas e ferramentas de Business Intelligence (BI) para os riscos estratégicos, que eram em menor número, em comparação com os riscos de processo. Como mencionado por um dos entrevistados:

A gente está assessorando o ministro e a gente sabe que a governança vem desse planejamento [estratégico] [...]. E ele [processo de gestão de riscos] vinculado à cadeia de valor, vinculado aos objetivos estratégicos, até porque essa foi a primeira decisão que a gente tomou também, se não a gente não daria conta (Entrevistado 4).

Outro entrevistado complementa: “Não é um cardápio muito grande, é uma característica até do risco estratégico; você tem um portfólio relativamente pequeno em relação ao risco em processo de trabalho” (Entrevistado 6).

Na etapa de avaliação dos riscos pelas unidades internas das organizações, a metodologia de autoavaliação (Self-Assessment) foi amplamente utilizada pelas organizações para a avaliação dos riscos operacionais, com treinamentos e suporte oferecidos pelas unidades de riscos. Como relatou um dos entrevistados: “A metodologia empregada para os riscos operacionais é o Self Assessment feito pelos departamentos, sob a supervisão da área de riscos” (Entrevistado 8).

A seleção de processos para avaliação de riscos variou de acordo com os recursos disponíveis e os objetivos de cada organização. Algumas começaram com processos menos complexos para facilitar a curva de aprendizado, enquanto outras focaram nos processos mais críticos, para que a informação já gerasse valor para a alta administração. Um entrevistado explicou essa escolha:

A nossa sugestão é que comece por um processo menos complexo, que é para você ter sua curva de aprendizagem. Se você começar num processo mais complexo para mostrar resultado, provavelmente você não vai mostrar resultado, você não vai chegar no final e vai se bloquear para a avaliação de risco. Aprenda primeiro o que é, para você saber o quanto você precisa de esforço, para aí sim, quando tiver sua curva de aprendizagem, você passar a ter processos mais complexos (Entrevistado 1)

No monitoramento e na comunicação dos riscos, as organizações destacaram a importância do monitoramento contínuo de indicadores-chave de riscos e da comunicação periódica com as instâncias de governança. Os processos de monitoramento variaram em frequência e detalhamento, ajustados conforme a criticidade dos riscos e as necessidades da alta gestão. Em geral, os seguintes métodos foram utilizados:

Reuniões regulares de governança: Os riscos são revisados em reuniões periódicas dos Comitês de Governança, Riscos e Controle, com frequência variando de mensal a trimestral. Nesses encontros, são apresentados mapas de riscos e planos de tratamento, com destaque para riscos extremos ou prazos críticos.
Relatórios detalhados: Relatórios de monitoramento são elaborados em diferentes periodicidades (trimestral, quadrimestral e semestral), dependendo do tipo de risco e da instância de governança envolvida. Esses relatórios ajudam a discutir e a refinar as estratégias de mitigação em andamento.
Monitoramento direcionado: Além do monitoramento regular, a área de riscos conduz avaliações frequentes ou demandadas para riscos específicos, especialmente aqueles classificados como estratégicos ou de alta severidade.
Comunicação estratégica: Informações sobre riscos são integradas nas Reuniões de Acompanhamento da Estratégia, nas quais líderes de programa discutem riscos de maior criticidade. Relatórios gerenciais são gerados para apoiar tanto os Comitês de Governança quanto os Gerenciais, que se reúnem no mínimo trimestralmente

Essa prática de comunicação formal e regular entre a área de riscos e as instâncias de governança foi destacada por Beasley et al. (2015) como característica de organizações com ERM mais maduros.

Para apoiar o processo de supervisão e monitoramento, algumas organizações destacaram a atuação dos Agentes de Riscos (AGR) e dos comitês táticos e gerenciais de gestão de riscos. Nessas organizações, cada área nomeou pelo menos um AGR, que serviu como porta de entrada nos diversos departamentos. Além disso, os comitês setoriais ajudaram os diretores a tomar decisões sobre gestão de risco em diferentes estágios do processo, desde a identificação e avaliação até o monitoramento.

Os sistemas de Tecnologia da Informação e Comunicação, embora não tenham sido considerados essenciais no início, à medida que a gestão de riscos avançou para o monitoramento e a comunicação, sua importância tornou-se evidente. Organizações sem um sistema de TIC adequado relataram dificuldades em expandir o mapeamento de riscos e monitorar planos de tratamento, além de desafios na geração de relatórios gerenciais.

Essas dificuldades corroboram as descobertas de Woods (2009), que apontam que inadequações ou limitações nos sistemas de TIC podem comprometer o acesso a informações de risco e a eficácia da gestão de riscos. Mahama et al. (2022) destacam, por exemplo, que sistemas integrados de Business Intelligence e Analytics (BIA) são fundamentais para a maturidade do ERM, permitindo análise de dados, identificação de riscos e apoio à tomada de decisão estratégica.

3.3. Percepções sobre a gestão de riscos

Esta seção buscou compreender as opiniões dos entrevistados sobre o processo de gestão de riscos em suas organizações, com foco em questões como: “Qual a sua opinião sobre a gestão de riscos da sua organização?” e “A gestão de riscos da sua organização influencia a tomada de decisão?”.

Apenas um dos entrevistados reconheceu que o processo de gestão de riscos da sua organização está integrado com os demais processos e funções organizacionais, apoiando a tomada de decisão. Segundo ele:

Do ponto de vista de riscos organizacionais, eu diria que, tanto o risco operacional quanto o risco estratégico, os processos estão estabelecidos e funcionam bem. [...] as três linhas estão bem implementadas e atuam em total sinergia. [...] toda vez que a [organização] tem uma decisão estratégica para tomar, a diretoria é sempre informada em termos de potenciais impactos (Entrevistado 8).

Por outro lado, a maioria dos entrevistados reconheceu que, embora o processo estivesse estabelecido e em funcionamento, ainda eram necessárias melhorias para integrá-lo à estratégia organizacional e garantir que apoie efetivamente a tomada de decisão. Como observou um dos participantes:

A resposta para você é não, eles não usam para tomar decisão [...]. Se tem um risco, um controle associado a isso, ele vai e informa: “Eu estou comprando isso aqui, porque eu estou executando um controle ali para reduzir um risco”. Ou, então, “Eu estou pedindo para contratar mais funcionário, porque isso aqui é um controle para reduzir um risco” (Entrevistado 9).

Essa percepção reflete que, em várias organizações, a gestão de riscos permanece fortemente vinculada às estruturas de controle interno, operando sob uma lógica predominantemente de conformidade. Essa vinculação pode limitar seu alcance estratégico, restringindo sua atuação a ações operacionais ou justificativas formais, como apontado por Bracci et al. (2022). O controle interno, ao focar na conformidade e na mitigação de falhas, tende a priorizar uma visão reativa e procedimental dos riscos, o que pode inibir abordagens mais proativas, integradas e voltadas à criação de valor público (Hinna et al., 2018; Rana et al., 2019b).

Assim, quando o sistema de gestão de riscos é absorvido pelo controle interno sem clareza de papéis e governança compartilhada, corre-se o risco de ele ser percebido como um “acessório burocrático”, esvaziando seu potencial como instrumento de suporte à decisão, aprendizagem organizacional e inovação na gestão pública. A ausência de uma articulação entre controle interno e planejamento estratégico institucional pode comprometer tanto a efetividade do sistema quanto o engajamento das lideranças com a gestão de riscos.

Esses resultados confirmam as preocupações de Rana et al. (2019a) sobre a necessidade de adotar uma perspectiva de longo prazo no setor público para que sistemas consistentes de gestão de riscos possam ser efetivamente implementados.

3.4. Direcionadores para uma gestão de riscos bem-sucedida

Para mapear quais os principais direcionadores para uma gestão de riscos bem-sucedida, duas perguntas foram feitas: “Como iniciar a gestão de riscos em uma nova organização e quais seriam as prioridades?” e “Quais elementos são importantes para o sucesso da gestão de riscos em uma organização?”. Os fatores apontados pelos entrevistados estão listados no Quadro 4 a seguir.

QUADRO 4
FATORES ESSENCIAIS PARA UMA GESTÃO DE RISCOS EFICAZ

Para iniciar o processo de gestão de riscos, os entrevistados identificaram a necessidade de algumas etapas preparatórias, como a importância de entender as demandas e missão da organização para definir como a gestão de riscos poderá agregar valor de forma estratégica. Outra etapa mencionada foi a realização de um diagnóstico prévio sobre a organização, de modo que essas informações auxiliem no desenho do projeto de implantação da gestão de riscos. Um dos entrevistados descreveu esse processo inicial como uma análise detalhada do ambiente organizacional:

Então, primeiro a gente tem que ter uma fotografia de qual é esse ambiente da organização [...]: se eu tenho mapa de processo; se eu não tenho mapa de processo. Se eu tenho planejamento estratégico; se eu não tenho planejamento estratégico. Se eu tenho análise de ambiente; se em algum momento alguém fez uma análise de ambiente. Qual é o quadro funcional que eu tenho. Terei as pessoas que eu acho que vou conseguir? (Entrevistado 1).

Na etapa de desenho do processo de implantação da gestão de riscos, os entrevistados destacaram a importância de definir uma estrutura de governança clara e de institucionalizar a gestão de riscos por meio de uma política formal. Essas percepções reforçam as conclusões de Abidin (2017), Castanheira et al. (2010) e Selim e McNamee (1999a), que indicam que um ambiente de risco mais formalizado contribui para o fortalecimento de uma cultura organizacional de consciência de risco.

Na implementação da gestão de riscos, o apoio da alta administração foi apontado como um elemento essencial por sete dos nove entrevistados, seguido pela cultura de riscos, mencionada por metade deles. Como afirmou um dos entrevistados: “Se não tiver a participação da alta administração, a coisa não anda” (Entrevistado 2). Outro entrevistado destacou: “Se a alta administração não apoiar, não vou dizer que é impossível, mas você não vai ter lastro” (Entrevistado 7). Um terceiro reforçou que o apoio da liderança era uma condição para iniciar o processo: “A gente começaria pelo estratégico para ter esse apoio da alta administração e, a partir daí, passaria para os riscos dos processos de trabalho” (Entrevistado 4). Também foi mencionada a importância de apresentar à alta gestão uma visão completa do projeto para garantir seu patrocínio: “Você tem que mostrar a fotografia completa [...]. E ganhando ali os patrocínios dentro da organização, que são fundamentais para manter um projeto desse, que é de longo prazo” (Entrevistado 8).

Assim, tendo em conta o contexto da administração pública brasileira, observa-se que o ambiente mais favorável para a gestão de riscos ocorre nas organizações da administração indireta, onde dirigentes possuem mandatos fixos e existe uma estrutura de governança consolidada. Esse cenário pode explicar, por exemplo, o maior número de entidades da administração indireta com nível de maturidade em gestão de riscos aprimorado (78 entidades), em comparação com apenas 11 órgãos da administração direta, conforme levantamento do Tribunal de Contas da União em 2021 (TCU, 2021).

Em organizações nas quais o ambiente político é volátil e a alta gestão sofre mudanças frequentes, a continuidade da gestão de riscos exige uma estrutura de governança robusta que minimize interrupções e retrocessos. Conforme observado por Vieira e Araújo (2020), embora os sistemas de gestão de riscos estejam formalmente integrados às estruturas de governança nos ministérios, sua implementação é muitas vezes descontinuada.

Para mitigar esses desafios, alguns entrevistados sugeriram o fortalecimento da cultura de riscos nas organizações públicas, apontando essa medida como uma estratégia para assegurar a continuidade da gestão de riscos mesmo em ambientes de instabilidade. Como afirmou um dos entrevistados, “o estratégico muda constantemente, mas os servidores que lidam com os processos diariamente permanecem. Se tiver na cultura da organização, o estratégico que chegar para mudar isso vai ter dificuldade porque está na cultura” (Entrevistado 5).

Por fim, ao investigar os fatores essenciais para a implementação eficaz da gestão de riscos, identificou-se o perfil de equipe considerado ideal pelos entrevistados para atuar nessa área. Embora a qualificação técnica e o conhecimento específico do negócio da organização sejam relevantes, os entrevistados destacaram, de forma unânime, a importância das habilidades interpessoais, ou soft skills. Como um dos participantes destacou, “tem que ter relacionamento interpessoal, não tem jeito. Tem que conseguir tratar com as pessoas porque em algum momento você vai precisar convencer as pessoas de que elas precisam fazer algo que elas não fazem ainda” (Entrevistado 1).

Essas competências são vistas como cruciais para profissionais em funções de suporte e supervisão na gestão de riscos, uma vez que precisam interagir com toda a organização, facilitando a mediação de conflitos e conduzindo discussões de maneira construtiva.

4. CONCLUSÕES

Nas últimas décadas, a gestão de riscos consolidou-se como um componente essencial das boas práticas de governança em nível internacional, sendo recomendada por organismos como a Organização para a Cooperação e Desenvolvimento Econômico (OCDE) (2021) e normatizada em frameworks amplamente reconhecidos, como a ISO 31000 e o COSO ERM. No Brasil, o fortalecimento da gestão de riscos no setor público ganhou impulso a partir das publicações da Instrução Normativa Conjunta MP/CGU n.º 1/2016, da Lei n.º 13.303/2016 e do Decreto n.º 9.203/2017, que estabeleceram a gestão de riscos como princípio da governança pública. Esses normativos propõem que a gestão de riscos seja integrada aos processos estratégicos e operacionais das organizações públicas, com vistas à geração e preservação de valor público.

Este estudo analisou aspectos da implementação da gestão de riscos em organizações do Poder Executivo federal brasileiro, com base em entrevistas conduzidas em seis instituições com desempenho destacado no componente “Gerir riscos” do Índice Integrado de Governança e Gestão Públicas, segundo levantamento do TCU (2021). Os achados indicam que a existência de estruturas de governança, políticas de riscos e apoio da alta administração são elementos presentes na maioria dos casos analisados, mas sua efetividade está condicionada ao grau de institucionalização e engajamento prático observado em cada organização.

As evidências sugerem que a gestão de riscos tem sido, em muitos casos, conduzida de forma formalizada, com ênfase no cumprimento de exigências normativas, mas ainda com baixa integração às decisões estratégicas. Apenas uma das organizações relatou uma articulação consistente entre a gestão de riscos e os processos decisórios. A diversidade de abordagens observadas reforça a ideia de que não há um modelo único de implementação, sendo as estratégias adaptadas às características e ao contexto institucional de cada organização.

Este estudo apresenta limitações importantes, sobretudo em relação ao número reduzido de casos e ao foco em organizações com desempenho considerado elevado em gestão de riscos, o que restringe a possibilidade de generalização dos achados. Contudo, considerando que mesmo entre essas organizações foram observadas limitações significativas na integração da gestão de riscos aos processos decisórios, é plausível supor que organizações com níveis de maturidade inferiores enfrentem desafios ainda mais relevantes.

Assim, os achados oferecem contribuições importantes para compreender as condições atuais da gestão de riscos no setor público federal e reforçam a necessidade de atenção e investimentos contínuos para o fortalecimento da gestão de riscos no setor público brasileiro. Futuras pesquisas podem ampliar essa análise, incluindo organizações com diferentes níveis de maturidade, para aprofundar a compreensão sobre os fatores que favorecem ou dificultam a consolidação da gestão de riscos como instrumento de apoio à decisão pública.

AGRADECIMENTOS

As autoras agradecem, de forma especial, aos chefes da área de riscos e membros da alta administração das organizações públicas que participaram desta pesquisa. A generosa contribuição de tempo, conhecimento e experiência dos entrevistados foi essencial para a realização do estudo e, espera-se, para o fortalecimento da gestão de riscos no setor público brasileiro. Agradecem também ao ambiente acadêmico da Faculdade de Economia da Universidade de Coimbra, que proporcionou as condições para o desenvolvimento deste trabalho. Expressam, ainda, sua gratidão aos pareceristas da Revista de Administração Pública (RAP) pelas valiosas contribuições e sugestões, que contribuíram significativamente para o aprimoramento deste artigo.

REFERÊNCIAS

Abidin, N. H. Z. (2017). Factors influencing the implementation of risk-based auditing. Asian Review of Accounting, 25(3), 361-375. https://doi.org/10.1108/ARA-10-2016-0118
» https://doi.org/10.1108/ARA-10-2016-0118
Bailey, C. (2022). The relationship between chief risk officer expertise, ERM quality, and firm performance. Journal of Accounting, Auditing & Finance, 37(1), 205-228. https://doi.org/10.1177/0148558X19850424
» https://doi.org/10.1177/0148558X19850424
Barrett, P. (2014). New development: Risk management - how to regain trust and confidence in government. Public Money & Management, 34(6), 459-464. https://doi.org/10.1080/09540962.2014.962376
» https://doi.org/10.1080/09540962.2014.962376
Beasley, M., Branson, B., & Pagach, D. (2015). An analysis of the maturity and strategic impact of investments in ERM. Journal of Accounting and Public Policy, 34(3), 219-243. https://doi.org/10.1016/j.jaccpubpol.2015.01.001
» https://doi.org/10.1016/j.jaccpubpol.2015.01.001
Bracci, E., Mouhcine, T., Rana, T., & Wickramasinghe, D. (2022). Risk management and management accounting control systems in public sector organizations: a systematic literature review. Public Money & Management, 42(6), 395-402. https://doi.org/10.1080/09540962.2021.1963071
» https://doi.org/10.1080/09540962.2021.1963071
Castanheira, N., Rodrigues, L. L., & Craig, R. (2010). Factors associated with the adoption of risk-based internal auditing. Managerial Auditing Journal, 25(1), 79-98. https://doi.org/10.1108/02686901011007315
» https://doi.org/10.1108/02686901011007315
Committee of Sponsoring Organizations of the Treadway Commission. (2017). Gerenciamento de Riscos Corporativos: Integrado com Estratégia e Performance: Sumário Executivo IIA Brasil. https://iiabrasil.org.br/korbilload/upl/editorHTML/uploadDireto/sumariocosoerm-editorHTML00000001-19022018164126.pdf
» https://iiabrasil.org.br/korbilload/upl/editorHTML/uploadDireto/sumariocosoerm-editorHTML00000001-19022018164126.pdf
Hinna, A., Scarozza, D., & Rotundi, F. (2018). Implementing risk management in the Italian public sector: Hybridization between old and new practices. International Journal of Public Administration, 41(2), 110-128. https://doi.org/10.1080/01900692.2016.1255959
» https://doi.org/10.1080/01900692.2016.1255959
International Organization for Standardization. (2018). International Standard ISO 31000:2018(E) Risk management - Guidelines ISO.
Mahama, H., Elbashir, M., Sutton, S., & Arnold, V. (2022). Enabling enterprise risk management maturity in public sector organizations. Public Money & Management, 42(6), 403-407. https://doi.org/10.1080/09540962.2020.1769314
» https://doi.org/10.1080/09540962.2020.1769314
Organização para a Cooperação e Desenvolvimento Econômico. (2021). Combate a cartéis em licitações no Brasil: Uma revisão das compras públicas federais https://www.oecd.org/competition/fighting-bid-rigging-in-brazil-a-review-of-federal-public-procurement.htm
» https://www.oecd.org/competition/fighting-bid-rigging-in-brazil-a-review-of-federal-public-procurement.htm
Organisation for Economic Cooperation and Development. (2012). OECD Integrity Review of Brazil OECD Publishing. https://doi.org/10.1787/9789264119321-en
» https://doi.org/10.1787/9789264119321-en
Rana, T., Hoque, Z., & Jacobs, K. (2019a). Public sector reform implications for performance measurement and risk management practice: insights from Australia. Public Money & Management, 39(1), 37-45. https://doi.org/10.1080/09540962.2017.1407128
» https://doi.org/10.1080/09540962.2017.1407128
Rana, T., Wickramasinghe, D., & Bracci, E. (2019b). New development: Integrating risk management in management control systems - lessons for public sector managers. Public Money & Management, 39(2), 148-151. https://doi.org/10.1080/09540962.2019.1580921
» https://doi.org/10.1080/09540962.2019.1580921
Selim, G., & McNamee, D. (1999). Risk Management and Internal Auditing: What are the Essential Building Blocks for a Successful Paradigm Change? International Journal of Auditing, 3(2), 147-155. https://doi.org/10.1111/1099-1123.00055
» https://doi.org/10.1111/1099-1123.00055
Souza, F. S. R. N., Braga, M. V. A., Cunha, A. S. M., & Sales, P. D. B. (2020). Incorporação de modelos internacionais de gerenciamento de riscos na normativa federal. Revista de Administração Pública, 54(1), 59-78. https://doi.org/10.1590/0034-761220180117
» https://doi.org/10.1590/0034-761220180117
Tribunal de Contas da União. (2018). Referencial Básico de Gestão de Riscos Secretaria Geral de Controle Externo (Segecex). https://portal.tcu.gov.br/data/files/21/96/61/6E/05A1F6107AD96FE6F18818A8/Referencial_basico_gestao_riscos.pdf
» https://portal.tcu.gov.br/data/files/21/96/61/6E/05A1F6107AD96FE6F18818A8/Referencial_basico_gestao_riscos.pdf
Tribunal de Contas da União. (2021). Perfil Integrado de Governança Organizacional e Gestão Públicas - 2021 https://portal.tcu.gov.br/lumis/portal/file/fileDownload.jsp?fileId=8A81881E7BE7E47C017C0DA388291F10
» https://portal.tcu.gov.br/lumis/portal/file/fileDownload.jsp?fileId=8A81881E7BE7E47C017C0DA388291F10
Vieira, J. B., & Araújo, A. B. (2020). Risk management in the Brazilian Federal Government: a ministerial analysis. Revista do Serviço Público, 71, 404-437. https://doi.org/10.21874/rsp.v71ic.4466
» https://doi.org/10.21874/rsp.v71ic.4466
Woods, M. (2009). A contingency theory perspective on the risk management control system within Birmingham City Council. Management Accounting Research, 20(1), 69-81. https://doi.org/https://doi.org/10.1016/j.mar.2008.10.003
» https://doi.org/10.1016/j.mar.2008.10.003

disponibilidade de dados
O conjunto de dados que dá suporte aos resultados deste estudo não está disponível publicamente.
Pareceristas:
James Batista Vieira (Universidade Federal da Paraíba, João Pessoa / PB - Brasil) https://orcid.org/0000-0002-3564-3677
Pareceristas:
Marcus Vinícius de Azevedo Braga (Ministério da Transparência e Controladoria-Geral da União, Rio de Janeiro / RJ - Brasil) https://orcid.org/0000-0002-7399-0952
Relatório de revisão por pares:
O relatório de revisão por pares está disponível neste link
7
https://periodicos.fgv.br/rap/article/view/94495/88065

Editado por

Editora-chefe:
Alketa Peci (Fundação Getulio Vargas, Rio de Janeiro / RJ - Brasil) https://orcid.org/0000-0002-0488-1744

Editora-adjunta:
Gabriela Spanghero Lotta (Fundação Getulio Vargas, São Paulo / SP - Brasil) https://orcid.org/0000-0003-2801-1628

Disponibilidade de dados

O conjunto de dados que dá suporte aos resultados deste estudo não está disponível publicamente.

Datas de Publicação

Publicação nesta coleção
05 Dez 2025
Data do Fascículo
2025

Histórico

Recebido
22 Nov 2024
Aceito
29 Maio 2025

Este é um artigo publicado em acesso aberto sob uma licença Creative Commons

[1] Abidin, N. H. Z. (2017). Factors influencing the implementation of risk-based auditing. Asian Review of Accounting, 25(3), 361-375. https://doi.org/10.1108/ARA-10-2016-0118
» https://doi.org/10.1108/ARA-10-2016-0118

[2] Bailey, C. (2022). The relationship between chief risk officer expertise, ERM quality, and firm performance. Journal of Accounting, Auditing & Finance, 37(1), 205-228. https://doi.org/10.1177/0148558X19850424
» https://doi.org/10.1177/0148558X19850424

[3] Barrett, P. (2014). New development: Risk management - how to regain trust and confidence in government. Public Money & Management, 34(6), 459-464. https://doi.org/10.1080/09540962.2014.962376
» https://doi.org/10.1080/09540962.2014.962376

[4] Beasley, M., Branson, B., & Pagach, D. (2015). An analysis of the maturity and strategic impact of investments in ERM. Journal of Accounting and Public Policy, 34(3), 219-243. https://doi.org/10.1016/j.jaccpubpol.2015.01.001
» https://doi.org/10.1016/j.jaccpubpol.2015.01.001

[5] Bracci, E., Mouhcine, T., Rana, T., & Wickramasinghe, D. (2022). Risk management and management accounting control systems in public sector organizations: a systematic literature review. Public Money & Management, 42(6), 395-402. https://doi.org/10.1080/09540962.2021.1963071
» https://doi.org/10.1080/09540962.2021.1963071

[6] Castanheira, N., Rodrigues, L. L., & Craig, R. (2010). Factors associated with the adoption of risk-based internal auditing. Managerial Auditing Journal, 25(1), 79-98. https://doi.org/10.1108/02686901011007315
» https://doi.org/10.1108/02686901011007315

[7] Committee of Sponsoring Organizations of the Treadway Commission. (2017). Gerenciamento de Riscos Corporativos: Integrado com Estratégia e Performance: Sumário Executivo IIA Brasil. https://iiabrasil.org.br/korbilload/upl/editorHTML/uploadDireto/sumariocosoerm-editorHTML00000001-19022018164126.pdf
» https://iiabrasil.org.br/korbilload/upl/editorHTML/uploadDireto/sumariocosoerm-editorHTML00000001-19022018164126.pdf

[8] Hinna, A., Scarozza, D., & Rotundi, F. (2018). Implementing risk management in the Italian public sector: Hybridization between old and new practices. International Journal of Public Administration, 41(2), 110-128. https://doi.org/10.1080/01900692.2016.1255959
» https://doi.org/10.1080/01900692.2016.1255959

[9] International Organization for Standardization. (2018). International Standard ISO 31000:2018(E) Risk management - Guidelines ISO.

[10] Mahama, H., Elbashir, M., Sutton, S., & Arnold, V. (2022). Enabling enterprise risk management maturity in public sector organizations. Public Money & Management, 42(6), 403-407. https://doi.org/10.1080/09540962.2020.1769314
» https://doi.org/10.1080/09540962.2020.1769314

[11] Organização para a Cooperação e Desenvolvimento Econômico. (2021). Combate a cartéis em licitações no Brasil: Uma revisão das compras públicas federais https://www.oecd.org/competition/fighting-bid-rigging-in-brazil-a-review-of-federal-public-procurement.htm
» https://www.oecd.org/competition/fighting-bid-rigging-in-brazil-a-review-of-federal-public-procurement.htm

[12] Organisation for Economic Cooperation and Development. (2012). OECD Integrity Review of Brazil OECD Publishing. https://doi.org/10.1787/9789264119321-en
» https://doi.org/10.1787/9789264119321-en

[13] Rana, T., Hoque, Z., & Jacobs, K. (2019a). Public sector reform implications for performance measurement and risk management practice: insights from Australia. Public Money & Management, 39(1), 37-45. https://doi.org/10.1080/09540962.2017.1407128
» https://doi.org/10.1080/09540962.2017.1407128

[14] Rana, T., Wickramasinghe, D., & Bracci, E. (2019b). New development: Integrating risk management in management control systems - lessons for public sector managers. Public Money & Management, 39(2), 148-151. https://doi.org/10.1080/09540962.2019.1580921
» https://doi.org/10.1080/09540962.2019.1580921

[15] Selim, G., & McNamee, D. (1999). Risk Management and Internal Auditing: What are the Essential Building Blocks for a Successful Paradigm Change? International Journal of Auditing, 3(2), 147-155. https://doi.org/10.1111/1099-1123.00055
» https://doi.org/10.1111/1099-1123.00055

[16] Souza, F. S. R. N., Braga, M. V. A., Cunha, A. S. M., & Sales, P. D. B. (2020). Incorporação de modelos internacionais de gerenciamento de riscos na normativa federal. Revista de Administração Pública, 54(1), 59-78. https://doi.org/10.1590/0034-761220180117
» https://doi.org/10.1590/0034-761220180117

[17] Tribunal de Contas da União. (2018). Referencial Básico de Gestão de Riscos Secretaria Geral de Controle Externo (Segecex). https://portal.tcu.gov.br/data/files/21/96/61/6E/05A1F6107AD96FE6F18818A8/Referencial_basico_gestao_riscos.pdf
» https://portal.tcu.gov.br/data/files/21/96/61/6E/05A1F6107AD96FE6F18818A8/Referencial_basico_gestao_riscos.pdf

[18] Tribunal de Contas da União. (2021). Perfil Integrado de Governança Organizacional e Gestão Públicas - 2021 https://portal.tcu.gov.br/lumis/portal/file/fileDownload.jsp?fileId=8A81881E7BE7E47C017C0DA388291F10
» https://portal.tcu.gov.br/lumis/portal/file/fileDownload.jsp?fileId=8A81881E7BE7E47C017C0DA388291F10

[19] Vieira, J. B., & Araújo, A. B. (2020). Risk management in the Brazilian Federal Government: a ministerial analysis. Revista do Serviço Público, 71, 404-437. https://doi.org/10.21874/rsp.v71ic.4466
» https://doi.org/10.21874/rsp.v71ic.4466

[20] Woods, M. (2009). A contingency theory perspective on the risk management control system within Birmingham City Council. Management Accounting Research, 20(1), 69-81. https://doi.org/https://doi.org/10.1016/j.mar.2008.10.003
» https://doi.org/10.1016/j.mar.2008.10.003