ORIENTAÇÃO TÉCNICA AGE Nº 01/2024 (Revisão 1) GESTÃO DE RISCOS NAS CONTRATAÇÕES PÚBLICAS
ORIENTAÇÃO TÉCNICA AGE Nº 01/2024 (Revisão 1) GESTÃO DE RISCOS NAS CONTRATAÇÕES PÚBLICAS
I. INTRODUÇÃO
A presente Orientação Técnica - OT orienta os gestores na estruturação dos controles internos e na condução da análise de riscos nos processos de contratação pública em cumprimento aos dispositivos da Nova Lei de Licitações e Contratos Administrativos – NLLC (Lei Federal nº 14.133/2021).
II. OBJETIVO
▪ Orientar os gestores quanto aos procedimentos a serem adotados para a estruturação dos controles internos do processo de contratação pública e para a realização da análise de riscos em cada contratação;
▪ Apresentar o Guia de Gestão de Riscos nas Contratações Públicas, que se constitui em um instrumento de referência para os gestores na estruturação dos controles internos e condução da análise de riscos.
III. BASE NORMATIVA
1. Lei Federal nº 14.133/2021
2. Decreto Federal n.º 9.203, de 22 de novembro de 2017;
3. Portaria SEFAZ nº 162 de 13 de agosto de 2018;
4. ABNT ISO GUIA 73:2009;
5. Norma ABNT NBR ISO 31010:2012;
6. Norma ABNT NBR ISO 31004:2015;
7. Norma ABNT NBR ISO 31000:2018;
8. Instrução Normativa Conjunta MP/CGU nº 01, de 10/05/2016;
9. Committee of Sponsoring Organizations of the Treadway Commission – COSO 2013 - Internal Control - Integrated Framework (ICIF);
IV. GESTÃO DE RISCOS NAS CONTRATAÇÕES PÚBLICAS
1. A Nova Lei de Licitações e Contratos Administrativos - NLLC (Lei Federal nº 14.133, de 1º de abril de 2021), em seu artigo 18, inciso X, tornou obrigatória a realização de análises de riscos nos processos de contratação pública, que deverão submeter-se a práticas contínuas e permanentes de gestão de
riscos e de controle preventivo, conforme estabelecido no caput do artigo 169;
2. A implementação de processos e estruturas de gestão de riscos e controles internos, visam avaliar, direcionar e monitorar os processos licitatórios e os respectivos contratos;
3. A estruturação dos controles internos na área de licitações e contratos é de fundamental importância para a mitigação dos riscos;
4. Cada órgão deverá realizar avaliação dos controles existentes e prever outros necessários, quando for o caso, com base no Mapa de estruturação dos controles internos no processo de contratação pública, constante do Guia de Gestão de Riscos nas Contratações Públicas;
5. É recomendável que o órgão constitua, por Portaria, Comitê de Riscos e Controles nas Contratações (CRC), de natureza permanente, coordenado pelo responsável da área de licitação e contrato e composto, dentre outros, por agentes de contratação, gestores e fiscais de contrato, membros de comissão de contratação e assessores, com apoio da unidade setorial de controle interno para a realização da estruturação dos controles internos na área de licitações e contratos;
6. A área requerente ou demandante da contratação deverá realizar a análise de risco de cada contratação, identificando riscos próprios e intrínsecos, podendo ser auxiliada pelo CRC;
7. A metodologia adotada está baseada na Norma ABNT ISO 31000:2018, devidamente adaptada às peculiaridades da administração pública estadual, resultando em uma ferramenta prática;
8. A AGE prestará a assessoria que se fizer necessária através da Gerência de Controle Preventivo e Transparência – GEPRE.
V. DISPOSIÇÕES FINAIS
A AGE/SEFAZ publica, juntamente com esta Orientação Técnica, o Guia de Gestão de Riscos nas Contratações Públicas, parte integrante desse instrumento, sendo destinado aos gestores das organizações públicas do Poder Executivo do Estado da Bahia.
Salvador, 29 de agosto de 2024
Xxxxx Xxxxxxx Xxxxxxxx Xxxxxxxxx
Gerente de Controle Preventivo e Transparência
Xxxx Xxxxxxx Xxxxxxx Xxxxx Auditor Geral do Estado
SECRETARIA DA FAZENDA DO ESTADO DA BAHIA (SEFAZ)
AUDITORIA GERAL DO ESTADO DA BAHIA (AGE)
SECRETÁRIO DA FAZENDA
Xxxxxx Xxxxxxx xx Xxxxx Xxxxx
AUDITOR GERAL DO ESTADO
Xxxx Xxxxxxx Xxxxxxx Xxxxx
GERENTE DE CONTROLE PREVENTIVO E TRANSPARÊNCIA
Xxxxx Xxxxxxx Xxxxxxxx Xxxxxxxxx
EQUIPE TÉCNICA - GEPRE
Xxx Xxxxx Xxxxx xx Xxxxxx Xxxxxxxxxxxx Xxxxxxxxx Xxxxxx Xxxxxx xx Xxxxxxxx Xxxxxx Xxxxxxx
PROGRAMAÇÃO VISUAL
GEPRE
FICHA TÉCNICA
Guia de Gestão de Riscos nas Contratações Públicas. Documento de caráter orientativo, que se constitui em um instrumento de referência para os gestores na estruturação dos controles internos e na condução da análise de riscos nos processos de contratação pública, em cumprimento aos dispositivos da Nova Lei de Licitações e Contratos Administrativos (Lei Federal nº 14.133/2021) - NLLC. Aplicável a órgãos e entidades do Poder Executivo do Estado da Bahia, nos termos da NLLC.
1
2ª VERSÃO AGOSTO - 2024
HISTÓRICO DE REVISÕES
VERSÃO | DATA | DESCRIÇÃO |
1 | 15/05/2024 | Elaboração do Documento |
2 | 29/08/2024 | Revisão do documento: Incorpora a Análise de riscos de cada contratação |
SUMÁRIO
1. INTRODUÇÃO 3
2. CONCEITOS FUNDAMENTAIS DA GESTÃO DE RISCOS 4
3. FASES DA CONTRATAÇÃO PÚBLICA 7
4. ESTRUTURAÇÃO DE CONTROLES INTERNOS NO PROCESSO DE CONTRATAÇÃO PÚBLICA 9
5. ANÁLISE DE RISCOS DE CADA CONTRATAÇÃO 14
5.1. Análise de riscos que poderão afetar os objetivos da licitação e execução contratual 14
5.2. Análise de riscos capazes de provocar desequilíbrio econômico-financeiro do contrato 28
6. TERMOS E DEFINIÇÕES 30
7. CONCLUSÃO 31
8. REFERENCIAIS 32
1. INTRODUÇÃO
A Nova Lei de Licitações e Contratos Administrativos - NLLC (Lei Federal nº 14.133, de 1º de abril de 2021), em seu artigo 18, inciso X, tornou obrigatória a realização de análises de riscos nos processos de contratação pública, que deverão submeter- se a práticas contínuas e permanentes de gestão de riscos e de controle preventivo, conforme estabelecido no caput do artigo 169.
A NLLC definiu, em seu artigo 11, que o processo licitatório tem por objetivos:
▪ Assegurar a seleção da proposta mais vantajosa para a Administração Pública, inclusive no que se refere ao ciclo de vida do objeto;
▪ Assegurar tratamento isonômico entre os licitantes, bem como a justa competição;
▪ Evitar contratações com sobrepreço ou com preços manifestamente inexequíveis e superfaturamento na execução dos contratos;
▪ Incentivar a inovação e o desenvolvimento nacional sustentável.
A alta administração do órgão ou entidade é responsável pela implementação de processos e estruturas de gestão de riscos e controles internos para avaliar, direcionar e monitorar os processos licitatórios e os respectivos contratos, e levará em consideração os custos e os benefícios decorrentes, optando-se pelas medidas que promovam relações íntegras e confiáveis e que produzam o resultado mais vantajoso para a Administração, conforme estabelecido no artigo 11, § único do referido diploma legal.
Entretanto, a Nova Lei não ofereceu muitos subsídios acerca de como essas ações deverão se desenvolver. Por essa razão, a Auditoria Geral do Estado (AGE) elaborou este Guia, de caráter orientativo, que se constitui em um instrumento de referência para os gestores na condução da estruturação dos controles internos e análise de riscos nos processos de contratação pública, em cumprimento aos dispositivos da NLLC.
A AGE, órgão central de controle interno do Poder Executivo Estadual, tem como competência prestar assessoramento aos órgãos em temas relacionados ao aperfeiçoamento dos controles internos, fortalecimento dos processos de gerenciamento de riscos e governança e publica o presente documento com o objetivo de auxiliar os gestores públicos dos órgãos e entidades do Poder Executivo Estadual na análise de riscos que possam comprometer o sucesso da licitação e a boa execução contratual, bem como na implementação de práticas contínuas e permanentes de gestão de riscos e de controle preventivo.
A gestão de riscos é uma prática essencial para a integridade e o sucesso das contratações públicas, ajudando a evitar problemas como sobrepreço, desperdício, especificação incorreta e restrição à competitividade. Ela deve ser uma atividade contínua e integrada ao ciclo de vida das contratações, desde o planejamento até a execução e o encerramento do contrato.
A estruturação de controles internos no processo de contratação e a análise de riscos exigidas pela NLLC auxiliam o gestor a antecipar, identificar, lidar com situações de riscos inerentes às contratações públicas, e também a se preparar para enfrentá-los, elaborando e monitorando plano de tratamento para o alcance de resultados mais vantajosos para a Administração.
2. CONCEITOS FUNDAMENTAIS DA GESTÃO DE RISCOS
A gestão de riscos, quando aplicada às contratações públicas, desempenha um papel fundamental na entrega efetiva de valor público à sociedade. O valor público refere-se aos produtos, serviços e resultados gerados, preservados ou entregues pelas atividades de uma organização, que representam respostas efetivas e úteis às necessidades ou demandas da sociedade.
Os conceitos fundamentais dessa abordagem são:
A) OBJETIVO
O objetivo é a finalidade ou meta que se busca alcançar ao executar uma contratação pública. Deve ser claro, específico, mensurável, alcançável e fornecer o contexto para identificar, analisar e responder aos riscos que podem afetar o alcance dos resultados.
B) RISCO
O conceito de riscos envolve a quantificação e qualificação da incerteza no que diz respeito a perdas, com relação ao rumo das aquisições planejadas pelos órgãos. Abaixo estão relacionados alguns dos principais conceitos de Risco:
▪ Efeito da incerteza sobre os objetivos (ABNT NBR ISO 31000:2018).
▪ Evento futuro e incerto, que caso ocorra, pode impactar negativamente o alcance dos objetivos da organização (COSO II - Committee of Sponsoring Organizations).
▪ Possibilidade de ocorrência de um evento que venha a ter impacto no cumprimento dos objetivos (Instrução Normativa Conjunta CGU/MP nº 1, de 10 de maio de 2016).
▪ Possibilidade de algo acontecer e ter impacto nos objetivos, sendo medido em termos de consequências e probabilidades (TCU IN 63/2010)
Notas de entrada:
▪ Um efeito é um desvio em relação ao esperado.
▪ Incerteza refere-se à deficiência, mesmo que parcial, das informações relacionadas a um evento.
▪ Evento é a ocorrência ou mudança em um conjunto específico de circunstâncias.
O risco, portanto, é um evento ou condição futura e incerta que, se ocorrer, provocará um efeito, ou seja, um impacto em um determinado objetivo. Esta afirmação deixa claro que risco é incerteza, o que significa dizer que é algo que ainda não aconteceu. Um risco, quando se concretiza, torna-se um problema.
O risco possui 3 elementos básicos na sua composição:
CAUSA: Condição que possibilita um evento de risco acontecer e pode ter origem no ambiente interno ou externo. É uma conjunção de fontes e vulnerabilidades. A fonte do risco é um elemento que, sozinho ou combinado, pode dar origem ao risco (pessoas, processos, sistemas, infraestrutura, externalidades, etc.). Vulnerabilidades são inexistências, inadequações ou deficiências.
EVENTO: Ocorrência ou mudança em um conjunto específico de circunstâncias.
CONSEQUÊNCIA: Resultado da materialização de um evento de risco que afete os objetivos.
C) CONTROLE INTERNO
Os controles internos compreendem o conjunto de regras, procedimentos, diretrizes, protocolos, rotinas, sistemas, entre outros, operacionalizados pela organização e destinados a enfrentar os riscos e fornecer segurança razoável na consecução dos objetivos.
O controle é uma ação preventiva ou corretiva tomada com o propósito de certificar-se de que algo se cumpra de acordo com o que foi planejado.
No contexto das contratações públicas, o controle de riscos surge como um dos principais instrumentos de planejamento dessas contratações, na medida em que estimula o agente público a refletir antecipadamente sobre os efeitos eventualmente negativos do processo de aquisição.
D) GESTÃO DE RISCOS
Conjunto de atividades coordenadas para identificar, analisar, avaliar, tratar e monitorar riscos. É o processo que visa conferir razoável segurança quanto ao alcance dos objetivos. (TCU, 2018, apud XXXXXX e XXXXXXX, 2019, p. 100).
A nova Lei de Licitações e Contratos fortalece a importância da gestão de riscos nas contratações públicas, integrando-a como um elemento essencial em todas as fases do processo de contratação, desde o planejamento até a execução do contrato. Isso
visa promover uma maior transparência, eficiência e integridade nos procedimentos licitatórios e na gestão dos contratos públicos.
A gestão de riscos deverá subsidiar a racionalização do trabalho administrativo ao longo do processo de contratações, com o estabelecimento de controles proporcionais aos riscos e suprimindo-se rotinas puramente formais. (CNJ, 2020).
O mapeamento de riscos advindo da gestão dos riscos deve ser parte integrante da documentação do contrato, servindo como referência ao longo de toda a sua execução.
3. FASES DA CONTRATAÇÃO PÚBLICA
Para a realização da contratação pública existe uma série de atividades ordenadas e sequenciais, que visam a aquisição de bens ou serviços.
O processo de contratação pública pode ser compreendido como a sequência de 3 fases integradas: Preparatória (ou Planejamento); Seleção de Fornecedores; e Gestão do Contrato, representadas a seguir:
A) FASE PREPARATÓRIA OU DE PLANEJAMENTO
De acordo com o Art. 18 da NLLC, a fase preparatória é caracterizada pelo planejamento e deve compatibilizar-se com o plano de contratações anual, sempre que elaborado, e com as leis orçamentárias, bem como abordar todas as considerações técnicas, mercadológicas e de gestão que podem interferir na contratação, compreendendo a análise dos riscos que possam comprometer o sucesso da licitação e a boa execução contratual.
A fase interna do processo de licitação é caracterizada pelo planejamento detalhado, cuja finalidade é evidenciar a necessidade da administração pública que será suprida com a contratação de um serviço ou compra de material. A ausência de planejamento
submete os órgãos, as instituições e os agentes públicos ao risco de cometer atos antieconômicos, ineficientes, ineficazes, sem efetividade, ilegais ou antiéticos.
Esta fase é crucial para o sucesso de todo o processo de contratação pública. Nela, as entidades públicas identificam suas necessidades, determinam os objetivos da contratação e definem os requisitos técnicos, financeiros e jurídicos do contrato. Além disso, nesta etapa são realizados estudos de viabilidade, análises de mercado e estimativas de custos, visando garantir que o contrato atenda eficazmente às demandas da administração pública.
B) FASE DE SELEÇÃO DE FORNECEDORES
Após o planejamento adequado, inicia-se a fase de seleção de fornecedores. Nesta etapa, são lançados editais de licitação ou processos de seleção, nos quais os potenciais fornecedores são convidados a apresentar suas propostas comerciais. É fundamental que este processo seja transparente, competitivo e isonômico, garantindo a igualdade de oportunidades para todos os concorrentes.
Os critérios de avaliação devem estar previamente estabelecidos no edital e incluir aspectos como preço, qualidade, prazo de entrega e capacidade técnica. Após a análise das propostas, é selecionado o fornecedor que melhor atenda aos requisitos definidos pela administração pública.
Nesta fase é publicado o edital e será assinado o contrato, possuindo 2 atividades centrais:
• Realização da Licitação
• Formalização do contrato
C) FASE DE GESTÃO DO CONTRATO
Uma vez selecionado o fornecedor, inicia-se a fase de gestão do contrato. A gestão contratual orientará o relacionamento entre o comprador e o recém contratado englobando a execução e fiscalização administrativa dos contratos no tocante a liquidação da despesa contratada, bem como o acompanhamento da fiscalização técnica.
Esta fase visa monitorar e garantir, conforme especificado no edital, a prestação dos serviços durante todo o período de execução do contrato sendo composta pelas seguintes atividades centrais:
• Início do contrato
• Encaminhamento de demandas
• Pagamento
• Monitoramento da execução do contrato
• Encerramento do contrato
• Transição contratual
Segundo o Tribunal de Contas da União (TCU), a gestão do contrato é a fase que recebe como insumo o contrato e gera como saída uma solução, que produz resultados, os quais atendem à necessidade que desencadeou a contratação.
A gestão de riscos não se limita apenas à fase preparatória, sendo um processo contínuo ao longo de todo o ciclo de vida do contrato. Durante a seleção de fornecedores e a gestão do contrato, é importante monitorar e revisar constantemente os riscos identificados, ajustando as estratégias de mitigação conforme necessário e tomando medidas corretivas caso ocorram desvios significativos. Isso garante que os riscos sejam gerenciados de forma eficaz e que o contrato seja executado conforme planejado, minimizando possíveis impactos negativos para a administração pública.
4. ESTRUTURAÇÃO DE CONTROLES INTERNOS NO PROCESSO DE CONTRATAÇÃO PÚBLICA
A NLLC estabelece a obrigatoriedade de implementar processos e estruturas de gestão de riscos e controles internos, para avaliar, direcionar e monitorar os processos licitatórios e os respectivos contratos.
Na prática, a NLLC exige a estruturação de controles internos no processo de contratação, que consiste no gerenciamento de riscos comuns à área de contratação de qualquer organização.
Para realizar a estruturação dos controles internos é recomendável que cada órgão/entidade constitua, através de Portaria, Comitê de Riscos e Controles das Contratações (CRC), de natureza específica e permanente, coordenado pelo responsável da área de licitações e contratos e composto, dentre outros, por agentes de contratação, gestores e fiscais de contrato, membros de comissão de contratação e assessores, com apoio da unidade setorial de controle interno. A constituição do CRC deverá ser comunicada a AGE através do Sistema Eletrônico de Informações (SEI).
Tendo em vista o objetivo já estabelecido pela própria lei, em seu artigo 11, § único, a AGE, como órgão central de controle interno e visando otimizar essa estruturação,
realizou previamente a identificação dos riscos envolvidos nas três fases do processo de contratação pública, bem como a previsão de controles internos para sua mitigação, resultando no instrumento denominado Mapa de estruturação dos controles internos do processo de contratação pública.
O Mapa é o documento que estrutura os controles internos e materializa o gerenciamento de risco, isto é, o instrumento por meio do qual se identifica os riscos (evento que impacta negativamente o alcance dos objetivos da instituição) e busca mitigá-los por meio da implementação de novos controles ou melhoria de controles existentes.
O Mapa com suas devidas instruções de preenchimento encontra-se no link e no QR Code abaixo:
A aplicação desse instrumento compete ao Comitê de Riscos e Controles das Contratações, constituído previamente pela alta administração do órgão/entidade.
O mapeamento pode ser considerado como um rol ou banco de riscos e controles nas contratações públicas, que auxilia o processo de gerenciamento de riscos. Deve ser utilizado como uma listagem dinâmica e não acabada, a ser ajustada à realidade de cada órgão/entidade.
Para cada fase do processo de contratação pública, quais sejam: Preparatória (ou Planejamento), Seleção de Fornecedores e Gestão do Contrato, foram identificados riscos e sugeridos controles que a AGE considera os mais importantes e necessários.
Os órgãos/entidades, aplicando o Mapa de estruturação dos controles internos do processo de contratação pública, deverão realizar diagnóstico para verificar a existência dos controles e avaliar o seu nível de efetividade, levando-se em conta as evidências de sua operacionalização.
Para cada controle relacionado na avaliação deverá ser atribuída uma nota de 1 a 5, conforme tabela a seguir:
A classificação do controle existente de acordo com a tabela acima servirá como referência para o diagnóstico da área de contratação, uma vez que inexistência (escala 1) e/ou deficiências (escalas 2 e 3 - fraco e mediano) nos controles internos indicam fragilidades na sua eficácia operacional.
Da mesma forma, controles avaliados como eficientes (escalas 4 e 5 - satisfatório e forte) indicam menor probabilidade de ocorrência de riscos e redução do seu impacto.
Após a atribuição das notas, automaticamente é calculado o indicador parcial de nível dos controles para cada risco.
Ao final da avaliação será calculado o indicador global de nível dos controles, que reflete a consistência e eficácia operacional dos controles internos da área de licitações e contratos do órgão/entidade, conforme tabela a seguir:
O indicador global na faixa de 0 a 79 requer a necessidade imperativa de implementação de novos controles e/ou a alteração de controles existentes. No caso de indicador global situado na faixa de 80 a 100, deverá ser realizada uma avaliação risco a risco da pertinência do seu tratamento ou apenas do acompanhamento.
Poderá haver casos em que o controle existente na organização tenha descrição diferente do controle sugerido no Mapa. Nesses casos, caberá ao avaliador verificar se as descrições são compatíveis. Como exemplo, podemos citar o controle denominado pela AGE como “Revisão por terceiros”, mas que pode ser identificado em uma organização como “Dupla verificação”, “Revisão”, “Revisão por múltiplas instâncias”, “Checagem”, etc.
Recomenda-se que a avaliação dos controles internos seja realizada anualmente ou sempre que forem observadas alterações no ambiente interno ou externo que justifiquem nova avaliação.
Após a realização do diagnóstico e avaliação risco a risco da pertinência do seu tratamento, será elaborado Plano de Tratamento de Riscos, parte integrante do Mapa, contendo propostas de melhorias ou de adoção de novos controles capazes de mitigar as possibilidades ou efeitos dos riscos identificados.
Nele são especificadas as ações de controle a serem adotadas, como elas serão implementadas, seus responsáveis, recursos necessários e prazos envolvidos, devendo ser priorizado o tratamento dos riscos cujos controles estejam enquadrados nas menores faixas do indicador parcial.
O monitoramento periódico do Plano deve ser realizado a fim de se verificar o avanço da implementação das ações de tratamento dos riscos identificados na busca pelo processo de otimização contínua.
O Plano de Tratamento de Riscos está disponível no link e no QR Code abaixo:
Compete às Unidades Setoriais de Controle Interno o acompanhamento e envio do Mapa de estruturação dos controles internos do processo de contratação pública à AGE para registro.
5. ANÁLISE DE RISCOS DE CADA CONTRATAÇÃO
A análise de riscos é uma etapa crucial no processo de contratações públicas. Ela permite que os servidores públicos identifiquem e avaliem potenciais problemas, antecipando soluções para garantir a eficiência, transparência e sucesso dos contratos.
Trata-se de procedimento integrante da fase preparatória ou de planejamento do processo licitatório, que objetiva identificar os riscos que possam comprometer o sucesso da licitação e a boa execução contratual (Artigo 18, inciso X). A análise de riscos é, portanto, um estudo prévio que orienta os gestores quanto à identificação dos riscos e à adoção de controles internos necessários para mitigá-los.
Nessa análise, de responsabilidade do gestor da área requisitante, devem ser identificados os riscos que possam ocorrer durante cada processo de contratação e prejudicar os objetivos pretendidos, considerando, dentre outros aspectos, o histórico de problemas enfrentados nas licitações e execuções contratuais anteriores do mesmo objeto.
Este Guia, para fins de operacionalização da análise de riscos de cada contratação pública, considerou dois aspectos:
I. Riscos que poderão afetar os objetivos da licitação e execução contratual, que consiste na realização do gerenciamento dos riscos próprios ou intrínsecos de cada processo de aquisição. Para essa situação, faz-se necessário utilizar a metodologia de gestão de riscos visando a sua identificação, análise e mitigação.
II. Riscos capazes de provocar desequilíbrio econômico-financeiro do contrato, que consiste em prever situações que podem ocasionar desproporção entre os termos contratados no início da relação e os suportados por qualquer das partes no decorrer da execução do contrato.
5.1. Análise de riscos que poderão afetar os objetivos da licitação e execução contratual
A NLLC prevê a obrigatoriedade da implementação da Gestão de Riscos em todas os processos de aquisição, determinando às organizações identificar e tratar riscos que possam comprometer os objetivos da contratação.
Nessa situação, a análise de riscos de cada contratação objetiva identificar os riscos que poderão afetar os objetivos da licitação e execução e propor controles internos para determinada aquisição.
A realização dessa análise compete ao agente responsável pela instrução processual da área requisitante, podendo solicitar auxílio do CRC e deve ser realizada na fase de planejamento.
O gerenciamento de riscos deve ser documentado no MAPA DE RISCOS DA CONTRATAÇÃO, que deve ser juntado aos autos dos processos de contratação no Sistema Eletrônico de Informações (SEI) e que apresenta desde a identificação de riscos até o plano de tratamento, disponível em:
Antes de elaborar os documentos técnicos que consolidam as principais decisões e informações sobre o objeto a ser contratado, incluindo a definição da estratégia para a seleção da melhor proposta e as condições que regerão a futura contratação, é essencial abordar os riscos identificados no Mapa. A área requisitante deve
antecipadamente lidar com esses riscos, sendo de sua responsabilidade realizar as ações de mitigação necessárias e registrá-las, antes de encaminhar à área de licitações e contratos.
A metodologia a seguir descreve, de forma resumida e simplificada, as etapas para análise de riscos de cada contratação, que tem como fundamento teórico as recomendações da Associação Brasileira de Normas Técnicas – NBR ISO 31000:2018 e como bases normativas a Portaria SEFAZ nº 162, de 13 de agosto de 2018, que instituiu o Programa de Gestão de Riscos estadual e a Orientação Técnica AGE nº 01/2023, que apresenta a metodologia de forma mais detalhada.
FASE 1 - ANÁLISE DE CONTEXTO E DEFINIÇÃO DO OBJETIVO
O QUE
O propósito da análise de contexto é verificar como os fatores internos e externos impactam os objetivos do processo de contratação. O estabelecimento do contexto é um precursor essencial para a etapa de identificação de riscos.
Nesta fase é definido o objetivo e quais fatores externos e internos podem impedir ou comprometer o sucesso da organização em alcançá-lo. O objetivo constitui o propósito ou resultado esperado da contratação pretendida e a sua clara compreensão e
definição é fundamental para que a organização possa realizar a análise de riscos. Ao fim desta etapa é estruturada a matriz SWOT.
A análise SWOT ou análise FOFA, em português, que se constitui em ferramenta usualmente empregada para fazer avaliação de cenário e análise de contexto.
A SWOT é utilizada para identificar, no ambiente interno, as forças e fraquezas e, no ambiente externo, ameaças e oportunidades. Estas informações vão contribuir para a identificação dos RISCOS.
COMO
Nesta fase utiliza-se a técnica de ANÁLISE SWOT dada a facilidade de sua realização e aplicação. Essa análise é realizada pelo responsável pela área requisitante da aquisição/contratação, numa ação conjunta envolvendo o agente de contratação e o futuro fiscal e/ou gestor a ser designado para o contrato, com apoio eventual da USCI e outros servidores que possuam conhecimento acerca do objeto da contratação, com o intuito de gerar uma lista de forças, oportunidades, fraquezas e ameaças que podem afetar a consecução dos objetivos pretendidos.
• FORÇAS: fatores positivos internos à organização e sob seu controle.
• OPORTUNIDADES: fatores positivos externos à organização e fora do seu controle.
• FRAQUEZAS: fatores negativos internos à organização e sob seu controle, que podem afetar o desempenho e o atingimento dos objetivos.
• AMEAÇAS: fatores negativos externos à organização e fora do seu controle, que podem afetar o atingimento dos objetivos.
O ambiente interno considera todos os aspectos que a organização tem controle, ou seja, tem como agir e tomar decisões. Como o próprio nome sugere, é tudo que “está dentro” da organização. Especificamente neste domínio estão localizadas as forças e fraquezas.
O ambiente externo leva em conta o que está fora do controle da organização. São aspectos para os quais não se tem poder de ação ou decisão e é onde as oportunidades e ameaças se encontram. Geralmente se referem a fatores políticos, econômicos, sociais, tecnológicos, ambientais e legais.
As informações coletadas vão contribuir para o levantamento dos RISCOS.
FASE 2 - IDENTIFICAÇÃO DOS RISCOS
O QUE
Esta etapa envolve o inventário e a descrição dos riscos.
Para que os riscos possam ser gerenciados é necessário primeiro identificá-los para, posteriormente, decidir o tipo de resposta e planejar o tratamento a ser dado a esses riscos.
Dessa forma, esta etapa visa a identificação e documentação dos eventos que possam comprometer a capacidade da organização alcançar os objetivos da contratação.
COMO
Tendo como referência as informações coletadas na fase anterior de Análise de Contexto, devem ser identificados os riscos associados à contratação pretendida.
O risco é identificado usualmente a partir do levantamento dos efeitos gerados pelos fatores negativos - fraquezas e ameaças - registrados na análise SWOT e que impactam diretamente o alcance do objetivo da contratação em análise. Esses efeitos serão considerados fontes de riscos ou, em algumas situações, se constituem o próprio risco.
A descrição de cada risco deve contemplar a identificação do evento de risco, suas causas e suas consequências. As causas são os fatores que, de forma individual ou
conjugada, têm o potencial de dar origem ao risco. As consequências são o resultado da materialização de um risco.
BOW TIE
A análise Bow tie ou gravata borboleta é uma maneira esquemática e simples de descrever e analisar os caminhos de um risco, desde as causas até as consequências, bem como a consistência da relação de causa e efeito.
O ramo esquerdo do diagrama corresponde ao mapeamento das CAUSAS, enquanto o ramo direito corresponde às CONSEQUÊNCIAS. No centro é registrado o EVENTO DE RISCO.
Para verificação da consistência entre causa e efeito pode ser utilizada a seguinte sintaxe:
FASE 3 - AVALIAÇÃO DOS CONTROLES EXISTENTES
O QUE
Realizar o levantamento e análise dos controles existentes na área de licitações e contratos relacionados aos riscos identificados.
COMO
Relacionar todos os controles internos existentes, ou seja, mecanismos, instrumentos e agentes de controle que atualmente estão em prática e permitem o enfrentamento do risco identificado, bem como o nível de confiança desses controles.
Os controles existentes devem ser avaliados aplicando-se a tabela “AVALIAÇÃO DE CONTROLES” a seguir.
A classificação do controle existente servirá como referência para a mensuração dos riscos, uma vez que inexistência e/ou deficiências (fraco e mediano) nos controles internos indicam fragilidades na sua eficácia operacional.
Da mesma forma, controles avaliados como eficientes (satisfatório e forte) indicam menor probabilidade de ocorrência de riscos e redução do seu impacto.
FASE 4 – MENSURAÇÃO DOS RISCOS O QUE
Após realizar a avaliação dos controles existentes na organização, atribui-se, para cada
risco identificado, uma classificação tanto para a probabilidade como para o impacto do evento, cuja combinação determinará o nível do risco.
O risco é uma função tanto da probabilidade como do impacto. Portanto, o nível do risco é expresso pela combinação da probabilidade de ocorrência do evento e de suas consequências, em termos da magnitude do impacto nos objetivos.
A probabilidade representa a possibilidade de que um determinado evento ocorra, enquanto o impacto representa o seu efeito.
COMO
CÁLCULO DA PROBABILIDADE (P)
Para o cálculo da probabilidade utiliza-se a tabela referencial de probabilidade, que é aferida em termos da frequência observada/esperada e/ou chance de ocorrência do evento de risco.
O cálculo da probabilidade utiliza a escala de 1 a 5, variando de 1, "muito baixa”, a 5, "muito alta", conforme tabela a seguir:
Para cada risco identificado deve ser atribuída uma nota que representa a probabilidade de ocorrência do evento de risco, conforme a tabela acima.
No cálculo da probabilidade são considerados os controles existentes na organização avaliados na etapa anterior. Isto porque a probabilidade sofre influência direta da existência e suficiência de controles internos.
CÁLCULO DO IMPACTO (I)
Para o cálculo do impacto utiliza-se tabela referencial que apresenta os fatores a serem considerados para orientar a análise do impacto do evento de acordo com seus efeitos, aplicando-se a escala de 1 a 5, variando de 1, “insignificante” a 5, “catastrófico”, conforme tabela a seguir:
MATRIZ DE RISCOS
A matriz de riscos se constitui em ferramenta gráfica que permite visualizar o nível de risco dos eventos que irão afetar a organização, possibilitando a tomada de decisões sobre aqueles que devem ter seu tratamento priorizado.
É definida pela combinação de dois fatores: probabilidade e impacto, ou seja, pela multiplicação da nota atribuída à probabilidade vezes a nota dada ao impacto (P x I).
Cada nível ou faixa de risco está representado por uma área de cor específica. Os níveis identificados em “vermelho” (nível crítico) e “laranja” (nível alto) devem receber maior atenção do que aqueles enquadrados nas cores “amarela” (nível moderado) e “verde” (nível pequeno).
NÍVEL DE RISCO
O nível de risco expressa a magnitude de determinado evento, em termos de combinação de seu impacto e probabilidade.
Da multiplicação entre as notas atribuídas a probabilidade e impacto resulta uma tabela de níveis de gravidade dos riscos com pontuações de 1 a 25, distribuídas em faixas com cores específicas, que variam de “pequeno” a “crítico”, conforme abaixo:
FASE 5 - SELEÇÃO DE RESPOSTA AOS RISCOS O QUE
Conhecido o nível de risco, é necessário estabelecer a estratégia que será adotada para tratar o evento de risco. Esta etapa envolve a identificação das alternativas mais adequadas para modificar o nível do risco. Selecionar a opção mais apropriada de tratamento envolve balancear os benefícios potenciais em relação ao alcance dos objetivos, face aos custos, esforço ou desvantagem da implementação.
COMO
A cada risco identificado e avaliado deverá ser proposta uma medida (respostas ao risco), que pode variar entre MITIGAR, EVITAR, TRANSFERIR ou ACEITAR. Essa resposta será definida levando-se em consideração o indicador de risco identificado e a complexidade do objeto.
MITIGAR: desenvolver ações para reduzir o risco, ou seja, remover suas fontes ou reduzir a probabilidade e/ou impacto do risco. É a resposta mais comum objetivando a reduzir o risco a um nível tolerável.
EVITAR: eliminar a atividade a qual o risco está associado, descontinuando o processo ou suspendendo as atividades que o originam. O risco não pode ser completamente eliminado e não existe risco com nível zero.
TRANSFERIR: compartilhar ou transferir parte dos riscos a terceiros.
ACEITAR: manter as práticas existentes, aceitando a exposição ao risco. Neste caso convém que a situação seja devidamente registrada e o risco mantido sob análise contínua.
FASE 6 - ELABORAÇÃO DO PLANO DE TRATAMENTO DOS RISCOS O QUE
Depois de selecionadas as respostas para cada risco, o próximo passo é a elaboração do plano para tratar os eventos de risco. Nesta etapa são definidas as ações e os controles necessários para assegurar que as repostas aos riscos sejam implementadas.
COMO
O propósito do Plano é especificar as ações de tratamento propostas, como serão implementadas, seus responsáveis, recursos necessários e prazos envolvidos. O monitoramento periódico do Plano deve ser realizado a fim de se verificar o avanço da implementação das ações de tratamento dos riscos identificados.
As ações a serem implementadas para tratar os riscos implicarão na introdução de novos controles ou na modificação dos controles existentes. O Plano deve contemplar o detalhamento do tratamento, prazos, atividades a serem executadas, responsáveis, intervenientes etc.
Cabe à área requisitante e de contratação adotar as providências cabíveis para implementar as ações previstas no Plano de Tratamento.
Para entendimento da metodologia, seguem-se as etapas a serem cumpridas, tendo como exemplo uma situação hipotética de contratação para aquisição de serviços de Tecnologia da Informação e Comunicação (TIC), em que foram identificados alguns
dos riscos referentes à essa contratação, assim como um rol não exaustivo de ações para tratamento dos riscos.
ÓRGÃO/ SECRETARIA: | Secretaria de Tecnologia | ||||
ÁREA REQUISITANTE: | Diretoria de Soluções Integradas (DSI) | ||||
OBJETO DA CONTRATAÇÃO: | Aquisição de serviços de Tecnologia da Informação e Comunicação (TIC) | ||||
RESPONSÁVEL: | Diretor da DSI - Fulano de Tal | ||||
DATA: | 02/05/2024 | ||||
FASE 1 - ANÁLISE DE CONTEXTO (SWOT) | |||||
AMBIENTE INTERNO | AMBIENTE EXTERNO | ||||
FORÇA | FRAQUEZA | OPORTUNIDADES | AMEAÇAS | ||
Apoio da Alta Gestão | Modelo atual de integração de sistemas inadequado | Disponibilidade de linhas de financiamento para modernização tecnológica | Ataques cibernéticos | ||
Disponibilidade de recursos para investimentos | Excesso de burocracia nos processos internos de aquisição | Novas Tecnologias e Era de Transformação Digital | Violação de dados estratégicos | ||
FASE 2 - IDENTIFICAÇÃO DE RISCOS | |||||
ITEM | CAUSAS | RISCOS | CONSEQUÊNCIAS | ||
1 | Especificações inadequadas | Aquisição de solução tecnológica de rápida obsolescência ou de ciclo de vida curto | Perda do investimento realizado | ||
Avanços rápidos e contínuos na área tecnológica | Interrupção de operações devido a substituições frequentes de sistemas | ||||
FASE 3 - AVALIAÇÃO DOS CONTROLES | FASE 4 - MENSURAÇÃO | ||||
CONTROLES EXISTENTES REFERERENTES AO PROCESSO DA CONTRATAÇÃO | NOTA | P | I | P x I | NÍVEL DO RISCO |
Participação em fórum com outros órgãos para troca de experiências | 2 | 3 | 4 | 12 | ALTO |
FASE 5 - RESPOSTA AO RISCO | FASE 6 - PLANO DE TRATAMENTO | ||||
RESPOSTAO AO RISCO | CONTROLES PROPOSTOS | ||||
MITIGAR | Incluir cláusulas contratuais que garantam conformidade com padrões emergentes | ||||
Instituir plano continuado de capacitação para equipe de TI | |||||
Contratar consultoria especializada para especificação do objeto | |||||
FASE 6 - PLANO DE TRATAMENTO DE RISCOS | |||||||
N.º DO RISCO | CONTROLES A SEREM IMPLANTADOS OU APERFEIÇOADOS | POR QUE SERÁ FEITO | COMO SERÁ REALIZADO | QUEM SERÁ O RESPONSÁVEL | ONDE SERÁ REALIZADO | QUANDO SERÁ REALIZADO | QUANTO CUSTARÁ |
1 | Incluir cláusulas contratuais que garantam conformidade com padrões emergentes | Assegurar a atualização tecnológica | Elaborar novo modelo de contrato | Diretor Jurídico | Setor Jurídico | Após elaboração do TR | Custo zero |
1 | Instituir plano continuado de capacitação para equipe de TI | Assegurar a atualização tecnológica | Implementar plano de capacitação continuado | Diretor de Gestão de Pessoas (GP) | Diretoria de GP | Ação contínua | R$ 30 mil/ano |
1 | Contratar consultoria especializada para especificação do objeto | Obter a expertise adequada sobre os requisitos | Realizar Contratação pública | Área de Tecnologia da Informação | Área de Contratação | Em três meses | R$ 150/h |
5.2. Análise de riscos capazes de provocar desequilíbrio econômico-financeiro do contrato
A análise de riscos capazes de provocar desequilíbrio econômico-financeiro do contrato é materializada na Matriz de Alocação de Riscos, prevista no artigo 6º, XXVII; artigo
22 e artigo 103, da Lei nº 14.133/2023, que se constitui em cláusula contratual definidora dos riscos e responsabilidades entre as partes, em termos de ônus financeiro decorrente dos eventos supervenientes à contratação.
A Matriz é importante para a segurança jurídica dos contratos da Administração Pública, contribuindo para que as partes prevejam os riscos que podem afetar o equilíbrio econômico-financeiro da contratação, propondo ações e repartição de responsabilidades em caso de sua materialização.
A Matriz promoverá a alocação dos riscos de cada contrato, estabelecendo parcela do ônus financeiro de cada parte contratante, e estará contemplada no edital e no respectivo contrato nas situações previstas na NLLC.
Neste ponto, é importante destacar que a análise de riscos abordada no item 3.1 deste Guia não se confunde com a Matriz de Alocação de Riscos abordada neste item.
A análise dos riscos que poderão afetar os objetivos da licitação e execução contratual está em um plano mais amplo e envolve todos os riscos da licitação e da contratação, sendo uma atividade de planejamento e gerenciamento da organização e dos projetos. A Matriz de Alocação de Riscos, por sua vez, é uma cláusula contratual, decorrente da análise que distribui riscos apenas do contrato e define o seu equilíbrio econômico- financeiro inicial.
Note-se, por fim, que embora a análise de riscos seja obrigatória para todas as contratações, a elaboração da Matriz de Alocação de Riscos é obrigatória apenas para os contratos estimados de grande vulto e para as contratações integradas e semi- integradas (NLLC, artigo 22, § 3º) sendo, portanto, facultativa para os demais contratos.
A elaboração da Matriz tem como responsável o gestor da área requisitante. Dessa forma, os parâmetros e o detalhamento dos procedimentos necessários à identificação, alocação e quantificação financeira da matriz de alocação de riscos serão definidos nos estudos técnicos preliminares (ETP), quando for o caso.
As orientações e diretrizes para a quantificação financeira da matriz de alocação de riscos entre contratantes e contratados serão definidas em normativa específica a ser expedida pela Auditoria Geral do Estado (AGE).
6. TERMOS E DEFINIÇÕES
Para os efeitos deste Guia consideram-se os seguintes termos e definições:
a) ALTA ADMINISTRAÇÃO: corpo dos dirigentes máximos da organização, que geralmente abrange o principal dirigente, o seu substituto imediato, sua equipe de assessoramento direto e outros ocupantes de cargo de natureza especial e que tem como principal papel a implantação e manutenção de mecanismos, instâncias e práticas de governança, de acordo com as legislações aplicáveis.
b) CONTROLE INTERNO: compreende o conjunto de regras, procedimentos, dispositivos, práticas, diretrizes, protocolos, rotinas de sistemas informatizados, conferências e trâmites de documentos e informações, entre outros, operacionalizados pela organização e destinados a enfrentar os riscos e fornecer segurança razoável na consecução dos objetivos. O estabelecimento de controles internos visa a essencialmente aumentar a probabilidade de que os objetivos e metas estabelecidos sejam alcançados, de forma eficaz, eficiente, efetiva e econômica.
c) GESTÃO DE RISCOS: corresponde ao conjunto de atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos (ISO Guia 75:2009). Para efeito deste Manual, as expressões “gestão de riscos”, “análise de riscos” e “gerenciamento de riscos” possuem o mesmo significado.
d) GOVERNANÇA PÚBLICA: conjunto de mecanismos de liderança, estratégia e controle postos em prática para avaliar, direcionar e monitorar a gestão, com vistas à condução de políticas públicas e à prestação de serviços de interesse da sociedade.
e) INDICADOR DE NÍVEL DOS CONTROLES: métrica que permite descrever, classificar, ordenar, comparar ou quantificar os controles internos. Reflete, assim, o nível de consistência e eficácia operacional dos controles internos da área de licitações e contratos do órgão/entidade.
f) MAPA DE ESTRUTURAÇÃO DE CONTROLES INTERNOS DO PROCESSO DE CONTRATAÇÃO PÚBLICA: documento que contém a identificação dos riscos do
processo de contratação e instrumento a ser aplicado para avaliar o nível de confiança dos controles internos, além do plano de tratamento de riscos.
g) MAPA DE ANÁLISE DE RISCOS DE CADA CONTRATAÇÃO: documento que contém a identificação dos riscos específicos da contratação e respectivo plano de tratamento de riscos.
h) MATRIZ DE ALOCAÇÃO DE RISCOS: cláusula contratual definidora de riscos e de responsabilidades entre as partes e caracterizadora do equilíbrio econômico- financeiro inicial do contrato, em termos de ônus financeiro decorrente de eventos supervenientes à contratação.
i) PLANO DE TRATAMENTO DE RISCOS: parte integrante dos Mapas de
estruturação dos controles internos do processo de contratação pública e mapa de análise de riscos de cada contratação que contém propostas de controles capazes de mitigar probabilidade ou impacto da ocorrência dos riscos identificados.
j) PROCESSO DE CONTRATAÇÃO: fases sequenciais de planejamento da contratação, seleção do fornecedor e gestão do contrato, desde a oficialização da demanda até a execução contratual e pagamento. Para efeito deste Manual, pode ser utilizada a expressão “processo de contratação” ou “metaprocesso” com o mesmo significado.
k) RISCO: possibilidade de ocorrência de um evento que venha a ter impacto negativo no cumprimento dos objetivos do processo licitatório e das contratações. O risco é, portanto, um evento ou condição futura e incerta que, se ocorrer, provocará um efeito negativo, ou seja, um impacto que vai prejudicar um determinado objetivo.
7. CONCLUSÃO
Neste Guia buscou-se apresentar orientações práticas em relação às diversas situações a serem enfrentadas durante a execução da gestão de riscos prevista na NLLC.
8. REFERENCIAIS
▪ CGU - Controladoria-Geral da União. Disponível em xxxxx://xxx.xxx.xx/xxx/xx-xx
▪ ENAP – Escola Nacional de Administração Pública. Disponível em xxxxx://xxx.xxxx.xxx.xx/xx/
▪ Norma Brasileira ABNT NBR ISO 31000/2018. Gestão de Riscos – Diretrizes.Guia de Aplicação do Programa de Gestão de Riscos (PGR BA). Disponível em: xxxxx://xxx.xxxxx.xx.xxx.xx/xxxx/xxxxxxxx-xxxxxxx/Xxxx_Xxxxxxxxx_XXX.xxx