Resumo

As organizações atuam em contexto complexo, formado por diversos agentes atuantes da cadeia produtiva, com poder de influência sobre o alcance dos seus objetivos. Com isso, a gestão de riscos corporativos (GRC) deve contemplar a análise dos riscos oriundos da cadeia de valor. Este trabalho trata da análise do sistema de GRC do Instituto Nacional de Controle de Qualidade em Saúde (INCQS). O objetivo é identificar os riscos corporativos e avaliar o nível de maturidade desse sistema, propondo melhorias que possam proporcionar uma garantia razoável de alcance dos objetivos estratégicos.

O INCQS é o Instituto da Fiocruz dedicado à análise do controle de qualidade de insumos, produtos, ambientes e serviços para a saúde e expedição de laudos técnicos para o registro e comercialização de materiais. Tem uma contribuição fundamental ao enfrentamento da pandemia da COVID-19 ao realizar a análise de todas as vacinas que estão sendo produzidas e comercializadas no Brasil. A implantação da GRC no INCQS é relativamente recente, fruto da Política de Integridade, Risco e Controle Interno da Fiocruz. Nesse contexto, o Instituto concluiu o primeiro ciclo de gestão de riscos corporativos.

Foi realizada uma pesquisa documental e estudo de caso, com entrevistas a profissionais do INCQS. Os agentes do ambiente de negócios foram categorizados e as relações foram mapeadas. Destacaram-se os riscos relacionados com fornecedores de equipamentos, governo, investidores e hackers. As práticas de gestão de riscos relacionam-se com fatores organização (implantação de política e comitê dedicado), tecnicidade (plano para implementação de métricas), transparência (comunicação de riscos, cultura e capacitação) e envolvimento (mitigação de riscos de fornecedores e protocolos de biossegurança).

No processo de identificação de riscos corporativos, a divisão dos agentes em subgrupos permitiu maior eficiência e consideração das especificidades das relações. Na avaliação do nível de maturidade em GRC, os fatores foram decompostos em elementos e avaliados, calculando-se a efetividade ponderada. Os fatores “organização” e “transparência” sobressaíram; já “tecnicidade” e “envolvimento” apresentaram nível baixo. Sugeriu-se práticas orientadas para desenvolver os componentes mais deficientes: implementação de indicadores; adoção de modelos de GRC; gestão integrada de riscos nas contratações.

A aplicação do modelo de avaliação dos riscos corporativos complementa outros processos de gestão organizacionais. A avaliação de riscos oriundos de agentes externos possibilitou enxergar a cadeia de valor como um todo, potencializando a identificação da influência desses agentes. A análise do nível de maturidade do sistema de GRC demonstrou-se uma ferramenta relevante no acompanhamento e planejamento da aplicação de recursos nos fatores mais deficientes e estabelecimento de comparativos com outras organizações inseridas no mesmo setor, apoiando seus processos de tomada de decisão.

O modelo teórico aplicado e seus resultados poderão servir de reflexões para a caracterização e mitigação de riscos corporativos e de modelo para os outros Órgãos Específicos Singulares da Fiocruz, contribuindo para o fortalecimento do sistema de GRC e consequente melhoria do desempenho e geração de valor para a organização e para a sociedade. Para as outras organizações do Sistema Nacional de Vigilância em Saúde, esse estudo poderá contribuir na identificação e avaliação dos sistemas de controle e processos internos, análise de riscos e aperfeiçoamento do processo de tomada de decisão.