Prezados gestores públicos,

Sejam muito bem-vindos a esta aula aprofundada sobre a gestão de riscos, com foco especial na fase de planejamento e no tratamento de riscos. No contexto da administração pública, a gestão de riscos consiste em atividades coordenadas para dirigir e controlar uma organização no que diz respeito ao risco. Ela envolve a aplicação sistemática de políticas, procedimentos e práticas para a comunicação, consulta, estabelecimento do contexto, e na identificação, análise, avaliação, tratamento, monitoramento e análise crítica dos riscos.

Um risco, por definição, é o efeito da incerteza nos objetivos a serem atingidos pela instituição, ou uma incerteza (positiva ou negativa) que, se ocorrer, afetará pelo menos um objetivo do projeto. Projetos, especialmente no setor público, não existem sem riscos. Gerenciar esses riscos proativamente é crucial para o sucesso e a eficiência das iniciativas governamentais. Gerentes de projetos bem-sucedidos reconhecem a importância do gerenciamento de riscos, pois ao planejar eventos inesperados, a equipe se mostra pronta para responder às ameaças e oportunidades quando surgirem.

Objetivos do Tratamento de Riscos:

O tratamento dos riscos é a etapa do processo de gestão de riscos que consiste em selecionar e implementar opções para abordar os riscos identificados, analisados e avaliados. O objetivo principal é modificar o risco. O planejamento das respostas aos riscos é uma das boas práticas no gerenciamento de riscos de projetos. A gestão de riscos visa aumentar a probabilidade e o impacto dos eventos positivos e diminuir a probabilidade e o impacto dos eventos adversos. As ações de tratamento são medidas ou controles que modificam o risco.

Relação com a Economicidade e Continuidade do Contrato/Projeto:

No setor público, a economicidade e a continuidade são pilares da boa gestão. O tratamento de riscos na fase de planejamento está diretamente ligado a esses princípios:

• Economicidade: Estratégias eficazes de gestão de riscos de projetos permitem que a organização maximize os lucros e minimize as despesas com atividades que não geram retorno do investimento. Ao identificar e tratar os riscos antecipadamente, a administração pública pode evitar custos inesperados, atrasos e retrabalhos que impactam o orçamento. A escolha das opções de tratamento deve considerar fatores como esforço, custo e benefícios para a implementação.

• Continuidade do Contrato/Projeto: Um plano de gestão de riscos eficaz permite abordar possíveis riscos durante o ciclo de vida do projeto e atenuá-los para manter o projeto em dia, dentro do orçamento e do prazo. Isso garante que os objetivos do projeto sejam alcançados, assegurando a entrega dos produtos ou serviços à sociedade sem interrupções significativas. A falta de estratégias de gerenciamento de riscos expõe os projetos a problemas e os torna vulneráveis. A gestão de riscos, especialmente na fase de planejamento, é útil para diminuir as "lacunas" de desentendimento e antecipar problemas e defeitos que podem se tornar mais caros nas fases posteriores.

Portanto, um tratamento de riscos bem executado na fase de planejamento não é apenas uma boa prática, mas uma necessidade estratégica para a conformidade, a eficiência e a entrega de valor à população.

--------------------------------------------------------------------------------

Conceitos Fundamentais da Gestão de Riscos

Para que o tratamento de riscos seja compreendido em sua totalidade, é fundamental revisitar alguns conceitos-chave da gestão de riscos, conforme a ABNT NBR ISO 31000/2018 e outras boas práticas:

• Gestão de Riscos: Atividades coordenadas para dirigir e controlar uma organização no que diz respeito ao risco. É a aplicação sistemática de políticas, procedimentos e práticas para as atividades de comunicação, consulta, estabelecimento do contexto, e na identificação, análise, avaliação, tratamento, monitoramento e análise crítica dos riscos.

• Estrutura de Gestão de Risco: Conjunto de elementos que fornecem os fundamentos e disposições organizacionais para conceber, implementar, monitorar, rever e melhorar continuamente a gestão do risco em toda a organização.

• Política de Gestão de Riscos: Declaração das intenções e diretrizes gerais de uma organização relacionadas à gestão de riscos.

• Processo de Gestão de Riscos: Consiste em etapas como o estabelecimento do escopo, contexto e critério; avaliação de riscos (identificação, análise e avaliação); tratamento dos riscos; e monitoramento e análise crítica dos riscos. A gestão de riscos segue um processo contínuo com sete passos: Planejamento da Gestão de Riscos, Identificação do risco, Análise qualitativa de riscos, Análise quantitativa de riscos, Planejamento de respostas aos riscos, Implementação dos planos de respostas aos riscos e Monitoramento do risco.

• Estabelecimento do Escopo, Contexto e Critério: Primeira atividade (etapa) do processo de Gestão de Riscos que tem como objetivo a sua personalização na Unidade, permitindo um processo de avaliação de riscos eficaz e um tratamento de riscos apropriado. Inclui o entendimento diagnóstico e histórico da organização, definição do escopo e desenvolvimento de uma estrutura para as tarefas de gestão de riscos subsequentes. O estabelecimento do contexto é essencial para definir o ambiente da instituição e direcionar a avaliação dos riscos.

• Avaliação de Riscos: Segunda atividade (etapa) do processo de Gestão de Riscos, composta por três subetapas: identificação de riscos, análise de riscos e avaliação de riscos. Ao final do processo é elaborado o documento “Matriz de Riscos” ou “Lista de Riscos”.

• Identificação de Riscos: Encontrar, reconhecer e descrever os eventos de riscos que possam ajudar (riscos positivos) ou impedir (riscos negativos) que a Unidade alcance seus objetivos.

• Análise de Riscos: Segunda subetapa do processo de Avaliação de riscos. Tem como propósito compreender a natureza dos riscos e suas características. Utiliza critérios de risco como consequência e probabilidade.

• Avaliação de Riscos: Terceira e última subetapa do processo de Avaliação de riscos. Apoia decisões, comparando os resultados da análise com os critérios e indicadores de tolerância/apetite ao risco definidos pela organização. Permite decidir se um risco deve ser aceito, evitado, transferido ou mitigado.

• Risco (definição): Efeito da incerteza nos objetivos a serem atingidos pela instituição. Pode ser positivo ou negativo.

• Evento: Ocorrência ou alteração em um conjunto específico de circunstâncias.

• Consequência/Impacto: Resultado de um evento que afeta os objetivos.

• Probabilidade: Chance de algo acontecer.

• Nível de Risco: Magnitude de um risco, expressa pela combinação das consequências e de suas probabilidades.

• Atitude perante o Risco: Abordagem da organização para avaliar e eventualmente buscar, manter, assumir ou afastar-se do risco.

• Apetite pelo Risco: Quantidade e/ou tipo (nível) de riscos que uma organização está preparada para buscar, manter ou assumir.

• Tolerância ao Risco: Nível de variação aceitável quanto à realização dos seus objetivos.

• Risco Inerente: Risco ao qual se expõe face à inexistência de controles que alterem o impacto ou a probabilidade do evento.

• Controle: Medida/tratamento que está modificando o risco.

• Risco Residual: Risco remanescente após o tratamento do risco.

• Proprietário/Gerente de Risco: Pessoa ou entidade com responsabilidade e autoridade para gerenciar o risco.

--------------------------------------------------------------------------------

Métodos de Análise de Riscos: Qualitativos e Quantitativos

A análise de riscos é a segunda subetapa do processo de avaliação de riscos e tem como propósito compreender a natureza dos riscos e suas características. Para isso, são utilizados os critérios de risco, como a consequência (impacto) e a probabilidade. O objetivo da análise de risco é buscar objetividade na consideração da incerteza.

1. Métodos de Análise Qualitativa

A análise qualitativa de riscos foca na descrição e categorização dos riscos, avaliando a probabilidade e o impacto. Utiliza escalas e classificações verbais, como "baixo", "médio" e "alto". É um método mais subjetivo, baseado em julgamento de especialistas, experiência e consenso da equipe.

Características:

• Geralmente mais rápida e de menor custo.

• Não exige dados históricos extensos.

• Fácil compreensão e comunicação.

• Ideal para priorização inicial de riscos.

Ferramentas e Técnicas (conforme ABNT NBR IEC 31010:2021 e Qualyteam):

• Matriz de Riscos (Mapa de Nível de Riscos): Uma visualização das combinações geradas dos níveis de riscos a partir das dimensões dos critérios utilizados na identificação dos riscos (consequência e probabilidade), podendo ser positiva ou negativa. Permite classificar o impacto do risco em grupos (ex: catastrófico, crítico, limitado e reduzido) e priorizar quais riscos serão combatidos primeiro.

• Análise Bow Tie: Representa graficamente os caminhos das causas de um evento adverso pelas barreiras que o controlam e impedem, assim como as barreiras que mitigam seus efeitos após ocorrer e as consequências.

• APPCC – Análise de Perigos e Pontos Críticos de Controle (HACCP): Oriunda da segurança de alimentos, oferece uma estrutura para identificar fontes de risco (perigos ou ameaças) e pontos de controle. Seus princípios incluem identificar perigos e riscos, determinar pontos críticos de controle, estabelecer limites, procedimentos de monitoramento, ações corretivas, verificação e registros.

• BIA – Análise de Impacto nos Negócios: Avalia como eventos adversos podem afetar as operações e objetivos de negócio para identificar competências para gerenciá-los.

• CCA – Análise de Causa-Consequência: Substitui a árvore de falhas quando é mais fácil desenvolver sequências de eventos do que relações causais. Define eventos potenciais na interface para analisá-los como árvores de falha separadas.

• ETA – Análise de Árvore de Eventos: Técnica gráfica para representar, a partir de um evento inicial, as sequências de eventos que podem surgir, conforme o funcionamento dos vários sistemas para barrar as consequências.

• FTA – Análise de Árvore de Falhas: Usada para identificar e analisar os fatores que podem contribuir para um evento específico (evento-topo), ou seja, suas causas, relacionadas por meio de portas lógicas ("E" e "OU").

• Mapeamento Causal: Captura percepções individuais sobre eventos, causas e consequências e as apresenta graficamente para exame e análise.

• Análise de Impacto Cruzado: Avalia alterações na probabilidade de ocorrência de um determinado conjunto de eventos, de acordo com a ocorrência real de um deles, em uma matriz que exibe as interdependências de diferentes eventos e a probabilidade de cada evento (isoladamente dos outros).

2. Métodos de Análise Quantitativa

A análise quantitativa de riscos busca atribuir valores numéricos à probabilidade de ocorrência e ao impacto dos riscos. Utiliza técnicas estatísticas, modelos matemáticos e dados históricos para fornecer uma mensuração mais precisa dos riscos.

Características:

• Maior objetividade e precisão.

• Permite a realização de análises de custo-benefício mais detalhadas para o tratamento.

• Exige dados históricos confiáveis e expertise técnica.

• Pode ser mais demorada e cara.

• Ideal para riscos de alto impacto ou projetos de grande complexidade.

Ferramentas e Técnicas:

• LOPA – Análise de Camadas de Proteção: É uma ferramenta qualitativa e quantitativa de análise da redução de um risco obtida por um controle ou camadas de controle.

• Análise Bayesiana: Modelo de inferência e estimativa sobre parâmetros de um modelo de risco, a partir de dados de julgamento e empíricos.

• Análise de Markov: Técnica quantitativa aplicável a sistemas que podem ser descritos em termos de um conjunto de estados que se conectam pela probabilidade de transição entre si.

3. Como Escolher a Abordagem Adequada no Contexto Público

A escolha entre métodos qualitativos e quantitativos, ou a combinação de ambos, depende de diversos fatores no contexto público:

• Propósito e Uso da Informação: Qual a finalidade da análise? É para uma priorização rápida ou para uma decisão de investimento complexa? O propósito e o uso que a organização quer fazer da informação determinarão a escolha.

• Nível de Complexidade do Projeto: Projetos mais complexos e de grande porte (como grandes obras de infraestrutura ou implantação de sistemas de TI críticos) podem exigir análise quantitativa para maior precisão, enquanto projetos menores podem se beneficiar da agilidade da análise qualitativa.

• Disponibilidade e Qualidade dos Dados: A análise quantitativa requer dados históricos e confiáveis. Se esses dados forem escassos ou de baixa qualidade, uma abordagem qualitativa pode ser mais apropriada inicialmente. A organização deve se preocupar com a fonte, a suficiência e a qualidade dos dados para fornecer resultados válidos.

• Expertise da Equipe: Métodos quantitativos exigem conhecimento estatístico e de modelagem. A disponibilidade de pessoal qualificado influencia a escolha.

• Regulamentações e Normas: Algumas regulamentações ou normas podem limitar a escolha de ferramentas de análise de risco.

• Ambiente e Cenário Operacionais: A urgência, a sensibilidade política ou social e a visibilidade do projeto podem direcionar a escolha, sobretudo quando somarem complexidade e custos que possam afetar as partes interessadas.

• Custos e Prazos: A análise quantitativa pode ser mais custosa e demorada, o que deve ser ponderado contra os benefícios esperados.

No setor público, é comum iniciar com uma análise qualitativa para identificar e priorizar os riscos. Posteriormente, para os riscos de alta prioridade e impacto significativo, pode-se aprofundar com uma análise quantitativa mais detalhada, se os recursos e dados permitirem. É uma abordagem iterativa e contínua, com revisões periódicas da avaliação de riscos durante o andamento do projeto. A Qualyteam destaca que, em muitos casos, o especialista precisará de informações analisadas em diversas ferramentas para uma tomada de decisão mais assertiva.

--------------------------------------------------------------------------------

Estratégias de Resposta e Tratamento de Riscos

Após a identificação, análise e avaliação dos riscos, a próxima etapa crucial é o planejamento das respostas aos riscos. As estratégias de resposta visam alterar o nível de risco, seja reduzindo sua probabilidade ou impacto, ou aproveitando oportunidades. As possíveis respostas aos riscos são quatro: evitar, mitigar, transferir e aceitar. A gestão de riscos visa aumentar a probabilidade e o impacto dos eventos positivos e diminuir a probabilidade e o impacto dos eventos adversos.

1. Evitar (Eliminação)

Consiste em alterar a ação ou deixar de realizá-la para que o risco não aconteça. É a estratégia mais radical, eliminando a causa do risco. Geralmente é utilizada para riscos com alta probabilidade de ocorrência e alto impacto negativo. O risco é considerado inaceitável, a instituição deve tomar medidas para evitá-lo.

• Exemplo em Obras Públicas:

    ◦ Risco: Construir uma ponte em um trecho de rio com correntezas extremamente fortes e comprovado histórico de desastres hidrológicos, o que eleva exponencialmente os custos e a probabilidade de falha estrutural.

    ◦ Tratamento: Evitar a construção da ponte nesse local específico, reavaliando o traçado da rodovia para buscar um ponto de travessia mais seguro e menos oneroso, mesmo que isso implique em revisão do planejamento inicial.

• Exemplo em Projetos de TI:

    ◦ Risco: Desenvolver um novo sistema com uma tecnologia proprietária de um único fornecedor, que tem histórico de descontinuação de produtos e alto custo de manutenção, gerando dependência excessiva e risco de obsolescência rápida.

    ◦ Tratamento: Evitar o uso da tecnologia em questão, optando por uma solução de código aberto ou por tecnologias com múltiplos fornecedores e maior suporte de mercado, mesmo que demande mais esforço inicial de adaptação.

• Exemplo em Serviços Públicos:

    ◦ Risco: Lançar um programa de assistência social que depende de dados extremamente sensíveis e de difícil obtenção de um grupo populacional específico, o que pode levar a fraudes generalizadas ou a uma falha massiva na elegibilidade.

    ◦ Tratamento: Evitar a implementação do programa tal como concebido, redesenhando-o para usar critérios de elegibilidade mais robustos e dados públicos disponíveis, ou segmentando o público-alvo de forma diferente para reduzir a complexidade e os riscos.

2. Mitigar (Redução)

Esta estratégia visa reduzir a probabilidade de o risco ocorrer, o seu impacto caso se concretize, ou ambos. É a resposta mais comum e envolve a implementação de controles (medidas que modificam o risco). Podemos agir tanto na causa do risco quanto na consequência. A mitigação do risco envolve a implementação de medidas com o objetivo de reduzir a probabilidade ou o impacto do risco, como mudanças em processos ou treinamento de pessoal. Não se trata de eliminar riscos, mas sim de identificá-los, avaliá-los e gerenciá-los.

• Exemplo em Obras Públicas:

    ◦ Risco: Atraso na entrega de materiais essenciais devido a problemas logísticos do fornecedor.

    ◦ Tratamento: Mitigar o risco exigindo do fornecedor um plano detalhado de logística com prazos e rotas alternativas, monitoramento constante do estoque, e estabelecendo um estoque de segurança de materiais críticos no canteiro de obras.

    ◦ Risco (Impacto): Danos à estrutura da obra por chuvas fortes inesperadas.

    ◦ Tratamento: Mitigar o impacto com a instalação de sistemas de drenagem temporários eficientes e a proteção de áreas vulneráveis com lonas, além de planos de contingência para remoção de água.

• Exemplo em Projetos de TI:

    ◦ Risco: Falhas de segurança (vazamento de dados) devido a vulnerabilidades no código ou ataques cibernéticos.

    ◦ Tratamento: Mitigar o risco implementando testes de segurança rigorosos (pen-tests, varreduras de vulnerabilidade), criptografia de dados sensíveis, firewalls avançados, e treinamento contínuo da equipe sobre segurança da informação.

• Exemplo em Serviços Públicos:

    ◦ Risco: Insatisfação do usuário devido a longos tempos de espera no atendimento.

    ◦ Tratamento: Mitigar o risco otimizando os processos de atendimento, aumentando o número de atendentes em horários de pico, implementando um sistema de agendamento online e oferecendo canais de atendimento diversificados (telefone, chat, presencial).

3. Transferir (Compartilhamento)

Consiste em compartilhar a responsabilidade do risco com outros atores ou terceiros, como seguradoras. A transferência geralmente envolve a contratação de seguros, garantias, ou a inclusão de cláusulas contratuais que alocam a responsabilidade por determinados eventos a outras partes.

• Exemplo em Obras Públicas:

    ◦ Risco: Prejuízos financeiros decorrentes de acidentes graves na obra ou falhas estruturais durante a construção.

    ◦ Tratamento: Transferir o risco contratando um seguro de Riscos de Engenharia e um seguro de Responsabilidade Civil, cujos custos são inclusos no orçamento do projeto e pagos pelo contratado.

• Exemplo em Projetos de TI:

    ◦ Risco: Atrasos significativos na entrega de módulos de software por um fornecedor externo.

    ◦ Tratamento: Transferir o risco estabelecendo cláusulas contratuais de Service Level Agreement (SLA) com multas por atrasos e indicadores de desempenho claros, responsabilizando o fornecedor pela não conformidade.

• Exemplo em Serviços Públicos:

    ◦ Risco: Erros no processamento de dados por uma empresa terceirizada que resultam em prejuízos para os cidadãos e para o órgão.

    ◦ Tratamento: Transferir o risco para a empresa terceirizada responsável pelo processamento de dados através de um contrato que estipule a responsabilidade da contratada por eventuais perdas ou danos causados por seus erros, além de exigir um seguro de Responsabilidade Civil Profissional para cobrir tais ocorrências.

4. Aceitar (Retenção)

Consiste em não fazer nada e aceitar caso o risco aconteça. Essa decisão deve ser consciente e informada, após avaliar que o custo de mitigar ou evitar o risco é maior do que o custo potencial de sua ocorrência, ou que o risco está dentro dos níveis de tolerância da organização. É importante ressaltar que aceitar é diferente de ignorar o risco. Quando aceitamos, fazemos isso conscientemente e já tendo uma solução planejada para os problemas que possam ser gerados.

• Exemplo em Obras Públicas:

    ◦ Risco: Pequenas oscilações no preço de materiais secundários (ex: areia, brita) com baixo impacto no orçamento total da obra (menos de 0,5%).

    ◦ Tratamento: Aceitar essas pequenas variações, alocando uma reserva de contingência no orçamento para absorver esses custos, em vez de investir em complexas estratégias de hedge ou monitoramento intensivo para materiais de baixo valor agregado, pois o custo da prevenção seria maior que o impacto potencial.

• Exemplo em Projetos de TI:

    ◦ Risco: Interrupção de um sistema interno não crítico (ex: portal de notícias interno) por alguns minutos em caso de falha de energia, sabendo que a recuperação é rápida e o impacto nas operações essenciais é mínimo.

    ◦ Tratamento: Aceitar o risco, pois o custo de implementar um sistema de no-break e geradores redundantes para um sistema não essencial seria desproporcional ao benefício, e a organização possui um plano para comunicar a indisponibilidade temporária.

• Exemplo em Serviços Públicos:

    ◦ Risco: Ocorrência esporádica de reclamações menores de usuários (ex: sugestões de melhoria pontuais para interface de sistema), sem impacto sistêmico ou na imagem da instituição.

    ◦ Tratamento: Aceitar esse nível de risco, focando em um processo eficiente de tratamento de reclamações pontuais e análise de tendências, em vez de implementar medidas preventivas excessivamente caras que não eliminariam totalmente as reclamações menores.

5. Explorar (Otimização de Oportunidades)

Esta estratégia é aplicada a riscos positivos, ou seja, oportunidades. Embora não detalhada nas fontes fornecidas como "explorar" explicitamente, as fontes mencionam "riscos positivos" e "oportunidades" que podem impactar positivamente uma organização. A estratégia de explorar visa aumentar a probabilidade e o impacto de que uma oportunidade se concretize, garantindo que a organização possa colher seus benefícios, já que a gestão de riscos visa aumentar a probabilidade e o impacto de eventos positivos.

• Exemplo em Obras Públicas:

    ◦ Oportunidade: Surgimento de uma nova tecnologia de material de construção que promete reduzir significativamente o tempo de execução (20% a menos) e o custo total da obra (15% a menos), além de ser mais sustentável.

    ◦ Tratamento: Explorar a oportunidade, investindo em um estudo de viabilidade acelerado, testes pilotos controlados e, se aprovado, incorporando a nova tecnologia ao projeto para otimizar prazos e recursos. Isso pode incluir a adaptação de processos de contratação para permitir a inovação.

• Exemplo em Projetos de TI:

    ◦ Oportunidade: Disponibilidade de uma nova plataforma de software de código aberto com funcionalidades avançadas que podem acelerar o desenvolvimento de novas features e oferecer mais recursos aos usuários sem custo de licença.

    ◦ Tratamento: Explorar a oportunidade, dedicando uma equipe para aprender e adaptar a nova plataforma, migrando funcionalidades existentes e desenvolvendo novas sobre ela, aceitando o risco de uma curva de aprendizado inicial e a necessidade de treinamento.

• Exemplo em Serviços Públicos:

    ◦ Oportunidade: Aumento da demanda por um serviço público específico (ex: capacitação para empreendedores) devido a uma mudança demográfica ou econômica na região, indicando um potencial para gerar maior impacto social.

    ◦ Tratamento: Explorar a oportunidade, expandindo a capacidade de atendimento do serviço, otimizando os processos para lidar com o volume adicional, e buscando parcerias com outras entidades (privadas ou do terceiro setor) para ampliar o alcance e a efetividade do programa.

--------------------------------------------------------------------------------

Modelo de Matriz de Alocação de Riscos e Instruções para Preenchimento

A Matriz de Alocação de Riscos, também conhecida como Matriz de Nível de Riscos ou Mapa de Riscos, é uma ferramenta essencial para visualizar e priorizar os riscos. Ela combina a probabilidade de ocorrência de um risco com o impacto que ele pode causar. Ao final do processo de avaliação de riscos, é elaborado um documento como a "Matriz de Riscos" ou "Lista de Riscos". Essa ferramenta classifica o impacto do risco em quatro grupos: catastrófico, crítico, limitado e reduzido, o que ajuda a priorizar quais riscos serão combatidos primeiro.

Modelo de Matriz de Nível de Riscos (Simplificada)

Legenda dos Níveis de Risco (Exemplos para o Setor Público):

• Baixo: Risco aceitável, monitoramento de rotina.

• Médio: Risco tolerável, exige monitoramento mais atento e, se possível, ações de mitigação de baixo custo.

• Alto: Risco que requer atenção e tratamento. Planos de mitigação ou transferência devem ser considerados.

• Muito Alto: Risco inaceitável, exige tratamento imediato e eficaz. Pode requerer revisão do projeto ou interrupção.

• Crítico: Risco com potencial para inviabilizar o projeto ou causar danos severos. Requer estratégia de evitação ou transferência urgente, ou até mesmo a descontinuação da atividade.

Escalas de Probabilidade e Impacto/Consequência (Exemplos)

Escala de Probabilidade (Chance de algo acontecer):

Escala de Impacto/Consequência (Resultado de um evento que afeta os objetivos):

Instruções para Preenchimento da Matriz:

1. Identifique o Risco: Liste claramente o evento de risco (positivo ou negativo) que pode afetar os objetivos do seu projeto ou atividade.

2. Avalie a Probabilidade: Para cada risco identificado, determine a chance de ele ocorrer, utilizando a escala de probabilidade definida. Use dados históricos, opiniões de especialistas e julgamento informado. Responda: Qual é a probabilidade deste evento de risco?.

3. Avalie o Impacto/Consequência: Para cada risco, estime o resultado que ele pode causar nos objetivos do projeto (custo, prazo, escopo, qualidade, reputação, segurança, etc.), utilizando a escala de impacto/consequência. Pense em como o risco poderá afetar os objetivos do projeto.

4. Cruze os Valores: Localize a célula na Matriz de Nível de Riscos que corresponde à combinação da probabilidade e do impacto avaliados. O resultado dessa combinação será o Nível de Risco.

5. Interprete o Nível de Risco: Com base na legenda, entenda a magnitude do risco e a urgência de sua abordagem. Os riscos mais importantes a serem abordados são aqueles que têm alta probabilidade de acontecer e, também, maior severidade.

6. Decida o Tratamento: Utilize o Nível de Risco obtido, juntamente com o apetite e tolerância a riscos da sua organização, para decidir qual a melhor estratégia de tratamento (evitar, mitigar, transferir, aceitar, explorar).

A matriz de riscos auxilia na determinação da criticidade dos riscos, além de permitir o desenvolvimento de estratégias para minimizar seus respectivos impactos.

--------------------------------------------------------------------------------

Templates para o Tratamento de Riscos

Os templates são ferramentas cruciais para padronizar e formalizar as ações de tratamento de riscos.

1. Plano de Tratamento de Riscos (Plano de Ação)

O Plano de Tratamento dos Riscos é um documento elaborado ao final da etapa de "tratamento dos riscos". Ele consiste em selecionar e implementar opções para abordar os riscos identificados, analisados e avaliados. A escolha das opções deve considerar fatores como esforço, custo e benefícios para a implementação. Conforme a Rede Tekoha, uma Planilha de Riscos pode conter campos como severidade do risco, descrição, probabilidade de acontecer, impacto no projeto, consequências, resposta ao risco, ações de contramedida, responsáveis e prazo de resolução.

Plano de Tratamento de Riscos

2. Cláusulas Contratuais Tipo (Exemplos)

A inclusão de cláusulas contratuais específicas é uma forma eficaz de transferir, mitigar e até aceitar riscos de forma planejada. Essas cláusulas devem ser elaboradas com base na legislação aplicável.

Cláusulas Contratuais Tipo para Gestão de Riscos

1. Cláusula de Garantia de Execução Contratual:

• Finalidade: Mitigar o risco de inexecução parcial ou total do contrato e de prejuízos decorrentes de falhas do contratado.

• Exemplo: "A Contratada deverá prestar garantia de execução contratual, nos termos da legislação vigente (ex: Art. 96 da Lei nº 14.133/2021), no percentual de [XX]% sobre o valor global do contrato, na modalidade de [Seguro Garantia/Fiança Bancária/Caução em Dinheiro/Títulos da Dívida Pública]. A garantia deverá ser mantida válida por toda a execução do contrato e suas eventuais prorrogações, e será utilizada para indenizar a Contratante por prejuízos resultantes de inadimplemento, sem prejuízo de outras sanções cabíveis."

2. Cláusula de Seguro Específico (Transferência de Risco):

• Finalidade: Transferir riscos financeiros específicos para uma seguradora.

• Exemplo (Obras): "A Contratada obrigar-se-á a manter, durante toda a execução da obra, seguros de Responsabilidade Civil e de Riscos de Engenharia (All Risks), com cobertura mínima de R$ [valor], devidamente comprovados junto à Contratante, sob pena de suspensão dos pagamentos e aplicação das sanções contratuais cabíveis."

• Exemplo (TI): "A Contratada de serviços de Tecnologia da Informação deverá apresentar apólice de seguro de Responsabilidade Civil Profissional (E&O), cobrindo falhas na prestação dos serviços que resultem em perdas financeiras ou danos à imagem da Contratante, com cobertura mínima de R$ [valor], mantida durante todo o período de vigência do contrato."

3. Cláusula de Penalidades por Desempenho (Mitigação/Transferência de Custo):

• Finalidade: Mitigar o risco de não cumprimento de prazos ou padrões de qualidade, com impacto financeiro ao contratado.

• Exemplo: "Em caso de atraso injustificado na entrega do objeto contratual ou de qualquer de suas etapas, será aplicada multa diária de [XX]% sobre o valor da parcela em atraso, limitada a [YY]% do valor total do contrato. A inobservância dos padrões de qualidade especificados no Termo de Referência ou Projeto Básico/Executivo sujeitará a Contratada à multa de [ZZ]% do valor do serviço/produto afetado, sem prejuízo de outras sanções e da obrigação de reparação dos danos."

4. Cláusula de Indicadores de Desempenho (KPIs) e Níveis de Serviço (Mitigação):

• Finalidade: Mitigar riscos de baixa qualidade ou ineficiência, estabelecendo métricas claras para monitoramento e gestão.

• Exemplo: "A prestação dos serviços será monitorada através dos seguintes Indicadores Chave de Desempenho (KPIs) e respectivos Níveis de Serviço (NS): [Citar KPIs, ex: Tempo Médio de Atendimento: NS máximo de 5 minutos; Nível de Conformidade na Entrega: NS mínimo de 95%; Disponibilidade do Sistema: NS mínimo de 99,5%]. O não atingimento das metas mínimas estabelecidas para cada KPI/NS por [XX] períodos consecutivos, sem justificativa aceitável e formalmente aprovada pela fiscalização do contrato, poderá ensejar a aplicação de glosa de [YY]% sobre o pagamento mensal correspondente ao serviço impactado, conforme detalhado no Termo de Referência."

--------------------------------------------------------------------------------

Procedimentos de Monitoramento e Controle

O monitoramento e controle dos riscos é uma etapa contínua e fundamental do processo de gestão de riscos. Ele garante que as ações de tratamento estejam sendo eficazes e que novos riscos sejam identificados e abordados. Acompanhar o projeto e monitorar a probabilidade do risco acontecer e a execução das ações de respostas aos riscos é essencial. O monitoramento de riscos é uma prática contínua, envolvendo a observação constante dos riscos identificados e a detecção de possíveis mudanças em sua probabilidade ou impacto.

1. Triggers (Gatilhos)

Triggers são condições ou eventos que servem como sinais de alerta, indicando que um risco está prestes a ocorrer, que sua probabilidade ou impacto mudou, ou que uma oportunidade está surgindo. Os gestores de risco devem monitorar os sinais de alerta quanto ao seu respectivo evento de risco.

• Exemplos de Triggers:

    ◦ Obras: Atraso de 3 dias no cronograma de entrega de um material crítico por parte do fornecedor principal.

    ◦ TI: Aumento súbito de 15% no número de acessos não autorizados ou tentativas de login falhas em um sistema em 24 horas.

    ◦ Serviços: Mais de 10% de reclamações sobre um mesmo tipo de problema (ex: demora no atendimento) em uma semana, ou um pico de 50% nas chamadas para a ouvidoria.

    ◦ Oportunidade (Positiva): Publicação de edital de fomento ou financiamento para projetos inovadores na área de atuação do órgão, alinhado aos seus objetivos estratégicos.

2. KPIs (Key Performance Indicators - Indicadores Chave de Desempenho)

KPIs são métricas que permitem avaliar o desempenho do projeto ou da ação de tratamento de riscos. Eles devem ser quantificáveis e diretamente relacionados aos objetivos do projeto e aos riscos identificados. Os KPIs refletem "o impacto no projeto".

• Exemplos de KPIs para Monitoramento de Riscos:

    ◦ Desvio de Cronograma: Diferença percentual entre o cronograma planejado e o real da execução das ações de tratamento de risco.

    ◦ Desvio Orçamentário: Diferença percentual entre o orçamento planejado e o gasto real para as ações de tratamento de risco.

    ◦ Número de Não Conformidades/Reclamações: Contagem de problemas ou falhas específicas que o risco visava mitigar (ex: número de ocorrências de falha de segurança).

    ◦ Taxa de Disponibilidade do Sistema: Percentual de tempo que um sistema de TI permanece operacional, monitorando a eficácia das ações para mitigar riscos de indisponibilidade.

    ◦ Índice de Retenção de Pessoal: Percentual de funcionários que permanecem na equipe por um determinado período, relevante para riscos de rotatividade.

    ◦ Percentual de Conclusão das Ações de Tratamento: Mede o avanço na implementação dos planos de resposta ao risco.

3. Relatórios

O reporte de risco é a principal forma de garantir que as informações relevantes sejam compartilhadas com as partes interessadas. Envolve a identificação, documentação e comunicação de riscos em todos os níveis da organização, desde os funcionários até os gestores. Relatórios eficazes auxiliam na garantia de que as partes interessadas estejam cientes dos riscos e das ações tomadas para gerenciá-los, permitindo uma resposta rápida e eficaz. É necessário enviar atualizações de status com frequência.

• Tipos de Relatórios:

    ◦ Relatório de Status de Riscos: Atualizações periódicas sobre o status dos riscos identificados, incluindo probabilidade, impacto, ações de tratamento em andamento e risco residual.

    ◦ Relatório de Incidentes: Documenta a ocorrência de um risco, suas causas, consequências e as ações corretivas tomadas.

    ◦ Relatório de Desempenho dos Controles: Avalia a eficácia das medidas de controle implementadas.

    ◦ Painel de Bordo (Dashboard): Apresentação visual e resumida dos principais riscos e KPIs para a alta gerência.

4. Periodicidade

A frequência do monitoramento e dos relatórios deve ser definida no plano de gestão de riscos, adaptando-se à natureza e criticidade do projeto ou atividade.

• Revisão Periódica: É indicada uma revisão periódica da avaliação de riscos durante o andamento do projeto.

• Monitoramento Ativo: Monitorar ativamente os riscos para evitar surpresas desagradáveis.

• Frequência de Atualização: Enviar atualizações de status com frequência para que a equipe de projeto e as demais partes interessadas tenham acesso às mesmas informações.

• Comunicação com Gestores de Risco: Comunicar-se frequentemente com os responsáveis por cada risco para assegurar que tudo esteja transcorrendo bem.

• Atualização do Registro de Riscos: O registro de riscos deve ser um documento dinâmico, refletindo mudanças na probabilidade, planos de risco e surgimento de novos riscos.

A colaboração é fundamental no monitoramento, incentivando a equipe a identificar novos riscos ou problemas emergentes.

--------------------------------------------------------------------------------

Checklist: 12 Itens para Acompanhar a Implementação do Tratamento de Riscos

Este checklist serve como um guia rápido para gestores acompanharem a implementação e a eficácia das ações de tratamento de riscos.

1. O Plano de Tratamento de Riscos foi comunicado a todos os envolvidos e eles estão cientes dos riscos?

2. Os responsáveis pelas ações de tratamento estão cientes de suas atribuições e prazos?

3. Os recursos (orçamento, pessoal, tecnologia) necessários para as ações de tratamento foram alocados?

4. As ações de tratamento estão sendo executadas conforme o cronograma planejado?

5. Os controles implementados estão funcionando como esperado?

6. Os triggers (gatilhos ou sinais de alerta) definidos estão sendo monitorados ativamente?

7. Os KPIs de risco estão sendo coletados e analisados regularmente?

8. Há relatórios periódicos de status de riscos sendo gerados e distribuídos às partes interessadas?

9. O risco residual (após o tratamento) está dentro dos limites de tolerância da organização?

10. Novos riscos foram identificados durante a execução do projeto/contrato? (Atualizar o registro de riscos).

11. Houve alguma mudança significativa no contexto que possa afetar os riscos existentes ou introduzir novos?

12. A eficácia das estratégias de tratamento de riscos está sendo avaliada periodicamente?

--------------------------------------------------------------------------------

Conclusão

A gestão de riscos na fase de planejamento, com foco no tratamento, é um pilar para a excelência na administração pública. Ao longo desta aula, exploramos desde os conceitos fundamentais até as estratégias práticas e ferramentas para gerenciar as incertezas inerentes aos projetos e contratos públicos.

Lembrem-se que a gestão de riscos não é um evento isolado, mas um processo contínuo e cíclico de identificar, analisar, avaliar, tratar e monitorar os riscos. Ao adotar uma postura proativa, utilizando métodos de análise adequados, implementando estratégias de resposta eficazes (evitar, mitigar, transferir, aceitar, explorar) e realizando um monitoramento rigoroso, os gestores públicos estarão mais aptos a garantir a economicidade, a eficiência e, acima de tudo, a continuidade e o sucesso das entregas à sociedade. A incorporação da gestão de riscos nos documentos de planejamento inicial é fundamental para que todos os colaboradores tenham acesso ao plano e possam agir proativamente.

Agradeço a participação de todos e espero que este conhecimento seja um diferencial na gestão dos desafios e oportunidades do setor público.

--------------------------------------------------------------------------------

Referências Bibliográficas

• ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO 31000:2018 – Gestão de Riscos: Princípios e Diretrizes. ABNT. 2018.

• ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR IEC 31010:2021 – Gestão de Riscos – Técnicas para o processo de avaliação de riscos. ABNT. 2021.

• BRASIL. Lei nº 14.133, de 1º de abril de 2021. Lei de Licitações e Contratos Administrativos. Brasília, DF, 1º abr. 2021.

• COSO – Committee of Sponsoring Organizations of the Treadway Commission. Enterprise Risk Management – Integrating with Strategy and Performance. 2017.

• TCU – Tribunal de Contas da União. Acórdãos e manuais sobre Gestão de Riscos.

• CGU – Controladoria-Geral da União. Manuais e diretrizes sobre Gestão de Riscos no Setor Público Federal.

• DOUTRA, Paulo. Gerenciamento de riscos em projetos ágeis. DevMedia, 2013. Disponível em: https://www.devmedia.com.br/gerenciamento-de-riscos-em-projetos-ageis/29329. Acesso em: 17 jun. 2024.

• FREITAS CAMARGO, Renata. Conheça algumas boas práticas em riscos de projetos. Glic Fàs, 30 abr. 2019. Disponível em: https://glicfas.com.br/boas-praticas-em-riscos-de-projetos/. Acesso em: 17 jun. 2024.

• MARTINS, Julia. O que é a gestão de riscos do projeto? Seis etapas para favorecer o sucesso do seu projeto. Asana, 31 out. 2024. Disponível em: https://asana.com/pt/resources/project-risk-management. Acesso em: 17 jun. 2024.

• QUALYTEAM. Ferramentas de análise de risco: 11 opções para a gestão da qualidade. Por Adriana Sartori. 05 jun. 2024. Disponível em: https://qualyteam.com/blog/ferramentas-de-analise-de-risco/. Acesso em: 17 jun. 2024.

• REDE TEKOHA. Gerenciamento de Riscos e de Problemas em projetos socioambientais. Rede Tekoha, 01 mai. 2020. Disponível em: https://redetekoha.org.br/blog/gerenciamento-de-riscos-e-de-problemas-em-projetos-socioambientais/. Acesso em: 17 jun. 2024.

• SOFTWARE PARA LABORATÓRIO DE ANÁLISES CLÍNICAS. Quais as etapas da Gestão de Riscos. Concent, 03 abr. 2023. Disponível em: https://concent.com.br/blog/quais-as-etapas-da-gestao-de-riscos/. Acesso em: 17 jun. 2024.