Apostila Gestc3a3o de Risco Cciex

MINISTRIO DA DEFESA
EXRCITO BRASILEIRO
COMANDO DO EXRCITO
APOSTILA DE GESTO DE RISCOS

1 VERSO
1
CHEFE DO CENTRO DE CONTROLE INTERNO DO EXRCITO
General de Diviso LUIZ ARNALDO BARRETO ARAUJO
Equipe Responsvel
Coronel Adelson Robbi
Major Jorge Rodrigo Faria
Major Celso Rossato Santi
Major Fabio de Moura Sousa
Confeco e diagramao
Seo de Planejamento e Estudos
2
Sumrio
1. PREMISSAS E OBJETIVOS 4
2. CONCEITOS 4
3. GESTO DE RISCOS 6
4. COMPONENTES DA GESTO DE RISCOS 7
5. AMBIENTE INTERNO 8
6. FIXAO DE OBJETIVOS 10
7. IDENTIFICAO DE EVENTOS 11
8. AVALIAO DE RISCOS 12
9. RESPOSTAS A RISCOS 20
10. ATIVIDADES DE CONTROLE 21
11. INFORMAES E COMUNICAES 24
12. MONITORAMENTO 24
13. DISPOSIES FINAIS 28
14. REFERNCIAS BIBLIOGRFICAS 29
3
APOSTILA DE GESTO DE RISCOS
1. PREMISSAS E OBJETIVOS
1.1. A Apostila de Gesto de Riscos tem como premissas o alinhamento s estratgias, a

sistematizao, o comprometimento dos gestores e a integrao aos processos organizacionais e
tomada de decises.
1.2. So objetivos da Apostila de Gesto de Riscos apresentar metodologia, critrios e tcnicas para
a aplicao prtica da Gesto de Riscos, bem como orientar a identificao, a anlise, a avaliao, o
tratamento, o monitoramento e a comunicao dos riscos institucionais.
1.3. Esta Apostila compe o material didtico do Curso de Controles Internos da Gesto ministrado
pelo Centro de Controle Interno do Exrcito.
2. CONCEITOS
2.1. Para fins desta Apostila, considera-se:
a) Accountability: conjunto de procedimentos adotados pelas organizaes pblicas e pelos

indivduos que as integram que evidenciam sua responsabilidade por decises tomadas e aes
implementadas, incluindo a salvaguarda de recursos pblicos, a imparcialidade e o desempenho das
organizaes;
b) Governana: combinao de processos e estruturas implantadas pela alta administrao, para

informar, dirigir, administrar e monitorar as atividades da organizao, com o intuito de alcanar os
seus objetivos;
c) Governana no setor pblico: compreende essencialmente os mecanismos de liderana,

estratgia e controle postos em prtica para avaliar, direcionar e monitorar a atuao da gesto, com
vistas conduo de polticas pblicas e prestao de servios de interesse da sociedade. No
mbito do Exrcito, a governana exercida pelo seu Comandante, assessorado pelo Alto Comando
do Exrcito;
d) Risco: possibilidade de ocorrncia de um evento que venha a ter impacto no cumprimento dos
objetivos. O risco medido em termos de probabilidade e de impacto;
e) Risco inerente: risco a que uma organizao est exposta sem considerar quaisquer aes
gerenciais que possam reduzir a probabilidade de sua ocorrncia ou seu impacto;
f) Risco residual: risco a que uma organizao est exposta aps a implementao de aes
gerenciais para o tratamento do risco;
g) Evento: ocorrncia ou alterao em um conjunto especfico de circunstncias capaz de causar

impacto;
h) Causa ou fator de risco: condio que pode dar origem possibilidade de um evento acontecer.
Pode ter origem no ambiente interno ou externo;
i) Consequncia do risco: resultado de um evento sobre os objetivos;
4
j) Probabilidade: quantificao da possibilidade de ocorrncia do evento;
k) Impacto: consequncia resultante da ocorrncia do evento sobre os objetivos;
l) Incerteza: incapacidade de saber com antecedncia a real probabilidade ou impacto de eventos

futuros;
m) Mensurao de risco: significa estimar a importncia de um risco e calcular a probabilidade e o

impacto de sua ocorrncia;
n) Gesto de riscos: processo para identificar, avaliar, administrar e controlar potenciais eventos ou
situaes, para fornecer razovel certeza quanto ao alcance dos objetivos da organizao;
o) Apetite a risco: nvel de risco que uma organizao est disposta a aceitar;
p) Tolerncia a risco: limiar de risco, a partir do qual, certos resultados das operaes da
organizao podem ser comprometidos. um indicativo da sensibilidade da organizao em relao
aos riscos;
q) Fraude: quaisquer atos ilegais caracterizados por desonestidade, dissimulao ou quebra de

confiana. Estes atos no implicam o uso de ameaa de violncia ou de fora fsica. Fraude um
tipo especfico de risco; e
r) Controles internos da gesto: conjunto de regras, procedimentos, diretrizes, protocolos, rotinas

de sistemas informatizados, conferncias e trmites de documentos e informaes, entre outros,
operacionalizados de forma integrada pelo Comandante e por seus subordinados, destinados a
enfrentar os riscos e fornecer segurana razovel de que, na consecuo da misso da Organizao
Militar, os seguintes objetivos gerais sejam alcanados:
Execuo ordenada, tica, econmica, eficiente e eficaz das operaes;
Cumprimento das obrigaes de accountability;
Cumprimento das leis e regulamentos; e
Salvaguarda dos recursos para evitar perdas, mau uso e danos.
2.2. O estabelecimento de controles internos no mbito da gesto pblica visa essencialmente a

aumentar a probabilidade de que os objetivos e metas estabelecidos sejam alcanados, de forma
eficaz, eficiente, efetiva e econmica.
5
3. GESTO DE RISCOS
3.1. A Gesto de Riscos um processo conduzido pelo Exrcito Brasileiro, desde o Comit de
Governana, Riscos e Controles at o Gestor de Riscos, no estabelecimento de estratgias,
formuladas para identificar em toda a Instituio eventos em potencial, capazes de afet-la, e
administrar os riscos de modo a mant-los compatveis com o apetite a risco estabelecido na
Poltica de Gesto de Riscos do Exrcito e possibilitar garantia razovel do cumprimento dos seus
objetivos.
3.2. A definio da Gesto de Riscos reflete certos conceitos fundamentais. A gesto de riscos :
a) Um processo contnuo e que flui atravs do Exrcito;
b) Conduzida por militares e civis em todos os nveis da Instituio;
c) Aplicada definio das estratgias;
d) Formulada para identificar eventos em potencial, cuja ocorrncia poder afetar as Organizaes
Militares, e para administrar os riscos de acordo com o apetite a risco do Exrcito;
e) Capaz de propiciar garantia razovel quanto o alcance dos objetivos; e
f) Orientada para a realizao de objetivos em uma ou mais categorias distintas, mas dependentes.
3.3. Com base na misso ou viso estabelecida pelo Exrcito, a Alta Administrao do Exrcito (ou
Comit de Governana, Riscos e Controles) estabelece os planos principais, seleciona as estratgias
e determina o alinhamento dos objetivos nos nveis da Instituio. Essa estrutura de gesto de riscos
orientada a fim de alcanar os objetivos de uma Organizao Militar, classificados em quatro
categorias:
a) Estratgicos: atingimento das metas gerais, alinhadas com o que suportem sua misso;
b) Operacionais: utilizao eficaz e eficiente dos recursos;
c) De Comunicao: confiabilidade de relatrios; e
d) De Conformidade: cumprimento de leis e regulamentos aplicveis.
3.4. Quando se constata que a gesto de riscos eficaz em cada uma das quatro categorias de
objetivos, isso significa que o Comandante do Exrcito e a Alta Administrao (ou Comit de
Governana, Riscos e Controles) tero garantia razovel de que entenderam at que ponto, os
objetivos estratgicos e operacionais esto realmente sendo alcanados, o sistema de comunicao
da Instituio confivel e todas as leis e regulamentos cabveis esto sendo observados.
3.5. A Metodologia de Gesto de Riscos que o Exrcito adota a metodologia presente na obra
Gerenciamento de Riscos Corporativos Estrutura Integrada publicada pelo Committee of
Sponsoring Organizations of The Treadway Commission (COSO).
6
4. COMPONENTES DA GESTO DE RISCOS
4.1. A Estrutura do Modelo de Gesto de Riscos constituda de oito componentes inter-

relacionados e integrados com o processo de gesto das Organizaes Militares. Esses componentes
so:
a) Ambiente interno: inclui, entre outros elementos, integridade, valores ticos e competncia das
pessoas, maneira pela qual a gesto delega autoridade e responsabilidades, estrutura de governana
organizacional, polticas e prticas de recursos humanos. O ambiente interno a base para todos os
outros componentes da estrutura de gesto de riscos, provendo disciplina e prontido para a gesto
de riscos;
b) Fixao de objetivos: todos os nveis do Exrcito Brasileiro (Alta Administrao,

Departamentos, Diretorias e Organizaes Militares) devem ter objetivos fixados e comunicados. A
explicitao de objetivos, alinhados misso e viso da organizao, necessria para permitir a
identificao de eventos que potencialmente impeam sua consecuo;
c) Identificao de eventos: devem ser identificados e relacionados os riscos inerentes prpria

atividade da organizao, em seus diversos nveis;
d) Avaliao de riscos: os eventos devem ser avaliados sob a perspectiva de probabilidade e

impacto de sua ocorrncia. A avaliao de riscos deve ser feita por meio de anlises qualitativas,
fazendo uso de lgica intuitiva com critrios preestabelecidos e escala de valorao para determinar
o nvel do risco. Os riscos devem ser avaliados quanto sua condio de inerentes ou residuais;
e) Resposta a riscos: a Organizao Militar deve identificar qual estratgia seguir (evitar, mitigar,
compartilhar ou aceitar) em relao aos riscos mapeados e avaliados. A escolha da estratgia
depender do nvel de exposio a riscos previamente estabelecido pelo Exrcito Brasileiro em
confronto com a avaliao que se fez do risco;
f) Atividades de controles internos: so as polticas e os procedimentos estabelecidos e executados

para mitigar os riscos que a organizao tenha optado por tratar. Tambm denominadas de
procedimentos de controle, devem estar distribudas por toda a organizao, em todos os nveis e
em todas as funes. Incluem uma gama de controles internos da gesto preventivos e detectivos,
bem como a preparao prvia de planos de contingncia e resposta materializao dos riscos;
g) Informao e comunicao: informaes relevantes devem ser identificadas, coletadas e

comunicadas, a tempo de permitir que as pessoas cumpram suas responsabilidades, no apenas com
dados produzidos internamente, mas, tambm, com informaes sobre eventos, atividades e
condies externas, que possibilitem o gerenciamento de riscos e a tomada de deciso. A
comunicao das informaes produzidas deve atingir todos os nveis, por meio de canais claros e
abertos que permitam que a informao flua em todos os sentidos; e
h) Monitoramento: tem como objetivo avaliar a qualidade da gesto de riscos e dos controles
internos da gesto, por meio de atividades gerenciais contnuas e/ou avaliaes independentes,
buscando assegurar que estes funcionem como previsto e que sejam modificados apropriadamente,
de acordo com mudanas nas condies que alterem o nvel de exposio a riscos.
7
5. AMBIENTE INTERNO
5.1. O Ambiente Interno a base para todos os outros componentes da Gesto de Riscos, o que
propicia disciplina e estrutura. Esse ambiente influencia o modo pelo qual as estratgias e os
objetivos so estabelecidos, os negcios so estruturados, e os riscos so identificados, avaliados e
geridos. Este influencia o desempenho e o funcionamento das atividades de controle, dos sistemas
de informao e comunicao, bem como das atividades de monitoramento.
5.2. Sendo influenciado pela histria e cultura do Exrcito, o Ambiente Interno compreende muitos
elementos, inclusive os valores ticos da Instituio, a competncia e desenvolvimento pessoal, a
filosofia da administrao para a gesto de riscos, a atribuio de alada e responsabilidade.
5.3. Os fatores do ambiente interno compreendem a filosofia administrativa da Instituio no que

diz respeito aos riscos; o seu apetite a risco; a superviso do Comit de Governana, Riscos e
Controles; a integridade, os valores ticos e a competncia dos militares e civis do Exrcito; e a
forma pela qual a Alta Administrao atribui aladas e responsabilidades, bem como organiza e
desenvolve o seu pessoal.
5.4. A filosofia de gesto de riscos do Exrcito representada pelo conjunto de convices e

atitudes compartilhadas que caracterizam a forma pela qual a Instituio considera o risco em tudo
aquilo que faz, do desenvolvimento e da implementao de estratgias s suas atividades do dia-a-
dia. Sua filosofia de gesto de riscos reflete em seus valores, influencia a sua cultura e seu estilo
operacional, bem como afeta a forma que os componentes de gesto de riscos so aplicados
inclusive como os riscos so identificados, os tipos de riscos aceitveis e a forma pela qual so
administrados.
5.5. O apetite a risco refere-se ao nvel de risco que o Exrcito dispe-se a aceitar na busca de
valor. O apetite a risco reflete na filosofia de gesto de riscos e, por sua vez, influencia a cultura e o
estilo operacional.
5.6. O Comit de Governana, Riscos e Controles do Exrcito representa uma parte crtica do
ambiente interno e capaz de influenciar os seus elementos de forma significativa. A despeito do
fato que, historicamente, uma instituio no tenha incorrido em prejuzos e nem se exponha muito
a riscos, os membros do Comit no devem sucumbir noo mtica de que eventos que trazem
srias consequncias adversas no vo ocorrer no Exrcito. Eles reconhecem que, embora a
Instituio possa ter uma estratgia perfeita, pessoas competentes, processos ntegros e tecnologia
confivel, ela, como qualquer outra instituio, vulnervel a risco e necessita de uma gesto de
riscos eficaz.
5.7. A estratgia e os objetivos do Exrcito e o modo pelo qual so implementados baseiam-se em

preferncias, julgamentos de valor e estilos gerenciais. A integridade e o compromisso da Alta
Administrao com valores ticos influenciam essas preferncias e esses julgamentos, os quais so
traduzidos em normas de comportamento. A boa reputao da Instituio pode ser to valiosa que
seus padres de comportamento devem estender-se alm do mero cumprimento de normas.
5.8. A competncia profissional dos militares e civis do Exrcito reflete no conhecimento e nas
habilidades necessrias execuo de tarefas designadas. A Alta Administrao do Exrcito decide
quo bem essas tarefas necessitam ser executadas, ponderando as estratgias e os objetivos da
Instituio, bem como os planos para a sua implementao e realizao. A Alta Administrao do
Exrcito estipula os nveis de competncia para determinados trabalhos e traduz esses nveis em
habilidades e conhecimentos necessrios, que por sua vez, podem depender do grau de inteligncia,
8
treinamento e experincia individual. Os fatores considerados no desenvolvimento dos nveis de
conhecimentos e habilidades incluem a natureza e o grau de julgamento utilizado em uma funo
especfica.
5.9. A estrutura organizacional do Exrcito prov o arcabouo para planejar, executar, controlar e
monitorar as suas atividades. A estrutura inclui a definio de reas fundamentais de autoridade e
responsabilidade, bem como a definio de linhas apropriadas de comunicao.
5.10. A atribuio de alada e responsabilidade inclui at que ponto pessoas e equipes esto
autorizadas e so incentivadas a adotar sua prpria iniciativa ao abordar questes, bem como a
solucionar problemas e os limites dessa autoridade. A delegao de autoridade significa passar o
controle central de determinadas decises aos escales inferiores para o pessoal que est mais
prximo das atividades cotidianas.
5.11. O desafio crucial delegar apenas at o grau necessrio ao alcance dos objetivos, a fim de
assegurar que o processo decisrio esteja embasado em prticas sadias de identificao e avaliao
de riscos, inclusive o dimensionamento de riscos e a comparao entre o potencial de prejuzo com
os ganhos na determinao de quais riscos aceitar e de como sero administrados.
5.12. Outro desafio assegurar que todo o pessoal entenda os objetivos da Instituio. essencial
que as pessoas entendam de que forma suas aes se inter-relacionam e contribuem para a
realizao dos objetivos.
9
6. FIXAO DE OBJETIVOS
6.1. A fixao de objetivos uma precondio identificao de eventos, avaliao de riscos e s

respostas aos riscos. necessrio que os objetivos existam para que a Organizao Militar possa
identificar e avaliar os riscos quanto a sua realizao, bem como adotar as medidas necessrias para
administr-los.
6.2. A definio dos processos crticos, que mais impactam no atingimento dos objetivos da OM,
poder ser feita estabelecendo uma correlao entre os processos e os objetivos da OM. O resultado
ser uma matriz que prioriza os processos mais crticos a serem analisados, conforme Tabela 1.
Tabela 1 Priorizao dos Processos Crticos
Objetivos Total da
O1 O2 O3 O4 O5 relao
P1 5 3 5 - 5 18
P2 3 - 5 5 3 16
Processos
P3 5 1 - 3 5 14
P4 - 1 5 5 3 14
Legenda: P=processo; O=objetivo
Relao Processo x Objetivo Pontos
Forte 5
Mdia 3
Fraca 1
Sem relao -
Fonte: Adaptado de ENAP (2016)
6.3. Aps a priorizao dos processos mais crticos a serem analisados, devem-se definir os
objetivos do processo em anlise. Exemplo:
a) Processo: Oficializao da demanda
b) Objetivos:
(01) Solicitar a aquisio de produtos e servios para atender uma necessidade da requisitante com
produtos e/ou servios;
(02) Descrever adequadamente o objeto da aquisio;
(03) Levantar a quantidade necessria para atender a demanda;
(04) Informar o prazo para o recebimento de produtos e servios com base na utilizao dos
mesmos;
(05) Justificar a necessidade de aquisio;
(06) Realizar pesquisa de preo; e
(07) Solicitar a aquisio em conformidade com leis e regulamentos.
10
7. IDENTIFICAO DE EVENTOS
7.1. A OM identifica os eventos em potencial que, se ocorrerem, afetaro a organizao, por

possurem efeitos adversos na sua capacidade de implementar adequadamente a estratgia e
alcanar os objetivos. Estes eventos representam riscos que exigem avaliao e resposta da OM. A
Figura 1 apresenta uma viso ampla sobre os conceitos de risco, evento, causa, consequncia,
probabilidade e impacto.
Figura 1 Esquema do Risco
Fonte: CCIEx (2016)
7.2. Todo processo tem uma razo de ser que deve estar intimamente relacionado aos objetivos
estratgicos. Definimos isto como objetivos do processo que precisam ser conhecidos. Com base
nestes objetivos, identificamos os riscos inerentes ao processo, isto , o que pode acontecer que
impacte no alcance dos objetivos do processo, de acordo com o exemplo da Tabela 2.
Tabela 2 Identificao dos Riscos Inerentes
Objetivos do processo N Obj Riscos inerentes aos objetivos N Risco

Solicitar a aquisio de produtos e servios
Requisio confeccionada por quem no necessita de
para atender uma necessidade da requisitante O1 R1
produto/servio
com produtos e/ou servios
Descrever adequadamente o objeto da
O2 No descrever adequadamente o objeto da aquisio R2
aquisio
Levantar a quantidade necessria para atender No levantar a quantidade necessria para atender a
O3 R3
a demanda demanda
Informar o prazo para o recebimento de
No informar o prazo para o recebimento de produtos
produtos e servios com base na utilizao O4 R4
e servios com base na utilizao dos mesmos
dos mesmos
Justificar a necessidade de aquisio O5 Ausncia de justificativa da necessidade de aquisio R5
Ausncia de pesquisa de preo ou pesquisa de preo
Realizar pesquisa de preo O6 R6
mal executada
Solicitar a aquisio em conformidade com Solicitao em desconformidade com leis e
O7 R7
leis e regulamentos regulamentos
Fonte: CCIEx (2016)
7.3. A utilizao de numeradores nos objetivos, riscos, fatores de risco e controles facilitar a
gesto de riscos da OM.
11
8. AVALIAO DE RISCOS
8.1. Uma infinidade de causas internas e externas (fatores de risco) impulsiona os riscos que afetam
a implementao da estratgia e o cumprimento dos objetivos. Como parte da gesto de riscos, a
OM deve reconhecer a importncia de compreender essas causas e o risco que pode emanar delas.
8.2. A OM pode optar pela tcnica do Diagrama de Causa e Efeito (Figura 2), chamada Diagrama
de Ishikawa ou de Espinha de Peixe, para poder entender quais so os fatores de risco que
influenciam a concretizao de cada risco.
Figura 2 Diagrama de Causa e Efeito
Fonte: CCIEx (2016)
8.3. Os fatores de risco so compostos pela vulnerabilidade existente em uma determinada Fonte de
Risco.
8.4. A Fonte de Risco um elemento que, individualmente ou combinado, tem o potencial

intrnseco para dar origem ao risco:
a) Pessoas que podem no estar capacitadas, ou vir a cometer erro no-intencional ou fraude;
b) Processos que podem apresentar problemas de modelagem, transao, conformidade, controle
ou tcnica apropriada;
c) Sistemas de gesto;
d) Infraestruturas fsica e organizacional que podem ser departamentalizadas ou descentralizadas;
e) Tecnologia de produto ou de produo equipamentos; sistemas informatizados e confiabilidade
da informao; e
f) Eventos externos que no so gerenciveis.
8.5. A OM poder criar um portflio de fatores de riscos que facilitar na anlise de causa e efeito
da relao entre os fatores de riscos e os riscos de um determinado processo. A Tabela 3 ilustra um
exemplo de portflio de fatores de risco.
12
Tabela 3 Portflio de Fatores de Risco
FATOR DE RISCO (CAUSA)

N
FONTE VULNERABILIDADE
PESSOAL SEM CAPACITAO FR1
PESSOAL COM PERFIL INADEQUADO PARA EXECUO DO PROCESSO FR2
PESSOAS PESSOAL EM NMERO INSUFICIENTE FR3
PESSOAL ARDILOSO FR4
PESSOAL DESMOTIVADO FR5
FLUXO DO PROCESSO MAL CONCEBIDO FR6
PROCESSOS AUSNCIA DE PROCEDIMENTOS FORMALIZADOS FR7
AUSNCIA DE SEGREGAO DE FUNES FR8
AUSNCIA DE SISTEMA PARA GESTO DO PROCESSO FR9
AUSNCIA DE INTEGRAO COM OUTROS SISTEMAS FR10
PROBLEMA NA REDE DE DADOS FR11
UTILIZAO DE PLANILHAS DE CONTROLE FR12
SISTEMAS
ERRO NA FRMULA DAS PLANILHAS FR13
INFORMATIZDOS
OMISSO DE INFORMAES FR14
AUSNCIA DE MANUAIS DE OPERAO FR15
INEXISTNCIA DE CONTROLES DE ACESSO LGICO FR16
AUSNCIA DE BACKUPS FR17
DEFICINCIAS NOS FLUXOS DE INFORMAO E COMUNICAO FR18
ESTRUTURA FALTA DE CLAREZA QUANTO S FUNES E RESPONSABILIDADES FR19

ORGANIZACIONAL CENTRALIZAO DE RESPONSABILIDADES FR20
DELEGAES EXORBITANTES FR21
LOCALIZAO INADEQUADA FR22
ESTRUTURA FSICA INSTALAES OU LEIAUTE INADEQUADOS FR23
INEXISTNCIA DE CONTROLES DE ACESSO FSICO FR24
TCNICA DE PRODUO ULTRAPASSADA/PRODUTO OBSOLETO FR25
TECNOLOGIA DE INEXISTNCIA DE INVESTIMENTOS EM PESQUISA E DESENVOLVIMENTO FR26

PRODUTO OU DE TECNOLOGIA SEM PROTEO DE PATENTES FR27
PRODUO
PROCESSO PRODUTIVO (TECNOLOGIA SEM PROTEO CONTRA
FR28
ESPIONAGEM)
Fonte: CCIEx (2016)
13
8.6. A Figura 3 apresenta um exemplo de um Diagrama de Causa e Efeito, onde se sinaliza a Fonte
de Risco, a Vulnerabilidade, o Fator de Risco e o Risco.
Figura 3 Portflio de Fatores de Risco
Fonte: CCIEx (2016)
8.7. A OM poder utilizar a tcnica de anlise de fluxo de processo, que rene as entradas, as
tarefas, as responsabilidades e as sadas que se combinam para formar um processo. Devem ser
considerados os fatores de risco internos e externos (redflags), que afetam as entradas ou as
atividades em um processo, ao se identificar os riscos (redflags) que podem afetar o cumprimento
dos objetivos deste processo, conforme ilustrado no Anexo A.
8.8. Entende-se por riscos inerentes, a avaliao dos riscos sem considerar a execuo de controles
para mitig-los. Dentro desse conceito necessrio elaborar a avaliao de riscos inerentes
(probabilidade x impacto), cujo resultado ser o nvel de risco (magnitude) consolidado numa
matriz de riscos inerentes.
8.9. A anlise de riscos visa auxiliar na definio de prioridades e opes de tratamento aos riscos
identificados. A metodologia a ser utilizada pela OM para a avaliao de riscos possui dois
parmetros claros a serem estudados, conforme ilustrado na Figura 4:
a) Saber qual a chance, a probabilidade, dos riscos virem a acontecer, frente condio existente de
cada processo e rea de negcio; e
b) Calcular o impacto, as consequncias para o processo impactado.
Figura 4 Avaliao de Riscos (Probabilidade e Impacto)
Probabilidade Impacto
Avaliao de riscos
Fonte: CCIEx (2016)
8.10. O impacto sobre os objetivos de um processo poder acontecer em uma ou mais dimenses,
tais como: prazo, oramentrio-financeiro, qualidade, escopo, imagem ou reputao, etc.
14
8.11. Para determinar os nveis de risco, preciso definir escalas para estimar a probabilidade e o
impacto, bem como estabelecer quando a combinao desses dois fatores representa um risco baixo,
mdio, alto, etc.
8.12. As Tabelas 4, 5 e 6 exemplificam as escalas qualitativas que auxiliam na estimativa de

probabilidades e impactos de eventos, bem como uma Matriz de Riscos Inerentes (Probabilidade x
Impacto), definindo nveis de risco (magnitude) decorrentes da combinao desses dois fatores.
Tabela 4 Avaliao qualitativa da Probabilidade
Descritor Descrio Nvel

Muito alta Evento se reproduz muitas vezes, se repete seguidamente, de maneira assdua,
numerosa e, no raro, de modo acelerado. Interfere de modo claro no ritmo das 5
atividades, sendo evidente para os que conhecem o processo.
Alta Evento usual, corriqueiro. Devido sua ocorrncia habitual ou conhecida em uma
dezena ou mais de casos, aproximadamente, seu histrico amplamente conhecido 4
por parte de gestores e operadores do processo.
Mdia Evento esperado, que se reproduz com frequncia reduzida, porm constante. Seu
histrico de ocorrncia de conhecimento da maioria dos gestores e operadores do 3
processo.
Baixa Evento casual, inesperado. Muito embora raro, h histrico conhecido de sua de
2
ocorrncia por parte dos principais gestores e operadores do processo.
Evento extraordinrio para os padres conhecidos da gesto e operao do
Muito baixa processo. Embora possa assumir dimenso estratgica para a manuteno do 1
processo, no h histrico disponvel de sua ocorrncia.
Fonte: CCIEx (2016)
Tabela 5 Avaliao qualitativa do Impacto
Descritor Descrio Nvel

Muito alta Interrupo abrupta de operaes, atividades, projetos, programas ou processos da
organizao, impactando fortemente outros processos, causando impactos de 5
dificlima reverso nos objetivos.
Alta Interrupo de operaes, atividades, projetos, programas ou processos da
4
organizao, causando impactos de reverso muito difcil nos objetivos.
Mdia Interrupo de operaes ou atividades da organizao, de projetos, programas ou
3
processos, causando impactos significativos nos objetivos, porm recuperveis.
Baixa Degradao de operaes, atividades, projetos, programas ou processos da
2
organizao, causando impactos pequenos nos objetivos.
Degradao de operaes, atividades, projetos, programas ou processos da
organizao, porm causando impactos mnimos nos objetivos (de tempo, prazo,
Muito baixa custo, quantidade, qualidade, acesso, escopo, imagem, etc.) relacionados ao 1
atendimento de metas, padres ou capacidade de entrega de produtos/servios s
partes interessadas (clientes internos/externos, beneficirios).
Fonte: CCIEx (2016)
15
Tabela 6 Matriz de Riscos Inerentes (Avaliao de probabilidade e impacto)
Objetivos do processo N Obj Riscos inerentes aos objetivos N Risco P I P x I Magnitude
Solicitar a aquisio de produtos e

servios para atender uma Requisio confeccionada por quem
O1 R1 5 1 5 Mdio
necessidade da requisitante com no necessita de produto/servio
produtos e/ou servios
Descrever adequadamente o objeto No descrever adequadamente o

O2 R2 4 4 16 Extremo
da aquisio objeto da aquisio
Levantar a quantidade necessria No levantar a quantidade necessria

para atender a demanda para atender a demanda
Informar o prazo para o No informar o prazo para o

recebimento de produtos e servios O4 recebimento de produtos e servios R4 5 3 15 Extremo
com base na utilizao dos mesmos com base na utilizao dos mesmos
Justificar a necessidade de Ausncia de justificativa da

O5 R5 4 3 12 Alto
aquisio necessidade de aquisio
Ausncia de pesquisa de preo ou

Realizar pesquisa de preo O6 R6 4 5 20 Extremo
pesquisa de preo mal executada
Solicitar a aquisio em
Solicitao em desconformidade
conformidade com leis e O7 R7 4 3 12 Alto
com leis e regulamentos
regulamentos
Escala: Baixo: 1 e 2; Mdio: de 3 a 6; Alto: de 8 a 12; Extremo: de 15 a 25.
Fonte: CCIEx (2016)
8.13. Com o objetivo de visualizar e, ao mesmo tempo, implementar uma forma de tratamento de
cada risco, o resultado da avaliao dos riscos ser apresentado em um mapa de riscos, chamado de
Diagrama de Verificao de Riscos (DVR) permitindo o acompanhamento da mitigao ou
elevao dos riscos.
8.14. O Diagrama de Verificao de Riscos (Figura 5) demonstra os pontos de cruzamento da

probabilidade de ocorrncia e do impacto dos riscos. Desta forma, pela diviso do diagrama em
quadrantes, pode-se avaliar a criticidade dos riscos. Quanto maior for a probabilidade e o impacto
de um risco, maior ser seu nvel de criticidade.
16
Figura 5 Diagrama de Verificao de Riscos
Fonte: CCIEx (2016)
8.15. Quanto criticidade, os riscos possuem as seguintes caractersticas:
a) Risco no quadrante vermelho: risco inaceitvel, que possui alta probabilidade de ocorrncia e
poder resultar em impacto extremamente severo; caso ocorra, exige tratamento imediato,
colocando-se em execuo um plano de ao composto por controle preventivo, para eliminar suas
causas ou reduzir sua frequncia; controle detectvel e plano de contingncia para reduzir sua
severidade;
b) Risco no quadrante laranja: pode ser tanto um risco provvel, que possui alta probabilidade de
ocorrncia e baixo impacto na consecuo dos objetivos; bem como um risco inesperado, que
possui baixa probabilidade de ocorrncia e alto impacto na consecuo dos objetivos. A estas
ameaas, deve-se possuir respostas rpidas ao serem detectadas, portanto, devem estar planejadas e
testadas em um plano de contingncia, emergncia, continuidade de negcios, alm de aes
preventivas. Diferem-se dos riscos do quadrante vermelho, por terem aes de tratamento
implementadas com mais planejamento e tempo. So eventos que devem ser constantemente
monitorados;
c) Risco no quadrante amarelo: risco que deve ser quantificado e monitorado de forma rotineira e
sistemtica, porque suas consequncias so gerenciveis, podendo tambm possuir planos de
contingncia; e
d) Risco no quadrante verde: risco que representa pequeno problema e causa pouco prejuzo,
portanto controlvel.
8.16. A Figura 6 apresenta um exemplo de avaliao de riscos inerentes, representada num

Diagrama de Verificao de Riscos Inerentes.
17
Figura 6 Diagrama de Verificao de Riscos Inerentes
EXTREMO
ALTO
MDIO
BAIXO
Fonte: CCIEx (2016)
8.17. O desafio para os Gestores de Risco reduzir a criticidade do risco em termos de

probabilidade e impacto, colocando-o num nvel aceitvel.
8.18. Aps a finalizao da etapa de avaliao dos riscos, inicia-se o processo de avaliao do nvel
de riscos dos processos, projetos, reas ou organizaes.
8.19. O Nvel de Risco um ndice que deve ser calculado sempre que houver a avaliao de
riscos, possibilitando mensurar o nvel de criticidade dos processos, projetos, reas ou organizaes
analisados, visando facilitar o monitoramento e acompanhamento da evoluo dos riscos. O ndice
calculado pela multiplicao da mdia dos graus de probabilidade com a mdia dos graus de
impacto dos riscos presentes nos processos, projetos, reas ou organizaes.
8.20. O Nvel de Risco pode ser classificado em:
a) Extremo processos, projetos, reas ou unidades que tem alto grau de risco e podero resultar
em impacto extremamente severo. Exigem implantao imediata das estratgias de preveno e
proteo, ou seja, ao imediata;
b) Alto processos, projetos, reas ou unidades que devem receber tratamento em mdio ou curto
prazo. Possuem baixo grau de risco e elevados impactos. So processos, projetos, reas ou unidades
que devem ser constantemente monitorados;
c) Mdio processos, projetos, reas ou unidades com alto grau de risco, mas que causam
consequncias gerenciveis organizao. Esses processos, projetos, reas ou unidades devem ser
monitorados de forma rotineira ou sistemtica; e
d) Baixo processos, projetos, reas ou unidades que esto na zona de conforto, devendo ser
gerenciados.
8.21. A Tabela 7 apresenta um exemplo de avaliao de nvel de risco dos processos.
18
Tabela 7 Avaliao de Nvel de Risco dos Processos (Riscos Inerentes)
N
Objetivos do processo Riscos inerentes aos objetivos N Risco P I PxI Magnitude
Obj
Solicitar a aquisio de produtos

Requisio confeccionada por
e servios para atender uma
O1 quem no necessita de R1 5 1 5 Mdio
necessidade da requisitante com
produto/servio
Descrever adequadamente o No descrever adequadamente o

objeto da aquisio objeto da aquisio
Levantar a quantidade necessria No levantar a quantidade

para atender a demanda necessria para atender a demanda
Informar o prazo para o No informar o prazo para o

recebimento de produtos e recebimento de produtos e servios
servios com base na utilizao com base na utilizao dos
dos mesmos mesmos

O5 R5 4 3 12 Alto

Realizar pesquisa de preo O6 R6 4 5 20 Extremo
conformidade com leis e O7 R7 4 3 12 Alto
regulamentos
Escala: Baixo: de 1 a 2,9; Mdio: de 3 a 7,9; Alto: NVEL DE RISCO DO

MDIA 4,4 3,1 13,6 Alto
de 8 a 14,9; Extremo: de 15 a 25. PROCESSO
Fonte: CCIEx (2016)
8.22. Visando facilitar a descrio de um riscos, as OM podero utilizar a seguinte sintaxe:
a) Devido a <CAUSA/FONTE>, poder acontecer <DESCRIO DA INCERTEZA>, o que

poder levar a <DESCRIO DO IMPACTO, CONSEQUNCIA, EFEITO> impactando no/na
<DIMENSO DE OBJETIVO IMPACTADA>
8.23. Para fins ilustrativos, o exemplo abaixo apresenta a descrio de um risco conforme sintaxe
apresentada:
a) Objetivo: apresentar propostas para licitaes at as datas fixadas em editais. Contexto: depende
de cotaes de preos de fornecedores.
b) Causa/Fonte: no entrega de cotaes de preos por parte de fornecedores.
c) Evento: no participao da empresa em licitaes.
d) Consequncia: interrupo de atividades
e) Dimenso do objetivo impactada: custo e despesas fixas
f) Descrio do risco: devido a no entrega de cotaes de preos por parte de fornecedores, poder
acontecer a no participao da empresa em licitaes, o que poder levar a interrupo de
atividades, impactando no custo e nas despesas fixas.
19
9. RESPOSTAS A RISCOS
9.1. Aps a finalizao do processo relativo ao componente de Avaliao de Riscos, iniciado o

processo do componente Respostas a Riscos.
9.2. A OM deve identificar qual estratgia seguir (evitar, transferir, aceitar ou tratar) em relao aos
riscos mapeados e avaliados. A escolha da estratgia depender do nvel de exposio a riscos
previamente estabelecido pela organizao em confronto com a avaliao que se fez do risco.
9.3. A priorizao deve estar embasada no Diagrama de Verificao de Riscos. O risco no

quadrante vermelho deve receber prioridade no tratamento (Figura 7).
Figura 7 Priorizao do Tratamento dos Riscos Inerentes
Fonte: CCIEx (2016)
20
10. ATIVIDADES DE CONTROLE
10.1. Atividades de controles internos so estabelecidas e executados para mitigar os riscos que a
OM tenha optado por tratar.
10.2. Incluem uma gama de controles internos da gesto preventivos e detectivos, bem como a
preparao prvia de planos de contingncia e resposta materializao dos riscos.
10.3. So exemplos de controles internos da gesto: aladas, autorizaes, conciliaes, revises de

desempenho, segurana fsica, segregao de funo, normas, procedimentos e sistemas
informatizados.
10.4. A fim de possibilitar ao gestor a definio dos controles a serem implementados visando ao
tratamento dos riscos do processo, dados sobre estes controles so adicionados matriz de riscos
inerentes, com a finalidade de alinhar os controles aos fatores de riscos (causas). Esta nova matriz
chamada de Matriz de Riscos e Controles (Anexo B).
10.5. O entendimento sobre o fluxo das atividades do processo e desenho dos controles,
classificados como preventivos e detectivos permite avaliar se o dimensionamento destes controles
atendem ou no o objetivo esperado.
10.6. Para auxiliar esta anlise utilizam-se as seguintes questes:
a) Controle: uma ao tomada para certificar-se de que algo se cumpra. Os controles tambm so
meios usados para verificar que certa ao eficiente ao seu propsito. Exemplo: conferncia de
entradas manuais de dados no sistema;
b) Tipo de controle: manual ou automtico (sem interveno humana);
c) Descritivo do controle: descrio da atividade do controle. Exemplo: conferncia por pessoas

distintas de entradas manuais de dados no sistema;
d) Objetivo do controle: objetivo da existncia e/ou necessidade do controle. Exemplo: garantir que
toda e qualquer informao inserida no sistema seja ntegra e completa;
e) Periodicidade: periodicidade do uso do controle: dirio, quinzenal, mensal, etc; e
f) Categoria do controle: a que tipo de categoria o controle pertence, preventivo ou detectivo.
Preventivo desenhado para prevenir resultados indesejados. Reduzem a possibilidade de sua

ocorrncia; e
Detectivo desenhado para detectar fatos indesejveis. Detectam a manifestao/ocorrncia de
um risco.
10.7. O esquema abaixo (Figura 8) apresenta a localizao dos controles preventivos e detectivos
em relao causa, evento, e consequncias.
21
Figura 8 Controles Preventivos e Detectivos
Fonte: CCIEx (2016)

10.8. A fim de garantir que os riscos possveis, alinhados a cada objetivo do processo, foram
identificados, analisados e avaliados e que os controles necessrios para mitigar os fatores de risco
foram identificados, faz-se necessrio realizar uma anlise na Matriz de Riscos e Controles (Tabela
8).
Tabela 8 Controles Preventivos e Detectivos
Fator de Risco (CAUSA)

Objetivos do N Riscos inerentes N N
N FR CONTROLE
processo Obj aos objetivos Risco Fonte Vulnerabilidade C
Garantir que as ativida-

Fluxo do processo mal
FR6 des do processo fluam C4
concebido
numa sequncia lgica
Garantir que todos os

Solicitar a
Processos Ausncia de procedi- procedimentos estejam
aquisio de FR7
mentos formalizados formalizados em docu-
produtos e ser- Requisio con-
mentos especficosC5
vios para feccionada por
atender uma O1 quem no ne- R1 Ausncia de segrega-
necessidade da cessita de pro- FR8 No h controle -
o de funes
requisitante duto/servio
com produtos Falta de clareza quan- Garantir que funes e
e/ou servios to s funes e res- FR19 responsabilidades este- C8
Estrutura ponsabilidades jam bem definidas
Organizacional
Delegaes exorbitan- Garantir que no haja
FR21 C9
tes delegaes exorbitantes
Levantar a - - - - -
quantidade ne-
cessria para O3 - - - - - - -
atender a de- - - - - -
manda
Fonte: CCIEx (2016)
22
10.9. O resultado desta anlise resultar em recomendaes de melhorias na gesto de riscos, as
quais podero ser implementadas por meio de plano de ao (Tabela 9):
a) Verificar a necessidade de elaborar e implementar um controle para mitigar o FR8 do R1; e
b) Verificar a necessidade de identificar e avaliar os riscos que podero impactar o objetivo O3.
Tabela 9 Plano de Ao
Ao a
Quem? Como? Onde? Por qu? Custos Prazos
realizar?
Ordenador de Elaborar e Existncia de fator de risco sem

despesa implementar um Processo de tratamento que poder levar a
Implantar
assessorado pelo controle para Oficializao concretizao de risco que xxxx jan 17
controle
Fiscal mitigar o FR8 do da Demanda poder impactar no atingimento
Administrativo R1 de objetivo do processo
Identificar e avaliar
Processo de Existncia de objetivo do
Identificar e Ch da Seo os riscos que
Oficializao processo sem identificao de xxxx out 16
avaliar risco requisitante podero impactar o
da Demanda nenhum risco
objetivo O3
Fonte: CCIEx (2016)
23
11. INFORMAES E COMUNICAES
11.1. As informaes e comunicaes estabelecem o processo e a estratgia de comunicao com

as partes interessadas. uma fase que permeia todo o processo de gesto e anlise de riscos.
estratgica, pois sem a comunicao, no existe processo de gesto de riscos, tendo em vista no
sensibilizar os usurios do processo.
11.2. Necessrio realizar palestras e treinamentos buscando a sensibilizao e a capacitao dos

gestores envolvidos no processo, pois a percepo do risco pode variar em funo de diferentes
conceitos e necessidades, alm de questes de interesses das partes envolvidas, por estarem
relacionados ao risco ou aos assuntos em discusso.
11.3. A comunicao eficaz importante para assegurar que os responsveis pela implementao
dos futuros planos de ao compreendam as bases sobre as quais as decises so tomadas e a
necessidade de determinadas aes.
11.4. A OM deve utilizar sua rea de comunicao corporativa para operacionalizar o processo de
comunicao dos riscos corporativos.
12. MONITORAMENTO
12.1. O monitoramento deve ser planejado como parte do processo e deve envolver a checagem ou
vigilncia regulares. Pode ser peridico ou acontecer em resposta a um fato especfico.
12.2. De forma clara e objetiva o monitoramento envolve dois processos:
a) O primeiro a verificao se o Plano de Ao proposto est sendo executado. Para isso devemos
utilizar os indicadores: Executado, Em Execuo e No Executado. Tambm devem ser
acompanhados os resultados das aes e medidas propostas. Devem ser acompanhadas para saber se
seus objetivos foram atingidos e, se no foram, quais as dificuldades encontradas e as aes
corretivas; e
b) O segundo processo de monitoramento diz respeito evoluo das condies dos riscos
identificados e analisados. Neste caso deve-se montar um processo de acompanhamento se as
condies listadas no diagrama de causa e efeito sofrem mudanas e/ou alteraes do ambiente.
12.3. Este processo de monitoramento de suma importncia e deve ser acompanhado diretamente
pelo gestor de riscos (Tabela 10).
24
Tabela 10 Monitoramento do Plano de Ao
Ao a
Quem? Como? Onde? Por qu? Custos Prazos Situao
realizar?
Existncia de fator de risco

Ordenador de Elaborar e
sem tratamento que poder
despesa implementar Processo de
Implantar levar a concretizao de No
assessorado pelo um controle Oficializao xxxx Jan 17
controle risco que poder impactar executado
Fiscal para mitigar o da Demanda
no atingimento de objetivo
Administrativo FR8 do R1
do processo
Identificar e
avaliar os
Identificar e Processo de Existncia de objetivo do
Ch da Seo riscos que Em
avaliar Oficializao processo sem identificao xxxx Out 16
requisitante podero execuo
risco da Demanda de nenhum risco
impactar o
objetivo O3
Fonte: CCIEx (2016)
12.4. Durante o monitoramento, realiza-se um procedimento chamado walktrough com o objetivo

de possibilitar ao gestor o conhecimento do processo, no que tange eficcia, ineficcia ou
inexistncia dos controles para que seja construda uma anlise de riscos residuais (Tabela 11).
Tabela 11 Monitoramento do Controle Interno da Gesto
N N FR Controle N Tipo Descrio Objetivo do Periodici- Categoria Resultado Eficcia

risco C controle dade do walk- >90%
through
R1 FR6 Garantir que C4 Manual Checar a sequn- Integridade Ocasio- Preventi- 30% Ineficaz
as atividades cia lgica das ati- das infor- nalmente vo
do processo vidades previstas maes
fluam numa no fluxo do pro-
sequncia l- cesso
gica
FR19 Garantir que C8 Manual Checar a respon- Conformi- Ocasio- Preventi- 98% Eficaz
funes e res- sabilidade pela dade com nalmente vo
ponsabilida- execuo da ati- leis e regu-
des estejam vidade lamentos
bem definidas
Fonte: CCIEx (2016)
12.5. Esse entendimento sobre o fluxo das atividades e desenho dos controles, classificados como
preventivos ou detectivos, permite avaliar se o dimensionamento destes controles atendem ou no o
objetivo esperado.
12.6. O resultado do walktrhough a verificao da eficcia do controle, medida em porcentagem

de vezes que o controle mitigou o risco. Exemplo: 30%
12.7. O parecer do walktrhough a descrio da eficcia do controle, comparando o resultado do

walkthrough com o critrio estabelecido para eficcia do controle. Exemplo: Controle com
resultado de 30%, enquanto o critrio de eficcia de >90%, ter como parecer: ineficaz.
25
12.8. Aps o monitoramento do controle por meio do walktrhough, faz-se necessrio reavaliar os
riscos, ou seja, recalcular a probabilidade e o impacto dos riscos residuais. As notas de
probabilidade e impacto devem ser revistas neste momento, de forma coerente com a avaliao
realizada sobre os controles (Tabela 12).
Tabela 12 Matriz de Riscos Residuais (Avaliao de probabilidade e impacto)
N
Objetivos do processo Riscos inerentes aos objetivos N Risco P I P x I Magnitude
Obj
Solicitar a aquisio de produtos e

servios para atender uma Requisio confeccionada por quem
O1 R1 2 1 2 Baixo
Descrever adequadamente o objeto No descrever adequadamente o

O2 R2 2 3 6 Mdio
da aquisio objeto da aquisio
Levantar a quantidade necessria No levantar a quantidade necessria

O3 R3 3 2 6 Mdio
para atender a demanda para atender a demanda
Informar o prazo para o recebimento No informar o prazo para o

de produtos e servios com base na O4 recebimento de produtos e servios R4 3 2 6 Mdio
utilizao dos mesmos com base na utilizao dos mesmos
Ausncia de justificativa da
Justificar a necessidade de aquisio O5 R5 2 3 6 Mdio
necessidade de aquisio

Realizar pesquisa de preo O6 R6 3 4 12 Alto
Solicitao em desconformidade com
conformidade com leis e O7 R7 2 3 6 Mdio
leis e regulamentos
regulamentos
Escala: Baixo: 1 e 2; Mdio: de 3 a 6; Alto: de 8 a 12; Extremo: de 15 a 25.

Fonte: CCIEx (2016)
12.9. Entende-se por risco residual a avaliao dos riscos aps a considerao dos controles. Esses
conceitos permitem que os controles sejam avaliados e que sua efetividade seja comprovada durante
os testes das auditorias.
12.10. Aps a finalizao da etapa de avaliao dos riscos, inicia-se o processo de avaliao do
nvel de riscos dos processos, projetos, reas ou organizaes (Tabela 12).
26
Tabela 12 Avaliao de Nvel de Risco dos Processos (Riscos Residuais)
N
Objetivos do processo Riscos inerentes aos objetivos N Risco P I PxI Magnitude
Obj
Solicitar a aquisio de produtos

e servios para atender uma Requisio confeccionada por quem
O1 R1 2 1 2 Baixo
Descrever adequadamente o No descrever adequadamente o

O2 R2 2 3 6 Mdio
objeto da aquisio objeto da aquisio
Levantar a quantidade necessria No levantar a quantidade

O3 R3 3 2 6 Mdio
para atender a demanda necessria para atender a demanda
Informar o prazo para o

No informar o prazo para o
recebimento de produtos e
O4 recebimento de produtos e servios R4 3 2 6 Mdio
servios com base na utilizao
com base na utilizao dos mesmos
dos mesmos

O5 R5 2 3 6 Mdio

Realizar pesquisa de preo O6 R6 3 4 12 Alto
conformidade com leis e O7 R7 2 3 6 Mdio
regulamentos
Escala: Baixo: de 1 a 2,9; Mdio: de 3 a 7,9; Alto: NVEL DE RISCO DO

MDIA 2,5 2,5 6,3 Mdio
de 8 a 14,9; Extremo: de 15 a 25. PROCESSO
Fonte: CCIEx (2016)
12.11. Aps a avaliao dos riscos residuais, ltima etapa do ltimo componente, a OM encerra o
ciclo da Gesto de Riscos, consolidada numa nica Matriz de Riscos e Controles e num nico
Diagrama de Verificao de Riscos Consolidados (Figura 9).
Figura 9 Diagrama de Verificao de Riscos Residuais
27
12.12. Importante frisar que quanto maior for o monitoramento, menor ser a exposio a riscos
(Figura 10).
Figura 10 Monitoramento com Walktrhough
Fonte: Adaptado de BRASILIANO (2016)
13. DISPOSIES FINAIS
13.1. O contedo programtico do Curso de Controle Internos da Gesto ser ministrado de acordo
com a metodologia apresentada nesta Apostila.
13.2. Esta Apostila de Gesto de Riscos entra em vigor na data de sua publicao.
Braslia-DF, _____ de _________________de _______
Gen Div LUIZ ARNALDO BARRETO ARAUJO

Chefe do Centro de Controle Interno do Exrcito
28
REFERNCIAS BIBLIOGRFICAS
BRASIL. Ministrio da Defesa. Comando do Exrcito. Portaria n 813-Cmt Ex, de 28 de

setembro de 2012: aprova as Normas para a Realizao das Atividades de Auditoria e Fiscalizao
pelo Controle Interno do Comando do Exrcito (EB10-N-13.003). Boletim do Exrcito. Braslia,
DF, 2012.
_____. Ministrio da Defesa. Comando do Exrcito. Portaria n 018-Cmt Ex, de 17 de
janeiro de 2013: aprova o Manual de Auditoria (EB 10-MT-13.001) e d outras providncias.
Boletim do Exrcito. Braslia, DF, 2013.
_____. Tribunal de Contas da Unio. Revista do Tribunal de Contas da Unio nmero
132, janeiro/abril 2015. Metodologia de Auditoria com Foco em Processo e Risco. Braslia: TCU,
2015. p. 28. Disponvel em: <http://portal.tcu.gov.br/publicacoes-institucionais/periodicos-e-
series/revista-do-tcu/>.
BRASILIANO, Antnio Celso Ribeiro. GESTO DE RISCO DE FRAUDE: Fraud Risk
Assessment - FRA. Sicurezza Editora, 2015.
COSO. Committee of Sponsoring Organizations of the Treadway Commission.
Gerenciamento de riscos corporativos. Traduo Audibra e PricewaterhouseCopers. So Paulo:
[s.n.], 2013, 135 p.
DE CICCO, Francesco. AUDITORIA BASEADA EM RISCOS: Como implementar a ABR
nas organizaes: uma abordagem inovadora. Risk Tecnologia Editora Ltda, 2007.
29
ANEXO A
Fluxograma de processo, Fatores de Risco e Riscos
30
31
32
33

Apostila Gestc3a3o de Risco Cciex

Enviado por

Dados do documento

Descrição original:

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Apostila Gestc3a3o de Risco Cciex

Enviado por

Direitos autorais:

Formatos disponíveis

MINISTRIO DA DEFESA

APOSTILA DE GESTO DE RISCOS

4. COMPONENTES DA GESTO DE RISCOS 7

10. ATIVIDADES DE CONTROLE 21

11. INFORMAES E COMUNICAES 24

13. DISPOSIES FINAIS 28

14. REFERNCIAS BIBLIOGRFICAS 29

1.1. A Apostila de Gesto de Riscos tem como premissas o alinhamento s estratgias, a

2.1. Para fins desta Apostila, considera-se:

a) Accountability: conjunto de procedimentos adotados pelas organizaes pblicas e pelos

b) Governana: combinao de processos e estruturas implantadas pela alta administrao, para

c) Governana no setor pblico: compreende essencialmente os mecanismos de liderana,

g) Evento: ocorrncia ou alterao em um conjunto especfico de circunstncias capaz de causar

i) Consequncia do risco: resultado de um evento sobre os objetivos;

k) Impacto: consequncia resultante da ocorrncia do evento sobre os objetivos;

l) Incerteza: incapacidade de saber com antecedncia a real probabilidade ou impacto de eventos

m) Mensurao de risco: significa estimar a importncia de um risco e calcular a probabilidade e o

q) Fraude: quaisquer atos ilegais caracterizados por desonestidade, dissimulao ou quebra de

r) Controles internos da gesto: conjunto de regras, procedimentos, diretrizes, protocolos, rotinas

Execuo ordenada, tica, econmica, eficiente e eficaz das operaes;

Cumprimento das obrigaes de accountability;

Cumprimento das leis e regulamentos; e

Salvaguarda dos recursos para evitar perdas, mau uso e danos.

2.2. O estabelecimento de controles internos no mbito da gesto pblica visa essencialmente a

a) Um processo contnuo e que flui atravs do Exrcito;

b) Conduzida por militares e civis em todos os nveis da Instituio;

c) Aplicada definio das estratgias;

e) Capaz de propiciar garantia razovel quanto o alcance dos objetivos; e

b) Operacionais: utilizao eficaz e eficiente dos recursos;

c) De Comunicao: confiabilidade de relatrios; e

d) De Conformidade: cumprimento de leis e regulamentos aplicveis.

4.1. A Estrutura do Modelo de Gesto de Riscos constituda de oito componentes inter-

b) Fixao de objetivos: todos os nveis do Exrcito Brasileiro (Alta Administrao,

c) Identificao de eventos: devem ser identificados e relacionados os riscos inerentes prpria

d) Avaliao de riscos: os eventos devem ser avaliados sob a perspectiva de probabilidade e

f) Atividades de controles internos: so as polticas e os procedimentos estabelecidos e executados

g) Informao e comunicao: informaes relevantes devem ser identificadas, coletadas e

5.3. Os fatores do ambiente interno compreendem a filosofia administrativa da Instituio no que

5.4. A filosofia de gesto de riscos do Exrcito representada pelo conjunto de convices e

5.7. A estratgia e os objetivos do Exrcito e o modo pelo qual so implementados baseiam-se em

6.1. A fixao de objetivos uma precondio identificao de eventos, avaliao de riscos e s

Tabela 1 Priorizao dos Processos Crticos

Relao Processo x Objetivo Pontos

Fonte: Adaptado de ENAP (2016)

a) Processo: Oficializao da demanda

7.1. A OM identifica os eventos em potencial que, se ocorrerem, afetaro a organizao, por

Fonte: CCIEx (2016)

Tabela 2 Identificao dos Riscos Inerentes

Objetivos do processo N Obj Riscos inerentes aos objetivos N Risco

Figura 2 Diagrama de Causa e Efeito

Fonte: CCIEx (2016)

8.4. A Fonte de Risco um elemento que, individualmente ou combinado, tem o potencial

FATOR DE RISCO (CAUSA)

ESTRUTURA FALTA DE CLAREZA QUANTO S FUNES E RESPONSABILIDADES FR19

TECNOLOGIA DE INEXISTNCIA DE INVESTIMENTOS EM PESQUISA E DESENVOLVIMENTO FR26

Figura 3 Portflio de Fatores de Risco

Fonte: CCIEx (2016)

b) Calcular o impacto, as consequncias para o processo impactado.

Figura 4 Avaliao de Riscos (Probabilidade e Impacto)

Fonte: CCIEx (2016)

8.12. As Tabelas 4, 5 e 6 exemplificam as escalas qualitativas que auxiliam na estimativa de

Tabela 4 Avaliao qualitativa da Probabilidade

Descritor Descrio Nvel