Gestão de Riscos de Compliance

Renor Ribeiro, Ph.D

Como citar esse artigo: 

RIBEIRO, Renor Antonio Antunes. Gestão de risco de compliance. Cegesp (2025).

Introdução

Bem-vindos à nossa aula sobre Gestão de Riscos de Compliance no Setor Público! Em um cenário onde a transparência e a integridade são cada vez mais exigidas, é fundamental que as instituições públicas desenvolvam mecanismos eficazes para prevenir desvios e garantir a conformidade com as leis e regulamentos. Esta aula visa desmistificar o processo de gestão de riscos de compliance, mostrando como ele é essencial para a proteção dos recursos públicos e a promoção da confiança da sociedade.

Vamos explorar juntos os conceitos de risco, as etapas para identificá-los, analisá-los e tratá-los, além de entender a relação intrínseca entre a gestão de riscos, a estrutura de compliance e os controles internos, com exemplos práticos voltados à realidade do serviço público.

--------------------------------------------------------------------------------

1. Compreendendo o Risco no Setor Público

Para iniciarmos, é essencial entender o que são os riscos no contexto do setor público.

O que é Risco? Riscos podem ser definidos como os efeitos que causam incerteza ou imprevisibilidade para os processos de gestão, sejam eles internos ou externos. Caso não sejam geridos corretamente, esses efeitos de incerteza podem trazer prejuízos. Em outras palavras, riscos são ameaças aos valores de uma organização, podendo ser de natureza econômica, reputacional, legal, regulatória, de mercado ou operacional. No setor público, esses valores estão diretamente ligados à eficiência dos serviços, à boa aplicação dos recursos e à confiança da população.

Os fatores de risco são eventos que podem desencadear a materialização de um risco. Por exemplo, a interação de servidores com empresas em processos de contratação pode ser um fator que materializa o risco de corrupção.

Gestão de Riscos vs. Compliance: Uma Dupla Estratégica Embora sejam conceitos distintos, a gestão de riscos e o compliance são complementares e devem ser usados em conjunto.

  • A Gestão de Riscos é uma prática preditiva que busca prevenir erros dentro da organização, olhando para os processos com um olhar de antecipação. Sua função principal é gerir os riscos, mensurando e combatendo-os antes que causem prejuízos.
  • O Compliance (do inglês "to comply", que significa obedecer, cumprir e consentir) é uma prática prescritiva, mais voltada à conformidade com as normas internas e as leis externas. Ele busca garantir que a organização esteja atuando de acordo com as diretrizes jurídicas, sem esquecer dos valores e missão da instituição.

Ambas as práticas têm um objetivo comum: reduzir os prejuízos da organização. Enquanto a gestão de riscos neutraliza os efeitos de incertezas internas e externas, o compliance busca evitar e corrigir atividades corruptas e antiéticas, mantendo a integridade da entidade. A união dessas áreas promove transparência, controle de processos e maturidade, protegendo ativos e potencializando o uso de recursos públicos.

Exemplos de Riscos no Setor Público:

  • Corrupção e Fraude: Desvios de verbas, licitações fraudulentas, pagamentos indevidos. A Lei Anticorrupção (Lei nº 12.826/13) aborda essas condutas.
  • Irregularidades Trabalhistas: Condições inadequadas de trabalho, falhas em contratações ou demissões (no caso de celetistas), desrespeito à jornada ou remuneração.
  • Vazamento de Dados Pessoais: Falha na proteção de informações de cidadãos, servidores ou fornecedores, conforme a Lei Geral de Proteção de Dados (LGPD).
  • Impactos Socioambientais: Desastres ou danos ao meio ambiente decorrentes de projetos ou atividades públicas, regulados por leis como a Lei de Crimes Ambientais (Lei nº 9.605/1998) e a Política Nacional do Meio Ambiente (Lei nº 6.938/1981).
  • Conflitos de Interesse: Situações em que interesses pessoais de servidores podem influenciar decisões em favor próprio ou de terceiros.

Pergunta de Fixação 1: Qual a principal diferença entre Gestão de Riscos e Compliance e como eles podem atuar juntos no setor público?

--------------------------------------------------------------------------------

2. Identificação de Riscos: O Primeiro Passo

A identificação de riscos é a etapa inicial e fundamental para estruturar um programa de compliance eficaz. Ela permite mapear os riscos potenciais que podem comprometer a integridade de uma instituição pública.

Como fazer a Identificação de Riscos:

  1. Conheça a Sua Organização (Entidade Pública): É indispensável fazer uma imersão para conhecer a cultura, história, o que pensa a liderança, o que a entidade faz (e como o faz), qual o perfil dos servidores, cidadãos, fornecedores, quais riscos já se materializaram e qual o histórico de casos (ex: ouvidoria, denúncias).
  2. Conheça a Sua Jurisdição (Base Legal): Avalie as normas às quais a sua organização está submetida e às quais precisa demonstrar atendimento. Isso inclui:
  • Leis e Decretos Específicos do Setor Público: Como a Lei Anticorrupção (Lei nº 12.846/13) e seu regulamento (Decreto nº 8.420/15), que estabelece a análise periódica de riscos como requisito de validade e eficácia de um Programa de Integridade.
  • Lei Geral de Proteção de Dados (LGPD): Crucial para o tratamento de dados pessoais de cidadãos e servidores.
  • Legislação Ambiental: Se a entidade lida com projetos ou atividades de impacto ambiental (ex: construção, licenciamento).
  • Normas Internas: Como o Código de Ética e os manuais de procedimento da própria instituição.
  1. Monte a Grade de Riscos e Fatores de Risco: Compile as fontes legais e internas para verificar os riscos e fatores de risco convergentes. Identifique os "process owners" (servidores responsáveis por processos) das diversas áreas da entidade e relacione-os com os fatores de risco aos quais estão expostos.

Exemplos no Setor Público:

  • Risco: Desvio de verbas em contratos públicos.
    • Fator de Risco: Servidor com poder de decisão em licitações interagindo com representantes de empresas fornecedoras.
  • Risco: Vazamento de dados de saúde de cidadãos.
    • Fator de Risco: Ausência de controle de acesso a sistemas com informações sensíveis ou falta de treinamento sobre LGPD para os servidores.
  • Risco: Dano ambiental em obra pública.
    • Fator de Risco: Ausência de licenciamento ambiental adequado ou fiscalização insuficiente da execução da obra.

Pergunta de Fixação 2: Por que o conhecimento da legislação e das normas internas é essencial na fase de identificação de riscos em uma entidade pública?

--------------------------------------------------------------------------------

3. Análise de Riscos: Medindo a Incerteza

Após identificar os riscos, o próximo passo é analisá-los para entender sua probabilidade de ocorrência e o impacto potencial na instituição. Essa análise permite priorizar as ações e desenvolver controles mais eficazes.

Ferramentas Essenciais:

  1. Matriz de Impacto e Probabilidade: Essa matriz ajuda a classificar os riscos de forma quantitativa e qualitativa.
  • Avaliação de Impacto: Defina categorias de impacto com base na realidade da sua entidade pública.
  • Exemplo de Classificação de Impacto Potencial (adaptado ao Setor Público):
  1. Insignificante: Aplicação de sanções de baixa relevância, sem impacto midiático nem de imagem. Impacto financeiro irrelevante (até 0,5% do orçamento).
  2. Leve: Causa incômodo, sem efeitos perenes. Aplicação de sanções, com pequena a média menção midiática. Compromete até 5% do orçamento.
  3. Moderado: Gera preocupação com o andamento do serviço público. Aplicação de sanções relevantes, com menção midiática e danos à imagem causando empecilhos à concretização de projetos/serviços.
  4. Severo: Suspensão temporária de participação em convênios ou editais; impedimento de contratar com órgãos públicos; menção midiática recorrente, com dano à reputação que dificulta ou impede a prestação de serviços essenciais. Prejuízo de até 30% do custo de manutenção das atividades em pelo menos 2 exercícios.
  5. Catastrófico: Compromete significativamente a continuidade da entidade. Declaração de inidoneidade; perda de inúmeras oportunidades; condenação criminal de algum servidor envolvido. Prejuízo superior a 40% do custo de manutenção das atividades.
  • Avaliação de Probabilidade: Classifique a chance de materialização do risco.
  • Exemplo de Classificação de Probabilidade de Ocorrência:
  1. Muito Baixa: Quase nula (Ex: 1 em 100 mil ocorrências).
  2. Baixa: Remota (Ex: 1 em 10 mil ocorrências).
  3. Média: Depende da ocorrência concomitante de fatores possíveis ou prováveis (Ex: 1 em 1 mil ocorrências).
  4. Alta: Possível (Ex: 1 em 100 ocorrências).
  5. Muito Alta: Provável (Ex: 1 em 10 ocorrências).
  1. É crucial que essa classificação seja discutida e alinhada com a alta liderança da instituição para que as métricas sejam oficialmente adotadas.
  2. Mapa de Calor (Heat Map): O mapa de calor é uma representação visual que ajuda a entender a exposição da entidade aos riscos. Você irá posicionar cada risco (numerado) em um gráfico onde o eixo X representa o Impacto e o eixo Y a Probabilidade.
  • Risco Inerente: Avalie o impacto e a probabilidade de cada fator de risco desconsiderando todos os controles mitigatórios já existentes. Situe visualmente a numeração de cada fator de risco no gráfico de Risco Inerente. Isso dará uma visão da exposição natural da entidade ao risco.
  • Risco Residual (ou atual): Após as entrevistas com os "process owners", classifique o impacto e a probabilidade de cada risco considerando as medidas e controles mitigatórios atualmente em prática. Situe visualmente a numeração de cada fator de risco em um novo gráfico.
  • Risco Alvo (ou desejável): Com base nos planos de ação definidos para tratar os riscos, crie uma matriz que represente o impacto e a probabilidade desejáveis para cada risco após a conclusão dessas ações.
  • Ao colocar as três matrizes lado a lado (Inerente, Residual e Desejável), você terá uma visualização clara do status atual dos riscos de compliance e para onde a organização se moverá com as ações planejadas.

Exemplo Aplicado: Risco de Vazamento de Dados de Cidadãos

  • Identificação: Dados pessoais de saúde de cidadãos são coletados e armazenados em um sistema sem criptografia e acesso restrito.
  • Análise (Risco Inerente):
  • Impacto: Catastrófico (multas da LGPD, perda de reputação da instituição, perda de confiança da população, ações judiciais por danos morais).
  • Probabilidade: Muito Alta (sistema vulnerável, falta de controle de acesso, ausência de treinamentos).
  • Resultado no Mapa de Calor Inerente: Quadrante vermelho (alto impacto, alta probabilidade).

Pergunta de Fixação 3: Como a Matriz de Impacto e Probabilidade e o Mapa de Calor ajudam a entidade pública a visualizar e priorizar seus riscos de compliance?

--------------------------------------------------------------------------------

4. Tratamento de Riscos: Ações para Mitigar

Depois de identificar e analisar os riscos, o próximo passo é definir as estratégias para tratá-los. O objetivo é neutralizar os efeitos de incerteza e corrigir possíveis falhas. As medidas precisam ser proporcionais aos riscos, evitando gastos excessivos para problemas que podem ser minimamente convivíveis.

Formas de Tratamento de Riscos:

  1. Evitar: Consiste em interromper a atividade que materializa o fator de risco analisado. É uma estratégia para riscos muito acentuados e de difícil ou indesejável mitigação.
  • Exemplo no Setor Público: Uma determinada política pública que envolve altíssimo risco de corrupção ou fraude, com poucos mecanismos de controle viáveis, pode ser descontinuada ou reestruturada para eliminar o risco na sua origem.
  1. Reduzir: É a estratégia mais comum. Envolve a implementação de ações e medidas para diminuir o impacto e/ou a probabilidade de o risco se materializar. Isso resulta em um plano de ação acordado entre os responsáveis pelas áreas (process owners) e a equipe de compliance.
  • Exemplo no Setor Público: Para o risco de vazamento de dados de cidadãos, as ações podem incluir:
  • Implementar criptografia nos bancos de dados.
  • Restringir o acesso a informações sensíveis apenas a servidores autorizados.
  • Realizar treinamentos periódicos sobre LGPD para toda a equipe.
  • Desenvolver políticas de segurança da informação.
  1. Transferir / Compartilhar: Ocorre quando o meio de mitigação é a transferência ou o compartilhamento do risco com terceiros.
  • Exemplo no Setor Público: A contratação de um seguro de responsabilidade civil para cobrir possíveis danos a cidadãos decorrentes de falhas em serviços públicos, ou a terceirização de um serviço de segurança para transporte de valores.
  1. Aceitar: Essa estratégia é adotada quando a classificação de um risco na matriz de Risco Residual já se encontra em padrões desejáveis ou aceitáveis, ou quando as ações de mitigação identificadas não são viáveis ou recomendáveis em termos de custo-benefício.
  • Exemplo no Setor Público: Um risco de baixa probabilidade e impacto insignificante (como pequenos atrasos em respostas a e-mails não urgentes), cujo custo para mitigá-lo totalmente seria desproporcional ao benefício, pode ser aceito, desde que monitorado.

Ao final do tratamento, o objetivo é que o risco passe do Risco Residual para o Risco Alvo/Desejável na sua matriz de mapa de calor. É crucial que todo o processo seja documentado, registrando atas de reuniões, avanços e evidências do cumprimento do plano de ação.

Pergunta de Fixação 4: Dê um exemplo de como a estratégia de "reduzir" riscos poderia ser aplicada a uma situação de licitação no setor público.

--------------------------------------------------------------------------------

5. Gestão de Riscos, Compliance e Controles Internos: Uma Relação Fundamental

A gestão de riscos é um pilar central de um programa de compliance eficaz. Não existe conformidade sem um mapeamento de riscos de compliance (CRA) adequado. Um programa de compliance bem estruturado e eficiente no setor público é crucial para garantir o cumprimento da legislação, promover uma cultura de integridade e assegurar a sustentabilidade das operações.

Pilares de um Programa de Compliance e sua Relação com a Gestão de Riscos no Setor Público:

  1. Suporte da Alta Administração: O sucesso de um programa de compliance depende do envolvimento direto e comprometimento dos executivos e líderes da instituição pública. Eles devem dar o exemplo de boas condutas e participar ativamente da construção e execução do programa.
  2. Implementação de um Código de Conduta e Políticas de Compliance: O Código de Conduta estabelece os valores e princípios éticos da instituição, orientando o comportamento dos servidores. Políticas claras devem ser estabelecidas, cobrindo áreas como:
  • Política de Conflito de Interesses: Define como identificar e gerenciar situações onde interesses pessoais podem interferir nas decisões profissionais.
  • Política Anticorrupção e Antissuborno: Regras para evitar práticas de suborno e corrupção, protegendo a instituição de sanções legais e danos à reputação.
  • Política de Uso de Canais de Denúncia: Estabelece como servidores podem relatar irregularidades de forma segura e confidencial.
  • Política de Saúde e Segurança no Trabalho: Práticas para manter um ambiente de trabalho seguro.
  • Política de Gestão de Fornecedores: Critérios para seleção, avaliação e gestão de empresas parceiras.
  • Política de Conformidade Financeira: Garante a gestão adequada das finanças e o cumprimento das obrigações fiscais.
  1. Aplicação de Controles Internos: Controles internos são mecanismos que garantem que as atividades da instituição estejam alinhadas com as políticas de compliance. Eles ajudam a garantir que todos os processos estejam sendo seguidos corretamente e que possíveis erros ou fraudes sejam identificados rapidamente. No setor público, isso inclui auditorias de caixa, controle de bens, e registro claro de todas as transações financeiras e operacionais. Esses controles devem ser revisados regularmente para evitar brechas.
  2. Treinamento e Comunicação: A cultura de compliance deve ser disseminada por toda a organização pública. Treinamentos regulares, adaptados a cada departamento, são fundamentais para que todos os servidores entendam suas responsabilidades. A comunicação interna deve ser clara e contínua, destacando a importância do compliance.
  • Exemplo: Workshops sobre a LGPD para servidores que lidam com dados de cidadãos.
  1. Canais de Denúncia Funcionais: Canais de denúncia confiáveis são essenciais para identificar e tratar violações. Devem ser seguros, garantir o anonimato e a proteção dos denunciantes, com políticas de não retaliação.
  • Exemplo: Um e-mail específico da ouvidoria, uma caixa de sugestões anônima ou um portal online para reportar irregularidades.
  1. Agilidade e Assertividade nas Investigações Internas: Ao receber uma denúncia, a entidade pública deve agir com agilidade, conduzindo investigações transparentes e justas, respeitando os direitos dos envolvidos e aplicando medidas corretivas quando necessário.
  2. Due Diligence: Processo contínuo para garantir que a instituição esteja trabalhando com parceiros e fornecedores que compartilham dos mesmos valores éticos. Antes de firmar convênios ou contratos, é essencial avaliar o histórico e a reputação das partes envolvidas, minimizando riscos de envolvimento em práticas antiéticas.
  3. Auditorias e Monitoramento Contínuo: Para garantir que o programa de compliance esteja funcionando, são necessárias auditorias e monitoramentos constantes. Isso verifica se todos os pilares estão sendo cumpridos e se há necessidade de ajustes ou melhorias. O sucesso pode ser medido pela taxa de conformidade, eficácia na gestão de denúncias e impacto na reputação da instituição. É importante definir Indicadores de Desempenho (KPIs), como o número de multas evitadas ou a frequência de uso dos canais de denúncia.
  4. Atualização da Legislação: Manter-se atualizado sobre as mudanças na legislação é crucial para a adaptação do programa de compliance. Isso pode ser feito acompanhando portais oficiais, associações de classe, newsletters jurídicas, webinars e até consultorias pontuais.
  5. Diversidade e Inclusão: A valorização da diversidade de ideias, experiências e perfis dentro da instituição fortalece o ambiente de trabalho e promove a igualdade de oportunidades, contribuindo para um programa de compliance de sucesso.

Pergunta de Fixação 5: Cite três pilares de um programa de compliance e explique brevemente sua importância para uma instituição pública.

--------------------------------------------------------------------------------

Conclusão

A Gestão de Riscos de Compliance no Setor Público, embora complexa, não é um "bicho-papão". É um investimento estratégico e contínuo na sustentabilidade e credibilidade da instituição. Ao implementar e manter um programa robusto, as entidades públicas não apenas evitam sanções e prejuízos, mas também fortalecem sua imagem, promovem um ambiente de trabalho mais ético e seguro, e, mais importante, garantem que o serviço público seja prestado com a máxima integridade e responsabilidade para a sociedade. A colaboração de todos os servidores, do mais alto escalão aos demais, é fundamental para o sucesso dessa jornada.

--------------------------------------------------------------------------------

Referências

AMBISIS. O que é compliance ambiental e como aplicá-lo na sua empresa? [s.d.]. Disponível em: https://www.ambisis.com.br/blog/o-que-e-compliance-ambiental/. Acesso em: 26 de jul. 2025.

CLICKCOMPLIANCE. Quais os principais desafios de um programa de compliance. Autora: Helen Lugarinho. Atualizado em: 22 maio 2025. Disponível em: https://www.clickcompliance.com.br/blog/principais-desafios-programa-compliance/. Acesso em: 26 de jul. 2025.

KRONOOS. Conheça o melhor software para compliance. Autor: Alexandre Pegoraro. Publicado em: 27 ago. 2024. Disponível em: https://kronoos.com/blog/conheca-o-melhor-software-para-compliance/. Acesso em: 26 de jul. 2025.

LEC. Compliance e LGPD — Qual a Relação?. Autoria: Redação LEC. Publicado em: 1 mar. 2022. Disponível em: https://www.lec.com.br/blog/compliance-lgpd/. Acesso em: 26 de jul. 2025.

LEC. Compliance Trabalhista — O que é e Como se Preparar? Autoria: Redação LEC. Publicado em: 19 jun. 2023. Disponível em: https://www.lec.com.br/blog/compliance-trabalhista/. Acesso em: 26 de jul. 2025.

LEC. O que é ISO 37301 e Qual Seu Papel na Gestão de Riscos. Autoria: Redação LEC. Publicado em: 20 maio 2024. Disponível em: https://www.lec.com.br/blog/iso-37301/. Acesso em: 26 de jul. 2025.

LEC. Passo a Passo Para Estruturar Um programa de Compliance de Sucesso. Autoria: Redação LEC. Publicado em: 30 set. 2024. Disponível em: https://www.lec.com.br/blog/passo-a-passo-para-estruturar-um-programa-de-compliance-de-sucesso/. Acesso em: 26 de jul. 2025.

MPSP. RISK ASSESSMENT. Autor: Bruno Pires Bandarovsky. [s.d.]. Disponível em: https://www.mpsp.mp.br/portal/page/portal/Escola_Superior_e_Centro_de_Aperfeicoamento_Funcional/ebooks/risk_assessment.pdf. Acesso em: 26 de jul. 2025.

PÓS PUCPR DIGITAL. A diferença entre gestão de riscos e compliance. Publicado em: 17 out. 2022. Disponível em: https://digital.pucpr.br/blog/diferenca-entre-gestao-de-riscos-e-compliance/. Acesso em: 26 de jul. 2025.

UNIARA. GUIA PRÁTICO DE COMPLIANCE PARA MPES: ESTRUTURAÇÃO E PREVENÇÃO DE CONFLITOS. Autores: Alexandre Eli Alves; Aline Ouriques Freire Fernandes. Araraquara, out. 2021. Disponível em: https://www.uniara.com.br/public/arquivos/guia-pratico-de-compliance-para-mpes-estruturacao-e-prevencao-de-conflitos.pdf. Acesso em: 26 de jul. 2025.