A combinação da minha formação teórica e vivência prática tanto como auditor quanto como gestor suscitou uma preocupação que compartilho nesse artigo com o objetivo de provocar reflexões, pois todo o risco, por mais que contrarie nossas ideias, deve ser, no mínimo discutido. É um risco a gestão de risco ser vista pelos gestores como tecnologia de controle e não de gestão e quais as implicações dessa visão? Observo já há algum tempo a implantação da gestão de riscos no setor público brasileiro. O primeiro impulso por esse movimento veio, ainda em 2012, quando o Tribunal de Contas da União iniciou o primeiro trabalho de inventário de práticas de gestão de riscos na Administração Indireta. Posteriormente a Controladoria Geral da União e o então Ministério do Planejamento também se interessaram pelo tema e começaram a divulgar seus manuais técnicos sobre o assunto. Por força da dinâmica de funcionamento da Administração Pública é natural que as entidades da Administração Indireta (Sociedades de Economia Mista, Empresas Públicas, Autarquias e Fundações Públicas) sofram grande influência dos órgãos de controle., assim como os órgãos da Administração Direta. Da mesma forma, por força de mecanismos de isomorfismo institucional, as auditorias internas são influenciadas pelos órgãos de controle interno e externo, assim como por organizações de cunho profissional como o Instituto dos Auditores Internos. O baixo nível de conscientização sobre gestão de riscos na Administração Pública junto com um movimento de divulgação dessa matéria pelos órgãos e entidades de auditoria implicam em um grande risco de identificação da gestão de riscos como sendo uma atividade de controle e não uma tecnologia de gestão. Quando isso ocorre os gestores tendem a implementar a gestão de riscos formalisticamente, ou seja, apenas aparentemente. Existem políticas, manuais, procedimentos e pessoas designadas para implementar ou fazer a gestão de riscos, mas ela não é vista como algo útil para a gestão, integrada aos processos de trabalho e sim como um ritual para atender às exigências dos órgãos de controle. Mais preocupante ainda é a ideia de que a auditoria interna deva usar os riscos identificados pelos gestores para programar os trabalhos de auditoria que constarão no seu plano de auditoria. Quando se faz o exercício de se colocar no lugar do gestor e descobrir que se você registrar um risco mais relevante você poderá ser auditado não é difícil prever que você preferirá não registrar tal risco com a intenção de não ser auditado. Por mais que a auditoria interna pretenda apenas ajudar a organização a lidar com esses riscos identificados, a palavra auditoria ainda está associada a uma carga negativa de preocupações, trabalho extra para atender os auditores e exposição da área junto à alta administração. A tendência do cérebro humano é fugir da dor, distorcendo o funcionamento da gestão de riscos mesmo onde havia intenção genuína de executá-la efetivamente. Por fim, outro risco à efetiva implantação da gestão de riscos no Setor Público em razão de sua identificação como tecnologia de controle é quando a comunidade de auditoria exige procedimentos complicados dos gestores para a realização da gestão de riscos. Se os procedimentos forem complicados o gestor acaba não implementando. Há alguns passos na gestão de riscos que são elegantes do ponto de vista teórico, mas tem uma relação custo x benefício duvidosa para quem vive uma rotina gerencial. Maximizar essa relação custo x benefício é fundamental para aumentar as chances de institucionalização. A atuação da comunidade de auditoria e dos órgãos de controle e auditoria é plenamente possível e desejável quando se fala de gestão de riscos mas como tudo na vida é preciso equilíbrio para não exagerar na dose. O principal desafio dos auditores é deixar a gestão de riscos ser executada por gestores de forma simples e prática, verificando e orientando sua implementação de tempos em tempos, só isso. #gestão de risco #auditoria